Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Czy jesteś pewien, że Twoje oszczędności są bezpieczne?

Printer Friendly and PDF

leadGdybyśmy trzydzieści lat temu przeprowadzili uliczną ankietę i zadali jedno pytanie: „Czy Twoim zdaniem kiedyś w każdym polskim domu będzie komputer?”, wielu respondentów zapewne popukałoby się w głowę. Dziś wielu z nas nie potrafi sobie wyobrazić pracy, nauki czy rozrywki bez komputera, a w naszych mieszkaniach często znajduje się więcej niż jedna stacja robocza. Dla najmłodszych komputer to tak samo pospolite urządzenie jak telewizor czy telefon. Oczywiste dla naszych milusińskich jest również to, że korzystanie z przepastnych zasobów Internetu nie jest już wyjątkowym dobrodziejstwem, lecz zwykłym, codziennym, ułatwiającym życie zajęciem. W żartach mówi się, że jeśli czegoś nie można znaleźć w Internecie, to rzecz ta po prostu nie istnieje.

Stale rosnąca liczba osób korzystających z usług internetowych jest siłą napędową dla pomysłowości przedsiębiorców. Coraz więcej spraw można załatwić, nie wychodząc z domu, dzięki takim możliwościom jak: różne formy komunikowania się (poczta elektroniczna, rozmowy za pośrednictwem VoIP, czaty, fora dyskusyjne, blogi), bankowość elektroniczna, a nawet zakupy za pomocą Internetu. Jeszcze dziesięć lat temu nikt nie sądził, że może powstać coś takiego jak portal społecznościowy. Obecnie liczba aktywnych użytkowników takich portali na świecie przekracza trzysta milionów, a wielu z nas ma więcej „przyjaciół” w swoim profilu niż w prawdziwym życiu. Nie będziemy się jednak skupiać na wpływie Internetu na życie społeczne i psychikę użytkowników, lecz na fakcie, że z rozwoju technologii czerpią korzyści również ci, którzy żerują na ludzkiej naiwności i braku świadomości zagrożeń.

Ponad dwadzieścia lat upłynęło od dnia, w którym w sieci Internet znalazł się „przodek” dzisiejszych wirusów, trojanów i robaków. Był nim samokopiujący się program stworzony przez Roberta Morrisa – pracownika jednej z amerykańskich uczelni. 2 listopada 1988 roku do komputerów korzystających z sieci zewnętrznej Morris wprowadził złośliwy kod, który w dwie godziny od uruchomienia programu uniemożliwił wielu administratorom dostęp do komputerów. W efekcie zainfekowanych zostało – jak oszacowano – przeszło sześć tysięcy maszyn, co w tamtych czasach mogło stanowić nawet jedną dziesiątą wszystkich komputerów podłączonych do sieci Internet. Dopiero po ośmiu dniach przywrócono funkcjonowanie urządzeń do stanu sprzed infekcji.

Tego typu zagrożenia występują także obecnie, ale w odróżnieniu od występku Morrisa – który nie był świadomy, jak duże zamieszanie spowoduje jego program – mamy do czynienia z działaniami nakierowanymi na celowe doprowadzenie do destabilizacji systemów. Również skala działań (liczba zaatakowanych maszyn i wymierne straty finansowe) jest nieporównywalnie większa. Atakującymi mogą być na przykład hakerzy – entuzjaści, którzy chcą w ten sposób zaistnieć w swoim środowisku, ale coraz częściej działania tego typu są prowadzone na zlecenia zorganizowanych grup przestępczych, których celem jest maksymalizacja zysku.

Coraz więcej klientów banków korzysta z możliwości kontrolowania stanu swoich rachunków oszczędnościowych i wykonywania operacji finansowych za pośrednictwem Internetu. Pozwala to na zaoszczędzenie czasu (nie musimy wychodzić do banku, stać w nierzadko długich kolejkach) i pieniędzy (prowizje za samodzielne wykonanie operacji bankowych są najczęściej niższe niż koszt wykonania tych samych czynności przez pracownika banku). Podobnie przedstawia się sytuacja przy robieniu zakupów – sklepy internetowe najczęściej oferują ten sam towar co sklepy tradycyjne, ale po niższej cenie, w dodatku z dostawą do domu. Coraz więcej klientów dokonuje płatności „z góry” za pośrednictwem specjalnych stron oferujących możliwość realizacji bezpiecznych transakcji internetowych. Portale finansowe są odpowiednio zabezpieczone przed atakami i próbami włamań do nich – najsłabszym ogniwem transakcji może okazać się nasz komputer, czy nawet telefon komórkowy. O procederze zwanym phishingiem1 pisaliśmy już na łamach naszego periodyku. Przypomnijmy tylko, że phishing jest próbą wyłudzenia poufnych informacji (takich jak loginy, hasła, dane osobowe) poprzez podszycie się pod godną zaufania osobę lub instytucję. Najczęściej możemy stać się ofiarami tego typu procederu, gdy np. po otrzymaniu spreparowanej wiadomości e-mail zapraszającej do aktualizacji swoich danych (wiadomości wskazującej na to, że została do nas wysłana np. przez bank czy portal aukcyjny) klikniemy zawarty w niej link. To z kolei może spowodować przekierowanie przeglądarki internetowej do strony, która do złudzenia przypomina portal aukcyjny lub stronę naszego banku, a w rzeczywistości jest formularzem przesyłającym podane przez nas dane wprost do bazy danych przestępców. Jeśli w ten sposób przekazaliśmy swój login, hasło i jeszcze kilka liczb zawartych na karcie kodów jednorazowych umożliwiających autoryzację operacji finansowych, możemy spodziewać się w niedługim czasie kłopotów z dostępnością do funduszy zgromadzonych na koncie bankowym. W tym miejscu należy zwrócić uwagę, że ofiarami phishingu możemy paść nie tylko poprzez uaktywnienie łącza zawartego w otrzymanej, spreparowanej wiadomości e-mail. Również jeśli nasz komputer został zainfekowany wirusem (np. w wyniku instalacji programu pochodzącego z nieznanego źródła lub wskutek uruchomienia załącznika z „zakażonej” wiadomości e-mail), możemy bezwiednie zostać przekierowani na stronę przestępców wyłudzających dane. Pomimo że wpiszemy do przeglądarki adres strony internetowej swojego banku, wirus po wykryciu żądania połączenia ze stroną banku wykona automatyczne przekierowanie na spreparowaną, fałszywą stronę.

