Weby českých bank ochromil DDoS útok, NBÚ žádá od postižených data

Další obětí vlny DDoS útoků z posledních dnů se staly weby českých bankovních ústavů. Uživatelé se dnes ráno nemohli dostat na weby velkých českých bank – ČSOB, Komerční banky, České spořitelny, Reiffeisenbank nebo Fio banky. Zasažena ale byla i Burza cenných papírů nebo Česká národní banka.

Útok se nedotkl vnitřních systémů bank – tedy dat o klientech nebo jejich financích. Podle bank šlo o klasické zahlcení serverů přemírou požadavků (Distributed Denial of Service). Kvůli útoku nefungovalo ani internetové bankovnictví nebo platební terminály u obchodníků. 

---

Situaci jsme sledovali online:

18:22 – SME: Problémy měla i slovenská pobočka ČSOB

Výpadky podle deníku SME postihly také web slovenské pobočky ČSOB. Dopoledne měl web mírně vyšší odezvu a načítal se pomaleji než obvykle. Po jedenácté hodině začala mít stránka časté výpadky. Jak česká tak slovenská ČSOB mají podle SME své stránky na různých serverech v Belgii, kde sídlí jejich mateřská společnost KBC Group.

16:00 – Česka spořitelna: odpoledne přišel další útok

Česká spořitelna se opět potýkala s problémy. Odpoledne přestal fungovat její web csas.cz. Podle Kláry Pačesové, z tiskového oddělení České spořitelny, výpadek souvisí s dalším DDoS útokem.

Dnes po 14. hodině jsme zaznamenali opětovný výpadek online služeb a máme dočasně nefunkční webové stránky, internetové bankovnictví a aplikace běžící přes internet, jako je e-commerce nebo platby kartou u obchodníků. Příčinou výpadku je stejně jako dopoledne vnější útok, který se netýkal jen České spořitelny, ale i jiných subjektů. Vnitřní systémy banky nejsou nijak narušeny, klienti se nemusejí bát o svá osobní data ani vklady, které nejsou v ohrožení. V současné chvíli pracujeme na tom, aby byly potíže s přístupem k našim online službám co nejdříve odstraněny.

15:40 – Útoky se zabývá i Bezpečnostní informační služba (BIS)

Mluvčí BIS Jan Šubert nám potvrdil, že zpravodajská služba podobné útoky analyzuje:

Kyberútoky se jako zpravodajská služba zabýváme, a to i ve spolupráci s policií a s Národním centrem kybernetické bezpečnosti, které je součástí Národního bezpečnostního úřadu. V daném kontextu lze také říci, že jsou podnikány kroky, které by umožnily podobným činům pokud možno předcházet a útočníky identifikovat. Nutno ale dodat, že odhalení konkrétních pachatelů je mimořádně složité.

13:50 – Komerční banka: Nebyli jsme dostupní 2 hodiny

Mluvčí Komerční banky Monika Klucová nám poslala několik upřesňujících informací o dnešním útoku:

Naše webové stránky a služby přímého bankovnictví nebyly dostupné zhruba 2 hodiny. Přímé bankovnictví je plně funkční od 11:15 hodin. Webové stránky KB od 12:20 hodin. V žádném případě nedošlo k úniku žádných klientských dat. Nebyl zaznamenán žádný průnik do interních systémů banky. Funkční bylo jak telefonní bankovnictví, tak i bankomaty a celá pobočková síť. Komerční banka přijala bezpečnostní opatření na všech vrstvách IT infrastruktury; jejich rozsah však z bezpečnostních důvodů komentovat nebudeme.

13:41 – CSIRT.CZ: probíhá sběr a analýza dat DDoS útoků

Národní CSIRT České republiky alias CSIRT.CZ, který pomáhá řešit podobné bezpečnostní incidenty, získává v současné době od postižených firem data a podrobuje je analýze. Podle Viléma Sládka, tiskového mluvčího sdružení CZ.NIC, které CSIRT.CZ provozuje, spolupracují jeho členové se správci sítí nejen z poškozených firem, ale také z Národního bezpečnostního úřadu či sdružení CESNET, které v Česku provozuje a rozvíjí páteřní akademickou počítačovou síť.

Jsme v kontaktu se správci sítí ze společností GTS, CESNET, NBÚ, iHNED.cz, Active24, ČSOB a Seznam.cz. Co se týče útoku, tak probíhá sběr a analýza dat aktuálního útoku. V tuto chvíli můžeme potvrdit to, co je veřejně známé, tedy, že se jedná o útok typu SYN Flood.

12:15 - ČSOB: situaci jsme vyřešili blokováním přístupů z ciziny

Že za výpadkem služeb stál DDoS útok, potvrzuje také ČSOB. Podle vyjádření mluvčí banky Pavly Hávové byl útok vedený ze zahraničí:

Dostupnost služby Smartbanking nebyla tímto incidentem dotčena a zůstala funkční. Standardně fungovalo také telefonické bankovnictví, pobočky i bankomaty. Podle námi zjištěných informací byl útok veden ze zahraničí. Bezpečnost prostředků klientů či jejich dat nebyla incidentem nijak ohrožena. V současnosti je situace vyřešena dočasnou blokací přístupů ze zdrojových zemí a stránky jsou dostupné. Situaci nicméně i nadále pečlivě sledujeme a jsme připraveni k dalším krokům, pokud by byly potřeba. 

