Finančne zlorabe in kriptovirusi so milijardni posel

Pomembno je imeti večnivojsko strategijo varnosti, napadalci ne smejo trdnjave osvojiti že s tem, ko podrejo prva vrata.

Objavljeno
06. oktober 2017 18.05
Miran Varga
Miran Varga

Kibernetska varnost je ena letošnjih vročih tem. Kako tudi ne bi bila, saj je pomembna za vsako v internet povezano napravo. Pred napadi, vdori in krajami podatkov si ne gre zatiskati oči, temveč se ustrezno zavarovati.

Kriptovirusi, kakršen je WannaCry, so podjetja dejansko spravili v jok, saj so ustavili njihovo poslovanje. Njihove razsežnosti šele dojemamo, a eno je jasno. Napadi in zlorabe podatkov ter transakcij so danes milijardni posel. Hekerji imajo celo organizirane klicne centre, v katerih uporabnikom razlagajo, kako plačati odkupnino v kriptožetonih.

Da pred napadalci z interneta danes ni varen praktično nihče, dokazuje tudi sveži primer napada na ameriško agencijo za poročanje o potrošniških kreditih. Napadalci so odtujili res podrobne podatke več kot 143 milijonov kreditojemalcev … direktor družbe pa odstopil. Vsak izmed 143 milijonov prizadetih posameznikov danes težko spi, saj napadalci zlahka prevzamejo njegovo spletno identiteto, opravijo kak spletni nakup itd.

Kakšna »jajca« imajo napadalci, zanje očitno res nič ni sveto, priča tudi hekerski napad na bangladeško centralno banko. Z zlorabo poverilnic za sistem SWIFT so napadalci v vsega nekaj urah uspeli pridobiti več kot sto milijonov dolarjev, kar je le desetina denarja, na katerega so ciljali! K sreči so zaposleni v banki sumljivo obnašanje »pravočasno« opazili in uspeli preprečiti še nadaljnjo digitalno krajo 850 milijonov dolarjev.

Zgornja primera sta zgovorna in učita, da nihče ni varen. Še bistveno večje število manjših kraj in zlorab se dogaja na področju plačilnih kartic, zadnje čase so posebej priljubljene brezstične kartice. Evropejce mora ta podatek še posebej skrbeti, saj kar 60 odstotkov vseh brezstičnih plačil v svetu ustvari Evropa. Kako torej poskrbeti za varen plačilni ekosistem?

»Sistem plačevanja je zelo kompleksen, saj cilja na varne transakcije, a te se morajo zgoditi skoraj hipno, če naj ne trpi uporabniška izkušnja,« pravi Ajay Bhalla, predsednik oddelka tveganja in varnosti v družbi Mastercard, in dodaja: »Pomembno je imeti večnivojsko strategijo varnosti in varnostne mehanizme, napadalci ne smejo trdnjave osvojiti že s tem, ko podrejo prva vrata – tam so še druga, pa tretja … K sreči nam na pomoč priskoči tehnologija.«

V bran varnosti – gesla, prstni odtisi, analitika in UI

Ljudje smo kot varnostni ukrep sprejeli predvsem uporabniška imena in gesla. A ta način avtentikacije ima svoje šibke točke – če naj bodo učinkovita, morajo biti kompleksna in edinstvena. Žal je to tudi njihova največja pomanjkljivost – nihče si ne bo zapomnil 14-mestnih gesel v 50 aplikacijah.

Identifikacijske tehnologije, kot je npr. branje prstnih odtisov, imajo pri avtentikaciji dodatno prednost, saj so bolj praktične in prijazne do uporabnika. Težava se pojavi drugje – če napadalci zlomijo sam sistem in se dokopljejo do same »digitalne slike« našega prstnega odtisa, ta postane neuporaben, celo nevaren. Geslo že zamenjamo, prstnega odtisa pač ne …

Varnost mora torej biti vdelana v vsak posamezen (eko)sistem. Poglejmo primer ponudnikov plačil. Izdajatelji bančne kartice pospešeno opremljajo s t. i. EMV čipi (kratica EMV izvira od ustanoviteljev tega standarda, družb Europay, Mastercard in Visa), ki zagotavljajo varnejše transakcije. Danes je denimo že 77 odstotkov kartic Mastercard »pametnih«, do leta 2020 pa bodo vse. Napredek je viden predvsem v ZDA, kjer so se začele banke zavedati, kako ranljiv je sam magnetni zapis na plačilnih karticah.

Za povečavo kliknite na grafiko.