Ostatnio rozwinęła się kolejna forma wyłudzeń, umożliwiająca dostęp do środków zgromadzonych na lepiej zabezpieczonych bankowych kontach oszczędnościowych. Do niedawna celem ataków phishingowych byli klienci banków, którzy do zlecania operacji nie musieli podawać dodatkowych – poza loginem i hasłem – danych autoryzacyjnych bądź wykorzystywali do autoryzacji karty kodów jednorazowych. Do wyłudzenia powyższych danych służyły właśnie spreparowane wiadomości e-mail oraz podrabiane przez przestępców strony internetowe. Obecnie na baczności muszą się mieć również klienci korzystający z bardziej zaawansowanej formy zabezpieczenia operacji bankowych, polegającej na losowo generowanych hasłach autoryzacyjnych, przesyłanych na ich telefony komórkowe. W skrócie mechanizm działania przestępczego jest następujący. Klient będący celem ataku phishingowego zostaje przekierowany na spreparowaną stronę internetową, wyłudzającą poufne dane umożliwiające dostęp do konta bankowego (login i hasło). Dodatkowo klient jest proszony o aktualizację danych dotyczących telefonu, na który bank wysyła wiadomości SMS służące do potwierdzania dokonania operacji (podaje numer telefonu, a nawet nazwę producenta i typ aparatu telefonicznego). Na numer telefonu podany przed chwilą w formularzu przez klienta przesyłana jest wiadomość z linkiem zapraszającym do pobrania na telefon „certyfikatu bezpieczeństwa”. W rzeczywistości ściągana aplikacja nie ma nic wspólnego z certyfikatem bezpieczeństwa, lecz jest wirusem (np. Trojan Zeus/Zbot), który przechwytuje m.in. wiadomości SMS z kodami autoryzacji otrzymywanymi z banku i wysyła je niepostrzeżenie do systemów kontrolowanych przez cybernetycznych gangsterów. Przestępcy, posiadając komplet danych – login i hasło dostępu do konta wyłudzone wcześniej na spreparowanej stronie, a teraz dodatkowo hasło autoryzacyjne przesłane SMS-em na telefon komórkowy – mogą dokonać nieuprawnionego przelania pieniędzy na własne konta, tzw. „konta muły”.

O tym, że padliśmy ofiarą przestępstwa, dowiadujemy się czasem dopiero wtedy, gdy nasze konto zostaje wyczyszczone. Zwykle dalszy scenariusz jest podobny: kontakt z bankiem, zgłoszenie reklamacji wykonanej operacji, a potem złożenie na policję doniesienia o podejrzeniu popełnienia przestępstwa. Nikogo nie trzeba zapewne przekonywać o tym, że czynnościom takim towarzyszyć muszą zdenerwowanie oraz niepewność, czy uda nam się odzyskać skradzione pieniądze.

Biorąc pod uwagę opisane wcześniej mechanizmy wyłudzania danych – a w konsekwencji wyłudzania pieniędzy – można mieć wątpliwości, czy pomimo szerokiej dostępności usług bankowości elektronicznej korzystanie z nich jest bezpieczne. Odpowiedź brzmi: TAK, ale pod warunkiem że mamy świadomość istnienia zagrożeń i sposobów obrony przed nimi. I tak:

  1. Trzeba pamiętać, że cyberprzestępcy wykorzystują przede wszystkim możliwości występujące po stronie klienta. Instytucje finansowe z reguły mają bardzo dobrze zabezpieczone połączenia z Internetem, a ich działalność antyphishingowa skupia się przede wszystkim na uświadamianiu klientom zagrożeń, a także na współpracy z organizacjami wyszukującymi w sieci spreparowane strony internetowe. W przypadku wyłudzeń najczęściej nie dochodzi do bezpośredniej komunikacji klienta z prawdziwymi systemami banku, lecz z podstawionymi stronami wyłudzającymi dane.
  2. Recepta na spokojny sen jest prosta:
    • Nie korzystaj – o ile to możliwe – z dostępu do konta bankowego za pośrednictwem komputerów publicznych (np. w kawiarniach internetowych), użyczonych przez nieznajomych oraz gdy (jeśli nawet używasz własnego laptopa) dostęp do Internetu nie jest szyfrowany lub nie masz co do tego pewności (np. sieci bezprzewodowe nie zawsze są zabezpieczone).
    • Korzystaj z legalnego systemu operacyjnego i legalnego oprogramowania narzędziowego, aktualizuj je na bieżąco.
    • Zainstaluj i aktualizuj na bieżąco program antywirusowy oraz firewall.
    • Pamiętaj, że Twój bank nigdy nie prosi o aktualizację poufnych danych umożliwiających autoryzowanie operacji bankowych.
    • Jeśli masz wątpliwości lub podejrzewasz, że stałeś się ofiarą ataku, skontaktuj się z pracownikiem banku.

Krzysztof Białek

Zabezpieczenia 2/2011

Przypisy

1. Phishing (spoofing) – w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegółów karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej (źródło: Wikipedia – przyp. red.).

 

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony