case study icon

Jak bank skrócił czas aktywności oszukańczych stron dzięki usłudze wykrywania lokalnych zagrożeń i procesowi take-down

Polski bank komercyjny miał już zaawansowany wewnętrzny SOC, ale nie widział wystarczająco wcześnie prób podszywania się pod swoją markę. Wdrożenie rozwiązania zapewniającego identyfikację takich zagrożeń pozwoliło szybciej wykrywać aktywne kampanie phishingowe i sprawniej na nie reagować.

Grafika okładkowa case study dotyczącego usługi PREBYTES SIRT dla sektora bankowego.

Kontekst wdrożenia

  • Klient: bank komercyjny / zespoły bezpieczeństwa, fraud, SOC, komunikacji i obsługi klienta
  • Obszar: ochrona klientów i marki przed kampaniami phishingowymi, malware, oraz fałszywymi domenami.
  • Integracja: Wdrożenie usług Cybersecurity Services realizowanych przez PREBYTES SIRT jako zewnętrznego partnera zapewniającego eksperckie wsparcie w procesach wykrywania, analizy, eskalacji oraz blokowania zagrożeń.
  • Rezultat: skrócenie czasu od wykrycia kampanii do podjęcia działań mitygacyjnych oraz zwiększenie widoczności zagrożeń wymierzonych w klientów banku na polskim rynku

Z czym mierzył się klient i dlaczego to było krytyczne?

Bank regularnie mierzył się z kampaniami wykorzystującymi jego markę do wyłudzania danych logowania, danych kart płatniczych, kodów autoryzacyjnych lub instalacji złośliwego oprogramowania. Zagrożenia te powstawały poza infrastrukturą banku – na domenach rejestrowanych przez przestępców, stronach hostowanych u zewnętrznych dostawców, w wiadomościach SMS, e-mailach, reklamach, komunikatorach oraz w fałszywych serwisach przypominających legalne kanały bankowości.

Problemem nie była sama obecność phishingu, ponieważ tego typu kampanie są stałym elementem krajobrazu zagrożeń dla sektora finansowego. Kluczowe było to, że skuteczna reakcja wymagała stałej obserwacji polskiego ekosystemu ataków: lokalnych domen, polskojęzycznych treści, sposobu dystrybucji kampanii, schematów wykorzystywanych przez grupy przestępcze oraz kanałów, w których pojawiały się fałszywe strony i wiadomości. Z perspektywy banku istotne było nie tylko wykrycie pojedynczej domeny, ale też szybkie ustalenie, czy jest ona częścią aktywnej kampanii wymierzonej w klientów.

Dla zespołów bezpieczeństwa oznaczało to konieczność działania pod presją czasu. Każda godzina dostępności fałszywej strony zwiększała ryzyko, że klient banku poda dane logowania, zatwierdzi nieautoryzowaną operację lub pobierze złośliwe oprogramowanie. Jednocześnie bank musiał zachować spójność działań między SOC, zespołem fraudowym, obsługą klienta, komunikacją zewnętrzną i zespołami odpowiedzialnymi za zgodność regulacyjną.

W praktyce wyzwanie nie sprowadzało się więc do pytania: „Czy ktoś podszywa się pod naszą markę?”. Kluczowe pytanie brzmiało: czy mamy wystarczająco szybki i operacyjny mechanizm, który pozwala wykryć kampanię na polskim rynku, potwierdzić jej realny wpływ na klientów i uruchomić skuteczne działania take-down?

Kluczowe wyzwania

  • zagrożenia powstające poza infrastrukturą banku, często bez widoczności w wewnętrznych systemach SOC
  • kampanie kierowane do polskich klientów, wykorzystujące lokalny język, kontekst i rozpoznawalność banku
  • szybka rotacja domen, certyfikatów SSL, hostingów i przekierowań
  • konieczność odróżnienia pasywnej rejestracji domeny od aktywnej kampanii phishingowej
  • ryzyko przejęcia danych logowania, kodów autoryzacyjnych, danych kart lub instalacji malware
  • potrzeba szybkiego zgromadzenia materiału dowodowego do zgłoszeń nadużyć wysyłanych do rejestratorów, dostawców hostingu i innych podmiotów
  • ograniczona przepustowość wewnętrznych zespołów przy dużej liczbie incydentów i fałszywych alarmów
  • presja regulacyjna związana z zarządzaniem ryzykiem ICT, spełnieniem wymogów DORA, odpornością operacyjną i ochroną użytkowników usług finansowych

Co wdrożyliśmy i jak to działa w praktyce?

PREBYTES SIRT objął klienta stałym wykrywaniem kampanii phishingowych, malware oraz identyfikację infrastruktury wykorzystywanej do podszywania się pod bank. Zakres ten obejmuje rejestrację nowych domen podobnych do marki, certyfikaty SSL, strony przypominające bankowość internetową, fałszywe formularze logowania, SPAM, SMS-y, reklamy i inne kanały, a także powiązania z aktywnymi kampaniami obserwowanymi na polskim rynku.

