I ty możesz być ofiarą cyberprzestępców
Napady na bank wciąż się zdarzają, ale skoki na naprawdę dużą kasę należą do rzadkości, bo są wysoce ryzykowne, wymagają długich przygotowań, sprzętu i najlepszej ekipy. Co innego napaść na klienta banku - prosto, szybko i bez dużego ryzyka. Tak samo jest z bankowością elektroniczną.
Można z dużą pewnością przyjąć, że zabezpieczenia stosowane przez banki od strony internetu są nie do złamania. Oczywiście, nie ma rzeczy doskonałych, zaś na dowolnie wysoki mur zawsze znajdzie się odpowiednio długa drabina.
Przebicie się przez systemy ochronne banku jest możliwe, zwłaszcza gdy ktoś po stronie działu IT instytucji finansowej zaniedba obowiązki i zostawi intruzom jakąś furtkę. Jednak generalnie atak na system bankowy rzadko kiedy ma szansę powodzenia, niesie natomiast duże ryzyko wpadki.
Dlatego cyberprzestępcy mają na swoich celownikach łatwiejsze ofiary: użytkowników e-bankowości. W tej nierównej wojnie, w której linia frontu zaczyna się już w komputerze klienta, w użyciu są wszelkie dostępne środki. Psychologia, podstęp, zaawansowane narzędzia, inwigilacja - to niektóre przykłady broni z całego arsenału, jakim dysponują nowocześni złodzieje.
Jednak użytkownicy bankowości elektronicznej nie są na przegranej pozycji i mają do dyspozycji równie pokaźny zestaw obronny. Nie zawsze jednak są tego świadomi albo nie do końca wiedzą, jak korzystać z dostępnych środków defensywnych.
Główna brama systemów e-banków to uwierzytelnianie użytkownika. Żeby ją pokonać, trzeba podać login i hasło. Pomińmy dywagacje na temat stopnia skomplikowania hasła, bo po pierwsze, banki zwykle narzucają wymagania dotyczące jego minimalnej długości i zestawu znaków, zaś po drugie - cyberprzestępcy starają się przechwycić całe hasło, nie złamać je. Co robią w tym celu? Przejęcie loginu i hasła na linii przeglądarka-serwer jest bardzo trudne, ponieważ wszystkie banki stosują szyfrowanie połączenia protokołem SSL/TLS (adres bezpiecznego serwera zaczyna się wówczas od https://).
Dlatego atak trzeba przeprowadzić w słabszym miejscu, wykradając informacje logowania jeszcze zanim zostaną wysłane przez przeglądarkę. Można tego dokonać na dwa sposoby: albo rejestrując i analizując informacje wprowadzane przez użytkownika komputera, albo oszukując go i kierując na odpowiednio spreparowane strony łudząco podobne do stosowanych w witrynie internetowej banku.
Pierwsza z tych ewentualności wiąże się z koniecznością włamania się do systemu ofiary i zainstalowania w nim programu szpiegowskiego. Intruz będzie śledzić poczynania użytkownika, zapamiętując np. odwiedzane adresy WWW oraz wpisywane informacje.
Zebrane dane przekazywane są następnie do serwerów kontrolujących działanie złośliwego oprogramowania lub "jedynie" przechowujących cenne informacje. Złośliwy kod (trojan) może także kierować nieświadomego użytkownika do zupełnie innych serwerów niż wskazanych adresem wpisanym w przeglądarkę.
Przekierowanie ruchu odbywa się w tle, a klient banku jest pewien, że odwiedza właściwe miejsce - oczywiście zakładając, że cyberprzestępcy przyłożyli się do swej pracy i przygotowali witrynę będącą idealnym sobowtórem stron logowania banku. Istnieją też trojany dopisujące w przeglądarce swoje treści do zawartości prawdziwych stron e-banków.
Drugi scenariusz ataku zwany jest phishingiem i opiera się na psychologicznych sztuczkach, które usypiają czujność ofiary i nakłaniają do wyjawienia danych logowania. Phishing przybiera różne formy, najczęściej jest to fałszywa wiadomość e-mail podszywająca się pod bankową korespondencję.
Treść zazwyczaj informuje odbiorcę o rzekomych pracach modernizacyjnych systemu bankowego, jego awarii czy konieczności weryfikacji jakichś danych, po czym umieszczane jest łącze do strony logowania bądź innego formularza, który wymaga podania m.in. danych logowania.
Oczywiście docelowy serwer jest pułapką, sidłami zastawionymi na nieostrożnych użytkowników skłonnych uwierzyć w nietypowe życzenie banku i nieuważnych na tyle, że nie dostrzegą różnicy w adresie strony WWW czy braku szyfrowania (zdarzają się witryny oszustów niejako pośredniczące w przekazywaniu danych do i z prawdziwej witryny banku, ale wtedy klient widzi połączenie jako niezaszyfrowane). Nie jesteśmy jednak bezbronni wobec obu wspomnianych metod ataku.
Jeśli stosujemy się do podstawowych zasad bezpieczeństwa w sieci, powinniśmy być spokojni. Dbanie o właściwą kondycję systemu uchroni przed nieproszonymi gośćmi, o ile rzecz jasna będzie to szło w parze ze zwykłym zdrowym rozsądkiem i czujnością. Żaden program zabezpieczający nie ochroni przecież przed nieostrożnością lub wręcz głupotą użytkownika, którego ciekawość popchnie do otwarcia podejrzanego załącznika wiadomości albo kliknięcia dziwnego odnośnika do nieznanej strony. Banki nie pozostają bezczynne wobec nowych zagrożeń czyhających na ich klientów.
Oprócz szyfrowania transmisji stosują cyfrowe podpisywanie e-maili, by odbiorca miał pewność co do tożsamości nadawcy, umieszczają na stronach logowania tzw. klawiaturę ekranową, która utrudnia zarejestrowanie informacji logowania przez keyloggery (wprowadzanie danych odbywa się klikaniem myszą na klawiaturze wyświetlanej w przeglądarce), wzmocnioną dodatkowo maskowaniem (użytkownik jest proszony o podanie jedynie wskazanych kilku znaków z całego hasła). Wykorzystują też hasła jednorazowe - zarówno podczas logowania, jak i do potwierdzania operacji w systemie transakcyjnym, co stanowi kolejną barierę dla przestępców, którym uda się przejąć dane logowania i uzyskają dostęp do konta.
Dariusz Rzeźnicki
Pobierz: program PIT 2010