Studiu de caz: Phishing awareness la băncile din România

Publicat de

Imaginează-ţi următoarea situaţie: primeşti un mail din partea băncii cu care ai contract, prin care îţi sunt solicitate informaţii personale şi date confidenţiale despre activitatea ta bancară. Recunoşti numele băncii, sigla, anumite detalii specifice şi completezi cu încredere toate informaţiile care ţi se cer. După un timp, observi că banii dispar din cont fără să-i fi cheltuit tu. Suni la bancă, afli că mailul nu a fost trimis de ea şi atunci îţi dai seama că ai fost înşelat. Pur şi simplu simţi că le-ai dat singur hoţilor acces la banii tăi. În acel moment conştientizezi că eşti victima unui incident cibernetic prin care infractorii îţi fură banii din cont folosindu-se de datele personale pe care chiar tu le-ai oferit. Şi totul a plecat de la acel mail păcătos. De fapt, mailul este o tentativă de fraudă, o înşelăciune virtuală căreia i se spune PHISHING, pe care TU, din neatenţie şi necunoaştere, ai transformat-o într-un incident cibernetic căruia îi eşti victimă.

Brandurile mai multor bănci din România sunt folosite în astfel de tentative de fraudă. De cele mai multe ori, aflăm despre aceste cazuri din presă sau din comunitatea de experţi în securitate cibernetică, care trage imediat semnalul de alarmă. Dar alerta este percepută doar de către cei care cunosc fenomenul şi riscurile. Informaţia nu are aceeaşi vizibilitate şi acelaşi impact ca tentativa de fraudă şi ajunge greu la cei vizaţi. Modul în care băncile aleg să comunice despre phishing face, de fapt, diferenţa şi micşorează riscul de incidente. Pe de altă parte, vorbim şi despre responsabilitatea presei de a informa în legătură cu pericolele din spaţiul cibernetic în mod constant, nu doar atunci când apar incidentele. Acestea sunt coordonatatele următorului studiu de caz, care propune băncilor un simplu exerciţiu de responsabilitate în ceea ce priveşte acţiunile de conştientizare a pericolului de phishing. Mai mult, băncile şi-au exprimat şi punctul de vedere despre felul în care media relatează despre phishing şi cum ar putea face împreună o echipă cu rezultate bune în lupta anti-phishing.

Notă: Pentru echidistanţă, am trimis acelaşi set de întrebări la patru bănci din România, alese după mărimea audienţei în mediul online. O singură întrebare a fost diferită, adaptată la istoricul băncii în campaniile de phishing awareness. A fost impus un deadline, care mai apoi a fost extins. Doar două au răspuns la timp. Ordinea relatării răspunsurilor este dată de ordinea în care le-am primit.

Cazuri de phishing la ING

ing1Două cazuri din 2011, unul relatat de Hotnews şi altul de Mediaş Info.

Caz de phishing la Banca Transilvania
transilvania1 phishing1
URL: http://bt-transilvan.net/token
(Sursa capturi: e-crime.ro şi Cyber Smart Defence)

Ce importanţă acordaţi campaniilor de phishing awareness şi cum abordaţi acest tip de atac cibernetic?

ING:
În contextul global, în care tendinţa ameninţărilor cibernetice este în continuă creştere, atât a frecvenţei, cât şi a complexităţii acestora, ING, atât la nivel de grup, cât şi în România, a luat în calcul şi a implementat un set de măsuri cu scopul de a creşte rezilienţa, diminua impactul precum şi a răspunde la astfel de ameninţări. Campaniile de conştientizare reprezintă una din măsurile luate în considerare de ING, fiind dezvoltate mesaje de conştientizare a ameninţărilor, printre care şi a atacurilor de tip “phishing”.

Acestea sunt extrem de importante în “lupta” cu acest tip de ameninţare pentru că, pe lângă măsurile pe care banca le ia, şi clienţii băncilor, dar şi utilizatorii de Internet din România joacă un rol important, aceştia fiind victimele atacurilor.

Banca Transilvania:
În cazul unor atacuri de tip phishing se contactează entităţile care au legătură cu subiectul (companii de hosting, ISP etc.), organisme naţionale/internaţionale de tipul CERT/CSIRT, precum şi organele competente în aplicarea legii în vederea eliminării/blocării conţinutului.

Ce măsuri aţi implementat pentru prevenirea şi detectarea cât mai rapidă a unor atacuri de acest fel?

