IT Bezpieczeństwo: Zapobiegać zamiast leczyć

Patryk Królikowski,
kierownik Działu Bezpieczeństwa,
CompFort Meridian Polska

Wraz z popularyzacją bankowości internetowej lawinowo wzrasta zagrożenie oszustwami i włamaniami do e-banków. Klient, w czasie realizacji bankowych transakcji internetowych przez przeglądarkę, może się zetknąć przede wszystkim z zagrożeniem wykradania numerów kart kredytowych oraz kodów jednorazowych zatwierdzających transakcję. Do tego celu przestępcy używają różnych odmian phishingu.

Jak obecnie wygląda phishing?

Współczesny phishing to już nie namawianie klienta do odwiedzenia fałszywej strony i podania tam swoich danych. Ta metoda przestała być efektywna i polski oddział CERT podaje, że już od ponad dwóch lat nie zanotował zgłoszenia tego typu. Obecnie mechanizm phishingu bazuje na złośliwym oprogramowaniu instalowanym na komputerze ofiary (oczywiście bez jej wiedzy). Infekcja następuje zazwyczaj po odwiedzeniu serwisów internetowych, do których przestępcom udało się dopisać złośliwy kod. Trzeba wiedzieć, że obecnie mogą one znaleźć się na każdej witrynie, nie tylko tych tzw. podejrzanych. Chodzi o to, aby trafiły do jak największej liczby osób, więc przestępcy starają się je zaimplementować we wszystkich popularnych serwisach. Przykładowo, w 2009 r. odwiedzając serwis www.pajacyk.pl, mający ok. 100 tys. użytkowników dziennie, można było zostać zainfekowanym.

Jak się odbywa włamanie

Zainfekowany komputer klienta banku, gdy ten zaloguje się do swojego konta, podmienia stronę banku na fałszywą, z prośbą o podanie kilku kolejnych kodów jednorazowych z karty-zdrapki. Ponieważ prośba wygląda wiarygodnie (bo jest wyświetlana już po zalogowaniu się do serwisu banku), wielu klientów podaje kody, które są następnie wysyłane na serwer kontrolowany przez przestępcę i mogą posłużyć do kradzieży środków z konta.

Na ten rodzaj phishingu są najbardziej narażeni posiadacze kart-zdrapek z jednorazowymi kodami zabezpieczenia, najpowszechniej stosowanego w polskiej bankowości internetowej. Tylko nieliczne banki do zabezpieczeń transakcji wykorzystują bardziej wyrafinowane metody, np. tokeny lub jednorazowe kody SMS. To jednak i tak nie chroni ich klientów przed innymi przestępstwami, które stają się coraz powszechniejsze – podmianą danych w locie (tzw. metoda Man-in-the-Browser). W tym przypadku oszustwo odbywa się podczas dokonywania transakcji. Ofiara wykonuje zdefiniowany przez siebie przelew i w chwili, gdy prosi bank o przesłanie kodu SMS-em, złośliwe oprogramowanie przejmuje prośbę, podmienia dane dotyczące np. kwoty czy adresata przelewu swoimi danymi i wysyła zlecenie do banku. Ofiara wprawdzie dostaje SMS-a, w którym jest potwierdzenie transakcji dokonanej przez przestępcę, lecz jeśli nie zwróci uwagi na jego treść, zaakceptuje nie swoją operację.

Lepsze i gorsze metody autoryzacji

Najsłabszym z zabezpieczeń używanych przez klientów e-bankingu jest karta-zdrapka z kodami cyfrowymi. Nie zabezpiecza ani przed phishingiem, ani przed włamaniem typu Man-in-the-Browser. Nieco lepszy w tym względzie jest token, który zabezpiecza przed phishingiem, choć przed podmianą danych w locie – już nie. Transakcje wymagające wielokrotnego potwierdzania byłyby bardzo ...