Ηλεκτρονικό έγκλημα: Τα bytes της απάτης

Το ηλεκτρονικό έγκλημα αλλάζει και μαζί του αλλάζουν και οι διαδικασίες άμυνας. Πώς λειτουργούν οι παράνομοι της νέας εποχής, ποια τα κίνητρα των hactivists και πόσο απειλούνται οι συναλλαγές και το ηλεκτρονικό χρήμα;

  • Jane Cooper
Ηλεκτρονικό έγκλημα: Τα bytes της απάτης
Τα κρούσματα ηλεκτρονικού εγκλήματος ή «κυβερνοεγκλήματος» αυξάνονται συνεχώς και οι διάφορες απειλές που αυτό συνεπάγεται γίνονται ολοένα και σοβαρότερες. Ενώ οι παγκόσμιες συναλλαγές έχουν μέχρι στιγμής προστατευτεί από σοβαρές επιθέσεις, η προσοχή τώρα στρέφεται κατά ενός άλλου όπλου που μπορεί να χρησιμοποιηθεί στον πόλεμο ενάντια στους κυβερνοεγκληματίες: της ανταλλαγής πληροφοριών.

«Οι "κακοί" έχουν διάφορους στόχους, οι οποίοι δεν συνεννοούνται μεταξύ τους», λέει ο κ. John Lyons, επικεφαλής της νεοπαγούς International Cyber Securitiy Protection Alliance (ICSPA), προσθέτοντας ότι αν οι τράπεζες δεν αυξήσουν τη μεταξύ τους διακίνηση πληροφοριών θα ωφελήσουν τους εγκληματίες που «τρέφονται από απροθυμία των ιδρυμάτων να μιλήσουν το ένα στο άλλο». Συνήθως, τα στελέχη των τραπεζών δεν θέλουν να σχολιάσουν την ηλεκτρονική τους ασφάλεια, καθώς η παραδοχή ότι υπάρχουν αδυναμίες θα οδηγήσει ίσως στη μείωση της εμπιστοσύνης εκ μέρους των πελατών τους, ενώ το να ισχυριστούν ότι τα συστήματά τους είναι ασφαλή μπορεί να εκληφθεί ως πρόκληση από την κοινότητα των cyber εγκληματιών.

Δεξαμενή στοιχείων

Τώρα, ωστόσο, η συμπεριφορά έχει αλλάξει υπέρ του να δημιουργηθεί δεξαμενή στοιχείων. Σε ό,τι αφορά την ανταλλαγή της πληροφορίας εντός του κλάδου, «είναι στο καλύτερο σημείο από ποτέ», λέει ο κ. Sean Croston, που επιβλέπει την ασφάλεια και τις υποδομές στον όμιλο client access για λογαριασμό της JP Morgan Treasury Services.

Η άνοδος του εγκλήματος αποδίδεται εν μέρει στη μεταβαλλόμενη φύση του κλάδου. Περισσότερες συναλλαγές γίνονται online και τα σημεία στα οποία οι υπηρεσίες μπορούν να δεχτούν επίθεση έχουν αυξηθεί. Τώρα, στο στόχαστρο βρίσκονται οι υψηλής αξίας εταιρικοί λογαριασμοί, οι οποίοι δέχονται επίθεση με κίνητρο το οικονομικό κέρδος. Το να εντοπιστούν τέτοιες επιθέσεις έχει γίνει ακόμη δυσκολότερο, καθώς οι δράστες γίνονται περισσότερο εξελιγμένοι στην οργάνωσή τους και χρησιμοποιούν όλο και πιο προηγμένα εργαλεία.

Όπως λέει ο κ. Croston, στο παρελθόν οι εγκληματίες μπορεί να επιχειρούσαν να εκτελέσουν όλα τα μέρη του «κόλπου» μόνοι τους. Σήμερα, ωστόσο, υπάρχει… επιμερισμός εργασιών και κάθε μέρος της επιχείρησης είναι πιθανόν να δοθεί ως outsourcing σε ειδικούς. Ο κακόβουλος κώδικας μπορεί να γραφτεί από κάποιον εκτός της συμμορίας και το λογισμικό μπορεί να αγοραστεί από αλλού για λίγες εκατοντάδες δολάρια. Για την εξαργύρωση του οικονομικού οφέλους της παράνομης δραστηριότητας χρησιμοποιούνται δίκτυα μεταφοράς χρημάτων. Χρήστες είναι καθ' όλα νόμιμες εταιρίες, οι οποίες πιθανότατα δεν γνωρίζουν τι συμβαίνει, αλλά «προσφέρουν» τους λογαριασμούς τους στους επιτήδειους ώστε να φτάσουν μέσω αυτών τα κλεμμένα κεφάλαια στα χέρια των παρανόμων.

