Kao što smo već pisali, talijanska banka UniCredit, u čijem je vlasništvu i naša Zagrebačka banka, nedavno je izvijestila o višekratnim napadima, vjerojatno hakerskim, pri čemu je oko 400 tisuća klijenata te banke bilo pogođeno neautoriziranim pristupom podacima.

U napadima, koji su se prvi put dogodili u rujnu i listopadu lani, a potom ponovno u lipnju i srpnju ove godine, navodno nisu ukradene lozinke. 

Napadi su izvedeni preko vanjskog  partnera, no iz Unicredita nisu naveli o kome se radi. Nisu opisali ni na koji način su hakeri pristupili podacima, ni kada su u banci postali svjesni prvog napada koji se zbio prošle godine. Naveli su tek kako su poduzeli sve nužne mjere kako bi spriječila ponavljanje takvih upada.

Pitali smo stručnjaka za računalnu sigurnost Lucijana Carića trebaju li građani biti zabrinuti zbog napada poput ovog.

'Mogu, ali građani tu ništa ne mogu učiniti. Banke su odgovorne za svoje poslovanje, pa tako i moguće sigurnosne propuste u tom poslovanju', rekao je tportalu Carić.

Prema njegovoj procjeni, banke u Hrvatskoj dosta ulažu u informatičku sigurnost. Koliko znamo, dosad je bilo uspješnih hakerskih napada, ali ne i masovnih sigurnosnih incidenata velikog opsega kakve smo zabilježili u inozemstvu.

Banke su stalno na udaru

Vjerojatno najozbiljniji napadi bili su oni usmjereni protiv dvostupanjske provjere (two-factor authentication) prije više godina. Iako su djelovali uglavnom preko kompromitiranih korisnika, nemoguće je amnestirati banke od odgovornosti, budući da je metoda napada bila poznata i demonstrirana godinama unaprijed. 

Velika većina banaka izmijenila je dvostupanjsku provjeru kako se ti napadi ne bi ponovili te time potvrdila kako izvorne metode koje su koristile nisu bile dovoljno pouzdane. 

Pored toga, banke su gotovo sigurno svakodnevno izložene raznim oblicima hakerskih napada kao što su, na primjer, bili nedavni napadi na bankomate i njihove korisnike. 

'No, iz svega što znamo veliki broj takvih napada očino nije uspješan, ili bar ne rezultira većom uspješnošću ili masovnom kompromitacijom ni financijskih sredstava, niti korisničkih podataka. 

Porast broja napada i njihovog intenziteta nije neuobičajen i samo potvrđuje orijentaciju hakera na napade na financijske institucije, koji su proteklih godina povećanog intenziteta, a često i uspješnosti', kaže Carić.

Evo kako se možete i trebate sami zaštititi

Kada je riječ o sigurnosti bankovnog poslovanja korisnici na raspolaganju imaju vrlo ograničene opcije. 

'Prije svega, trebaju izabrati banke koje za internet bankarstvo koriste pouzdane metode dvostupanjske provjere. Ovo je već dugo sigurnosni minimum. 

Trebaju učiniti sve kako sami ne bi ugrozili svoju sigurnost - čuvati bankarske i kreditne kartice i njihove podatke, a pogotovo PIN-ove - kao i čuvati opremu ili softver za autentikaciju i pristup elektroničkom bankarstvu. 

Kompjutere koje koriste za tu namjenu trebali bi redovito ažurirati te imati instaliranu i ažurnu zaštitu poput firewalla i antivirusnog softvera. 

Naposlijetku trebali bi obratiti pozornost načinu pristupa bankarskim aplikacijama, kao što su korištenje sigurne i enkriptirane veze ili pouzdanog sustava virtualnih privatnih mreža (VPN). 

Također, nikada ne trebaju smetnuti s uma da su tehnološki napadi samo jedan oblik kompromitacije te da se jednako treba čuvati različitih prijevara kojima se, kao obilikom socijalnog inženjeringa, hakeri i kriminalci redovito koriste', savjetuje Carić.

