Wirtualna kradzie偶, prawdziwe pieni膮dze...

Maciej Ziarek
Analityk, Kaspersky Lab Polska

Bankowo艣膰 elektroniczna jest jednym z najszybciej rozwijaj膮cych si臋 sektor贸w ekonomii. Daje ona nowe mo偶liwo艣ci omijania szerokim 艂ukiem kolejek przy okienkach kasowych, p艂acenia rachunk贸w przez Internet czy robienia zakup贸w. Banki staraj膮 si臋 coraz bardziej uatrakcyjni膰 swoje oferty i sprawia膰 by bankowo艣膰 by艂a coraz 艂atwiejsza w u偶yciu. Jednak wygoda przewa偶nie nie idzie w parze z bezpiecze艅stwem, kt贸re cz臋sto musi by膰 zdegradowane na rzecz 艂atwo艣ci obs艂ugi konta przez klienta.

W Polsce zabezpieczenia bankowo艣ci elektronicznej stoj膮 na wysokim poziomie. Najwi臋ksze banki, kt贸re obs艂uguj膮 wi臋kszo艣膰 Polak贸w stosuj膮 po kilka zabezpiecze艅, pocz膮wszy od lepszego uwierzytelnienia i zabezpieczenia przed pods艂uchem podczas logowania, a偶 po ochron臋 艣rodk贸w zgromadzonych na koncie. W dalszej cz臋艣ci artyku艂u b臋d臋 prezentowa艂 te zabezpieczenia. Wska偶臋 r贸wnie偶 co powinien zrobi膰 sam klient, aby ochroni膰 sw贸j dorobek.

Bezpiecze艅stwo po stronie banku

Banki tworz膮 coraz doskonalsze metody zabezpieczania kont swoich klient贸w. Istotne jest jednak to, aby sposoby uwierzytelniania klienta nie by艂y dla niego k艂opotliwe w obs艂udze, a sam proces logowania nie przebiega艂 zbyt d艂ugo. Obecnie stosowane formy zabezpiecze艅 omawiam poni偶ej. Mo偶emy je podzieli膰 na te, kt贸re broni膮 dost臋pu do samego konta (procesu logowania) oraz te, kt贸re chroni膮 nasze 艣rodki zgromadzone na koncie i ustawienia konta przed jak膮kolwiek zmian膮.

Login i has艂o

Zar贸wno login jak i has艂o stanowi膮 pierwsz膮 barier臋 przed nieupowa偶nionym dost臋pem do konta. Bank ma tylko cz臋艣ciowy wp艂yw na to, jak mocne b臋dzie to zabezpieczenie. O ile login zostaje nam najcz臋艣ciej przydzielony, o tyle has艂o musi spe艂ni膰 pewne standardy wyznaczone przez sam bank. S膮 to najcz臋艣ciej:

  • Wym贸g stosowania has艂a sk艂adaj膮cego si臋 z przynajmniej 7 znak贸w (w zale偶no艣ci od banku, to minimum mo偶e wynosi膰 nawet 10 znak贸w)
  • Has艂o musi zawiera膰 cyfry, ma艂e i du偶e litery oraz znaki specjalne

Ponadto banki staraj膮 si臋 zwr贸ci膰 uwag臋 klienta (poprzez sekcj臋 FAQ na stronie czy konsultant贸w telefonicznych, za po艣rednictwem kt贸rych wykonujemy pewne operacje) na to, aby nie udost臋pnia艂 swojego loginu oraz has艂a, a tak偶e by nigdzie go nie zapisywa艂. Bardziej 艣wiadomy ryzyka klient to przecie偶 tak偶e mniejsze straty dla samego banku. Fakt, 偶e login jest nam z g贸ry nadany nie jest tutaj r贸wnie偶 bez znaczenia. Gdyby to klient wybiera艂 login, by艂by on 艂atwy do odgadni臋cia - na przyk艂ad, Anna1978. Bank nadaje zbi贸r cyfr, czasami tak偶e liter, kt贸re potencjalnemu atakuj膮cemu trudniej zdoby膰. Ma艂o prawdopodobne jest tak偶e to, 偶e cyberprzest臋pca odgadnie taki login.

Wi臋cej o problemie s艂abych hase艂 do r贸偶nych us艂ug wymagaj膮cych uwierzytelnienia mo偶na przeczyta膰 w Dzienniku Analityk贸w Kaspersky Lab: http://viruslist.pl/weblog.html?weblogid=520.

