Klienci ostrożni i lekkomyślni

Banki internetowe zgodnym chórem powtarzają, że zapewniają klientom bezpieczeństwo, bo stosują mechanizm szyfrowania transmisji SSL. Tymczasem to tylko jeden z elementów składających się na bezpieczeństwo bankowości internetowej.

Banki internetowe zgodnym chórem powtarzają, że zapewniają klientom bezpieczeństwo, bo stosują mechanizm szyfrowania transmisji SSL. Tymczasem to tylko jeden z elementów składających się na bezpieczeństwo bankowości internetowej.

Z badań wynika, że bardzo niewielu użytkowników kont online sprawdza, czy sesja transakcyjna została naprawdę nawiązana z bankiem, a nie z podstawionym przez włamywaczy fałszywym serwerem, który ma przechwycić informacje umożliwiające przelanie na konta złodziei całej zawartości rachunku online. A przecież wystarczy kliknąć na kłódeczkę w okienku przeglądarki, by potwierdzić, czy nasza sesja jest bezpieczna (certyfikat serwera i nazwa ośrodka certyfikującego).

Zobacz również:



System bezpieczeństwa

Na bezpieczeństwo transakcji internetowych składają się trzy elementy: bezpieczeństwo systemu transakcyjnego, transmisji danych oraz systemu klientowskiego.

Bezpieczeństwo systemu transakcyjnego to taka konstrukcja systemu bankowego, aby niemożliwe było wykonanie transakcji nieautoryzowanych, "podsuniętych" przez włamywacza. Tutaj najważniejsze są procesy logowania w systemie bankowym, autoryzacji poszczególnych transakcji oraz obsługi całych sesji transakcyjnych.

Bezpieczeństwo transmisji danych ma zapewniać poufność i nienaruszalność przesyłanych przez klientów zleceń, uniemożliwiające np. zmianę docelowego numeru konta, na które trafić mają przelewane pieniądze, albo przechwycenie już rozpoczętej sesji między klientem a bankiem w celu wydania dowolnie wybranych zleceń.

Bezpieczeństwo systemu klientowskiego to higiena miejsca zlecenia, zapewniająca, że nikt niepowołany nie zaloguje się w imieniu klienta do systemu transakcyjnego, powtarzając zapisaną przez program szpiegowski sekwencję działań (np. hasło). Najbardziej niebezpieczne miejsca to kafejki internetowe - tam prawie wszystko jest umyślnie zapisywane przez właściciela kafejki albo przez podłożone przez włamywaczy programy szpiegujące - oraz... komputery domowe, zawierające często niewyobrażalne ilości wirusów, robaków internetowych i spyware.

Ostrożni i lekkomyślni

Co się tyczy samych systemów bankowych, można powiedzieć, że większość banków online stosuje właściwe zabezpieczenia. Polegają one na odpowiedniej konstrukcji baz danych, aplikacji WWW, systemów firewall, systemów wykrywających ataki sieciowe oraz rozwiązań formalnych ograniczających działania włamywaczy. Oczywiście, zdarzają się błędy programistyczne w aplikacjach realizujących obsługę sesji WWW. Tego rodzaju luki pozwalają na wykonywanie ataków nazywanych cross-site scripting czy SQL injection. Umożliwiają one wyciąganie z najgłębiej położonych baz danych poufnych informacji (np. numerów kart kredytowych) lub ich nieautoryzowaną modyfikację (np. zmianę treści przelewów). Jednak dzięki prowadzonym na bieżąco audytom bezpieczeństwa udaje się wyłapać takie zagrożenia i je zneutralizować.

Gorzej jest z bezpieczeństwem w środowisku pracy klientów banku. Nadal panuje przekonanie, że absolutnie bezkarne jest otwieranie dziwnych przesyłek e-mail, że nie jest potrzebne stosowanie firewalla osobistego, że system antywirusowy nie musi być aktualizowany, a z systemu bankowości online z powodzeniem można korzystać w nieznanej kafejce internetowej. To podejście prowadzi do zdarzeń takich jak ostatnia kradzież w Banku BPH. Podrzucony przez złodziei program szpiegujący przechwycił hasła autoryzujące transakcje i wykonał korzystne dla włamywaczy operacje na indywidualnych kontach.

Oczywiście bezpośrednim winnym sukcesu przestępców jest w tym przypadku użytkownik konta online. Umożliwił on instalację na swoim komputerze wrogiego kodu, który dokonał nielegalnych operacji. Ale nie można zrzucać na klienta całej winy, bo w większości przypadków banki internetowe nie edukują swoich użytkowników.

Specjaliści zajmujący się bezpieczeństwem operacji bankowych w trybie online wielokrotnie podkreślali istotność kwestii edukacji klientów banków, przewidując nieubłagane skutki zaniedbań. Chociażby podczas ubiegłorocznego panelu na targach "Moje Pieniądze". Wówczas przedstawiciele banków wyrazili brak zainteresowania tego rodzaju działaniami, postrzegając je wyłącznie jako koszt dla firmy. Ostrzeżenia te okazały się kasandryczną wizją w przypadku Banku BPH. Kto będzie następny? A kto pomoże swoim klientom uniknąć tego rodzaju zagrożeń?

Ważne pytania

Bank powinien zadbać o bezpieczeństwo własne i swoich klientów. Czy rzeczywiście dobrze wywiązuje się z tego obowiązku? By to ocenić, trzeba znać odpowiedzi na wiele pytań. Niektóre odpowiedzi zawarte są w umowie, jaką klient podpisuje z bankiem. Należy zwrócić uwagę, co jest dozwolone i na jakich warunkach. Kto ponosi odpowiedzialność za zrealizowane i niezrealizowane zlecenia, i do jakiej kwoty? Co jest podstawą do realizacji zleceń? Jak są one autoryzowane? W jakim czasie następuje zablokowanie dostępu od zgłoszenia kradzieży haseł?

Niezwykle ważne są systemy haseł autoryzacyjnych, jakie stosuje bank. Jeśli jest to hasło stałe, to trzeba mieć świadomość, że łatwo je ukraść. Zdecydowanie lepszym rozwiązaniem jest stosowanie systemu haseł jednorazowych - kart z hasłami albo urządzeń token, generujących hasła. Wtedy hasła są ważne tylko dla wybranej transakcji, więc w przypadku kradzieży nie przydadzą się złodziejowi.

W znakomitej większości banków stosowane jest szyfrowanie transmisji w systemie SSL. W takim przypadku należy zadać pytanie: czy zawsze używane są mocne algorytmy szyfrowania z kluczami 128-bitowymi?

Kolejne ważne pytanie dotyczy działania systemu obsługi konta internetowego. Czy działa on w oparciu o zwykłą stronę WWW, czy też w oparciu o ładowaną oddzielnie aplikację? W pierwszym wypadku łatwo przechwycić hasła lub nawet całą sesję, w drugim - w komputerze, z którego korzysta klient, nie pozostają żadne ślady.

Włamywacze stosują różnorodne triki, aby zmylić czujność użytkownika Internetu. Zdrowy rozsądek i nieco wiadomości na temat bezpieczeństwa są najlepszą obroną.

Zasady korzystania z bankowości internetowej
  • Nie korzystaj z nieznanych komputerów do obsługi konta online. Takie surfowanie pozostawia mnóstwo śladów - adresów, haseł etc. Włamywacz może łatwo sięgnąć po te informacje.

  • Sprawdzaj, czy naprawdę połączyłeś się ze swoim bankiem, a nie z podstawionym przez włamywaczy serwerem (kliknięcie na "kłódkę" w oknie przeglądarki).

  • Bank nigdy nie poprosi cię o podanie lub zmianę hasła za pośrednictwem poczty elektronicznej. Tak robią złodzieje używający techniki phishingu, czyli przesyłek bardzo podobnych graficznie do stosowanych przez bank.

  • Nie otwieraj dziwnie wyglądających maili. Mogą zawierać wrogie programy: wirusy, robaki internetowe, programy szpiegujące i przechwytujące twoją klawiaturę.

  • Nie instaluj nieznanych programów, zwłaszcza pochodzących z podejrzanych źródeł. Dotyczy to również pirackich kopii oprogramowania komercyjnego oraz różnego rodzaju "cracków" łamiących zabezpieczenia w płatnych programach. Często oprócz "nieskończonego przedłużenia okresu ewaluacji" zainstalują one w twoim komputerze wrogi kod.

  • Nie instaluj programów, kontrolek ActiveX, sugerowanych przez odwiedzane strony. W szczególności dotyczy to stron pornograficznych oraz zawierających pirackie oprogramowanie.

  • Zainstaluj w komputerze system antywirusowy, antyspyware i firewall. Systemy te są dostępne w wersjach darmowych.

  • Regularnie skanuj komputer w poszukiwaniu wrogiego kodu.

  • Pilnuj aktualizacji swoich systemów obronnych.

  • Zastosuj system chroniący przed spywarem i wirusami niewymagający aktualizacji.

  • Nie daj nikomu obcemu podejrzeć swojego hasła. Pilnuj tokena lub karty z jednorazowymi hasłami. W razie kradzieży natychmiast zawiadom bank.