Zaloguj się 
Dzieje się!
Wirtualne finanse na celowniku cyberprzestępców. Oto incydenty, które stały się lekcją dla całej branży
Sektor finansowy jest dziś jednym z najatrakcyjniejszych celów cyberprzestępców. W erze bankowości mobilnej, platform tradingowych i fintechów dane klientów mają konkretną wartość ekonomiczną. Phishing, malware, ataki DDoS i skomplikowane oszustwa finansowe to codzienność, a jednocześnie motywacja do ciągłych inwestycji w bezpieczeństwo.
Z tego artykułu dowiesz się…
- Dlaczego phishing wciąż pozostaje najpopularniejszą metodą ataku na sektor finansowy i jak ewoluują jego nowe odmiany, takie jak smishing czy quishing.
- Jakie lekcje dla banków, fintechów i platform inwestycyjnych płyną z głośnych incydentów, takich jak ataki na Capital One, Robinhood czy most kryptowalutowy Ronin.
- Jak unijne regulacje DORA zmieniają podejście instytucji finansowych do odporności operacyjnej i zarządzania ryzykiem w cyberbezpieczeństwie.
Najpowszechniejsza metoda ataku na klientów i instytucje finansowe to niezmiennie phishing. Na czym polega? W wiadomościach e-mail, SMS czy w aplikacjach mobilnych przestępcy podszywają się pod banki i usługi płatnicze, często korzystając z technik personalizacji napędzanych sztuczną inteligencją. W praktyce oznacza to nie tylko masowe kampanie, ale także precyzyjne ataki typu spear-phishing. Wykorzystują one publicznie dostępne informacje do uwiarygodnienia wiadomości.
Smishing (phishing przez SMS) i quishing (phishing przez QR-kody) to nowe warianty, które szybko zyskują popularność. Trafiają bezpośrednio na urządzenia mobilne użytkowników.
Raporty organów ścigania i centrów analitycznych pokazują, że phishing i spoofing (wprowadzanie ofiary w błąd przez podszycie się pod coś lub kogoś, często jako element phishingu lub innego ataku) należą do najczęściej zgłaszanych przestępstw sieciowych. A liczba strat związanych z oszustwami cyfrowymi rośnie.
Phishing działa zwykle jako pierwszy etap dłuższego łańcucha oszustwa. Po wyłudzeniu danych logowania następuje próba eskalacji uprawnień, transfer pieniędzy lub instalacja złośliwego oprogramowania. Dlatego wykrywanie i natychmiastowa reakcja na podejrzane komunikaty to klucz do ograniczenia szkód.
Malware, ransomware i utrata danych
Złośliwe oprogramowanie w różnych odmianach – trojany bankowe, ransomware czy spyware – jest odpowiedzialne za największe incydenty z utratą danych i przestojami systemów.
Ransomware potrafi sparaliżować krytyczne usługi i wymusić kosztowne przerwy w działaniu. Przykładem wielkoskalowego ataku typu ransomware i wycieku danych były masowe naruszenia związane z wykorzystaniem luki w oprogramowaniu do transferu plików MOVEit. Dotknęły one setek organizacji na świecie i ujawniły problem łańcucha dostaw w bezpieczeństwie IT.
Działania naprawcze po ataku ransomware? Szybkie wdrożenie planów ciągłości działania, izolacja zainfekowanych segmentów, odtworzenie danych z offline’owych kopii zapasowych oraz współpraca z organami ścigania i specjalistycznymi firmami odzyskującymi dane.
Nowe wyzwania: AI, deepfake i skomplikowane oszustwa
Sztuczna inteligencja działa dziś dwutorowo: przyspiesza obronę, ale także ułatwia ataki. Generatory głosu i obrazu umożliwiły powstanie deepfake’ów, które wprowadziły do arsenału oszustów nowe narzędzia socjotechniczne. Już w 2019 r. ofiara, pracownik brytyjskiej firmy energetycznej, przelała ponad 200 tys. dolarów w przekonaniu, że rozmawia z przełożonym. Głos był spreparowany. Tego typu ataki eskalują i potrafią kosztować miliony.
AI napędza również automatyzację oszustw: „phishing as a service”, czyli wyłudzanie poufnych danych przez podszywanie się pod podmioty, automatyczne generatory fałszywych dokumentów czy boty do przełamywania słabych haseł mogą działać 24/7.
W odpowiedzi instytucje finansowe inwestują w modele uczenia maszynowego do monitorowania zachowań użytkowników i blokowania anomalii w czasie rzeczywistym.
Ataki na łańcuchy dostaw i dostawców usług
Supply-chain attacks, czyli ataki na dostawców oprogramowania i usług chmurowych, stały się jedną z najbardziej niebezpiecznych kategorii incydentów. Luka w jednym komponencie używanym przez wielu klientów umożliwia rozprzestrzenienie złośliwego kodu. Przykład ataku na oprogramowanie MOVEit z 2023 r. pokazał, jak szeroki może być zasięg takiej sytuacji.
Dlatego firmy powinny dziś inwestować w audyty dostawców, umowy SLA (Service Level Agreement) z zapisem o bezpieczeństwie oraz testy odporności u dostawców krytycznych usług. Bez tego nie będą w stanie odpowiednio reagować.
DORA. Unijne regulacje
Unia Europejska przyjęła Digital Operational Resilience Act (DORA), który ma ujednolicić wymagania dotyczące odporności operacyjnej sektora finansowego. DORA nakłada obowiązek raportowania incydentów ICT, testów odporności oraz kontroli ryzyka związanego z dostawcami technologii. Akt ten wszedł w pełni w życie na początku tego roku.