V družbi Mastercard so pred skoraj natančno dvema letoma predstavili orodje Safety Net, ki banke ščiti pred hekerji, saj prepoznava, ali je bila banka, proces oziroma posamezna transakcija zlorabljena – v tem času so bankam prihranili več sto milijonov dolarjev, saj so preprečili poskuse nelegalnih transakcij denarja. Predpretekli vikend je omenjena rešitev preprečila napad na afriško banko. V tem času je Mastercard svoje varnostno ogrodje še nadgradil in opremil s tehnologijo umetne inteligence, ki še bolj natančno preverja transakcije za morebitnimi zlorabami in prevarami. Pri tem je več kot 99-odstotno natančna.

»Nenehno skrbimo za inovacije, ki rešujejo bolečine strank. Od svojih začetkov je naša varnostna rešitev, ki se sama uči, postala kar 17-krat boljša pri odkrivanju prevar, ocenjujem, da je danes 40 odstotkov bolj učinkovita od konkurenčnih rešitev. Manjša inovacija je tudi samodejno osveževanje podatkov o zamenjanih plačilnih karticah uporabnikov. Za trgovce je pomembno, da se ne ubadajo z zavrnjenimi karticami, saj tako prihranijo čas in denar – če trgovec zaradi nepopolnega podatka stranko zavrne, se ta ozira za drugo ponudbo. Na račun naše storitve Card Continuity Program je denimo samo Netflix izboljšal avtomatsko procesiranje plačilnih kartic za tretjino,« pravi Bhalla.

Zgodnje odkrivanje zlorab kartic je prioriteta

Z rastjo obsega negotovinskeg poslovanja so prevare pri uporabi kartic vse večji problem. V začetku oktobra so v Mastercardu zagnali novo storitev. Rešitev Early Detection System bo finančnim ustanovam nudila informacije o tem, kateri računi in kartice uporabnikov bodo najverjetneje zlorabljeni.

»Napadalci, ki ukradejo podatke bančnih računov in kartic, v praksi zlorabijo le 3 do 5 odstotkov žrtev, povprečna škoda pa znaša med 350 in 400 ameriških dolarjev, če gre za primer prevare, če gre za krajo, so številke bistveno višje. Zato smo se odločili, da sodobno tehnologijo, predvsem prediktivno analitiko in strojno učenje zaposlimo z iskanjem vzorcev, ki navadno vodijo do prevar,« pojasnjuje Claire Le Gal, podpredsednica oddelka Fraud Intelligence & Strategy v Mastercard.

Storitev je družbam, ki opravljajo kartični plačilni promet, na voljo za manjše nadomestilo, izdajatelja kartic pa sproti opozarja, katere kartice in računi imajo srednjo, visoko ali zelo visoko možnost zlorabe. Na ta način lahko izdajatelji kartic ustvarijo velike prihranke – ne le na račun dejstva, da prihranijo del denarja, ker do zlorabe sploh ne pride, odpadejo tudi masovne izdaje novih kartic – ob nedavni zlorabi Equifax v ZDA bi sicer po stari praksi ameriške banke utrpele stroške izdaje kar 143 milijonov novih bančnih kartic (čeprav novo kartico plača stranka, na strani banke nastane cel kup drugih stroškov – vnos nove kartice, preklic stare, upravljanje ...).

»Napadalci ponavadi vsaj šest do devet mesecev ne zlorabijo računa ali kartice, katerega podatke so pridobili. Samo shranijo ga in opazujejo ter pripravijo napad. Danes se lahko na temnem delu spleta podatki o zlorabljenih prodajnih mestih, bankomatih, karticah in napravah pojavijo prej kot v desetih minutah. Tudi mi spremljamo, kaj se tam pogovarjajo kiberkriminalci. Praktično vsi želijo preveriti stanje oziroma potencial kartice, preden jo sklonirajo – to počno pri izbranih trgovcih. Naše dnevne posodobitve seznama potencialno ogroženih računov pa tudi trgovcev jim bodo tako resnično stopile na prste,« dodaja Le Galova.

Mastercard je na račun tehnologij zaznavnega računalništva in umetne inteligence v analizo kartičnega poslovanja »vpregel« kar 44 milijonov lokacij po vsem svetu in več kot 22.000 bank, saj želi kar najbolj dvigniti varnostni prag plačilnega ekosistema. V njegovem omrežju se namreč obdela kar 56 milijard transakcij, samoučeče se tehnologije pa bodo finančni industriji pomagale prihraniti več sto milijonov ali celo milijard evrov.

Sistem hitrega opozarjanja na težave z računi in ali karticami je že naročilo 25 izdajateljev kartic, v Mastercardu pa so prepričani, da ga bodo v naslednjih mesecih začeli uporabljati skoraj vsi, saj zanje predstavlja res dobro (in poceni) zavarovanje pred prevarami.