IT Bezpieczeństwo: Zapobiegać zamiast leczyć
W bankowych systemach bezpieczeństwa trzeba brać pod uwagę dwie kwestie: bezpieczeństwo transakcji i wygodę użytkowania. Mając to na względzie, banki powinny stosować zabezpieczenia maksymalnie przezroczyste dla klientów, takie jak nowoczesne systemy antyfraudowe. Nie tylko wykrywają nadużycia i im zapobiegają, ale są także niewidoczne dla klienta banku.
Patryk Królikowski,
kierownik Działu Bezpieczeństwa,
CompFort Meridian Polska
Wraz z popularyzacją bankowości internetowej lawinowo wzrasta zagrożenie oszustwami i włamaniami do e-banków. Klient, w czasie realizacji bankowych transakcji internetowych przez przeglądarkę, może się zetknąć przede wszystkim z zagrożeniem wykradania numerów kart kredytowych oraz kodów jednorazowych zatwierdzających transakcję. Do tego celu przestępcy używają różnych odmian phishingu.
Jak obecnie wygląda phishing?
Współczesny phishing to już nie namawianie klienta do odwiedzenia fałszywej strony i podania tam swoich danych. Ta metoda przestała być efektywna i polski oddział CERT podaje, że już od ponad dwóch lat nie zanotował zgłoszenia tego typu. Obecnie mechanizm phishingu bazuje na złośliwym oprogramowaniu instalowanym na komputerze ofiary (oczywiście bez jej wiedzy). Infekcja następuje zazwyczaj po odwiedzeniu serwisów internetowych, do których przestępcom udało się dopisać złośliwy kod. Trzeba wiedzieć, że obecnie mogą one znaleźć się na każdej witrynie, nie tylko tych tzw. podejrzanych. Chodzi o to, aby trafiły do jak największej liczby osób, więc przestępcy starają się je zaimplementować we wszystkich popularnych serwisach. Przykładowo, w 2009 r. odwiedzając serwis www.pajacyk.pl, mający ok. 100 tys. użytkowników dziennie, można było zostać zainfekowanym.
Jak się odbywa włamanie
Zainfekowany komputer klienta banku, gdy ten zaloguje się do swojego konta, podmienia stronę banku na fałszywą, z prośbą o podanie kilku kolejnych kodów jednorazowych z karty-zdrapki. Ponieważ prośba wygląda wiarygodnie (bo jest wyświetlana już po zalogowaniu się do serwisu banku), wielu klientów podaje kody, które są następnie wysyłane na serwer kontrolowany przez przestępcę i mogą posłużyć do kradzieży środków z konta.
Na ten rodzaj phishingu są najbardziej narażeni posiadacze kart-zdrapek z jednorazowymi kodami zabezpieczenia, najpowszechniej stosowanego w polskiej bankowości internetowej. Tylko nieliczne banki do zabezpieczeń transakcji wykorzystują bardziej wyrafinowane metody, np. tokeny lub jednorazowe kody SMS. To jednak i tak nie chroni ich klientów przed innymi przestępstwami, które stają się coraz powszechniejsze – podmianą danych w locie (tzw. metoda Man-in-the-Browser). W tym przypadku oszustwo odbywa się podczas dokonywania transakcji. Ofiara wykonuje zdefiniowany przez siebie przelew i w chwili, gdy prosi bank o przesłanie kodu SMS-em, złośliwe oprogramowanie przejmuje prośbę, podmienia dane dotyczące np. kwoty czy adresata przelewu swoimi danymi i wysyła zlecenie do banku. Ofiara wprawdzie dostaje SMS-a, w którym jest potwierdzenie transakcji dokonanej przez przestępcę, lecz jeśli nie zwróci uwagi na jego treść, zaakceptuje nie swoją operację.
Lepsze i gorsze metody autoryzacji
Najsłabszym z zabezpieczeń używanych przez klientów e-bankingu jest karta-zdrapka z kodami cyfrowymi. Nie zabezpiecza ani przed phishingiem, ani przed włamaniem typu Man-in-the-Browser. Nieco lepszy w tym względzie jest token, który zabezpiecza przed phishingiem, choć przed podmianą danych w locie – już nie. Transakcje wymagające wielokrotnego potwierdzania byłyby bardzo ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI