Wirtualna kradzież, prawdziwe pieniądze…

Bankowość elektroniczna jest jednym z najszybciej rozwijających się sektorów ekonomii. Daje ona nowe możliwości omijania szerokim łukiem kolejek przy okienkach kasowych, płacenia rachunków przez Internet czy robienia zakupów. Banki starają się coraz bardziej uatrakcyjnić swoje oferty i sprawiać by bankowość była coraz łatwiejsza w użyciu. Jednak wygoda przeważnie nie idzie w parze z bezpieczeństwem, które często musi być zdegradowane na rzecz łatwości obsługi konta przez klienta.

W Polsce zabezpieczenia bankowości elektronicznej stoją na wysokim poziomie. Największe banki, które obsługują większość Polaków stosują po kilka zabezpieczeń, począwszy od lepszego uwierzytelnienia i zabezpieczenia przed podsłuchem podczas logowania, aż po ochronę środków zgromadzonych na koncie. W dalszej części artykułu będę prezentował te zabezpieczenia. Wskażę również co powinien zrobić sam klient, aby ochronić swój dorobek.

Bezpieczeństwo po stronie banku

Banki tworzą coraz doskonalsze metody zabezpieczania kont swoich klientów. Istotne jest jednak to, aby sposoby uwierzytelniania klienta nie były dla niego kłopotliwe w obsłudze, a sam proces logowania nie przebiegał zbyt długo. Obecnie stosowane formy zabezpieczeń omawiam poniżej. Możemy je podzielić na te, które bronią dostępu do samego konta (procesu logowania) oraz te, które chronią nasze środki zgromadzone na koncie i ustawienia konta przed jakąkolwiek zmianą.

Login i hasło

Zarówno login jak i hasło stanowią pierwszą barierę przed nieupoważnionym dostępem do konta. Bank ma tylko częściowy wpływ na to, jak mocne będzie to zabezpieczenie. O ile login zostaje nam najczęściej przydzielony, o tyle hasło musi spełnić pewne standardy wyznaczone przez sam bank. Są to najczęściej:

Ponadto banki starają się zwrócić uwagę klienta (poprzez sekcję FAQ na stronie czy konsultantów telefonicznych, za pośrednictwem których wykonujemy pewne operacje) na to, aby nie udostępniał swojego loginu oraz hasła, a także by nigdzie go nie zapisywał. Bardziej świadomy ryzyka klient to przecież także mniejsze straty dla samego banku. Fakt, że login jest nam z góry nadany nie jest tutaj również bez znaczenia. Gdyby to klient wybierał login, byłby on łatwy do odgadnięcia – na przykład, Anna1978. Bank nadaje zbiór cyfr, czasami także liter, które potencjalnemu atakującemu trudniej zdobyć. Mało prawdopodobne jest także to, że cyberprzestępca odgadnie taki login.

Więcej o problemie słabych haseł do różnych usług wymagających uwierzytelnienia można przeczytać w Dzienniku Analityków Kaspersky Lab: http://viruslist.pl/weblog.html?weblogid=520.

Hasło maskowane

Hasło maskowane ma zapobiec skutkom posiadania w systemie keyloggera lub trojana, który przechwytuje wszystkie znaki, jakie wprowadzamy przy pomocy klawiatury. Metoda ta polega na wymaganiu podania jedynie niektórych znaków z naszego hasła. Za każdym razem system banku prosi o podanie innych znaków. Aby pokazać, jak działa to w praktyce, poniżej prezentuję pewien schemat. Załóżmy, że nasze hasło to Kaspersky:

_**_*_**_

System automatycznie wpisał pięć znaków (*), natomiast nas prosi o podanie pozostałych czterech (_). Będą to oczywiście K, p, r, i. Przy kolejnym logowaniu schemat może się całkowicie zmienić i wymagane mogą być inne znaki:

*_**_*_*_

Tym razem są to a, e, s, i. Dzięki takiemu zabezpieczeniu, nawet w przypadku zainfekowania systemu keyloggerem, atakujący przechwyci jedynie kilka znaków, które nie dadzą mu możliwości zalogowania się na konto, bowiem przy kolejnej próbie na pewno wymagane będą inne znaki.

Klawiatura ekranowa

Klawiatura ekranowa jest znana od dawna, ponieważ stanowi standardowy dodatek wielu systemów operacyjnych. Banki zauważyły wiele korzyści płynących z jej stosowania. Jeżeli użytkownik loguje się do banku z komputera, który jest zainfekowany, jednak stosuje do tego klawiaturę ekranową, to nie ma możliwości by przechwycił jakimś programem treść czy hasła wpisywane na stronie logowania. Znaki z klawiatury ekranowej wybieramy i wciskamy używając myszki, dzięki temu keylogger nie rejestruje żadnej aktywności.


Klawiatura ekranowa wchodząca w skład systemu Windows

Obrazek antyphishingowy

Kolejną metodą, która zwiększa bezpieczeństwo logowania jest obrazek antyphishingowy. Sam sposób jest banalny, ale w swojej prostocie bardzo skuteczny. Jak sama nazwa wskazuje, mechanizm chroni przed wyłudzeniem danych po przekierowaniu klienta na spreparowaną stronę. Użytkownik wybiera (najczęściej w ustawieniach własnego konta) jeden z dostępnych obrazków, który będzie się pojawiał przy każdym logowaniu. Jego brak podczas logowania świadczyć może o tym, że padliśmy ofiarą oszustwa. Wówczas należy jak najszybciej zaprzestać wpisywania jakichkolwiek danych, opuścić witrynę i poinformować o zdarzeniu bank.

Kody jednorazowe

To zabezpieczenie nie chroni bezpośrednio dostępu do konta – banki nie wymagają podawania kodów jednorazowych podczas logowania. Jest to jednak bardzo dobre zabezpieczenie w przypadku kiedy ktoś uzyska nieautoryzowany dostęp do naszego konta. Najpierw jednak kilka słów o samej metodzie. Jak sama nazwa wskazuje mamy do czynienia z kodami, które są wymagane jedynie raz do przeprowadzenia newralgicznej dla konta procedury np. przelewu czy zmiany danych. Po jednorazowym użyciu kod staje się nieważny. Klient może uzyskać taki kod na kilka sposobów:


Karta z kodami jednorazowymi w postaci zdrapek

Token generujący hasła jednorazowe

Dzięki kodom jednorazowym, nawet w przypadku przejęcia loginu i hasła do konta, atakujący nie będzie w stanie przelać pieniędzy na własny rachunek. Nie znaczy to oczywiście, że daje to 100% zabezpieczenie przed kradzieżą. Żaden system nie daje takiej gwarancji. Ponadto ważne jest też, aby chronić także te dane, które widoczne są już po zalogowaniu się na konto i nie wymagają kodów jednorazowych (o czym napiszę później).

Certyfikaty

Certyfikat jest jednym z najważniejszych zabezpieczeń, ponieważ pozwala stwierdzić autentyczność witryny i jej przynależność do banku. Należy zwrócić uwagę, że samo szyfrowanie (https w pasku adresu), nie oznacza, że strona jest zabezpieczona poprzez certyfikat wystawiony przez jedno z centrów certyfikacyjnych. Podczas logowania na konto warto przyjrzeć się temu szczegółowi, zwłaszcza jeżeli dokonujemy zakupów przez sieć i sklep internetowy przekierowuje nas do strony logowania banku. Poniżej znajduje się przykład autentycznego certyfikatu:


Certyfikat

Ponadto banki starają się informować swoich klientów o sytuacjach, które mogą być ryzykowne, jak logowanie się na konto z kawiarenki internetowej czy z miejsca pracy. Nie mając pewności, czy ktoś nie monitoruje naszych czynności przeprowadzanych w sieci, nie powinniśmy ryzykować i zaprzestać logowania.

Co może zrobić klient?

Sam klient nie jest zdany jedynie na łaskę banków i stosowane przez nie metody zabezpieczające. Można się nawet pokusić o stwierdzenie, że to od samego klienta zależy tak naprawdę bezpieczeństwo jego konta. To człowiek jest najsłabszym ogniwem we wszystkich zabezpieczeniach elektronicznych. Podatny na sugestię i oddziaływanie cyberprzestępców, instalujący przypadkowe programy okazujące się szkodliwymi aplikacjami, logujący się z różnych miejsc do konta. Poniżej wymienię najważniejsze warunki, jakie powinny zostać spełnione, aby nie zastać swojego konta pustego.

A jednak się da… Przypadki włamań na bankowe konta internetowe

Chociaż zabezpieczenia bankowości internetowej uchodzą ogólnie za bardzo dobre, to w przypadku nieprzestrzegania pewnych wzorców zachowań i łamaniu zasad bezpiecznego korzystania z sieci, jej bezpieczeństwo może być złudne. Poniżej prezentuję kilka sytuacji wziętych z życia, gdzie klienci banków stali się ofiarami oszustów i złodziei. Szczególnie pierwsza historia daje nam do myślenia, zwłaszcza w kontekście tego, o czym pisałem wcześniej (dlaczego wszystkie dane dotyczące naszej tożsamości jak i rachunku bankowego powinny być niedostępne dla innych).

  1. Znany prezenter telewizyjny, Jeremy Clarkson prowadzący m.in. program motoryzacyjny Top Gear, w jednym z odcinków programu, w którym mowa była o głośnej w listopadzie 2007 sprawie utraty danych osobowych 25 milionów Brytyjczyków przez HM Revenue & Customs (Brytyjski Urząd Podatkowy i Celny), stwierdził, że media robią niepotrzebny szum w sprawie zaginięcia tych danych. Aby udowodnić swoją rację, iż takie dane nikomu się nie przydadzą podał numer swojego konta oraz inne dane osobowe. Bardzo szybko się jednak zdziwił i odwołał wszystko o czym mówił na temat nieistotności zaginionych danych. Do zmiany poglądu przyczyniło się zniknięcie 500 funtów z jego konta, nawet bank nie był w stanie stwierdzić jak dokładnie do tego doszło. Pieniądze zostały przelane na konto organizacji British Diabetic Association. Oto co powiedział Jeremy Clarkson po zajściu:

    „Bank nie był w stanie stwierdzić kto to zrobił i nie mógłby go powstrzymać przed zrobieniem tego ponownie. Myliłem się i zostałem ukarany za swój błąd.”

  2. W Szwecji bardzo popularny jest bank Nordea. Na początku 2008 roku stał się on celem licznych ataków, w wyniku których ucierpiała część klientów. Łączne straty jakich doświadczył bank sięgnęły miliona euro. Wprawdzie w oświadczeniu dla mediów bank przyznał, że zagrożenie nie dotyczy polskich klientów banku (dzięki nowocześniejszym od skandynawskich zabezpieczeń stosowanych w Polsce), jednak wiele osób wyrażało obawy o swoje środki zgromadzone na koncie. Atak przeprowadzany był za pomocą trojana wysyłanego pocztą elektroniczną.
  3. W marcu i kwietniu 2008 do klientów banku BZ WBK rozsyłane były fałszywe wiadomości, które prowadziły do witryny z formularzem. Jego wypełnienie skutkowało wysłaniem danych do oszusta, a nie do banku. Pierwsza fala wiadomości była przygotowana mało starannie, druga natomiast mogła zostać odebrana przez wielu klientów jako autentyczna informacja z banku. Ten przypadek opiszę bardziej szczegółowo później, w celu zobrazowania czym jest phishing w odniesieniu do bankowości elektronicznej.
  4. Bardzo groźny atak został przeprowadzony na klientów banku PKO BP w czerwcu 2008. Początkowo użytkownik był zachęcany do aktualizacji aplikacji Flash Player, która to jest potrzebna do przeglądania wielu witryn. Plik ten jednak był trojanem, który zmieniał w systemie plik hosts, przez co przy wpisywaniu adresu banku w przeglądarce, użytkownik był zawsze przekierowany na fałszywą stronę banku. Po wpisaniu loginu i hasła, pojawiała się kolejna strona, na której trzeba było wpisać 5 kolejnych kodów jednorazowych ze zdrapki. Jeżeli ktoś to zrobił, dał przestępcy nie tylko login i hasło do konta, ale także możliwość wykonania przelewu z własnych środków, na konto oszusta.

Powyższe przykłady bardzo dobitnie pokazują, że niestosowanie się do zaleceń banku, a przede wszystkim brak rozwagi w tym co się robi i nieświadomość zagrożeń, może doprowadzić do sporych kłopotów.

Jak oni to robią?

Wspominałem już o tym, że banki stosują bardzo dobre zabezpieczenia. Ktoś może się zdziwić, dlaczego w takim razie dochodzi do kradzieży w bankowości elektronicznej. Dochodzi do nich, gdyż najsłabszym ogniwem tych zabezpieczeń jest człowiek. Jesteśmy podatni na manipulację i wpływ innych. To właśnie poprzez taką manipulację, cyberprzestępca stara się uzyskać dostęp do konta. Oczywiście istnieją metody bardziej wyrafinowane, ale mało kto je stosuje, ponieważ są trudniejsze do przeprowadzenia i nie dają szansy na zaatakowanie wielu osób na raz.

Socjotechnika

„…To czynnik ludzki jest piętą achillesową systemów bezpieczeństwa …Częściej jednak ataki takie są skuteczne [socjotechniczne], ponieważ ludzie nie rozumieją sprawdzonych zasad bezpieczeństwa.”

Powyższe zdanie pochodzi z książki „Sztuka podstępu”, napisanej przez Kevina Mitnicka. Opisuje on w niej jak wielkim niebezpieczeństwem może być sam człowiek i jak łatwo można kogoś przekonać do tego by podał hasło czy login. Szczególnie dobrze znane i najczęściej używane metody, które zostały opisane przez psychologów to „stopa w drzwiach” oraz „drzwiami w twarz”. Pierwsza polega na poprzedzaniu naszej prośby, innymi mniej istotnymi. Dzięki temu nie ma dużego kontrastu między kolejnymi prośbami i osoba je spełniająca nie czuje z tego powodu dyskomfortu. Druga metoda jest odwrotna. Ofiara proszona jest o spełnienie prośby, która jest wygórowana w stosunku do tej właściwej. Taki zabieg sprawia, że osoba ulegająca socjotechnikowi nie chce odmawiać kolejny raz, podając te dane, które faktycznie są mu potrzebne.

Zjawisko socjotechniki jest szczególnie groźne w dzisiejszych czasach, bowiem obecnie bardzo łatwo poprzez czaty, komunikatory czy fora internetowe nawiązać znajomość z obcymi dla nas osobami. Poznając kogoś przez Sieć należy zachować ostrożność i nigdy nie odpowiadać na pytania będące z pozoru niegroźne, dotyczące banku w jakim mamy konto czy też stosowanych przezeń metod uwierzytelniania np. kody jednorazowe na karcie lub przez token.