ING:
Succesul în lupta cu atacurile de tip phishing poate creşte atunci când un client ştie modul în care banca comunică cu el în mod uzual (şi identifică mai uşor o situaţie excepţională), ştie ce informaţii nu solicită niciodată banca, dar, în acelaşi timp, ar trebui să ştie să facă un set de verificări înainte de a da curs unei cereri venite pe e-mail sau înainte să acceseze o adresă web primite pe e-mail.

Alte exemple de tipuri de măsuri de răspuns la atacurile de tip phishing, analizate şi implementate în cadrul ING, sunt:

  • dezvoltarea unui plan de răspuns la atac la nivelul organizaţiei, plan pe baza căruia, la momentul la care un astfel de atac este în desfăşurare, timpul de răspuns să fie cât mai rapid posibil;
  • contractarea de servicii de tipul “Take Down” pentru închiderea site-urilor de phishing;
  • schimbul de informaţii cu alte entităţi din cadrul grupului ING cu privire la noi moduri de atacuri folosite, informaţii care apoi sunt folosite la îmbunătăţirea planurilor de răspuns locale, dacă este cazul;
  • colaborarea cu instituţiile guvernamentale (ex. CERT-RO) sau cu autorităţile competente (ex. DIICOT) în identificarea şi tragerea la răspundere penală a persoanelor implicate în astfel de atacuri.

Banca Transilvania:
Pentru a preveni şi a detecta cât mai rapid astfel de atacuri, am implementat soluţii automate de monitorizare şi alertare.

Ce răspuns oferiţi clienţilor în cazul sesizării unor astfel de cazuri?

ING:
Fiecare astfel de sesizare este investigată de echipa noastră şi răspunsul este tratat ca atare. Încurajăm, desigur, toţi clienţii să ne trimită sesizări cu orice li se pare suspect şi dacă primesc mailuri despre care au suspiciunea că nu sunt de fapt de la ING, dacă au fost contactaţi telefonic de un aşa-zis reprezentant al băncii, dacă observă tranzacţii pe care nu le recunosc, este esenţial să le semnaleze cât mai repede prin call center, atât pentru că este nevoie să se securizeze contul lor, cât şi pentru a putea preveni un atac şi asupra altor clienţi.

Banca Transilvania: 
Mesajul BT cuprinde următoarele informaţii:

În situaţia în care aţi accesat un link suspect primit prin e-mail şi v-aţi introdus datele de logare în aplicaţia BT24, vă rugăm să ne contactaţi în cel mai scurt timp posibil la numărul de telefon 0264308028, tasta 3, pentru a dezactiva temporar serviciul BT24 Internet Banking şi pentru a verifica tranzacţiile efectuate pe cont. În situaţia în care nu aveţi posibilitatea de a ne contacta telefonic, avem rugămintea de a contacta cea mai apropiată unitate BT.

Banca Transilvania recomandă următoarele, pentru a NU deveni victime ale atacurilor de tip phishing:

  • nu accesaţi link-uri din cadrul e-mail-urilor nesolicitate sau trimise de către persoane necunoscute, în special cele care par sa fie trimise de banca;
  • nu accesaţi/descărcaţi fisiere ataşate, primite prin intermediul e-mail-ului, nesolicitate sau primite de la persoane necunoscute, în special cele care în aparenţă sunt trimise de bancă;
  • accesaţi BT24 Internet Banking doar de pe adresa web a băncii sau prin introducerea adresei în bara de adresă din cadrul browserului, folosind întotdeauna tastatura şi nu un anumit link;
  • verificaţi în bara de adresa din cadrul browser-ului dacă adresa existentă este cea a serviciului de Internet Banking cunoscută;
  • verificaţi faptul că aveţi o conexiune criptată  (HTTPS) cu site-ul Internet Banking BT24 şi că deţinătorul certificatului digital aferent acesteia este Banca Transilvania;
  • urmaţi cea mai bună practică de securitate a PC-ului de unde are loc logarea: asiguraţi-vă că are instalate soluţii anti-virus şi anti-spyware, iar acestea sunt actualizate regulat; nu salvaţi elementele de autentificare în aplicaţia Internet Banking în memoria calculatorului; parolele trebuie să aibă complexitate ridicată (să conţină litere mici, mari, numere şi caractere speciale) şi să fie schimbate periodic.

În ce măsură aţi comunicat despre cel mai recent atac de acest fel?

