Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
czwartek, 17 marca 2016

Aż o 73 proc. wzrosła liczba cyberataków w ubiegłym roku, a Polska jest jednym z najczęściej atakowanych krajów - wynika z raportu Dell Security.

Atakowane są firmy, banki, administracja publiczna i indywidualni użytkownicy sieci. W sumie w zeszłym roku doszło do 8,2 mld ataków na całym świecie, co jest wzrostem aż o 73 proc. względem 2014 roku. Do tak ogromnego wzrostu przyczynił się szybki rozwój internetu rzeczy, czyli inteligentnych urządzeń otaczających nas na co dzień. Hakowane były także elektryczne pojazdy oraz akcesoria wearables, czyli ubrania i gadżety do noszenia z technologicznymi udogodnieniami, np. inteligentne zegarki. W Stanach Zjednoczonych na przykład w ubiegłym roku cyberprzestępcy włamali się do... kamery amerykańskiego policjanta, którą miał przyczepioną do munduru.

Sektor bankowy z kolei miał duże kłopoty z wirusem Dyre Wolf. Infekował on komputery internautów i - gdy ci logowali się do banku - podmieniał stronę banku. Ta fałszywa informowała o przerwie w usługach i konieczności zadzwonienia pod podany numer telefonu. Gdy internauta dzwonił, by odblokować swoje konto bankowe, oszust podszywający się pod biuro obsługi klienta banku wyłudzał od niego dane do logowania, a potem szybko czyścił konto ofiary. W kwietniu 2015 roku grupa złodziei z Europy Wschodniej wykradła w ten sposób ponad milion dolarów osobom z całego świata.

W sumie instytucje finansowe straciły kilkanaście milionów dolarów przez tego wirusa. A dochodziły do tego jeszcze inne sposoby ataków. Włamywacze mają cały zestaw metod do ataków. Ewelina Hryszkiewicz z Atmana, największego polskiego operatora centrum danych wymienia: oprócz wysyłania wirusów, to też tzw. ransomware, czyli blokowanie stron internautów i wymuszanie okupu czy ataki DDoS - wysyłanie masowego ruchu na serwer, by zablokować go i wyłączyć daną usługę.

Dell w swym raporcie pokazuje też, jak rozkładają się ataki w podziale na państwa. Najczęściej atakowane są firmy i internauci ze Stanów Zjednoczonych. W samym tylko listopadzie doszło tam według różnych szacunków od miliona do dziesięciu milionów infekcji złośliwym oprogramowaniem. W tym samym czasie podobnie było w Holandii. Francja doświadczyła w listopadzie od 500 tys. do miliona infekcji. A Wielka Brytania, Włochy i Polska od 100 do 500 tys. To pięć najwyższych wyników w Europie.

Serwery przedsiębiorstw były bezapelacyjnym celem numer 1 ataków, a ogólna liczba prób wszelkiej cyberagresji (także tej nieskutecznej) wymierzonej w aplikacje firmowe wyniosła w 2015 roku 96 trylionów.

11:25, eprzekret
Link Komentarze (1) »
środa, 16 marca 2016

z17922880Q,Na-zakupy-w-internecie-Polacy-maja-wydac-w-tym-rokPolskie sklepy wciąż mają problem z połączeniem sprzedaży w internecie i handlu tradycyjnym. Klienci muszą więc krążyć między jednym i drugim kanałem sprzedaży.

- Przenikanie się wirtualnego handlu z tradycyjnym jest nieuniknione. A kierunek, by iść tylko w stronę świata cyfrowego, jest błędny - mówi Maciej Korzeniowski z zespołu doradztwa biznesowego PwC. Agencja ta opublikowała właśnie raport "Klient w świecie cyfrowym", który pokazuje, jakimi klientami sklepów są Polacy.

 

Szczególnie duże wrażenie robi znaczenie, jakie mają dla nas urządzenia mobilne. 60 proc. Polaków ma smartfona, 25 proc. tablet, a pod względem ilości odwiedzanych przez nie stron internetowym jesteśmy na... szóstym miejscu na świecie. Ale tu pojawia się pierwszy problem dla sprzedawców. Otóż okazuje się, że serwisy internetowe polskich firm nie są jeszcze na tyle dostosowane do urządzeń mobilnych, by ułatwić klientowi robienie przez nie zakupów. - Zamykanie transakcji, przechodzenie do kolejnych podstron. To wszystko jest utrudnione na urządzeniach mobilnych, dlatego polski klient często zaczyna szukanie towaru w smartfonie, a potem przerywa proces i idzie do sklepu stacjonarnego - mówi Korzeniowski.