Największą wartością nie jest samo wykrycie domeny. PREBYTES SIRT analizuje kontekst techniczny i operacyjny: czy strona jest aktywna, czy zawiera formularz logowania, czy wykorzystuje elementy identyfikacji wizualnej banku, czy zbiera dane użytkowników, czy przekierowuje do kolejnych etapów ataku oraz czy jest powiązana z innymi domenami, certyfikatami lub infrastrukturą wykorzystywaną w podobnych kampaniach. Dzięki temu bank otrzymuje zakwalifikowane zgłoszenie, a nie surowy alert wymagający dodatkowej analizy.

Po potwierdzeniu zagrożenia PREBYTES SIRT uruchamia działania mitygacyjne. Obejmują one analizę zagrożenia, przygotowanie zgłoszeń oraz wsparcie procesu take-down, aby jak najszybciej ograniczyć aktywność złośliwej infrastruktury.

Ważnym elementem wdrożenia jest lokalny kontekst. PREBYTES SIRT monitoruje kampanie obserwowane na polskim rynku, dzięki czemu może szybciej rozpoznawać schematy charakterystyczne dla ataków na krajowy sektor finansowy. Obejmuje to zarówno język i treść kampanii, jak i techniki dystrybucji, domeny wykorzystywane przez przestępców, wzorce fałszywych stron oraz podobieństwa między kampaniami wymierzonymi w różne banki.

Dla klienta oznacza to realne odciążenie zespołów wewnętrznych. Bank nie musi każdorazowo samodzielnie przechodzić całej ścieżki od wykrycia do zgłoszenia i blokady. Otrzymuje zweryfikowaną informację, priorytet, kontekst techniczny oraz wsparcie w działaniach take-down. W przypadku aktywnych kampanii skraca to czas reakcji i ogranicza ekspozycję klientów na fałszywe strony.

Jakie były rezultaty i co to zmieniło na co dzień?

Najważniejszą zmianą było przejście z modelu reaktywnego na operacyjny model wczesnego wykrywania i mitygacji. Bank nie opierał się wyłącznie na zgłoszeniach od klientów, ostrzeżeniach zewnętrznych lub alertach pojawiających się po fakcie. Zyskał stały mechanizm identyfikowania zagrożeń podszywających się pod jego markę, zanim kampania osiągnęła większą skalę.

Dla SOC oznaczało to mniej surowych alertów i więcej zgłoszeń zawierających konkretny kontekst techniczny. Dla zespołu fraud – szybszą informację o kampaniach mogących prowadzić do przejęcia kont, wyłudzenia środków lub prób socjotechnicznych wobec klientów. Dla komunikacji i obsługi klienta – możliwość wcześniejszego przygotowania ostrzeżeń, komunikatów i odpowiedzi dla użytkowników. Dla obszaru compliance i ryzyka – dodatkowy element kontroli nad zagrożeniami ICT, które wpływają na bezpieczeństwo usług cyfrowych i zaufanie do banku.

Istotny był również efekt sektorowy. Kampanie phishingowe rzadko funkcjonują w izolacji – często te same schematy, infrastruktura lub grupy atakujących są wykorzystywane przeciwko wielu instytucjom finansowym. Dzięki obserwacji kampanii na polskim rynku PREBYTES SIRT może szybciej wskazywać podobieństwa, oceniać prawdopodobny rozwój ataku i dostarczać klientowi informację przydatną nie tylko do reakcji na pojedynczy incydent, ale również do budowania szerszej świadomości zagrożeń.

Dzięki wdrożeniu bank uzyskał nie tylko usługę detekcji phishingu i innych cyberzagrożeń, ale też realne wsparcie operacyjne w całym cyklu obsługi zagrożenia: od wykrycia, przez analizę i kwalifikację, po działania zmierzające do zablokowania strony lub infrastruktury. To pozwoliło ograniczyć czas dostępności fałszywych stron, zmniejszyć obciążenie zespołów wewnętrznych i zwiększyć poziom ochrony klientów korzystających z usług banku.

Efekty po wdrożeniu:

  • stały monitoring kampanii phishingowych i malware wymierzonych w klientów banku
  • identyfikacja infrastruktury wykorzystywanej w tych kampaniach, w tym fałszywych domen, certyfikatów SSL i stron podszywających się pod bank.
  • kwalifikacja zagrożeń pod kątem realnego wpływu na klientów, a nie tylko podobieństwa domeny
  • skrócenie czasu od wykrycia kampanii do rozpoczęcia działań mitygacyjnych
  • wsparcie procesu take-down
  • odciążenie SOC, zespołu fraudowego i zespołów bezpieczeństwa od ręcznej analizy dużej liczby zgłoszeń
  • lepsza koordynacja działań między bezpieczeństwem, zespołem fraudowym, komunikacją i obsługą klienta
  • możliwość wcześniejszego ostrzegania klientów przed aktywnymi kampaniami
  • ograniczenie ryzyka utraty danych logowania i środków finansowych
  • wzmocnienie kontroli nad ryzykiem ICT, spełnieniem wymogów DORA oraz ryzykiem reputacyjnym
  • lokalna widoczność kampanii prowadzonych na polskim rynku i szybsza identyfikacja powtarzalnych schematów ataku

Dowiedz się, jak skutecznie skracać czas działania fałszywych domen. Sprawdź nasze rozwiązania!

Zobacz inne wdrożenia w branży: Bankowość
Zastosowanie rozwiązania Cybersecurity Services (PREBYTES SIRT) w innych branżach
Brak wyników