Phishing

Jedną z najczęściej stosowanych metod ataku na banki jest phishing. Phishing to zwrot wskazujący na łowienie (fishing), lecz zapisany w anglojęzycznej „gwarze” internetowej, gdzie literę F zapisuje się często jako PH. Metoda ta ma faktycznie wiele wspólnego z łowieniem. Atakujący wysyła najpierw masowo maile skierowane do konkretnej grupy osób. Wiadomość zazwyczaj graficznie prezentuje się tak, jakby została nadana przez daną instytucję (np. bank). Posiada treść skierowaną do klienta, grafika przypomina tę ze strony banku. W wiadomości takiej znajduje się także link, będący kluczem do sukcesu atakującego i do porażki ofiary. Link do witryny banku może nie wzbudzać podejrzeń, jednak po szczegółowym przyjrzeniu się mu widać, że nie prowadzi do witryny banku, który rzekomo ją wysłał lecz zupełnie gdzieś indziej. Po kliknięciu zostajemy przekierowani na fałszywą witrynę lub pobrany zostaje trojan modyfikujący DNS lub plik hosts. Witryna przypomina zawsze prawdziwą stronę banku, gdzie możemy się zalogować. Różnica jest taka, że wszystko co wpisujemy wysyłane jest do cyberprzestępcy. Aby lepiej zobrazować tę metodę, posłużę się przykładem wcześniej wspomnianego banku BZ WBK.

Początkowo, w marcu 2008 rozsyłane były wiadomości mające znamiona phishingu, na które mało kto dałby się nabrać z kilku prostych powodów. Jak widać poniżej – strona była przygotowana niedbale od strony graficznej a do tego w języku angielskim. Pomijając fakt, że ktoś mógł najzwyczajniej w świecie nie znać angielskiego, to raczej każdemu wyda się podejrzane, że bank na terenie Polski pisze do polskich klientów wiadomości w obcym języku.


Przykład phishingu

Atak ten nie wywołał większego zamieszania wśród użytkowników banku. Niestety niedługo po tym, w sieci zaczęła pojawiać się kolejna wiadomość, tym razem przygotowana bardziej starannie. Była napisana po polsku, grafika bardziej przypominała autentyczną wiadomość od banku a link nie rzucał się w oczy jako fałszywy.


Przykład phishingu

Na powyższym obrazku widać bardzo dobrze to o czym wspominałem wcześniej. Widoczny link o treści „Kliknij tutaj, aby uaktywnić konto”, to w rzeczywistości odsyłacz, którego prawdziwy adres widzimy w czerwonej ramce. Nie ma on nic wspólnego z bankiem. Po kliknięciu odnośnika, użytkownik zostaje przekierowany na poniższą stronę, która okazuje się być formularzem. Jego wypełnienie i wysłanie pozwoliłoby atakującemu uzyskanie cennych informacji, które mogłyby posłużyć do włamania na konto.


Przykład phishingu

Phishing jest pewną formą socjotechniki, ponieważ zachęca użytkownika (pod pretekstem blokady konta lub nieprawidłowych operacji) do kliknięcia odnośnika i wypełnienia formularza/podania kodów jednorazowych czy numeru karty kredytowej (bywają i takie wiadomości phishingowe). Najważniejsze jest uświadomienie sobie, że banki nigdy nie wysyłają tego typu próśb drogą elektroniczną. Nigdy nie proszą o podanie maila, daty urodzenia, hasła czy loginu. Nie proszą też o kody jednorazowe. Jedyne maile jakie można otrzymać od banku to oferta handlowa, ewentualnie wyciąg z naszego konta. Więcej o phishingu i jego różnych formach przeczytać można w artykule „Phishing, pharming i sieci zombie – to czego nie wiesz o swoim komputerze”: http://viruslist.pl/analysis.html?newsid=522.

Inne wyjście?

Istnieją systemy, które znacząco zwiększają bezpieczeństwo naszych oszczędności. W przypadku zagranicznych sklepów internetowych typu rozwiązaniem jest dokonywanie płatności przez specjalny system, na przykład PayPal. Jest to akceptowany na całym świecie system płatności, który ma za zadanie zwiększyć bezpieczeństwo prowadzenia zakupów online. Pieniądze mogą być wysłane do osoby, która posiada konto w PayPal. System ten oferuje wyjątkowo wysokie standardy bezpieczeństwa.