A w stacjonarnym jest kolejny problem. Tam bowiem sprzedawca chce klienta dalej "urabiać", podczas gdy ten jest już zdecydowany na konkretny towar, bo... sprawdził go przecież wcześniej na smartfonie. Taką drogę - z witryny internetowej do sklepu tradycyjnego - przebywa 43 proc. polskich klientów, którzy ostatecznie dokonują transakcji właśnie w świecie realnym. Ci, którzy kupują w sieci, doceniają przede wszystkim możliwość zakupu o dowolnej godzinie, wygodę i atrakcyjną cenę.

Sama obsługa klienta jest dla Polaków bardzo ważna. 7 na 8 Polaków jest zadowolonych z obsłużenia ich w sklepie, punkcie obsługi, za pomocą wymiany e-maili lub na czacie internetowym na stronie sklepu. Co ciekawe, z cyfrowych udogodnień korzystamy dużo chętniej niż Amerykanie. 20 proc. z nich korzysta ze strony internetowej sklepu, w Polsce odsetek ten wynosi 41 proc. Ale jeśli chodzi o korzystanie z telefonicznej linii dla klientów, tu częściej korzystają obywatele USA - 84 do 68 proc. Wciąż jednak w Polsce istnieje problem z tzw. omnichannel, czyli spójną komunikacją dla klientów w świecie cyfrowym i realnym. Brakuje m.in. zintegrowanej polityki cenowej - często na stronie widnieje inna cena, w sklepie tradycyjnym inna. To rodzi konflikty między klientem a sprzedawcą. Dodatkowo pracownicy nie są przygotowani na rozmowy z klientami.

Wyraźnie widać przewagę sklepów internetowych nad tradycyjnymi, jeśli chodzi o znajomość preferencji klienta. Te internetowe wiedzą np., co kupował wcześniej, skąd jest, na ile jest zamożny i co można mu polecić. W tradycyjnym handlu klient wciąż jest anonimowy i sprzedawca o nim nic nie wie. A klienta zrazić bardzo łatwo - według badania PwC aż 62 proc. konsumentów nigdy więcej nie kupuje produktów czy usług danej firmy, jeśli zrazi ich do tego obsługa.

 

Tagi: e-handel
17:16, eprzekret
Link Komentarze (1) »

mbankZaskoczył mnie wyrok łódzkiego sądu okręgowego w sprawie mBank kontra klienci okradzeni przez cyberprzestępców. Sąd nakazał bankowi zwrot całych kwot, jakie dwóm jego klientom wykradli hakerzy. A więc uznał, że przestępcy dokonali kradzieży doskonałej.

Chodzi o dwa wyroki w sprawach z jesieni 2013 roku. Z konta jednego z klientów znikło 139 tys. zł, z konta drugiego - 88 tys. zł. Łódzki sąd okręgowy w obu tych sprawach nakazał mBankowi zwrot całych kwot. Pierwszy wyrok jest już prawomocny, a bank nie złożył apelacji, od drugiego może się jeszcze odwoływać.

Atak hakerski miał dwie fazy. Najpierw ofiary musiały ściągnąć na swoje komputery wirusa (najprawdopodobniej wysłanego w mailu podszywającym się pod bank - tzw. phishing). Wirus reagował, gdy ofiara logowała się do internetowego konta mBanku i w ten sposób pozyskiwał jej login i hasło. Zaraz potem aktywował okienko z zachętą do zainstalowania na smartfonie dodatkowego oprogramowania antywirusowego. Wszystko wyglądało, jak komunikat od banku. Ofiara musiała wpisać w okienku swój nr telefonu. W ten sposób z kolei haker pozyskiwał jej numer, na który wysyłał kolejnego wirusa - rzekome oprogramowanie. Gdy ofiara je zainstalowała, złodziej miał już także dostęp do jej komórki i dzięki temu przechwytywał wszystkie jej sms-y. Teraz sprawa była już prosta: złodziej logował się na konto bankowe ofiary i dokonywał przelewów, które mógł autoryzować dzięki przechwyconym sms-om z kodami jednorazowymi. Atak całkiem sprytny, choć nie wymagający wielkich nakładów sił.

