IT Bezpieczeństwo: E-złodzieje

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

Napady na bank wciąż się zdarzają, ale skoki na naprawdę dużą kasę należą do rzadkości, bo są wysoce ryzykowne, wymagają długich przygotowań, sprzętu i najlepszej ekipy. Co innego napaść na klienta banku - prosto, szybko i bez dużego ryzyka. Tak samo jest z bankowością elektroniczną.

Dariusz Rzeźnicki

Można z dużą pewnością przyjąć, że zabezpieczenia stosowane przez banki od strony internetu są nie do złamania. Oczywiście, nie ma rzeczy doskonałych, zaś na dowolnie wysoki mur zawsze znajdzie się odpowiednio długa drabina. Przebicie się przez systemy ochronne banku jest możliwe, zwłaszcza gdy ktoś po stronie działu IT instytucji finansowej zaniedba obowiązki i zostawi intruzom jakąś furtkę.

Jednak generalnie atak na system bankowy rzadko kiedy ma szansę powodzenia, niesie natomiast duże ryzyko wpadki. Dlatego cyberprzestępcy mają na swoich celownikach łatwiejsze ofiary: użytkowników e-bankowości. W tej nierównej wojnie, w której linia frontu zaczyna się już w komputerze klienta, w użyciu są wszelkie dostępne środki. Psychologia, podstęp, zaawansowane narzędzia, inwigilacja – to niektóre przykłady broni z całego arsenału, jakim dysponują nowocześni złodzieje. Jednak użytkownicy bankowości elektronicznej nie są na przegranej pozycji i mają do dyspozycji równie pokaźny zestaw obronny. Nie zawsze jednak są tego świadomi albo nie do końca wiedzą, jak korzystać z dostępnych środków defensywnych.

Loginy i hasła

Główna brama systemów e-banków to uwierzytelnianie użytkownika. Żeby ją pokonać, trzeba podać login i hasło. Pomińmy dywagacje na temat stopnia skomplikowania hasła, bo po pierwsze, banki zwykle narzucają wymagania dotyczące jego minimalnej długości i zestawu znaków, zaś po drugie – cyberprzestępcy starają się przechwycić całe hasło, nie złamać je. Co robią w tym celu? Przejęcie loginu i hasła na linii przeglądarka-serwer jest bardzo trudne, ponieważ wszystkie banki stosują szyfrowanie połączenia protokołem SSL/TLS (adres bezpiecznego serwera zaczyna się wówczas od https://). Dlatego atak trzeba przeprowadzić w słabszym miejscu, wykradając informacje logowania jeszcze zanim zostaną wysłane przez przeglądarkę. Można tego dokonać na dwa sposoby: albo rejestrując i analizując informacje wprowadzane przez użytkownika komputera, albo oszukując go i kierując na odpowiednio spreparowane strony łudząco podobne do stosowanych w witrynie internetowej banku. Pierwsza z tych ewentualności wiąże się z koniecznością włamania się do systemu ofiary i zainstalowania w nim programu szpiegowskiego. Intruz będzie śledził poczynania użytkownika, zapamiętując np. odwiedzane adresy WWW oraz wpisywane informacje. Zebrane dane przekazywane są następnie do serwerów kontrolujących działanie złośliwego oprogramowania lub „jedynie” przechowujących cenne informacje. Złośliwy kod (trojan) może także kierować nieświadomego użytkownika do zupełnie innych serwerów niż wskazanych adresem wpisanym w przeglądarkę. Przekierowanie ruchu odbywa się w tle, a klient banku jest pewien, że odwiedza właściwe miejsce – oczywiście zakładając, że cyberprzestępcy przyłożyli się do swej pracy i przygotowali witrynę będącą idealnym sobowtórem stron logowania banku. Istnieją też trojany dopisujące w przeglądarce swoje treści do zawartości prawdziwych stron e-banków.

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI