Jak się okrada banki w internecie
Choć pojedynczy klienci banków raczej rzadko padają ofiarą ataków mających na celu wyłudzenie haseł i loginów do kont, to w sumie tego typu działania są opłacalne dla cyberprzestępców. Tak wynika z raportu opublikowanego przez specjalizującą się w sprawach bezpieczeństwa firmę Trusteer.
Analiza dotyczyła ataków typu phishing, polegających np. na wysyłaniu do internautów maili z linkami do fałszywych stron www. Witryny takie przypominają strony banków i służą do wykradania danych posiadaczy kont. Według obserwacji Trusteera, na milion klientów instytucji finansowej zaatakowanej przez phisherów, średnio trzynaście osób trafia na sfałszowaną stronę, np. za pośrednictwem odnośnika przesłanego mailem. Spośród tych trzynastu osób niemal połowa podaje na podrobionej stronie swoje dane dostępowe.
Jak wyliczyli eksperci, podczas ponad 800 falach ataków phishingowych rocznie cyberzłodzieje zdobywają około 4700 haseł na każdy milion klientów. Przyjmując, że z tych kont wykradane jest średnio 2 tysiące dolarów, łączna kwota wyłudzeń wyniesie 9,4 miliona dolarów. Nawet jeśli byłoby to tylko 500 dolarów, to i tak łączna suma sięgnie 2,35 miliona dolarów (na milion klientów banku), a są to jedynie straty spowodowane atakami phishingowymi. Należałoby tu jeszcze uwzględnić wyłudzenia będące wynikiem kradzieży numerów kont bankowych z wykorzystaniem trojanów.
Jednak najnowszy raport nie daje odpowiedzi na pytanie, w jakim stopniu interes jest opłacalny dla poszczególnych grup phisherów. Na początku roku Microsoft przedstawił wyniki badań, według których phishing się nie opłaca, ponieważ zbyt wielu cyberoszustów czyha na pieniądze klientów. Zakładając, że za każdą z 800 fal ataków phishingowych stoi inny gang, na każdy z nich przypadnie tylko 12 tysięcy dolarów (sześciu klientów po 2 tysiące dolarów).
W raporcie Trusteera zaskakuje zwłaszcza fakt, że spośród klientów, którzy trafiają na strony phishingowe, niemal co drugi podaje dane dostępowe. Dlaczego tak się dzieje?
Odpowiedź na to pytanie znajdziemy w opublikowanym niedawno przez Microsoft raporcie dotyczącym porad bezpieczeństwa: klienci amerykańskich banków nie są rozważni, ponieważ nie ponoszą praktycznie żadnego ryzyka. Z reguły banki bez problemów rekompensują im poniesione straty - przypuszczalnie także dlatego, że większość instytucji nie stosuje sprawdzonych metod uwierzytelniania, takich jak choćby numery TAN.