Najpoznatiji hakerski upadi u banke dosad

Carberp Trojan 2013. - 2015. 

Početkom 2015. objavljeno je kako je otkriven cybernapad ogromnih razmjera: tijekom dvije godine kriminalci iz skupine Carnbanak su uspjeli opljačkati barem milijardu američkih dolara, moguće i više, iz više od sto banka diljem svijeta koristeći malver Carberp. 

Njime su ciljali administratore i službenike banaka. Kad bi uspjeli instalirati ga na njihova računala preuzeli bi ih i potom oponašali njihov način rada kako bi slali novac na svoje račune. Softver je bio toliko sofisticiran da su napadači imali video prijenos i iz ureda koji su trebali biti sigurni.

Osim transakcijama, napadači su novac krali i preuzimanjem bankomata koje su u pojedinim slučajevima uspjeli natjerati na izbacivanje novca bez kartice.

Napad na SWIFT 2016. 

Počeo je kao napad malverom na bangladešku banku tijekom kojeg je ukraden 81 milijun američkih dolara. U nekoliko mjeseci proširio se na druge banke u tolikoj mjeri da je Society for Worldwide Interbank Financial Telecommunications bila prisiljena zatražiti pomoć sigurnosnih stručnjaka izvan branše i promijeniti sigurnosne standarde. 

Upad u banku JP Morgan 2014.

Još uvijek jedan od najvećih u povijesti, ovaj napad je pogodio na desetke milijuna ljudi i sedam milijuna tvrtki, ukupno 83 milijuna klijenta. 

Pet cyberkriminalaca upotrijebilo je zlonamjerni softver, društveni inženjering i spear phishing kako bi došlo do adresa e-pošte, brojeva teledona i drugih podataka kojima su raspolagali JP Morgan i s njime u to vrijeme povezane financijske institucije.

Rupu su pronašli, između ostalog, i na jednom serveru koji nije bio nadograđen za dvostupanjsku provjeru.

Hakeri u akciji

Američki haker Alberto Gonzalez je sa svojom ekipom između 2005. i 2007. ukrao 170 milijuna brojeva bankovnih kartica, koje je potom prodao na dražbi. Zarada je bila ogromna, ali i kazna: uhvaćen je i osuđen na 20 godina zatvora. Tijekom suđenja je tvrdio kako je radio potajno za američku Tajnu službu. 

James Kosta i njegova banda upali su u više banaka, ali i u velike tvrtke poput General Electrica i IBM-a, kad je njemu bilo samo 14 godina. Dobio je 45 godina zatvora, no umjesto toga je pristupio Mornarici SAD-a kad je napunio 18 godina kao obavještajni analitičar. S 20 godina pratio je afričke i bliskoistočne gospodare rata za američku obavještajnu agenciju CIA-u, da bi s 24 prodao svoju prvu dotcom tvrtku za milijune dolara.

Ruski haker Vladimir Levin upao je 1995. u računala američke banke Citibank i preusmjerio deset milijuna dolara na razne račune diljem svijeta. Pritom nije koristio internet već se ubacio u telekomunikacijski sustav i prisluškivao klijente dok su diktirali podatke službenicima.

Vraćeno je tek 400 tisuća dolara, a Levin je priznao krivnju za neovlašteno prebacivanje 3,7 milijuna dolara. Dobio je tri godine zatvora i morao je Citibanku platiti 240 tisuća dolara.

Napad na banke u Južnoj Koreji 2013.

Pomoću malvera DarkSeoul napadači koje se povezuje sa Sjevernom Korejom uspjeli su na nekoliko dana onesposobiti računala, bankomate i financijske mreže. Iako ne naročito sofisticiran, malver je uspio zaraziti ne samo računala i poslužitelje s operativnim sustavom Windows, već i one s Linuxom.

Napadi DDoS iz 2012. 

Hakeri su pomoću tisuća preuzetih poslužitelja uspjeli zagušiti servere i srušiti web stranice Bank of America, Chase, Wells Fargo, PNC i drugih američkih banaka.