Bez wątpienia rozwój bankowości elektronicznej istotnie wpływa na wzrost jakości obsługi finansowej przedsiębiorstwa oraz klienta indywidualnego. Ma również duże znaczenie w obniżaniu kosztów tej obsługi. Warunkiem koniecznym przy korzystaniu z cybernetycznej formy obsługi procesów bankowych jest odpowiedni poziom bezpieczeństwa w interakcji klient – bank. Wiadomo jednak, że aktualnie bankowość elektroniczna jest w sposób permanentny eksponowana na stale zmieniające się, szerokie spektrum zagrożeń. Dlatego też dalszy rozwój mobilnych usług bankowych musi być ściśle skorelowany z poprawą bezpieczeństwa.
Mam tu na myśli wdrożenie procesu ciągłego monitoringu i analizy zaawansowanych i ewoluujących zagrożeń istniejących w cyberprzestrzeni. No właśnie…istniejących.
Emotet – cyberprzestępcy nie próżnują
Przykładem dobrze znanego zagrożenia, które na przestrzeni dość długiego czasu przeszło znaczącą ewolucję, jest ciągle aktywny trojan pod nazwą Emotet. Pomimo, że zagrożenie to jest relatywnie dobrze znane na polu bankowości elektronicznej, to jego ewolucja oraz kilkukrotna zmiana sposobu działania powoduje, że jest to w dalszym ciągu realne i poważne zagrożenie. Niezmienny pozostaje sposób dystrybucji, który zakłada umieszczenie w mailu załącznika lub adresu URL, którego uruchomienie powoduje pobranie szkodliwego pliku.
Takie zagrożenie po raz pierwszy zostało zidentyfikowane przez Trend Micro w czerwcu 2014 r. Było ono wówczas dystrybuowane głównie podczas kampanii spamowych. Odbiorcy, którzy otrzymywali tego typu wiadomości byli namawiani do kliknięcia w linki dostarczone w wiadomościach, które rzekomo dotyczyły ich transakcji bankowych. Jesienią tegoż samego roku pojawiła się kolejna odsłona Emotet, która zawierała mechanizmy automatyzacji kradzieży transferów pieniężnych oraz przybierała formę modułową, która wykorzystywana była w zależności od sposobu dystrybucji (spam, podatności w SMB) oraz zbierania informacji (wykradanie haseł oraz kontaktów e-mail).
Ewolucja Emotet w latach 2015 – 2016 to wprowadzenie mechanizmów, jak np. sandbox evasion, które znacząco utrudniły wykrycie trojana. W tym konkretnym przypadku problem polegał na tym, że malware był wstanie rozpoznać, czy został uruchomiony w maszynie wirtualnej, która jest charakterystyczna dla środowisk typu Sandbox i gdzie badane jest zachowanie potencjalnie niebezpiecznej próbki kodu. Jego zachowanie zmieniało się tak, aby uniknąć wykrycia.
Kolejne odsłony to jeszcze bardziej zaawansowane mechanizmy obchodzenia systemów bezpieczeństwa, jak chociażby zmiana sposobu szyfrowania komunikacji na 128 – bitowy algorytm AES.
Pomoc w zwalczaniu zagrożeń w bankowości elektronicznej
Z pomocą w wykrywaniu i zwalczaniu Emotet i innych tego typu zagrożeniom ponownie przychodzi nam infrastruktura Trend Micro Smart Protection Network (SPN). Poniższe zestawienie, przygotowane w oparciu o dane pozyskane z SPN w okresie grudzień 2018 – styczeń 2019, pokazuje nam w sposób oczywisty wzrost aktywności złośliwego oprogramowania ukierunkowanego na sektor bankowy.
Wydawać by się mogło, że skoro wszystkie powyższe zagrożenia są znane i pojawiły się w cyberprzestrzeni więcej niż raz, to nasze systemy bezpieczeństwa powinny sobie z nimi skutecznie radzić. Nic bardziej mylnego. Przytoczony powyżej przykład trojana Emotet pokazuje ewolucję zagrożenia oraz kolejne jego odsłony. Najbardziej niepokojący jest fakt, że działania cyberprzestępców ukierunkowane są na opracowanie mechanizmów utrudniających wykrycie niebezpieczeństwa.
Połączenie wiedzy dostępnej w Smart Protection Network oraz technologii Trend Micro, takich jak Deep Discovery Analyzer, który jest w pełni konfigurowalnym sandboxem, pozwalają skutecznie wykrywać kolejne mutacje zagrożeń, i co najważniejsze, dzielić się tą wiedzą w ramach koncepcji Connected Threat Defense – o czym w następnym wpisie blogowym.