Które polskie banki zaatakowali Koreańczycy

Które polskie banki zaatakowali Koreańczycy

Artykuł „New York Times” o ataku Koreańczyków na dwadzieścia banków przestraszył polskich klientów. Bankier.pl postanowił sprawdzić, która instytucja, jak i czy na pewno ucierpiała.

W lutym z sieci zniknęła witryna Komisji Nadzoru Finansowego. Wkrótce okazało się, że serwis był jednym z punktów ataku na polskie banki, a autorami złośliwego oprogramowania była prawdopodobnie grupa powiązana z Koreą Północną. Banki nie informowały szczegółowo o skali problemów, więc zapytaliśmy polskie instytucje o to, czy odczuły efekty przestępczej kampanii i jakie wnioski wyciągnęły z tego incydentu.

Banki skąpią informacji

Doniesienia o atakach na polskie banki, a później o prawdopodobnym źródle złośliwego oprogramowania, zaniepokoiły czytelników Bankier.pl. Otrzymaliśmy wiele pytań, także za pośrednictwem Alertu Bankier.pl, dotyczących konsekwencji tego wydarzenia dla korzystających z usług rodzimych instytucji. Wprawdzie nadzorca rynku finansowego w Polsce informował, że środki klientów nie były w żaden sposób zagrożone, ale poszczególne instytucje nie komentowały szerzej sprawy. Rzecznik Komisji Nadzoru Finansowego w odpowiedzi na nasze pytanie wskazał, że instytucja nie komentuje doniesień o rzekomym źródle ataku, a śledztwo prowadzi Prokuratura Okręgowa w Warszawie i Agencja Bezpieczeństwa Wewnętrznego.

Zobacz także:

Zwróciliśmy się do banków z pytaniem o skutki ataku oraz podjęte środki zapobiegające powtórzeniu się sytuacji w przyszłości. Odzew był różny, bo różne są komunikacyjne strategie banków we wrażliwej kwestii cyberbezpieczeństwa. Spora grupa, w tym Bank Pekao, BOŚ, Alior Bank, Bank Zachodni WBK i Plus Bank nie odpowiedziała na naszą prośbę o komentarz. Wypowiedzi w tej sprawie stanowczo odmówił także mBank.

Część instytucji nie odniosła się wprost do pytania, o to, czy odczuła skutki ataków i ograniczyła się do uspokajającego komunikatu. Biuro prasowe PKO Banku Polskiego zapewniło, że bank na bieżąco monitoruje pojawiające się groźby, a bezpieczeństwo środków klientów nie jest zagrożone. Instytucja nie skomentowała doniesień medialnych dotyczących autorstwa ataków na witrynę KNF.

W podobnym, uspokajającym tonie wypowiedzieli się przedstawiciele Credit Agricole, Banku BGŻ BNP Paribas i Banku Millennium oraz Banku Pocztowego i Getin Banku. Banki podkreśliły, że stale podnoszą bezpieczeństwo swoich systemów i reagują na bieżąco na zagrożenia.

Kilka banków odpowiedziało, że atak nie dotknął ich bezpośrednio. Taką deklarację złożył ING Bank Śląski. Eurobank poinformował, że nie odnotował skutecznego ataku powiązanego z zarażoną witryną KNF. Janusz Nawrat, Dyrektor Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych Raiffeisen Polbanku, wskazał, że mechanizmy detekcji w tej instytucji zadziałały prawidłowo i nie doszło do zewnętrznej ingerencji.

  • Atakowane były praktycznie wszystkie banki polskiego sektora, jak również instytucje finansowe z zagranicy. Tego rodzaju ataki nie są niczym nowym. Wszystkie przedsiębiorstwa na całym świecie są codziennie atakowane z wykorzystaniem malware w tym ransomware i APT – podkreślił ekspert.

Jedyną instytucją, która zdecydowała się udzielić szerszego komentarza w tej sprawie, jest Nest Bank. Potwierdził on, że w lutym wykryto zarażenie dwóch stacji roboczych nieznanym wcześniej typem złośliwego oprogramowania, ale wirus nie był w stanie rozprzestrzenić się ze względu na odpowiednio niski poziom uprawnień użytkowników.

Zobacz także:
  • Nie stwierdzono przeniesienia się infekcji ze stacji użytkowników na systemy banku, w związku z tym nie wpłynął na funkcjonowanie banku jako całości, ani tym bardziej na przechowywane dane klientów banku – wskazała Grażyna Musiatowicz-Podbiał, członek zarządu banku.

Jednocześnie instytucja wdraża mechanizmy, które mają wzmocnić zabezpieczenia, m.in. poprzez dodatkową kontrolę ruchu wychodzącego i zwiększenie ilości „pułapek” wyłapujących nietypowe zachowania użytkowników stacji roboczych.