Has艂o maskowane

Has艂o maskowane ma zapobiec skutkom posiadania w systemie keyloggera lub trojana, kt贸ry przechwytuje wszystkie znaki, jakie wprowadzamy przy pomocy klawiatury. Metoda ta polega na wymaganiu podania jedynie niekt贸rych znak贸w z naszego has艂a. Za ka偶dym razem system banku prosi o podanie innych znak贸w. Aby pokaza膰, jak dzia艂a to w praktyce, poni偶ej prezentuj臋 pewien schemat. Za艂贸偶my, 偶e nasze has艂o to Kaspersky:

_**_*_**_

System automatycznie wpisa艂 pi臋膰 znak贸w (*), natomiast nas prosi o podanie pozosta艂ych czterech (_). B臋d膮 to oczywi艣cie K, p, r, i. Przy kolejnym logowaniu schemat mo偶e si臋 ca艂kowicie zmieni膰 i wymagane mog膮 by膰 inne znaki:

*_**_*_*_

Tym razem s膮 to a, e, s, i. Dzi臋ki takiemu zabezpieczeniu, nawet w przypadku zainfekowania systemu keyloggerem, atakuj膮cy przechwyci jedynie kilka znak贸w, kt贸re nie dadz膮 mu mo偶liwo艣ci zalogowania si臋 na konto, bowiem przy kolejnej pr贸bie na pewno wymagane b臋d膮 inne znaki.

Klawiatura ekranowa

Klawiatura ekranowa jest znana od dawna, poniewa偶 stanowi standardowy dodatek wielu system贸w operacyjnych. Banki zauwa偶y艂y wiele korzy艣ci p艂yn膮cych z jej stosowania. Je偶eli u偶ytkownik loguje si臋 do banku z komputera, kt贸ry jest zainfekowany, jednak stosuje do tego klawiatur臋 ekranow膮, to nie ma mo偶liwo艣ci by przechwyci艂 jakim艣 programem tre艣膰 czy has艂a wpisywane na stronie logowania. Znaki z klawiatury ekranowej wybieramy i wciskamy u偶ywaj膮c myszki, dzi臋ki temu keylogger nie rejestruje 偶adnej aktywno艣ci.


Klawiatura ekranowa wchodz膮ca w sk艂ad systemu Windows

Obrazek antyphishingowy

Kolejn膮 metod膮, kt贸ra zwi臋ksza bezpiecze艅stwo logowania jest obrazek antyphishingowy. Sam spos贸b jest banalny, ale w swojej prostocie bardzo skuteczny. Jak sama nazwa wskazuje, mechanizm chroni przed wy艂udzeniem danych po przekierowaniu klienta na spreparowan膮 stron臋. U偶ytkownik wybiera (najcz臋艣ciej w ustawieniach w艂asnego konta) jeden z dost臋pnych obrazk贸w, kt贸ry b臋dzie si臋 pojawia艂 przy ka偶dym logowaniu. Jego brak podczas logowania 艣wiadczy膰 mo偶e o tym, 偶e padli艣my ofiar膮 oszustwa. W贸wczas nale偶y jak najszybciej zaprzesta膰 wpisywania jakichkolwiek danych, opu艣ci膰 witryn臋 i poinformowa膰 o zdarzeniu bank.

Kody jednorazowe

To zabezpieczenie nie chroni bezpo艣rednio dost臋pu do konta - banki nie wymagaj膮 podawania kod贸w jednorazowych podczas logowania. Jest to jednak bardzo dobre zabezpieczenie w przypadku kiedy kto艣 uzyska nieautoryzowany dost臋p do naszego konta. Najpierw jednak kilka s艂贸w o samej metodzie. Jak sama nazwa wskazuje mamy do czynienia z kodami, kt贸re s膮 wymagane jedynie raz do przeprowadzenia newralgicznej dla konta procedury np. przelewu czy zmiany danych. Po jednorazowym u偶yciu kod staje si臋 niewa偶ny. Klient mo偶e uzyska膰 taki kod na kilka sposob贸w:

  • Przy pomocy karty kod贸w, na kt贸rej jest umieszczonych kilkadziesi膮t kod贸w, przykrytych foli膮 zabezpieczaj膮c膮, zdzieran膮 w momencie uzyskiwania dost臋pu do konkretnego kodu.


Karta z kodami jednorazowymi w postaci zdrapek

  • Za pomoc膮 wiadomo艣ci SMS, wysy艂anej na wcze艣niej wskazany przez klienta nr telefonu kom贸rkowego.
  • Przy pomocy tokenu, kt贸ry sam generuje kody jednorazowe, wa偶ne jedynie przez minut臋. Po up艂ywie tego czasu, wy艣wietlany jest nowy kod a stary jest uniewa偶niany.


Token generuj膮cy has艂a jednorazowe

Dzi臋ki kodom jednorazowym, nawet w przypadku przej臋cia loginu i has艂a do konta, atakuj膮cy nie b臋dzie w stanie przela膰 pieni臋dzy na w艂asny rachunek. Nie znaczy to oczywi艣cie, 偶e daje to 100% zabezpieczenie przed kradzie偶膮. 呕aden system nie daje takiej gwarancji. Ponadto wa偶ne jest te偶, aby chroni膰 tak偶e te dane, kt贸re widoczne s膮 ju偶 po zalogowaniu si臋 na konto i nie wymagaj膮 kod贸w jednorazowych (o czym napisz臋 p贸藕niej).

Certyfikaty

Certyfikat jest jednym z najwa偶niejszych zabezpiecze艅, poniewa偶 pozwala stwierdzi膰 autentyczno艣膰 witryny i jej przynale偶no艣膰 do banku. Nale偶y zwr贸ci膰 uwag臋, 偶e samo szyfrowanie (https w pasku adresu), nie oznacza, 偶e strona jest zabezpieczona poprzez certyfikat wystawiony przez jedno z centr贸w certyfikacyjnych. Podczas logowania na konto warto przyjrze膰 si臋 temu szczeg贸艂owi, zw艂aszcza je偶eli dokonujemy zakup贸w przez sie膰 i sklep internetowy przekierowuje nas do strony logowania banku. Poni偶ej znajduje si臋 przyk艂ad autentycznego certyfikatu:


Certyfikat

Ponadto banki staraj膮 si臋 informowa膰 swoich klient贸w o sytuacjach, kt贸re mog膮 by膰 ryzykowne, jak logowanie si臋 na konto z kawiarenki internetowej czy z miejsca pracy. Nie maj膮c pewno艣ci, czy kto艣 nie monitoruje naszych czynno艣ci przeprowadzanych w sieci, nie powinni艣my ryzykowa膰 i zaprzesta膰 logowania.

Co mo偶e zrobi膰 klient?

Sam klient nie jest zdany jedynie na 艂ask臋 bank贸w i stosowane przez nie metody zabezpieczaj膮ce. Mo偶na si臋 nawet pokusi膰 o stwierdzenie, 偶e to od samego klienta zale偶y tak naprawd臋 bezpiecze艅stwo jego konta. To cz艂owiek jest najs艂abszym ogniwem we wszystkich zabezpieczeniach elektronicznych. Podatny na sugesti臋 i oddzia艂ywanie cyberprzest臋pc贸w, instaluj膮cy przypadkowe programy okazuj膮ce si臋 szkodliwymi aplikacjami, loguj膮cy si臋 z r贸偶nych miejsc do konta. Poni偶ej wymieni臋 najwa偶niejsze warunki, jakie powinny zosta膰 spe艂nione, aby nie zasta膰 swojego konta pustego.

  • Regularne aktualizacje systemu operacyjnego, oprogramowania zainstalowanego na komputerze oraz samych przegl膮darek. Wiele szkodnik贸w wykorzystuje dziury w oprogramowaniu, aby przej膮膰 kontrol臋 nad maszyn膮 i zainstalowa膰 np. keylogger lub trojana. Tak偶e Linux nie jest tutaj w 100% bezpieczny. Rzeczywi艣cie nie ma wielu wirus贸w napisanych dla tego systemu, a te, kt贸re istniej膮, nie stwarzaj膮 wi臋kszego zagro偶enia, jednak dziura w aplikacji to potencjalna szansa na wykorzystanie exploita, kt贸ry to pomo偶e przej膮膰 kontrol臋 nad systemem. Wi臋cej informacji o aktualizacji systemu, oprogramowania i atakach exploit贸w dowiedzie si臋 tutaj: http://viruslist.pl/weblog.html?weblogid=527.
  • Stosowanie zaktualizowanego oprogramowania zabezpieczaj膮cego. Posiadanie samego antywirusa mo偶e w dzisiejszych czasach okaza膰 si臋 niewystarczaj膮ce. Aby kompleksowo chroni膰 komputer przed atakami, powinni艣my zainstalowa膰 pakiet typu Internet Security, w sk艂ad kt贸rego najcz臋艣ciej wchodz膮 antywirus, firewall i narz臋dzie do wykrywania phishingu oraz zwalczania spyware.
  • Korzystanie z system贸w LiveCD. W przypadku konieczno艣ci logowania si臋 do konta w kawiarenkach (przyk艂adowo w czasie urlop贸w), powinni艣my zaopatrzy膰 si臋 w jedn膮 z dystrybucji Linuksa typu LiveCD, kt贸re to uruchamiane s膮 bezpo艣rednio z p艂yty i korzystaj膮 tylko z pami臋ci tymczasowej komputera, a nie z dysku twardego. Dzi臋ki temu, nawet je偶eli na dysku znajduj膮 si臋 keyloggery, nic nie zostanie zapisane. Po przeprowadzeniu transakcji i wy艂膮czeniu systemu, nie pozostaj膮 po nas 偶adne 艣lady.
  • Zachowanie informacji o koncie tylko dla siebie. Nie powinni艣my z nikim dzieli膰 si臋 wiedz膮 na temat naszego konta: jak d艂ugo je prowadzimy, ile mamy kart kredytowych czy debetowych, czy zaci膮gn臋li艣my kredyt itp. Ma to o tyle istotne znaczenie, 偶e niekt贸re banki w celu uwierzytelnienia klienta przez kana艂y telefoniczne, zadaj膮 mu pytania dotycz膮ce jego konta. Taka wiedza pomog艂aby komu艣 podszy膰 si臋 pod nas.
  • Stosowanie si臋 do wskaz贸wek banku. Wszystkie zabezpieczenia o jakich wspomina艂em wy偶ej przy okazji bank贸w s膮 po to, by chroni膰 nasze 艣rodki a nie utrudni膰 nam korzystanie z konta... Je偶eli bank daje tak膮 mo偶liwo艣膰 u偶ywajmy klawiatury ekranowej, kiedy logujemy si臋 zerknijmy na d贸艂 strony czy strona jest autentyczna i potwierdzona certyfikatem, nie zapisujmy hase艂 i login贸w do banku w telefonie kom贸rkowym ani - tym bardziej - na karteczkach przylepianych do monitor贸w.

A jednak si臋 da... Przypadki w艂ama艅 na bankowe konta internetowe

Chocia偶 zabezpieczenia bankowo艣ci internetowej uchodz膮 og贸lnie za bardzo dobre, to w przypadku nieprzestrzegania pewnych wzorc贸w zachowa艅 i 艂amaniu zasad bezpiecznego korzystania z sieci, jej bezpiecze艅stwo mo偶e by膰 z艂udne. Poni偶ej prezentuj臋 kilka sytuacji wzi臋tych z 偶ycia, gdzie klienci bank贸w stali si臋 ofiarami oszust贸w i z艂odziei. Szczeg贸lnie pierwsza historia daje nam do my艣lenia, zw艂aszcza w kontek艣cie tego, o czym pisa艂em wcze艣niej (dlaczego wszystkie dane dotycz膮ce naszej to偶samo艣ci jak i rachunku bankowego powinny by膰 niedost臋pne dla innych).

  1. Znany prezenter telewizyjny, Jeremy Clarkson prowadz膮cy m.in. program motoryzacyjny Top Gear, w jednym z odcink贸w programu, w kt贸rym mowa by艂a o g艂o艣nej w listopadzie 2007 sprawie utraty danych osobowych 25 milion贸w Brytyjczyk贸w przez HM Revenue & Customs (Brytyjski Urz膮d Podatkowy i Celny), stwierdzi艂, 偶e media robi膮 niepotrzebny szum w sprawie zagini臋cia tych danych. Aby udowodni膰 swoj膮 racj臋, i偶 takie dane nikomu si臋 nie przydadz膮 poda艂 numer swojego konta oraz inne dane osobowe. Bardzo szybko si臋 jednak zdziwi艂 i odwo艂a艂 wszystko o czym m贸wi艂 na temat nieistotno艣ci zaginionych danych. Do zmiany pogl膮du przyczyni艂o si臋 znikni臋cie 500 funt贸w z jego konta, nawet bank nie by艂 w stanie stwierdzi膰 jak dok艂adnie do tego dosz艂o. Pieni膮dze zosta艂y przelane na konto organizacji British Diabetic Association. Oto co powiedzia艂 Jeremy Clarkson po zaj艣ciu:

    "Bank nie by艂 w stanie stwierdzi膰 kto to zrobi艂 i nie m贸g艂by go powstrzyma膰 przed zrobieniem tego ponownie. Myli艂em si臋 i zosta艂em ukarany za sw贸j b艂膮d."

  2. W Szwecji bardzo popularny jest bank Nordea. Na pocz膮tku 2008 roku sta艂 si臋 on celem licznych atak贸w, w wyniku kt贸rych ucierpia艂a cz臋艣膰 klient贸w. 艁膮czne straty jakich do艣wiadczy艂 bank si臋gn臋艂y miliona euro. Wprawdzie w o艣wiadczeniu dla medi贸w bank przyzna艂, 偶e zagro偶enie nie dotyczy polskich klient贸w banku (dzi臋ki nowocze艣niejszym od skandynawskich zabezpiecze艅 stosowanych w Polsce), jednak wiele os贸b wyra偶a艂o obawy o swoje 艣rodki zgromadzone na koncie. Atak przeprowadzany by艂 za pomoc膮 trojana wysy艂anego poczt膮 elektroniczn膮.
  3. W marcu i kwietniu 2008 do klient贸w banku BZ WBK rozsy艂ane by艂y fa艂szywe wiadomo艣ci, kt贸re prowadzi艂y do witryny z formularzem. Jego wype艂nienie skutkowa艂o wys艂aniem danych do oszusta, a nie do banku. Pierwsza fala wiadomo艣ci by艂a przygotowana ma艂o starannie, druga natomiast mog艂a zosta膰 odebrana przez wielu klient贸w jako autentyczna informacja z banku. Ten przypadek opisz臋 bardziej szczeg贸艂owo p贸藕niej, w celu zobrazowania czym jest phishing w odniesieniu do bankowo艣ci elektronicznej.
  4. Bardzo gro藕ny atak zosta艂 przeprowadzony na klient贸w banku PKO BP w czerwcu 2008. Pocz膮tkowo u偶ytkownik by艂 zach臋cany do aktualizacji aplikacji Flash Player, kt贸ra to jest potrzebna do przegl膮dania wielu witryn. Plik ten jednak by艂 trojanem, kt贸ry zmienia艂 w systemie plik hosts, przez co przy wpisywaniu adresu banku w przegl膮darce, u偶ytkownik by艂 zawsze przekierowany na fa艂szyw膮 stron臋 banku. Po wpisaniu loginu i has艂a, pojawia艂a si臋 kolejna strona, na kt贸rej trzeba by艂o wpisa膰 5 kolejnych kod贸w jednorazowych ze zdrapki. Je偶eli kto艣 to zrobi艂, da艂 przest臋pcy nie tylko login i has艂o do konta, ale tak偶e mo偶liwo艣膰 wykonania przelewu z w艂asnych 艣rodk贸w, na konto oszusta.

Powy偶sze przyk艂ady bardzo dobitnie pokazuj膮, 偶e niestosowanie si臋 do zalece艅 banku, a przede wszystkim brak rozwagi w tym co si臋 robi i nie艣wiadomo艣膰 zagro偶e艅, mo偶e doprowadzi膰 do sporych k艂opot贸w.

Jak oni to robi膮?

Wspomina艂em ju偶 o tym, 偶e banki stosuj膮 bardzo dobre zabezpieczenia. Kto艣 mo偶e si臋 zdziwi膰, dlaczego w takim razie dochodzi do kradzie偶y w bankowo艣ci elektronicznej. Dochodzi do nich, gdy偶 najs艂abszym ogniwem tych zabezpiecze艅 jest cz艂owiek. Jeste艣my podatni na manipulacj臋 i wp艂yw innych. To w艂a艣nie poprzez tak膮 manipulacj臋, cyberprzest臋pca stara si臋 uzyska膰 dost臋p do konta. Oczywi艣cie istniej膮 metody bardziej wyrafinowane, ale ma艂o kto je stosuje, poniewa偶 s膮 trudniejsze do przeprowadzenia i nie daj膮 szansy na zaatakowanie wielu os贸b na raz.

Socjotechnika

"...To czynnik ludzki jest pi臋t膮 achillesow膮 system贸w bezpiecze艅stwa ...Cz臋艣ciej jednak ataki takie s膮 skuteczne [socjotechniczne], poniewa偶 ludzie nie rozumiej膮 sprawdzonych zasad bezpiecze艅stwa."

Powy偶sze zdanie pochodzi z ksi膮偶ki "Sztuka podst臋pu", napisanej przez Kevina Mitnicka. Opisuje on w niej jak wielkim niebezpiecze艅stwem mo偶e by膰 sam cz艂owiek i jak 艂atwo mo偶na kogo艣 przekona膰 do tego by poda艂 has艂o czy login. Szczeg贸lnie dobrze znane i najcz臋艣ciej u偶ywane metody, kt贸re zosta艂y opisane przez psycholog贸w to "stopa w drzwiach" oraz "drzwiami w twarz". Pierwsza polega na poprzedzaniu naszej pro艣by, innymi mniej istotnymi. Dzi臋ki temu nie ma du偶ego kontrastu mi臋dzy kolejnymi pro艣bami i osoba je spe艂niaj膮ca nie czuje z tego powodu dyskomfortu. Druga metoda jest odwrotna. Ofiara proszona jest o spe艂nienie pro艣by, kt贸ra jest wyg贸rowana w stosunku do tej w艂a艣ciwej. Taki zabieg sprawia, 偶e osoba ulegaj膮ca socjotechnikowi nie chce odmawia膰 kolejny raz, podaj膮c te dane, kt贸re faktycznie s膮 mu potrzebne.

Zjawisko socjotechniki jest szczeg贸lnie gro藕ne w dzisiejszych czasach, bowiem obecnie bardzo 艂atwo poprzez czaty, komunikatory czy fora internetowe nawi膮za膰 znajomo艣膰 z obcymi dla nas osobami. Poznaj膮c kogo艣 przez Sie膰 nale偶y zachowa膰 ostro偶no艣膰 i nigdy nie odpowiada膰 na pytania b臋d膮ce z pozoru niegro藕ne, dotycz膮ce banku w jakim mamy konto czy te偶 stosowanych przeze艅 metod uwierzytelniania np. kody jednorazowe na karcie lub przez token.

Phishing

Jedn膮 z najcz臋艣ciej stosowanych metod ataku na banki jest phishing. Phishing to zwrot wskazuj膮cy na 艂owienie (fishing), lecz zapisany w angloj臋zycznej "gwarze" internetowej, gdzie liter臋 F zapisuje si臋 cz臋sto jako PH. Metoda ta ma faktycznie wiele wsp贸lnego z 艂owieniem. Atakuj膮cy wysy艂a najpierw masowo maile skierowane do konkretnej grupy os贸b. Wiadomo艣膰 zazwyczaj graficznie prezentuje si臋 tak, jakby zosta艂a nadana przez dan膮 instytucj臋 (np. bank). Posiada tre艣膰 skierowan膮 do klienta, grafika przypomina t臋 ze strony banku. W wiadomo艣ci takiej znajduje si臋 tak偶e link, b臋d膮cy kluczem do sukcesu atakuj膮cego i do pora偶ki ofiary. Link do witryny banku mo偶e nie wzbudza膰 podejrze艅, jednak po szczeg贸艂owym przyjrzeniu si臋 mu wida膰, 偶e nie prowadzi do witryny banku, kt贸ry rzekomo j膮 wys艂a艂 lecz zupe艂nie gdzie艣 indziej. Po klikni臋ciu zostajemy przekierowani na fa艂szyw膮 witryn臋 lub pobrany zostaje trojan modyfikuj膮cy DNS lub plik hosts. Witryna przypomina zawsze prawdziw膮 stron臋 banku, gdzie mo偶emy si臋 zalogowa膰. R贸偶nica jest taka, 偶e wszystko co wpisujemy wysy艂ane jest do cyberprzest臋pcy. Aby lepiej zobrazowa膰 t臋 metod臋, pos艂u偶臋 si臋 przyk艂adem wcze艣niej wspomnianego banku BZ WBK.

Pocz膮tkowo, w marcu 2008 rozsy艂ane by艂y wiadomo艣ci maj膮ce znamiona phishingu, na kt贸re ma艂o kto da艂by si臋 nabra膰 z kilku prostych powod贸w. Jak wida膰 poni偶ej - strona by艂a przygotowana niedbale od strony graficznej a do tego w j臋zyku angielskim. Pomijaj膮c fakt, 偶e kto艣 m贸g艂 najzwyczajniej w 艣wiecie nie zna膰 angielskiego, to raczej ka偶demu wyda si臋 podejrzane, 偶e bank na terenie Polski pisze do polskich klient贸w wiadomo艣ci w obcym j臋zyku.


Przyk艂ad phishingu

Atak ten nie wywo艂a艂 wi臋kszego zamieszania w艣r贸d u偶ytkownik贸w banku. Niestety nied艂ugo po tym, w sieci zacz臋艂a pojawia膰 si臋 kolejna wiadomo艣膰, tym razem przygotowana bardziej starannie. By艂a napisana po polsku, grafika bardziej przypomina艂a autentyczn膮 wiadomo艣膰 od banku a link nie rzuca艂 si臋 w oczy jako fa艂szywy.


Przyk艂ad phishingu

Na powy偶szym obrazku wida膰 bardzo dobrze to o czym wspomina艂em wcze艣niej. Widoczny link o tre艣ci "Kliknij tutaj, aby uaktywni膰 konto", to w rzeczywisto艣ci odsy艂acz, kt贸rego prawdziwy adres widzimy w czerwonej ramce. Nie ma on nic wsp贸lnego z bankiem. Po klikni臋ciu odno艣nika, u偶ytkownik zostaje przekierowany na poni偶sz膮 stron臋, kt贸ra okazuje si臋 by膰 formularzem. Jego wype艂nienie i wys艂anie pozwoli艂oby atakuj膮cemu uzyskanie cennych informacji, kt贸re mog艂yby pos艂u偶y膰 do w艂amania na konto.


Przyk艂ad phishingu

Phishing jest pewn膮 form膮 socjotechniki, poniewa偶 zach臋ca u偶ytkownika (pod pretekstem blokady konta lub nieprawid艂owych operacji) do klikni臋cia odno艣nika i wype艂nienia formularza/podania kod贸w jednorazowych czy numeru karty kredytowej (bywaj膮 i takie wiadomo艣ci phishingowe). Najwa偶niejsze jest u艣wiadomienie sobie, 偶e banki nigdy nie wysy艂aj膮 tego typu pr贸艣b drog膮 elektroniczn膮. Nigdy nie prosz膮 o podanie maila, daty urodzenia, has艂a czy loginu. Nie prosz膮 te偶 o kody jednorazowe. Jedyne maile jakie mo偶na otrzyma膰 od banku to oferta handlowa, ewentualnie wyci膮g z naszego konta. Wi臋cej o phishingu i jego r贸偶nych formach przeczyta膰 mo偶na w artykule "Phishing, pharming i sieci zombie - to czego nie wiesz o swoim komputerze": http://viruslist.pl/analysis.html?newsid=522.

Inne wyj艣cie?

Istniej膮 systemy, kt贸re znacz膮co zwi臋kszaj膮 bezpiecze艅stwo naszych oszcz臋dno艣ci. W przypadku zagranicznych sklep贸w internetowych typu rozwi膮zaniem jest dokonywanie p艂atno艣ci przez specjalny system, na przyk艂ad PayPal. Jest to akceptowany na ca艂ym 艣wiecie system p艂atno艣ci, kt贸ry ma za zadanie zwi臋kszy膰 bezpiecze艅stwo prowadzenia zakup贸w online. Pieni膮dze mog膮 by膰 wys艂ane do osoby, kt贸ra posiada konto w PayPal. System ten oferuje wyj膮tkowo wysokie standardy bezpiecze艅stwa.

  • Wszystkie transakcje monitorowane s膮 przez 7 dni w tygodniu 24 godziny na dob臋. Ka偶da operacja jest sprawdzana w celu wykrycia nieprawid艂owo艣ci i jak najszybszego podj臋cia dzia艂a艅.
  • Wsp贸艂praca z organami bezpiecze艅stwa celem wyeliminowania fa艂szywych witryn oraz monitoring zapobiegaj膮cy oszustwom na koncie i wykradaniu danych, czyni膮 ten serwis wyj膮tkowo bezpiecznym.
  • Niew膮tpliwie jedn膮 z najwi臋kszych zalet jest mo偶liwo艣膰 korzystania z kardy kredytowej bez ujawniania jej numeru. Poufne dane nie musz膮 by膰 przekazywane sprzedaj膮cemu.
  • U偶ytkownik jest informowany o ka偶dej nieprawid艂owo艣ci wykrytej na jego koncie.

PayPal po艣redniczy i obs艂uguje aukcje elektroniczne (np. eBay). Do niedawna, mimo obecno艣ci tego systemu w Polsce, jego u偶ytkownicy nie mogli wykonywa膰 transakcji innych ni偶 wp艂ata pieni臋dzy innym u偶ytkownikom. Obecnie mo偶liwa jest r贸wnie偶 wyp艂ata 艣rodk贸w zgromadzonych na koncie, dzi臋ki czemu PayPal zyskuje coraz wi臋ksz膮 popularno艣膰 w naszym kraju. Warto si臋 wi臋c zastanowi膰 nad korzystaniem z tego typu us艂ug, zw艂aszcza je偶eli robimy cz臋sto zakupy w sieci, a w szczeg贸lno艣ci w sklepach zagranicznych.

Alternatyw膮 dla wspomnianej wy偶ej us艂ugi mo偶e by膰 system Epassporte. Dzia艂a on na zasadzie wirtualnej karty, na kt贸rej lokujemy pieni膮dze i mo偶emy z nich skorzysta膰 podczas zakup贸w w sklepach obs艂uguj膮cych kart臋 Visa. System ten mo偶na por贸wna膰 do telefonu na kart臋, kt贸ry mo偶emy w ka偶dej chwili do艂adowa膰 konto i natychmiast korzysta膰 z naszych 艣rodk贸w. W tym przypadku pieni膮dze s膮 przelewane na wirtualn膮 kart臋, przy u偶yciu kt贸rej mo偶emy dokonywa膰 p艂atno艣ci w sieci, a tak偶e wyp艂aca膰 pieni膮dze w r贸偶nych krajach. Jest to o tyle bezpieczne, 偶e do dyspozycji s膮 jedynie 艣rodki wp艂acone na wirtualn膮 kart臋. Je偶eli za艣 chodzi o zabezpieczenia, to s膮 podobne do tych stosowanych w systemie PayPal. Tutaj tak偶e mamy monitorowane podejrzane dzia艂alno艣ci czy ochron臋 poufnych danych.

Jeszcze jednym pomys艂em na zwi臋kszenie bezpiecze艅stwa zakup贸w online jest za艂o偶enie subkonta w ramach naszego g艂贸wnego konta bankowego. Mo偶liwo艣膰 tak膮 oferuj膮 praktycznie wszystkie banki. Mechanizm dzia艂a nast臋puj膮co.

  • Zak艂adamy subkonto i zamawiamy dla niego oddzieln膮 kart臋 p艂atnicz膮. Subkonto oraz zam贸wiona dla niego karta b臋dzie nam s艂u偶y膰 wy艂膮cznie do zakup贸w internetowych.
  • Bezpo艣rednio przed dokonaniem zakupu online zasilamy subkonto wymagan膮 kwot膮 (je偶eli dokonujemy zakupu w zagranicznym sklepie warto zasili膰 subkonto kwot膮 nieco wi臋ksz膮 ni偶 wymagana, aby nie okaza艂o si臋, 偶e po przeliczeniu walut 艣rodki oka偶膮 si臋 niewystarczaj膮ce).
  • Po dokonaniu p艂atno艣ci przelewamy pozosta艂e 艣rodki na nasze g艂贸wne lub inne konto.

Dzi臋ki takiemu prostemu mechanizmowi nie musimy si臋 obawia膰, 偶e numer karty zam贸wionej dla subkonta zostanie przechwycony. Nawet je偶eli tak si臋 stanie, cyberprzest臋pca nie b臋dzie mia艂 dost臋pu do naszych pieni臋dzy, poniewa偶 znajduj膮 si臋 one na subkoncie tylko przez kr贸tk膮 chwil臋.

Jak kupowa膰 to z g艂ow膮...

Na koniec chcia艂bym przytoczy膰 kilka zasad bezpiecznego kupowania w sieci:

  • Loginy i has艂a do konta bankowego powinny by膰 trudne do odgadni臋cia.
  • Korzystaj膮c z bankowo艣ci internetowej, nale偶y pami臋ta膰 o przestrzeganiu zasad bezpiecze艅stwa, a tak偶e stosowaniu si臋 do zalece艅 banku w kwestii logowania.
  • Przed zalogowaniem si臋 do banku nale偶y sprawdzi膰 autentyczno艣膰 strony.
  • Kupujmy tylko w du偶ych i znanych sklepach, kt贸re s膮 ju偶 na rynku dostatecznie d艂ugo i istnieje mo偶liwo艣膰 bezproblemowego skontaktowania si臋 z nimi - najlepiej telefonicznie, a nawet osobi艣cie.
  • W razie potrzeby dokonania zakupu w nieznanym nam sklepie poszukajmy w Sieci opinii o nim. Uwa偶ajmy w szczeg贸lno艣ci na firmy, kt贸re po sprzedaniu kilku artyku艂贸w znikaj膮 z rynku lub oferuj膮 markowe towary w podejrzanie atrakcyjnych cenach.
  • Sprawdzajmy komentarze i aukcje, kt贸rych dotycz膮. Je偶eli kto艣 sprzedaje drogi towar a wcze艣niej handlowa艂 drobnymi przedmiotami, mo偶e to oznacza膰 pr贸b臋 uprzedniego nabicia sobie pozytywnych komentarzy w celu wzbudzenia wi臋kszego zaufania.
  • Uwa偶ajmy na gor膮ce i atrakcyjne oferty, oszu艣ci cz臋sto w ten spos贸b staraj膮 si臋 zach臋ci膰 do brania udzia艂u w ich aukcjach.

Przyk艂adem takiej atrakcyjnej oferty kupna mo偶e by膰 przypadek kupuj膮cego z Nigerii, na kt贸ry swego czasu osoby wystawiaj膮ce aukcje internetowe napotyka艂y bardzo cz臋sto:

"Hi Seller, My name is Mrs faith eric from the Spain,i saw your item on the Auction,I am interested in buying the item from you,provided its in good working condition and quality am ready to add US$30.00 to the price listed so as to close the auction on the items which is needed urgentlly by a client of mine in Africa.Expecting your reply ASAP so as to proceed with the payment via Bidpay Auction Payments,Let me know if my offer is okay. Thanks Mrs Faith Eric."

T艂umaczenie:

"Drogi Sprzedawco. Nazywam si臋 Faith Eric i jestem z Hiszpanii. Natkn臋艂am si臋 na Twoj膮 aukcj臋 i jestem zainteresowana zakupem pod warunkiem, 偶e przedmiot jest w dobrym stanie i wysokiej jako艣ci. Jestem w stanie zap艂aci膰 o 30 dolar贸w wi臋cej ni偶 oczekujesz, je偶eli zamkniesz aukcj臋 przed czasem - m贸j klient z Afryki potrzebuje pilnie sprzedawanego przez Ciebie produktu. Oczekuj臋 na jak najszybsz膮 odpowied藕, po odebraniu kt贸rej rozpoczn臋 starania zwi膮zane z p艂atno艣ci膮 za po艣rednictwem Bidpay Auction Payments. Prosz臋 o informacj臋, czy moja oferta jest atrakcyjna. Dzi臋kuj臋, Faith Eric."

Oczywi艣cie wszystko to okazywa艂o si臋 oszustwem. Kto艣 pisa艂 maile do os贸b wystawiaj膮cych drogi sprz臋t elektroniczny, np. telefony kom贸rkowe i dawa艂 bardzo korzystn膮 cen臋 za towar. By艂o w tym wiele niejasno艣ci, ostatecznie jednak osoby, kt贸re zdecydowa艂y si臋 wys艂a膰 towar nie otrzyma艂y ani grosza. Dlatego nale偶y podchodzi膰 z rezerw膮 do takich ofert.

Podsumowuj膮c - je偶eli nie zadbamy o nasze pieni膮dze, kto艣 "zrobi" to za nas...