11:57 - Národní bezpečnostní úřad žádá postižené: dejte nám informace

Svou pomoc s analýzou útoků nabídl postiženým společnostem nabízí CSIRT i Národní centrum kybernetické bezpečnosti. Ředitel Národního bezpečnostního úřadu Dušan Navrátil vyzývá firmy, aby oběma týmům poskytly co nejvíc informací o útocích:

Již od pondělí čelí některé servery v České republice opakovaným útokům DDoS. Žádáme všechny dotčené subjekty, aby o těchto útocích informovaly buď Národní centrum kybernetické bezpečnosti v roli vládního CERT, nebo sdružení CZ.NIC jako národní CSIRT. Žádáme tímto o průběžné informování a aktivní spolupráci s výše uvedenými technickými týmy ze strany dotčených subjektů. Poskytnuté informace podrobíme analýze a případně budeme nápomocni při řešení problémů. Kontakty: cert.incident@nbu.cz, abuse@csirt.cz

11:15 - Dostupné jsou už také stránky České spořitelny.

11:13 - My to nebyli, vtipkuje na Twitteru mBank

Webové stránky mBank a Internetové bankovnictví se DDoS útoky nedotkly, nemusíte se bát, vše jede jak má. p.s.: My v tom prsty nemáme :)

— mBank ČR (@mbank_cz) 6. března 2013

11:08 - Weby napadených společností pomalu ožívají. V provozu jsou opět stránky Burzy cenných papírů Praha, online vypadá i web ČSOB, které funguje také internet banking. Přístupná je už také stránka České národní banky.

10:55 - Komerční banka: Byl to DDoS útok

Že šlo o DDoS útok, potvrzuje také mluvčí Komerční banky Monika Klucová:

Komerční banka dnes zaznamenala DDoS útok na své portály www.kb.cz a www.mojebanka.cz. V žádném případě nedošlo k úniku žádných klientských dat. V současné době intenzivně pracujeme na protiopatřeních, které umožní znovuzprovoznění služby pro naše klienty. Za nepříjemnosti se našim klientům velmi omlouváme.

10:45 - Česká spořitelna: nedalo se ani platit kartou u obchodníků

Mluvčí České spořitelny Kristýna Dolínek Havligerová v České televizi potvrdila, že v průběhu útoku nefungovaly ani platební terminály u obchodníků a další služby. Tady je celé vyjádření České spořitelny:

„Dočasně jsme měli nefunkční webové stránky, internetové bankovnictví a aplikace běžící přes internet, jako je Servis 24, e-commerce nebo platby kartou u obchodníků. Příčinou výpadku byl vnější útok, který se netýkal jen České spořitelny. Vnitřní systémy banky nebyly narušeny, data klientů a jejich vklady nebyly ohroženy, bankomaty fungovaly. Většina potíží s přístupem k našim e-službám je již odstraněna, webové stránky ČS by měly být plně funkční kolem 11:00. Za komplikace se velmi omlouváme.“

10:37 - Terčem útoku je i web České národní banky

Česká národní banka informuje o napadení svých stránek na svém twitterovém účtu:

Web ČNB terčem útoku, nelze plně aktualizovat cnb.cz. Nové informace ČNB zveřejňuje na Twitteru a Facebooku #cnb_cz

— Česká národní banka (@CNB_cz) 6. března 2013

10:17 - Fio banka potvrzuje útok

Zatímco ostatní banky na sociálních sítích mlčí, Fio banka zveřejnila na své facebookové stránce toto prohlášení: „Vážení klienti, dostupnost našich webových stránek a aplikací je momentálně zhoršená. Pravděpodobně se jedná o podobný útok DDoS, jako probíhal v minulých dnech na jiných českých serverech. Naši specialisté se snaží situaci vyřešit, o dalším vývoji Vás budeme informovat.“

10:05 – Web rb.cz je momentálně dostupný, mezi dalšími postiženými weby je i www.mojebanka.cz (patřící Komerční bance).

9:59 – Mimo provoz je také web pražské Burzy cenných papírů.

09:50 - Nefunguje ale ani www.kb.cz či www.fio.cz (čás­tečně dostupné, ale pouze po dlouhém čekání). Podle komentářů na Twitteru by měl být i problém s www.csob.cz  a některé doménové servery neumí www.rb.cz (Google DNS například vrací  ERR_NAME_RESOLUTION_FAILED).

9:45 - Mluvčí ČSOB Pavla Hávová Lupě zatím jen potvrdila, že banka zaznamenala problém s načítáním webu. Zatím nechci spekulovat o příčinách, naši technici je zjišťují," dodala.

9:40 – Web České spořitelny není dostupný

Stejně tak není možné vstoupit do internetového bankovnictví Servis24. Odpovědi z www.csas.cz se vůbec nedočkáte a není jasné, zda jde o výpadek, či zda je zde nějaká souvislost s DDoS útoky z posledních dvou dnů.

Soudě podletraceroute je ale možná i varianta s výpadkem, trasa končí na 62.77.124.126, tedy ještě zdaleka ne v síti s IP adresou webu České spořitelny (což samozřejmě může a nemusí znamenat právě řečené).