Nie ma ataku na polskie banki

Przeczytaj także: Europejski Bank Centralny ostrzega przed cyberatakami ze strony Rosji

Należy zaznaczyć, że banki na bieżąco podejmują działania zmierzające do neutralizacji tego typu ataków. W tym celu, banki podejmują współpracę z wyspecjalizowanymi firmami i instytucjami, które zapewniają wsparcie w zakresie neutralizacji pojawiających się cyberzagrożeń, bez względu czy celem ataku są banki czy ich klienci.

Malware opisany na blogu, został zidentyfikowany przez sektor bankowy już w grudniu 2015 r. pod nazwą Vawtrak.V1. W styczniu 2016 r. została wykryta jego nowa wersja Vawtrak.V2. Nowa wersja w porównaniu do poprzedniej różni się w zakresie schematu raportowania malware do serwera zarządzającego oraz techniki ukrywania pliku konfiguracyjnego podczas przeprowadzania ataku na stronę internetową. Struktura pliku konfiguracyjnego pozostała bez zmian, wszystkie elementy scenariusza ataku pozostały identyczne jak w poprzedniej wersji tego malware’u (Vawtrak.V1).

Niestety, ostatnie informacje przekazywane przez firmy komercyjne mediom złamały zasadę Responsible disclosure, czyli odpowiedzialnego komunikowania, co uniemożliwiało sektorowi bankowemu zbadanie zagrożenia przed jego publikacją i wykluczenie sytuacji, w której informacja o zagrożeniu byłaby myląca lub wprowadzałaby nieuzasadniony niepokój wśród klientów banków.

Rada Bankowości Elektronicznej ZBP zwraca się z gorącym apelem, aby w przyszłości dokładać należytej staranności i zachowania profesjonalizmu w zakresie przekazywania informacji przez firmy na temat cyberzagrożeń. Banki są podmiotami profesjonalnymi, działającymi w obszarze bankowości elektronicznej. Opiera się to na bezpiecznym poruszaniu się w cyberprzestrzeni, zarówno dla własnego bezpieczeństwa banków, jak również klientów i powierzonych przez nich depozytów. Na tym zostało zbudowane zaufanie do banków. W związku z tym, każda informacja, która mogłaby podważać ten stan powinna być wnikliwie sprawdzana i weryfikowana, w pierwszej kolejności z sektorem bankowym.

Korzystanie z bankowości elektronicznej jest bezpieczne, pod warunkiem, że pamiętamy o trzech zasadach bezpieczeństwa

Bezpieczny komputer

• Przede wszystkim komputer lub smartfon musi mieć zainstalowany program antywirusowy i musi on być na bieżąco aktualizowany. Należy też instalować legalne oprogramowanie. Programy niewiadomego pochodzenia, w tym ściągane za pośrednictwem programów typu Peer-to-Peer (P2P), mogą być przygotowane przez hakerów i zawierać wirusy lub szkodliwe oprogramowanie.
• Dobrą praktyką jest aktualizowanie systemu operacyjnego o istotne aplikacje np. przeglądarki internetowe – hakerzy stale szukają luk w oprogramowaniu.

Bezpieczne logowanie

• Unikajmy logowania się do bankowości internetowej i dokonywania płatności z komputerów znajdujących się w miejscach publicznych.
• Jeśli przy logowaniu pojawią się nietypowe komunikaty, prośby o podanie danych osobowych lub dodatkowe pola z pytaniem o hasła do autoryzacji, należy natychmiast zgłosić problem do swojego Banku.
• Nigdy nie należy także używać wyszukiwarek internetowych do znalezienia strony logowania banku. Wyszukane w nich linki mogą prowadzić do fałszywych stron lub stron zawierających wirusy.
• Nigdy nie udostępniajmy osobom trzecim identyfikatora ani hasła dostępu. Jest on poufnym numerem nadawanym przez Bank i nie można go zmienić.

Bezpieczne korzystanie z poczty elektronicznej

• Nigdy nie należy odpowiadać na e-maile w których nadawca prosi o podanie informacji o karcie, login i hasło do bankowości elektronicznej lub numer telefonu. Nie odpowiadajmy też na wiadomości, które zapraszają do odwiedzenia strony internetowej w celu weryfikacji danych.
• Pamiętajmy, że banki nigdy nie wysyłają do nas takich e-maili. Listy, wiadomości e-mail lub telefony w takich sprawach należy traktować jako próbę wyłudzenia poufnych informacji. Gdy zaobserwujemy coś niepokojącego, skontaktujmy się z bankiem.