Oszustwa były wymierzone w klientów Citibanku Handlowego oraz Inteligo (w odstępie kilkunastu dni). Pojawiła się też fałszywa strona mBanku, ale została spreparowana w celach testowych przez jednego z subskrybentów zamkniętej listy dyskusyjnej. Gdy tylko oszustwa wychodziły na jaw, banki doprowadzały do zamknięcia fałszywych witryn. Na stronach ich serwisów pojawiły się też informacje o błędzie w IE oraz konieczności instalacji łaty. Rzecznicy banków zapewnili, że klienci nie zostali poszkodowani, ale ile jest w tym prawdy – nie wiadomo.
Jest bezpiecznie?
Te wydarzenia są doskonałą okazją do dyskusji o zabezpieczeniach polskich banków. Przede wszystkim zostało udowodnione, że autoryzacja tylko loginem i hasłem jest niewystarczająca. Nie ma tu znaczenia, czy ktoś złapał się w sidła zastawione przez hakerów – wykazano, że autoryzacja oparta tylko na hasłach jest nieskuteczna. Korzystanie z usług banków, które nie oferują tokena, haseł jednorazowych czy klucza przechowywanego u klienta, to zabawa w rosyjską ruletkę.
A czy właściciele kont chronionych hasłami jednorazowymi czy tokenami mogą spać spokojnie? Niestety – nie, a przynajmniej nie wszyscy. Jak widać, przestępcy są w stanie wykorzystać najdrobniejszą nawet lukę. Nie można twierdzić, że dana sytuacja jest nieprawdopodobna. Hakerzy są specjalistami, którzy właśnie takie “dziurki” wyszukują. Bezpieczeństwo systemów (nie tylko bankowych) opiera się na różnych warunkach (np. system jest bezpieczny, jeżeli nie zdradzimy nikomu hasła, ograniczymy dostęp do maszyn, które są przed firewallem, itp.). Łatwiej jednak spełnić wymagania “realne” niż mające charakter informatyczny, bo nie wszyscy dobrze znają się na komputerach. Listę haseł lub token łatwo jest chronionić, przechowując je w zamkniętej szufladzie w domu. A “złapanie” wirusa lub konia trojańskiego może przytrafić się każdemu.
Trojany nie zostały na razie wykorzystane do przestępstw bankowych, ale może się to stać w każdej chwili. O ile przesyłanie ważnych informacji do banku zawsze jest szyfrowane, o tyle dane przepływające wewnątrz systemu nie są zbyt mocno chronione. A konie trojańskie mogą zawierać moduły przechwytujące informacje o naciśniętych klawiszach (tzw. keyloggery). Szczególnie bać się tego powinny osoby korzystające z usług banków niestosujących tokenów czy haseł jednorazowych. Można sobie jednak wyobrazić sytuację, gdy trojan po przechwyceniu hasła jednorazowego przekazuje je przestępcy, blokuje przesłanie go do serwera bankowego i resetuje nasz komputer. Zyska w ten sposób kilka minut i jedno hasło jednorazowe, co często wystarczy, by ukraść nam pieniądze.
Może być gorzej
Powyższy scenariusz brzmi nieprawdopodobnie, ale dobry haker jest w stanie zrobić to, o czym napisałem. Banki powinny lepiej przyjrzeć się stosowanym zabezpieczeniom. Oczywiście nie we wszystkich placówkach wyglądają one źle. Pochwalić można na przykład Volkswagen Bank, który hasła jednorazowe generowane przez token wykorzystuje nie tylko do operacji, ale także do logowania.
| Jak chronić e-konto |
| – Włącz powiadamianie o aktualizacjach systemu i instaluj łaty poprawiające bezpieczeństwo. – Jeśli możesz, nie używaj do transakcji Internet Explorera. W Mozilli i Operze “dziury” znajdowane są dużo rzadziej. Pamiętaj o aktualizacji tych aplikacji. – Zabezpiecz komputer osobistą zaporą ogniową. Możesz też zainstalować program antywirusowy. Regularnie pobieraj najnowsze sygnatury i skanuj system. – Nie wykonuj transakcji z komputerów, do których dostęp mają inni (np. w kafejce internetowej lub w pracy). – Chroń token, hasła jednorazowe i klucz. – Nieufnie traktuj wszystkie nietypowe e-maile od banku. Nie ulegaj prośbom o podawanie haseł, PIN-ów, numerów kart kredytowych itp. Banki nigdy nie proszą o zalogowanie się w celu weryfikacji danych! – Bądź czujny w przypadku podejrzanego zachowania się systemu transakcyjnego (np. nagłego wylogowania). Nie wahaj się dzwonić na infolinię. – Zablokuj kanały, z których nie korzystasz (telefon lub WAP). |