Sąd, nakazując mBankowi zwrot całych kwot, uznał, że hakerzy stworzyli idealny mechanizm. Do tego stopnia, że ofiary nie miały prawa się o nim zorientować. Sąd w uzasadnieniu pisze, że:

1. Obie ofiary miały na komputerach i smartfonach zainstalowane programy antywirusowe, więc miały prawo uważać, że mogą spać spokojnie. To pokazuje niewiedzę sądu. Cyberprzestępcy z powodzeniem tak modyfikują dotychczas istniejące wirusy, by nie wykrył ich żaden program. Nie wspominając już o tym, że piszą nowe wirusy. To tak, jak z zakazanymi substancjami chemicznymi w dopalaczach - wystarczy nieznacznie zmienić w nich jeden ze związków chemicznych, by już dopalacz był „nowy”, a jego skład nie był zabroniony. Antywirusy wykrywają jedynie 60-70 proc. wirusów, bo nie nadążają za aktualizowaniem swoich baz o nowe szkodniki.

2. Skorzystanie przez powódkę z wyświetlonego podczas logowania na stronę Banku komunikatu zachęcającego użytkowników do „dodatkowego zabezpieczenia telefonu” (...) Komunikat (...) pojawiał się po wpisaniu adresu prawdziwej strony mBanku i pojawieniu się tej strony. (...) Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Szkodniki podmieniające prawdziwe strony banków od dawna są w powszechnym użyciu przez złodziei. Analogicznie, równie dobrze można by powiedzieć, że firma telekomunikacyjna musi wypłacić pieniądze osobie oszukanej przez złodzieja, który przebrał się za pracownika owej firmy - miał taki sam uniform, powiedział, że jest z tej firmy i jeszcze posłużył się podrobioną wizytówką z logotypem teleoperatora.

3. Należy podkreślić, że powód nie przekazała swojego loginu ani hasła do konta bankowego, a jedynie numer telefonu. Przekazał, tyle że nieświadomie - ściągając na swój komputer wirusa, którego prawdopodobnie dostała w mailu od złodziei.

Te trzy elementy wskazują, że sąd postanowił całkowicie obciążyć bank za to, że ofiary nie wiedziały, jak działają cyberprzestępcy. A więc sąd przyznał to, co od lat powtarzają eksperci od cyberbezpieczeństwa: weszliśmy w świat wirtualny ze świadomością dziecka, jesteśmy naiwni, nie mamy za grosz instynktu samozachowawczego.

Dlatego niezbędna jest edukacja. A w niej istotną rolę muszą odgrywać banki. W wyrokach na niekorzyść mBanku wpływa to, że nie zareagował on, gdy widział, jak z kont ofiar w ciągu kilkudziesięciu minut znikają duże sumy pieniędzy. Nikt z mBanku nie zadzwonił do właścicieli rachunków z pytaniem, czy aby na pewno chcą wypłacić wszystkie swoje oszczędności (być może były to oszczędności całego życia).

Zdanie z uzasadnienia sądu o tym, że „bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych”, powinno raczej brzmieć: „bank jest zobowiązany do dołożenia szczególnej staranności w zakresie nauki swoich klientów, na co powinni zwracać uwagę”.

Banki mają wiele możliwości do ukrócenia fraudów, ale wciąż niewiele robią. Ekspert z branży cyberbezpieczeństwa opowiadał mi, jak to dział IT pewnego banku zauważył, że jeden z jego klientów ma na swoim komputerze wirusa - bo wykonywał próby dziwnych operacje na koncie bankowym. IT poszło z tym do biura obsługi klienta. Rozmowa wyglądała tak:

IT: - Poinformujcie tego klienta, że ma wirusa i może stracić pieniądze.
BOK: - To wy go poinformujcie.
IT: - Przecież dział IT nie może dzwonić po klientach!
BOK: - A my się nie znamy na IT! Więc też nie zadzwonimy.

I klient został sam ze swoim problemem.

Dopóki w bankach będą takie problemy organizacyjne i dopóki nie wezmą się one za jeszcze skuteczniejszą edukację (może jakieś poradniki w salonach, jak uniknąć fraudów?), powinny one partycypować w stratach klientów. Ale partycypować, a nie ponosić cały koszt. W ten sposób bowiem klienci będą mieli jeszcze bardziej stępioną czujność.

BTW - rzeczony mBank prowadził niedawno fajną kampanię dot. danych osobowych:

 

 

17:12, eprzekret
Link Dodaj komentarz »