„Prosimy o jak najszybsze zalogowanie się oraz sprawdzenie naszego nowego systemu” – e-maile o takiej treści trafiły dwa lata temu do skrzynek pocztowych klientów Citibanku. Nadawca podawał się za pracownika tegoż banku. W elektronicznym liście podał link do prawdziwej strony banku: www.online.citibank.pl. Jednak osoby, które na niego kliknęły, trafiały nie na stronę Citibanku, lecz na witrynę do złudzenia ją przypominającą. Zaraz po tym jak klient spróbował się zalogować na swoje konto, podając hasło PIN i numer karty kredytowej, na stronie wyświetlał się komunikat o błędzie. A PIN i numer karty były już w rękach hakerów. Ofiarami podobnej akcji padli też klienci Inteligo. W zeszłym roku łupem oszustów padły konta internetowe w Banku Przemysłowo-Handlowym. Złodzieje wykorzystali program szpiegujący, który instalował się na komputerze bez wiedzy użytkownika. Wystarczyło wejść na zainfekowaną stronę WWW. „Szpieg” potrafił odczytać dane wpisywane z klawiatury – np. hasło i login, a kiedy złodzieje już je dostali, przelewali pieniądze na konta podstawionych osób. Nieoficjalnie mówi się, że straty klientów sięgnęły 1 mln zł.
Takie przypadki wyprowadzenia pieniędzy z kont internetowych, mogą skutecznie zniechęcić użytkowników od korzystania z nich, ale trzymanie pieniędzy w portfelu wcale nie jest bezpieczniejsze. Zwłaszcza że po ostatnim ataku na BPH podejście w bankach bardzo się zmieniło i oszust – nawet jeżeli pozna nasz login i hasło – ma ograniczone możliwości, by uszczknąć coś z sumki zgromadzonej na koncie. Wyjątkiem jest np. Citibank, w którym transakcje z konta internetowego zabezpieczone są tylko numerem karty oraz numerem PIN.
Pierwsze zabezpieczenie brzmi niemal jak magiczne zaklęcie: protokół SSL ze 128-bitowym kluczem szyfrującym. W praktyce oznacza to, że połączenie z kontem – czyli przesyłanie danych od klienta do banku i odwrotnie – jest transmisją zaszyfrowaną. Sęk w tym, że oszuści raczej nie atakują infrastruktury bankowej. Z prostego powodu – w porównaniu z pecetem przeciętnego użytkownika banki to istna forteca najeżona systemami firewalli czy systemami do wykrywania intruzów. O wiele prostszym celem jest klient banku – nawet najlepszy szyfrujący protokół będzie bezradny, jeśli oszustowi uda się zainstalować na naszym komputerze program szpiegujący, który przechwyci dane przed zaszyfrowaniem.
Więcej w dzisiejszym wydaniu „Gazety Wyborczej” w artykule „Jak bezpiecznie płacić przez internet”. Tomasz Grynkiewicz opisuje zabezpieczenia stosowane przez banki oraz radzi jak chronić pieniądze na własną rękę.