Succesul phishing-ului in Romania: Inteligenta, Internetul si legile

De la mesajele prin care destinatarii erau anuntati ca au castigat concursuri fictive, pana la e-mail-urile care anuntau tranzactii bancare esuate si copiile site-urilor institutiilor de credit, phishing-ul a inceput sa atace din ce in ce mai mult si mai des, sub auspiciile unui mediu legislativ precar si ale unei bune penetrari a Internetului.

"Mai bine sau mai putin bine adaptata, legislatia [impotriva phishing-ului] exista. Ca de obicei insa, in legislatia romaneasca nu sunt suficient de bine puse la punct normele de aplicare. De asemenea, este necesara mai multa practica din partea celor care se ocupa cu criminalitatea informatica, dar aceasta se castiga in timp", declara pentru BizCity Alexandru Molodoi, CTO la Gecad Net.

Phishingul este un tip de atac care se incadreaza la categoria actiunilor de inginerie sociala. Tot aici intra si vishing-ul, definit prin SMS-uri trimise prin care persoane obisnuite, luate aleatoriu dintr-o baza de date, sunt anuntate ca, pentru a intra in posesia unui premiu, trebuie sa intreprinda diverse actiuni: sa cumpre cartele preplatite si sa trimita codurile de inregistrare, sa vireze anumite sume in anumite conturi, sau sa comande diverse produse. 

Lipsa de armonizare legislativa la nivel global lasa portite de atac, speculate de potentialii atacatori, atat locali, cat si din afara tarii.

„[Legislatia] nu este bine adaptata. Sunt prea multe lucruri de imbunatatit. In primul rand, marea problema este ca phishing-ul poate veni de oriunde din lume, legislatia trebuind sa fie aceeasi peste tot, lucru ce este imposibil", declara pentru BizCity oficialii Panda Security.

Majoritatea romanilor sunt buni utilizatori ai computerelor si dispun de conexiuni stabile la Internet. Aceste aspecte, combinate cu un mediu legislativ precar, transforma Romania intr-un loc ideal atat ca tinta cat si ca sursa a atacurilor de phishing.

„Cel mai probabil, lucrurile se vor imbunatati in timp, cand, speram noi, legislatia impotriva cyber-criminalilor va deveni mai stricta", afirma Razvan Matei Stoica, specialist in comunicare in cadrul BitDefender, pentru BizCity.

Atacatorii evolueaza mai rapid decat tintele

Atacurile tip phishing devin din ce in ce mai eficiente. Creatorii acestora nu se mai rezuma la a copia site-urile bancilor sau a trimite mesaje de mail cu greseli de ortografie si design necorespunzator.

„Evolutia inseamna mai multe atacuri si mai multe banci atacate. Mai putini bani scosi dintr-un singur atac, dar din ce in ce mai multe mail-uri in inbox-ul utilizatorului. Atacurile vor viza mai multe genuri de servicii, nu numai bancile si platformele de plati, dar si alte canale precum telefonia mobila si VoIP", conform oficialilor Panda Security.

Bancile au nevoie de mecanisme de protectie mai bune pentru a tine pasul cu cele mai noi tendinte in frauda online. Multe institutii prefera insa mecanismele invechite de autentificare, formate din numele utilizatorului si parola, decat sa implementeze un nivel suplimentar de autentificare

„Investitiile in securitate nu sunt niciodata suficiente, avand in vedere ca "cealalta parte" continua sa dezvolte noi metode si abordari pentru a pacali utilizatorii.  Ca orice alta companie, autorii de phishing se perfectioneaza continuu pentru a preveni orice limitari din punct de vedere tehnologic sau pentru a contracara masurile de precautie dezvoltate de companiile de securitate", este de parere Stoica.

Oficialii Panda Security estimeaza ca, din momentul in care o banca sau un furnizor de Internet descopera o terta parte ce le-a utilizat fraudulos identitatea, pana cand este descoperita sursa atacului si blocarea acesteia, trec cel putin 48 de ore, timp in care pierderea suferita creste constant.

„Numarul tentativelor de phishing care vizeaza utilizatorii romani a crescut in ultimul an. Daca la inceput tintele erau atat consumatorii de servicii bancare cat si de servicii telecom sau clientii magazinelor de electronice si electrocasnice, acum atacurile vizeaza preponderent utilizatorii de servicii bancare", spune Molodoi.

Tendinta de a ataca in special sistemul bancar este confirmata si de Stoica, oficialul mentionand Raiffeisen Bank drept principala tinta din sistemul romanesc.

Eficienta atacurilor: 5%

Conform Antiphishing Working Group, citat de oficialii Panda Security, 5% din atacurile phishing au succes.

„Este extrem de dificil sa evaluezi daunele provocate de aceste atacuri. De cele mai multe ori, utilizatorii care cad victime ale acestor tentative nici macar nu se obosesc sa raporteze aceste atacuri politiei, fie pentru ca sunt descoperite prea tarziu, fie datorita faptului ca si-au pierdut speranta recuperarii sumelor furate", afirma Stoica.

„Atacurile de phishing sunt de multe ori similare cu actiunile de distribuire a unor brosuri in City Mall: chiar daca rata lor de succes este extrem de mica, numarul celor care primesc brosurile este sufficient pentru a se justifica continuarea acestor actiuni" - Stoica.

„Consumatorii sunt informati frecvent de catre companiile vizate de aceste atacuri de phishing dar nu inseamna ca nu se vor inregistra victime de acum inainte.  Informatia circula dar este posibil sa nu fie receptionata de toti utilizatorii, potentiale tinte ale unor atacuri de tip phishing", spune si Molodoi.

In ciuda tuturor eforturilor facute pentru a minimiza atacurile de fraudare, Romania este inca o locatie periculoasa in ceea ce priveste tranzactiile si cumparaturile online.

Peste 13 romani arestati pentru phishing

Cel putin 13 autori romani au fost arestati pentru participarea in atacuri de phishing care au vizat banci din Romania sau Statele Unite, cum ar fi Citibank, Capital One, JPMorgan Chase & Co., Comerica Bank si Raiffeisen, precum si PayPal, cunoscutul serviciu de e-payment, potrivit oficialului BitDefender.

Romania s-a situat pe pozitia a cincea in luna ianuarie la capitolul gazduirii de site-uri de phishing, cu 5,09% din totalul global, potrivit Antiphishing Working Group. In urmatoarele doua luni din primul trimestru, Romania a iesit din lista primelor zece tari "producatoare" de phishing. Lider detasat a ramas, in primul trimestru, SUA.

"Ca de obicei, veriga slaba este factorul uman. Poti sa fii protejat sau sa ai sisteme mai bune de siguranta, dar o greseala umana poate costa compania un mare atac" - Panda Security.

Numarul URL-urilor ce contineau coduri care sustrag parole a crescut cu 337% in primul trimestru al anului fata de perioada similara a anului trecut, pana la 6.500, potrivit reprezentantilor Panda Security.

Banca suedeza Nordea a suferit cel mai mare jaf electronic, pierderile cauzate de atacuri ridicandu-se la aproximativ 750.000 de euro.

Conform unui studiu publicat de Gartner, atacurile de phishing din Statele Unite au adus clientilor daune de 3,2 miliarde dolari in 2007, insa oficialii Panda Security se asteapta ca numarul aferent anului in curs sa fie mai scazut.