IT Bezpieczeństwo: E-złodzieje

Dariusz Rzeźnicki

Można z dużą pewnością przyjąć, że zabezpieczenia stosowane przez banki od strony internetu są nie do złamania. Oczywiście, nie ma rzeczy doskonałych, zaś na dowolnie wysoki mur zawsze znajdzie się odpowiednio długa drabina. Przebicie się przez systemy ochronne banku jest możliwe, zwłaszcza gdy ktoś po stronie działu IT instytucji finansowej zaniedba obowiązki i zostawi intruzom jakąś furtkę.

Jednak generalnie atak na system bankowy rzadko kiedy ma szansę powodzenia, niesie natomiast duże ryzyko wpadki. Dlatego cyberprzestępcy mają na swoich celownikach łatwiejsze ofiary: użytkowników e-bankowości. W tej nierównej wojnie, w której linia frontu zaczyna się już w komputerze klienta, w użyciu są wszelkie dostępne środki. Psychologia, podstęp, zaawansowane narzędzia, inwigilacja – to niektóre przykłady broni z całego arsenału, jakim dysponują nowocześni złodzieje. Jednak użytkownicy bankowości elektronicznej nie są na przegranej pozycji i mają do dyspozycji równie pokaźny zestaw obronny. Nie zawsze jednak są tego świadomi albo nie do końca wiedzą, jak korzystać z dostępnych środków defensywnych.

Loginy i hasła

Główna brama systemów e-banków to uwierzytelnianie użytkownika. Żeby ją pokonać, trzeba podać login i hasło. Pomińmy dywagacje na temat stopnia skomplikowania hasła, bo po pierwsze, banki zwykle narzucają wymagania dotyczące jego minimalnej długości i zestawu znaków, zaś po drugie – cyberprzestępcy starają się przechwycić całe hasło, nie złamać je. Co robią w tym celu? Przejęcie loginu i hasła na linii przeglądarka-serwer jest bardzo trudne, ponieważ wszystkie banki stosują szyfrowanie połączenia protokołem SSL/TLS (adres bezpiecznego serwera zaczyna się wówczas od https://). Dlatego atak trzeba przeprowadzić w słabszym miejscu, wykradając informacje logowania jeszcze zanim zostaną wysłane przez przeglądarkę. Można tego dokonać na dwa sposoby: albo rejestrując i analizując informacje wprowadzane przez użytkownika komputera, albo oszukując go i kierując na odpowiednio spreparowane strony łudząco podobne do stosowanych w witrynie internetowej banku. Pierwsza z tych ewentualności wiąże się z koniecznością włamania się do systemu ofiary i zainstalowania w nim programu szpiegowskiego. Intruz będzie śledził poczynania użytkownika, zapamiętując np. odwiedzane adresy WWW oraz wpisywane informacje. Zebrane dane przekazywane są następnie do serwerów kontrolujących działanie złośliwego oprogramowania lub „jedynie” przechowujących cenne informacje. Złośliwy kod (trojan) może także kierować nieświadomego użytkownika do zupełnie innych serwerów niż wskazanych adresem wpisanym w przeglądarkę. Przekierowanie ruchu odbywa się w tle, a klient banku jest pewien, że odwiedza właściwe miejsce – oczywiście zakładając, że cyberprzestępcy przyłożyli się do swej pracy i przygotowali witrynę będącą idealnym sobowtórem stron logowania banku. Istnieją też trojany dopisujące w przeglądarce swoje treści do zawartości prawdziwych stron e-banków.