Μια σύνθετη προσέγγιση

Η εποχή που ο «κακός» μεταμφιεζόταν σε τράπεζα και χτυπούσε μεμονωμένους λογαριασμούς πελατών ζητώντας προσωπικά στοιχεία φαίνεται ότι έχει περάσει. Τώρα υπάρχουν πιο περίπλοκες επιθέσεις με υψηλότερη στόχευση, οι οποίες χρησιμοποιούν τεχνικές social engineering ώστε να ξεγελάσουν αυτούς που είναι σε θέση να διακινήσουν τεράστια ποσά χρημάτων και να τους αναγκάσουν να εγκαταστήσουν κακόβουλο λογισμικό στον υπολογιστή τους. Μόλις ο υπολογιστής μολυνθεί, το πρόγραμμα μπορεί να εντοπίσει τραπεζικούς λογαριασμούς και πληροφορίες για το log in.

Αυτός είναι ο σύγχρονος cyber τρόπος μιας άλλοτε κλασικής «ληστείας τράπεζας». Και στον σύγχρονο τρόπο οι παράνομοι διενεργούν εκτεταμένη παρακολούθηση μιας εταιρίας πριν «χτυπήσουν». Τα ποσά ενός «κόλπου» μπορούν να είναι τεράστια, όπως επί παραδείγματι συνέβη στα τέλη του 2010, όταν η εκδοτική εταιρία Conde Nast φέρεται να μεταβίβασε 8 εκατ. ευρώ σε απατεώνες που υποδύθηκαν έναν προμηθευτή της.

Ο κ. Uri Rinver, επικεφαλής του τμήματος νέων τεχνολογιών, προστασίας δεδομένων και εξακρίβωσης στην εταιρία ασφάλειας RSA, λέει ότι ο κλάδος είναι καλά εξοπλισμένος ώστε να αντιμετωπίσει τις επιθέσεις αυτές, καθώς και ότι έχουν γίνει σημαντικές επενδύσεις ώστε να αποφευχθούν οι απάτες στο ηλεκτρονικό εμπόριο.

Ιδεολογικά κίνητρα;

Ωστόσο, τώρα ξεπηδούν νέες μορφές ηλεκτρονικού εγκλήματος που δεν σχετίζονται απαραίτητα με το οικονομικό κέρδος. Τέτοιες είναι οι περιπτώσεις επιθέσεων «denial-of-services», το αποτέλεσμα των οποίων είναι οι πελάτες να μην μπορούν να ελέγξουν τους λογαριασμούς τους ή να πραγματοποιήσουν πληρωμές.

Οι αποκαλούμενες ομάδες h-ακτιβιστών (hactivist) όπως οι Anonymus και οι LulzSec έχουν τον τελευταίο καιρό διακριθεί σε αυτού του είδους τις επιθέσεις, απενεργοποιώντας τα sites σημαντικών επιχειρήσεων ή κυβερνητικών υπηρεσιών είτε για πλάκα είτε για να κάνουν μια ιδεολογική «δήλωση». Τον Δεκέμβριο του 2010, για παράδειγμα, οι Anonymus επιτέθηκαν στα δίκτυα των VISA, MasterCard και PayPal για να εκδικηθούν την άρνησή τους να δεχτούν συνεισφορές για το WikiLeaks. Πιο πρόσφατα, οι LulzSec διεκδίκησαν τις δάφνες της επίθεσης στο site της CIA.

Σε ορισμένες περιπτώσεις, αυτού του είδους η δράση έχει αποδοθεί σε κρατικές προσπάθειες, αν και συχνά είναι δύσκολο να εξακριβωθεί αν οι επιθέσεις αυτές έχουν την υποστήριξη μιας κυβέρνησης ή είναι έργο ενός ιδιώτη που «δουλεύει» από την κρεβατοκάμαρά του.

Νοτιοκορεατικές επιθέσεις

Τον Μάρτιο του 2011 ένας αριθμός κυβερνητικών websites στη Νότιο Κορέα έγινε στόχος επιθέσεων denial-of-service. Στις επιθέσεις αυτές, οι ιστοσελίδες υπερφορτώθηκαν με πληροφορίες, κάτι που προκάλεσε την κατάρρευσή τους. Αν και το να μην μπορείς να έχεις πρόσβαση σε ένα site είναι άβολο, η επίθεση που πραγματοποιήθηκε τον επόμενο μήνα στo χρηματοπιστωτικό ίδρυμα με την επωνυμία Εθνική Ομοσπονδία Αγροτικών Συνεταιρισμών ήταν πολύ σοβαρότερη.

Το δίκτυο της τράπεζας δέχτηκε επίθεση και τα συστήματά της παρέλυσαν για δύο ημέρες. Οι πελάτες δεν μπορούσαν να σηκώσουν λεφτά από τα ATMs, να ελέγξουν τους λογαριασμούς τους οnline ή να πραγματοποιήσουν πληρωμές. Περίπου 5 εκατομμύρια πιστωτικές κάρτες επηρεάστηκαν, ενώ, όπως αναφέρθηκε, ορισμένα στοιχεία είναι πιθανόν να χάθηκαν για πάντα. Αρχικά, για την επίθεση, που πραγματοποιήθηκε από το laptop ενός συνεργάτη κατηγορήθηκε το τμήμα IT της τράπεζας. Στη συνέχεια, οι Αρχές της χώρας ισχυρίστηκαν ότι υπεύθυνη είναι μάλλον η Βόρειος Κορέα, χάκερ της οποίας κατηγορούνται ότι εισήλθαν παράνομα στο σύστημα της τράπεζας και χρησιμοποίησαν το laptop-«ζόμπι». Οι επιθέσεις στη Νότιο Κορέα ήταν ασυνήθιστες, καθώς ήταν περίπλοκα εκτελεσμένες αλλά και δεν έδιναν κάποιο προφανές κέρδος.

Ένα report της McAfee παρομοίασε την επίθεση με το «να φέρνεις μία Lamporgini σε αγώνα go cart» και εκτιμά ότι τέτοιες επιθέσεις γίνονται για να τεσταριστούν οι αμυντικές δυνατότητες της Βορείου Κορέας. Έως τώρα δεν έχουν δοθεί στη δημοσιότητα στοιχεία που να τεκμηριώνουν ευθύνη της Β. Κορέας για τις επιθέσεις, αλλά οι ειδικοί πιστεύουν πως η κυβέρνηση της χώρας αυτής έχει τέτοιου είδους δυνατότητες. Τέτοια περιστατικά τονίζουν την ανάγκη η τραπεζική κοινότητα να προχωρήσει στην ανταλλαγή πληροφοριών σε ό,τι αφορά το ηλεκτρονικό έγκλημα και μάλιστα σε διεθνή κλίμακα.

Αόρατες επιθέσεις 

Μπορεί να προκαλείται αρκετός θόρυβος γύρω από τις επιθέσεις τύπου denial-of-service, αλλά αυτό που είναι ίσως πιο ανησυχητικό είναι οι επιθέσεις που περνούν απαρατήρητες.

Οι «αόρατες» επιθέσεις μπορούν να πραγματοποιηθούν από κράτη ή τρομοκρατικές ομάδες και να χρησιμεύσουν ως τρόπος συλλογής πληροφοριών που θα μπορούσαν να χρησιμοποιηθούν σε μεταγενέστερο χρόνο. Ο κ. Rinver σημειώνει ότι δεν είναι μόνο οι τράπεζες που βρίσκονται σε κίνδυνο, καθώς και οι μεγάλες επιχειρήσεις απειλούνται από ομάδες που θέλουν να εισδύσουν και να συλλέξουν δεδομένα.

Πέρα από το ότι αρκετές ένοπλες συρράξεις μεταξύ χωρών μεταφέρονται και στον κυβερνοχώρο, οι αόρατες επιθέσεις πραγματοποιούνται και από εγκληματίες που αναζητούν την υπεξαίρεση πνευματικής ιδιοκτησίας για ίδιο όφελος. Οι τράπεζες αποτελούν ιδιαίτερα δημοφιλή στόχο για αυτές τις επιθέσεις, αφού πρόκειται για κόμβο στην κρατική δομή δυτικού τύπου και επιπλέον παίζουν σημαντικό ρόλο στο διεθνές εμπόριο.

Η ενδεχόμενη ζημία που ένα τέτοιο χτύπημα θα μπορούσε να προκαλέσει είναι τρομακτική, με τον μεγαλύτερο φόβο να αφορά στο σενάριο διαγραφής ηλεκτρονικού χρήματος και σχετικών συναλλαγών, παγώνοντας το εμπόριο και οδηγώντας μια οικονομία στη στασιμότητα.

Αν και αυτό είναι το χειρότερο σενάριο, οι ομάδες ηλεκτρονικής ασφάλειας δεν έχουν την πολυτέλεια να εστιάσουν μόνο σε έναν τύπο απειλής. «Ως χρηματοοικονομικά ιδρύματα πρέπει να είμαστε έτοιμοι να αμυνθούμε έναντι όλων των τύπων επιθέσεων - πρέπει να είμαστε καλυμμένοι από παντού. Δεν υπάρχει καλό ηλεκτρονικό έγκλημα», λέει ο κ. Croston της JP Morgan. Όταν ερωτάται ποιο είδος απειλής είναι πιο τρομακτικό, απαντά: «Είναι δύσκολο να πεις ποιο είναι πιο τρομακτικό. Όλα είναι τρομακτικά». Όπως λέει, η ανησυχία αφορά στις αδυναμίες των αμυντικών συστημάτων, γιατί είναι αυτές που θα δεχτούν τις παράνομες επιθέσεις.

Ο κ. David Wall, καθηγητής εγκληματολογίας στο Πανεπιστήμιο του Durham, στη Μ. Βρετανία, λέει: «Ο πιο αδύναμος κρίκος είναι τα άτομα». Ενώ οι τράπεζες έχουν αυξήσει την τεχνολογική ασφάλεια των συστημάτων τους, πρέπει τώρα να εστιάσουν στις διαδικασίες που αφορούν στο προσωπικό τους. Ο κ. Rinver εξηγεί πως οι όλο και πιο προηγμένες τεχνολογικά επιθέσεις δεν έχουν άμεσο στόχο το δίκτυο της τράπεζας, καθώς οι περιμετρικές άμυνες της τελευταίας είναι αρκετά ισχυρές. «Δεν ασχολούνται με τα τείχη. Μπαίνουν από την πύλη που βρίσκεται στα τείχη».

Μαλακό υπογάστριο

Ο κ. Steve Winterfeld, επικεφαλής τεχνικός στην εταιρία systems engineering TASC, λέει: «Οι παραδοσιακές τράπεζες είναι χτισμένες σαν φρούριο: σκληρές από έξω και μαλακές στο εσωτερικό τους». Επισημαίνει ότι αυτού του είδους η αρχιτεκτονική είναι ευάλωτη σε δίκτυα στα οποία οι εγκληματίες κυνηγούν τους αδύναμους κρίκους, τους οποίους αποτελούν οι εργαζόμενοι ή αλλιώς το «εσωτερικό του κάστρου». Οι υπάλληλοι αυτοί δεν είναι βέβαιο ότι έχουν αντιληφθεί την επίθεση. Σε πολλές περιπτώσεις μπορεί να θεωρούν ότι λειτουργούν για το καλό της επιχείρησης με το να μοιράζονται περισσότερες πληροφορίες από ό,τι θα έπρεπε. Εξάλλου, ένας απασχολημένος υπάλληλος είναι πιθανόν να εξαπατηθεί ακόμη και για λόγους που σχετίζονται με την ανθρώπινη φύση και να ανοίξει έτσι την «πόρτα» στα εσωτερικά συστήματα μιας επιχείρησης.

Για παράδειγμα, έστω ότι μια τράπεζα έχει ανακοινώσει μειώσεις προσωπικού. Οι εγκληματίες θα χρησιμοποιήσουν αυτήν την πληροφορία και θα ξεκινήσουν επίθεση μέσω ενός email που, αν και περιέχεται κακόβουλο λογισμικό, υποτίθεται ότι όποιος το ανοίξει θα μπορεί να δει πληροφορίες για το ποιοι από το προσωπικό θα απολυθούν. «Μη μου πείτε ότι υπάρχει έστω και ένας που δεν θα ανοίξει το αρχείο!», λέει ο κ. Lyons της ICSPA.

Τέτοιου είδους επιθέσεις καθιστούν σαφείς τις δυσκολίες που αντιμετωπίζουν οι τράπεζες στην προσπάθειά τους να ελέγξουν τις εσωτερικές τους διαδικασίες και να εξασφαλίσουν ότι τα συστήματά τους ελέγχονται για να διαπιστωθεί η αποτελεσματικότητά τους.

Αυτός ο τύπος επιθέσεων είναι συχνός τελευταία, και ο πραγματικός κίνδυνος είναι ο υπάλληλος να μην έχει αντιληφθεί ότι μια επίθεση έχει ήδη ξεκινήσει. Όταν παρ’ όλα αυτά η επίθεση γίνει αντιληπτή, είναι εξαιρετικά σημαντικό αυτή η πληροφορία να πάει και σε άλλες τράπεζες. Ο κ. Rinver λέει ότι οι τράπεζες χρειάστηκαν κάποιο χρονικό διάστημα για να ξεκινήσουν να μοιράζονται πληροφορίες από τη στιγμή όπου τέτοιες επιθέσεις έγιναν γνωστές. Ωστόσο, μόλις έγιναν αντιληπτοί οι τρόποι και κατανοήθηκαν τα προβλήματα, αναγνωρίστηκε η ανάγκη για ανταλλαγή πληροφοριών και για συνεργασία, ώστε να υπάρξει αντιμετώπιση των επιθέσεων.

Το ίδιο φαίνεται τώρα να συμβαίνει με τους νέους τύπους απειλών που αντιμετωπίζουν οι τράπεζες, όπως ο h-ακτιβισμός ή κρατικής έμπνευσης επιθέσεις. Τώρα οι τράπεζες καταλαβαίνουν ότι είναι σημαντικό να μοιράζονται πληροφορίες για συμβάντα.

Ανταλλαγή πληροφοριών

Πρωτοβουλίες που αφορούν στην ανταλλαγή πληροφοριών καθίστανται όλο και πιο σημαντικές, καθώς οι επιθέσεις γίνονται πιο περίπλοκες και ύπουλες. Ένας τέτοιος οργανισμός που διακινεί τέτοιου είδους πληροφορίες είναι το αμερικανικό Financial Services Information Sharing and Analyst Center, το οποίο ξεκίνησε τη λειτουργία του το 1999.

Ο εκτελεστικός αντιπρόεδρος του κέντρου, κ. Eric Guerrino, λέει ότι το κέντρο έχει περισσότερες από 120 πηγές πληροφοριών, συμπεριλαμβανομένων κρατικών υπηρεσιών και πηγών από τον ιδιωτικό τομέα, οι οποίες διανέμονται στα μέλη του - δηλαδή σε αμερικανικά χρηματοοικονομικά ιδρύματα. Από ό,τι φαίνεται, οι τράπεζες είναι τώρα πρόθυμες να μοιραστούν πληροφορίες. «Αντιλαμβάνονται ότι είμαστε όλοι μπλεγμένοι σε αυτό», λέει ο κ. Guerrino.

Το κέντρο έχει μία φόρμα την οποία οι τράπεζες χρησιμοποιούν για να αναφέρουν ένα συμβάν. Μπορούν να περιγράψουν τον τύπο της επίθεσης, να δώσουν πληροφορίες όπως οι διευθύνσεις IP, να πουν ποια συστήματα επηρεάστηκαν και να αναφέρουν εάν η επίθεση ήταν επιτυχής. Η πληροφορία αυτή είναι ανώνυμη και ένας ειδικός της ασφάλειας ελέγχει ότι η ταυτότητα του χρηματοοικονομικού ιδρύματος που επηρεάστηκε δεν θα προσδιοριστεί.

Ο κλάδος εργάζεται στην κατεύθυνση του να καθιερώσει διεθνή συστήματα ανταλλαγής πληροφορίας έτσι ώστε αν μια τράπεζα δέχεται επίθεση, οι άλλες να μπορούν να ειδοποιηθούν σε πραγματικό χρόνο για τη φύση της απειλής. Ένας τέτοιος στόχος απαιτεί μεγάλο βαθμό συνεργασίας και θέλει ακόμη πολλή δουλειά, αλλά ο κλάδος φαίνεται να έχει ξεπεράσει την απροθυμία του να συζητήσει και να ανταλλάξει πληροφορίες σε τέτοια θέματα.

Καθώς οι παγκόσμιες συναλλαγές σταδιακά μετατρέπονται σε online συναλλαγές, το όπλο της ανταλλαγής πληροφοριών μπορεί να είναι πολύ χρήσιμο στη μάχη κατά του εγκλήματος, το οποίο με τη σειρά του και αυτό μεταλλάσσεται σε ηλεκτρονικό.

ΣΧΟΛΙΑ ΧΡΗΣΤΩΝ

blog comments powered by Disqus
v