Jak banki powinny chronić system SWIFT przed atakami?

15 września, 2022

W nocy z 4 na 5 lutego 2016 roku, cyberprzestępcy włamali się do sieci Centralnego Banku Bangladeszu (BCB) i wydali serię fałszywych instrukcji płatniczych SWIFT na łączną kwotę 951 milionów dolarów. Chociaż BCB zablokował większość przelewów, 81 milionów dolarów trafiło na Filipiny, czyniąc ten napad jednym z największych w historii. Przyczyn rabunku szukano m.in. w rzekomo wadliwych systemach SWIFT. Jak przestępcom udało się dostać do systemu banku? Czy tego rodzaju ataków można uniknąć?

Znaczenie systemu SWIFT

Pod pojęciem SWIFT kryje się angielska nazwa założonego w 1973 roku w Belgii Stowarzyszenia na rzecz Światowej Międzybankowej Telekomunikacji Finansowej. Jednocześnie, tym samym terminem, określa się system przekazywania informacji między instytucjami finansowymi. Korzysta z niego około 11 tysięcy różnych podmiotów finansowych z ponad 200 krajów i terytoriów z całego świata. Za pośrednictwem SWIFT realizowane są przelewy międzynarodowe w dowolnej walucie – często na bardzo duże kwoty. Odcięcie jakiegokolwiek podmiotu od SWIFT, tak jak w przypadku Rosji po ataku na Ukrainę, praktycznie uniemożliwia mu międzynarodowe operowanie przelewami, powodując liczne problemy gospodarcze.

Osoby fizyczne i przedsiębiorcy również polegają na systemie SWIFT. Za jego pośrednictwem mogą wykonywać przelewy do banków zagranicznych, w tym tych znajdujących się poza Unią Europejską.. Korzyść w postaci gwarancji bezpieczeństwa wiąże się jednak z naliczaniem dodatkowych opłat.

System SWIFT na celowniku cyberprzestępców

Atak na system płatniczy pozwala oszustom pozyskać  znaczne kwoty przy pomocy jednego ataku, w przeciwieństwie do wielu pojedynczych włamań na konta indywidualnych klientów. Jak wskazują eksperci firmy WithSecure, cyberprzestępcy koncentrują swoje działania na realizacji jednego z dwóch scenariuszy.

  • W pierwszym atakujący mogą włamać się na konto użytkownika z uprawnieniami do ręcznego wpisywania i zatwierdzania instrukcji płatniczych SWIFT, czyli do wykonywania przelewów.
  • W drugim scenariuszu przestępcy mogą próbować przejąć konto z dostępem administracyjnym do systemów płatniczych. Umożliwi to manipulację bazami danych i systemami wymiany wiadomości (zleceń) w celu wprowadzenia fałszywych instrukcji płatniczych.

Narzędzia ataku

Wbrew początkowym przypuszczeniom mediów, nie wydaje się,  aby atak na BCB i inne banki był wynikiem nieprawidłowego działania systemu SWIFT. W dokumentach ujawnionych przez grupę hakerską Shadow Brokers wskazano, że celem infiltracji banku w Bangladeszu nie był SWIFT, ale firma EastNets, świadcząca usługi płatnicze dla innych banków. Dowody wskazują, że cyberprzestępcy zdołali przeniknąć do sieci BCB przy użyciu technik Advanced Persistent Threat (APT), które mają wdrażać złośliwe oprogramowanie na stacjach roboczych użytkowników.

Ataki typu APT mają długotrwały charakter, są dokładnie planowane i mają jasno określony i wybrany przez przestępców cel. Oszuści kradną dane logowania, uzyskują dostęp do skrzynki mailowej czy wdrażają fałszywe programy na urządzenia użytkowników, aby później dostać się do systemów płatniczych. Włamania do sieci które przeprowadzają grupy APT zazwyczaj są ostrożne, ciche i może minąć wiele miesięcy, zanim zostaną zauważone, zwłaszcza jeśli celem jest infiltracja i kradzież danych a nie sabotaż czy kradzież. Przeważnie, za grupami APT stoją agencje rządowe krajów.

Zapobieganie cyberatakom jest możliwe

Jak podkreślają specjaliści z WithSecure, skuteczna obrona infrastruktury płatniczej SWIFT opiera się na zrozumieniu przestępców, którzy mogą próbować ją zaatakować oraz technik, jakimi dysponują. Banki powinny mapować potencjalne ścieżki ataków, którymi cyberprzestępcy mogą dostać się do systemu. Analiza tych tras pozwoli zidentyfikować podatności, usunąć je.i wdrożyć odpowiednie narzędzia monitoringu i zdolności odpowiadania na naruszenia.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]