DORA wprowadza m.in. obowiązek przeprowadzania regularnych testów odporności operacyjnej (w tym scenariuszy kryzysowych). A także szczegółowego raportowania istotnych incydentów oraz zarządzania ryzykiem na poziomie całej organizacji. Dla wielu firm oznacza to konieczność przejścia od reaktywnego modelu bezpieczeństwa do modelu proaktywnego i testowalnego.
Warto wiedzieć
Głośne incydenty i lekcje dla rynku
– Capital One (2019): wyciek danych około 100 mln wnioskodawców w USA i 6 mln w Kanadzie. Atak pokazał ryzyko związane z błędami konfiguracji w chmurze.
– Robinhood (2021): atak socjotechniczny spowodował ujawnienie danych milionów użytkowników i pokazał zagrożenia wynikające z wycieku danych w dziale wsparcia klienta.
– Ronin/Axie (2022): kradzież setek milionów dolarów z mostu kryptowalutowego, powiązana z grupą Lazarus. Sektor kryptowalut pozostaje popularnym celem zaawansowanych cyberprzestępców.
Jak instytucje finansowe się bronią
Banki i platformy inwestycyjne wdrażają wielowarstwowe mechanizmy ochronne: uwierzytelnianie wieloskładnikowe (MFA), zaawansowane systemy wykrywania anomalii oparte na AI/ML, model Zero Trust, segmentację sieci oraz szyfrowanie danych. Ważną rolę odgrywają także Security Operations Centers (SOC) oraz regularne testy penetracyjne i ćwiczenia red-teamingowe. Działania te minimalizują ryzyko, ale nie eliminują go całkowicie.
Rekomendacje dla klientów i firm
Użytkownikom zalecane są: silne, unikatowe hasła, włączenie MFA wszędzie tam, gdzie to możliwe, ostrożność wobec linków i załączników, weryfikacja rozmów telefonicznych z przełożonymi lub bankiem oraz edukacja.
Rekomendacje dla firm: inwestycja w monitoring i automatyzację detekcji, testy odpornościowe, audyty dostawców, polityka minimalnych uprawnień oraz programy szkoleń pracowników w zakresie socjotechniki. Ważne są także plany komunikacji kryzysowej i testowane procedury przywracania działania.
Cyberzagrożenia w finansach są wielowymiarowe i szybko ewoluują. Odpowiedź rynku powinna być równie złożona: technologie obronne, regulacje, procesy oraz edukacja pracowników i klientów. Dla instytucji finansowych wzmacnianie bezpieczeństwa danych to inwestycja w zaufanie i ciągłość działania.
Zdaniem partnera cyklu
Tak XTB chroni systemy i dane klientów przed cyberprzestępcami
Czasem nie trzeba AI, gdy wystarczy wykrywanie wzorców i statystyka. Analizujemy wzorce logowań, lokalizacje, wykorzystywane urządzenia. Współpracujemy z firmami śledzącymi tzw. darknet w poszukiwaniu informacji o możliwych atakach czy wyciekach danych z innych serwisów lub złośliwego oprogramowania, które mogłyby zagrozić naszym klientom. Analizujemy przepływy pieniężne. W tym roku uruchomimy także nowy system do analizy anomalii w zakresie transakcji.
Jest takie branżowe powiedzenie, że bezpieczeństwo jest jak cebula – ma wiele warstw. My także budujemy bezpieczeństwo wielowarstwowo, idąc od środka “cebuli”. Od skanów bezpieczeństwa kodu źródłowego, szkoleń dla programistów i programistek, przez zabezpieczenia anty-DDoS i przed sztucznym ruchem generowanym przez tzw. boty, aż po zabezpieczenia oferowane naszym klientom. Wśród takich jest m.in. dwuskładnikowe uwierzytelnianie, monitoring transakcji i informowanie o podejrzanych akcjach.
Ostatnia, chociaż często niedoceniania warstwa to działania edukacyjne. Najlepsze zabezpieczenia nic nie dadzą, jeśli klienci nie będą świadomi zagrożeń.
W bezpieczeństwo inwestujemy zarówno pieniądze (zwiększenie budżetu o prawie 50 proc. rok do roku), jak i czas na rozwój produktu. Jako że narzucamy sobie szybkie tempo rozwoju, to wolimy mówić o planach na nadchodzące miesiące niż lata.
Nasz plan produktowy w dziedzinie bezpieczeństwa na kolejne miesiące zawiera:
– rozwój systemu monitorowania transakcji wspomnianego wcześniej,
–“panic button”, czyli możliwość zablokowania konta i odblokowania go przez silną biometryczną weryfikację tożsamości,
– ochrona przed telefonicznym phishingiem: identyfikacja pracowników XTB kontaktujących się z klientami z poziomu aplikacji.
Główne wnioski
- Phishing i jego nowe odmiany (smishing, quishing) pozostają kluczowym typem ataków w sektorze finansowym, stanowiąc pierwszy etap złożonych oszustw i źródło największych strat.
- Najgłośniejsze incydenty, od Bangladesh Bank po Ronin, pokazują, że zagrożenia wynikają nie tylko z luk technicznych, ale także błędów organizacyjnych i socjotechniki.
- Odpowiedź rynku to wielowarstwowa strategia bezpieczeństwa wsparta regulacjami, takimi jak DORA, które zmuszają instytucje do proaktywnego zarządzania ryzykiem i zwiększania odporności operacyjnej.