PayPal pośredniczy i obsługuje aukcje elektroniczne (np. eBay). Do niedawna, mimo obecności tego systemu w Polsce, jego użytkownicy nie mogli wykonywać transakcji innych niż wpłata pieniędzy innym użytkownikom. Obecnie możliwa jest również wypłata środków zgromadzonych na koncie, dzięki czemu PayPal zyskuje coraz większą popularność w naszym kraju. Warto się więc zastanowić nad korzystaniem z tego typu usług, zwłaszcza jeżeli robimy często zakupy w sieci, a w szczególności w sklepach zagranicznych.

Alternatywą dla wspomnianej wyżej usługi może być system Epassporte. Działa on na zasadzie wirtualnej karty, na której lokujemy pieniądze i możemy z nich skorzystać podczas zakupów w sklepach obsługujących kartę Visa. System ten można porównać do telefonu na kartę, który możemy w każdej chwili doładować konto i natychmiast korzystać z naszych środków. W tym przypadku pieniądze są przelewane na wirtualną kartę, przy użyciu której możemy dokonywać płatności w sieci, a także wypłacać pieniądze w różnych krajach. Jest to o tyle bezpieczne, że do dyspozycji są jedynie środki wpłacone na wirtualną kartę. Jeżeli zaś chodzi o zabezpieczenia, to są podobne do tych stosowanych w systemie PayPal. Tutaj także mamy monitorowane podejrzane działalności czy ochronę poufnych danych.

Jeszcze jednym pomysłem na zwiększenie bezpieczeństwa zakupów online jest założenie subkonta w ramach naszego głównego konta bankowego. Możliwość taką oferują praktycznie wszystkie banki. Mechanizm działa następująco.

Dzięki takiemu prostemu mechanizmowi nie musimy się obawiać, że numer karty zamówionej dla subkonta zostanie przechwycony. Nawet jeżeli tak się stanie, cyberprzestępca nie będzie miał dostępu do naszych pieniędzy, ponieważ znajdują się one na subkoncie tylko przez krótką chwilę.

Jak kupować to z głową…

Na koniec chciałbym przytoczyć kilka zasad bezpiecznego kupowania w sieci:

Przykładem takiej atrakcyjnej oferty kupna może być przypadek kupującego z Nigerii, na który swego czasu osoby wystawiające aukcje internetowe napotykały bardzo często:

„Hi Seller, My name is Mrs faith eric from the Spain,i saw your item on the Auction,I am interested in buying the item from you,provided its in good working condition and quality am ready to add US$30.00 to the price listed so as to close the auction on the items which is needed urgentlly by a client of mine in Africa.Expecting your reply ASAP so as to proceed with the payment via Bidpay Auction Payments,Let me know if my offer is okay. Thanks Mrs Faith Eric.”

Tłumaczenie:

„Drogi Sprzedawco. Nazywam się Faith Eric i jestem z Hiszpanii. Natknęłam się na Twoją aukcję i jestem zainteresowana zakupem pod warunkiem, że przedmiot jest w dobrym stanie i wysokiej jakości. Jestem w stanie zapłacić o 30 dolarów więcej niż oczekujesz, jeżeli zamkniesz aukcję przed czasem – mój klient z Afryki potrzebuje pilnie sprzedawanego przez Ciebie produktu. Oczekuję na jak najszybszą odpowiedź, po odebraniu której rozpocznę starania związane z płatnością za pośrednictwem Bidpay Auction Payments. Proszę o informację, czy moja oferta jest atrakcyjna. Dziękuję, Faith Eric.”

Oczywiście wszystko to okazywało się oszustwem. Ktoś pisał maile do osób wystawiających drogi sprzęt elektroniczny, np. telefony komórkowe i dawał bardzo korzystną cenę za towar. Było w tym wiele niejasności, ostatecznie jednak osoby, które zdecydowały się wysłać towar nie otrzymały ani grosza. Dlatego należy podchodzić z rezerwą do takich ofert.

Podsumowując – jeżeli nie zadbamy o nasze pieniądze, ktoś „zrobi” to za nas…

Źródło: Kaspersky Lab