Otázky pro znalce III. – malware a bankovní účty
V předchozích článcích jsem se zabýval okruhem otázek pro soudního znalce z oblasti výpočetní techniky a účetnictví. Vzhledem k množícímu se počtu posudků zaměřených na různé malware, které útočníci používají při podvodech s bankovními účty, jsem připravil několik základních dotazů jako inspiraci při sepisování zadání a otázek pro znalce. Problém malware je široká oblast, která zasahuje od získávání osobních informací přes přístup k důležitým dokumentům až po sofistikované podvody zaměřené na ovládnutí bankovních účtů. Běžně se tak dnes setkáváme s postupy, kdy malware napadne počítač a současně nasměruje uživatele k zadání telefonního čísla, na které přijde binární SMS zpráva a tím dojde k ovládnutí chytrého telefonu.
Pokud se něco takového přihodí, je cesta k penězům na účtu volná. Útočník se údaji získanými přes malware z prohlížeče oběti přihlásí k bankovnímu účtu, do telefonu oběti přijde autorizační SMS, ale tu na pozadí přepošle nainstalovaná aplikace na mobilní číslo útočníka (a věřte, že to bude anonymní předplacená SIM karta, kde stopa skončí). Takže přihlášení na účet i odeslání prostředků proběhne z pohledu banky zcela standardně a dost často pak nepomůže ani reklamace.
Pokud se to stane, nebo ještě lépe, pokud se počítač nebo telefon chovají jakkoliv nestandardně, doporučuji kontaktovat odborníka, v horším případě i rovnou znalce v oboru kybernetika, který se kromě vyřešení problému zaměří na zajištění stop, které útočník mohl nechat.
Pro potřeby znaleckých posudků jsem sepsal základní dotazy, které postihují většinu oblastí z této problematiky.
- Zadokumentujte hardwarovou a softwarovou konfiguraci zkoumaného zařízení vč. běžících procesů, kdy podrobně zadokumentujte software a procesy instalované (aktivované atd.) v době od … (do …).
- Zjistěte, zda se ve zkoumaném zařízení nachází škodlivý software, kdy v případě jeho nalezení tento co nejvíce identifikujte a dle možností stanovte kdy (a kým) byl tento software do přístroje nainstalován, odkud byl nainstalován (např. z jaké internetové stránky) a jaká data program odesílal a kam.
- Zjistěte, zda zařízení bylo používáno k elektronickému bankovnictví.
- Zajistěte dostupné logy zařízení, se zvýrazněním položek vztahujících se k elektronickému bankovnictví.
- Je-li to možné, vyhodnoťte informace relevantní k šetřené věci v zájmové době, případně v době, kdy se útočník na svůj útok připravoval.
- Ověřte, zda bylo předložené zařízení a jeho operační systém zabezpečen proti průnikům zvenčí (z internetu) a zda při útoku došlo k porušení zabezpečení