ING:
Comunicările despre atacuri cibernetice se fac printr-un mail sau scrisoare trimise fiecărui client, preventiv, indiferent dacă sunt persoane fizice sau juridice şi indiferent de produsul pe care îl au în bancă. Obiectivul lor este de a informa clienţii despre risc şi modalităţile în care se pot apăra sau cum pot semnala băncii ce li se pare suspect.

Banca Transilvania:
La BT comunicăm constant, intern şi extern, despre prevenția atacurilor de phishing. O facem fie punctual, cu ocazia unor cazuri noi – semnalate în străinătate sau în România – despre care suntem şi noi informați, fie general, în zona de educare a publicului, canalele de comunicare fiind următoarele: email; intranet (intern, pentru angajații Grupului BT); comunicare directă cu clienții, prin intermediul echipei Call Center; site-ul BT; platforma Întreb BT; social media şi, după caz, prin intermediul presei (extern, pentru mai multe tipuri de public).

Cum apreciaţi modul în care media se implică în relatarea atacurilor de tip phishing şi cum credeţi că ar putea ajuta mai mult la diseminarea acestei ameninţări din spaţiul cibernetic?

ING:
Atacurile cibernetice sunt relativ noi şi se intensifică pe măsură ce digitalizarea ocupă tot mai mult în activităţile cotidiene, nu doar în cele bancare. Specificul lor este tocmai cel de „organism viu”, care se adaptează noilor platforme folosite de utilizatori sau servicii oferite de bănci, uneori imitând servicii noi oferite de o instituţie financiar-bancară pentru a fura date personale. Prin urmare credem că şi procesul de educare asupra acestor riscuri ar trebui să fie unul continuu şi susţinut de cât mai multe canale de informare, de la bănci la mass-media. Însă responsabilitatea informaţiilor transmise este foarte mare – pe de-o parte pentru că trebuie să fie corecte, pe de altă parte sunt din acea categorie de informaţii care, dacă sunt tratate ca bombastice, pot duce la panică şi pot face un utilizator cu atât mai vulnerabil. În plus, considerăm că documentarea materialelor prin consultarea cu organizaţiile profesionale din domeniu poate genera un mesaj mai coerent pentru cititor.

Banca Transilvania:
Pentru că sunt un subiect de interes, tentativele de phishing fac parte din agenda presei, mai ales în ultimii doi ani, aşa încât oamenii au ocazia să afle aproape instant despre ele, atunci când acestea au loc. Este vorba de articolele punctuale, despre ce şi unde s-a întâmplat o tentativă sau un atac de phishing, cu atât mai mult cu cât companiile şi instituțiile investesc în mod diferit în platforme, politici specifice şi echipe.  Presa are însă un rol esențial privind creşterea gradului de informare şi educare a publicului, aşa încât să primeze prevenția. Este vorba de acele subiecte care se referă la modalitățile de recunoaştere a unei tentative de phishing, la canalele de propagare – tot mai difersificate – dar şi la modul în care lumea se poate proteja de acestea. Diseminarea constantă a informațiilor educative – prin intermediul presei şi a social media – ar fi un pas înainte.

Cunosc cel puţin 3 tipuri de mailuri transmise de ING clienţilor referitoare la atenţionări pe tema phishing-ului, din 2015 până în prezent. Cu ce ocazie se transmite acest email de informare şi care sunt criteriile care stau la realizarea lui an de an? Face parte dintr-o strategie de informare sau este o reacţie după un incident de acest fel?

Motivele pentru care ING decide să comunice cu clienţii în astfel de cazuri diferă de la caz la caz. Poate fi vorba de o reîmprospatare a măsurilor de conştientizare a pericolului reprezentat de atacurile de tip “phishing”, de apariţia unui astfel de atac în mediul cibernetic, nu neaparat cu ţinta ING, de apariţia unui nou mod de operare folosit în atacurile de tip phishing, etc.

Considerăm importantă această comunicare cu clienţii întrucât, aşa cum am explicat mai sus, câştigarea luptei cu acest tip de ameninţare depinde de modul în care atât băncile, cât şi clienţii acestora, răspund la aceasta.

Cu clienţii care cad victima acestor tipuri de atacuri există o comunicare mai strânsă, menită să asigure în continuare securitatea finanţelor acestora precum şi a-i îndruma cu privire la ce verificări pot face pe viitor pentru ca şansa de a deveni din nou victima să se diminueze.

Studiul de caz rămâne deschis în continuare oricărei bănci care vrea să-şi marcheze prezenţa la conştientizarea pericolului de phishing.

Un comentariu

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s