Banki internetowe zgodnym chórem powtarzają, że zapewniają klientom bezpieczeństwo, bo stosują mechanizm szyfrowania transmisji SSL. Tymczasem to tylko jeden z elementów składających się na bezpieczeństwo bankowości internetowej.

Z badań wynika, że bardzo niewielu użytkowników kont online sprawdza, czy sesja transakcyjna została naprawdę nawiązana z bankiem, a nie z podstawionym przez włamywaczy fałszywym serwerem, który ma przechwycić informacje umożliwiające przelanie na konta złodziei całej zawartości rachunku online. A przecież wystarczy kliknąć na kłódeczkę w okienku przeglądarki, by potwierdzić, czy nasza sesja jest bezpieczna (certyfikat serwera i nazwa ośrodka certyfikującego).

System bezpieczeństwa

Na bezpieczeństwo transakcji internetowych składają się trzy elementy: bezpieczeństwo systemu transakcyjnego, transmisji danych oraz systemu klientowskiego.

Bezpieczeństwo systemu transakcyjnego to taka konstrukcja systemu bankowego, aby niemożliwe było wykonanie transakcji nieautoryzowanych, "podsuniętych" przez włamywacza. Tutaj najważniejsze są procesy logowania w systemie bankowym, autoryzacji poszczególnych transakcji oraz obsługi całych sesji transakcyjnych.

Bezpieczeństwo transmisji danych ma zapewniać poufność i nienaruszalność przesyłanych przez klientów zleceń, uniemożliwiające np. zmianę docelowego numeru konta, na które trafić mają przelewane pieniądze, albo przechwycenie już rozpoczętej sesji między klientem a bankiem w celu wydania dowolnie wybranych zleceń.

Bezpieczeństwo systemu klientowskiego to higiena miejsca zlecenia, zapewniająca, że nikt niepowołany nie zaloguje się w imieniu klienta do systemu transakcyjnego, powtarzając zapisaną przez program szpiegowski sekwencję działań (np. hasło). Najbardziej niebezpieczne miejsca to kafejki internetowe - tam prawie wszystko jest umyślnie zapisywane przez właściciela kafejki albo przez podłożone przez włamywaczy programy szpiegujące - oraz... komputery domowe, zawierające często niewyobrażalne ilości wirusów, robaków internetowych i spyware.

Ostrożni i lekkomyślni

Co się tyczy samych systemów bankowych, można powiedzieć, że większość banków online stosuje właściwe zabezpieczenia. Polegają one na odpowiedniej konstrukcji baz danych, aplikacji WWW, systemów firewall, systemów wykrywających ataki sieciowe oraz rozwiązań formalnych ograniczających działania włamywaczy. Oczywiście, zdarzają się błędy programistyczne w aplikacjach realizujących obsługę sesji WWW. Tego rodzaju luki pozwalają na wykonywanie ataków nazywanych cross-site scripting czy SQL injection. Umożliwiają one wyciąganie z najgłębiej położonych baz danych poufnych informacji (np. numerów kart kredytowych) lub ich nieautoryzowaną modyfikację (np. zmianę treści przelewów). Jednak dzięki prowadzonym na bieżąco audytom bezpieczeństwa udaje się wyłapać takie zagrożenia i je zneutralizować.

Gorzej jest z bezpieczeństwem w środowisku pracy klientów banku. Nadal panuje przekonanie, że absolutnie bezkarne jest otwieranie dziwnych przesyłek e-mail, że nie jest potrzebne stosowanie firewalla osobistego, że system antywirusowy nie musi być aktualizowany, a z systemu bankowości online z powodzeniem można korzystać w nieznanej kafejce internetowej. To podejście prowadzi do zdarzeń takich jak ostatnia kradzież w Banku BPH. Podrzucony przez złodziei program szpiegujący przechwycił hasła autoryzujące transakcje i wykonał korzystne dla włamywaczy operacje na indywidualnych kontach.

Oczywiście bezpośrednim winnym sukcesu przestępców jest w tym przypadku użytkownik konta online. Umożliwił on instalację na swoim komputerze wrogiego kodu, który dokonał nielegalnych operacji. Ale nie można zrzucać na klienta całej winy, bo w większości przypadków banki internetowe nie edukują swoich użytkowników.

Specjaliści zajmujący się bezpieczeństwem operacji bankowych w trybie online wielokrotnie podkreślali istotność kwestii edukacji klientów banków, przewidując nieubłagane skutki zaniedbań. Chociażby podczas ubiegłorocznego panelu na targach "Moje Pieniądze". Wówczas przedstawiciele banków wyrazili brak zainteresowania tego rodzaju działaniami, postrzegając je wyłącznie jako koszt dla firmy. Ostrzeżenia te okazały się kasandryczną wizją w przypadku Banku BPH. Kto będzie następny? A kto pomoże swoim klientom uniknąć tego rodzaju zagrożeń?

Ważne pytania

Bank powinien zadbać o bezpieczeństwo własne i swoich klientów. Czy rzeczywiście dobrze wywiązuje się z tego obowiązku? By to ocenić, trzeba znać odpowiedzi na wiele pytań. Niektóre odpowiedzi zawarte są w umowie, jaką klient podpisuje z bankiem. Należy zwrócić uwagę, co jest dozwolone i na jakich warunkach. Kto ponosi odpowiedzialność za zrealizowane i niezrealizowane zlecenia, i do jakiej kwoty? Co jest podstawą do realizacji zleceń? Jak są one autoryzowane? W jakim czasie następuje zablokowanie dostępu od zgłoszenia kradzieży haseł?

Niezwykle ważne są systemy haseł autoryzacyjnych, jakie stosuje bank. Jeśli jest to hasło stałe, to trzeba mieć świadomość, że łatwo je ukraść. Zdecydowanie lepszym rozwiązaniem jest stosowanie systemu haseł jednorazowych - kart z hasłami albo urządzeń token, generujących hasła. Wtedy hasła są ważne tylko dla wybranej transakcji, więc w przypadku kradzieży nie przydadzą się złodziejowi.

W znakomitej większości banków stosowane jest szyfrowanie transmisji w systemie SSL. W takim przypadku należy zadać pytanie: czy zawsze używane są mocne algorytmy szyfrowania z kluczami 128-bitowymi?

Kolejne ważne pytanie dotyczy działania systemu obsługi konta internetowego. Czy działa on w oparciu o zwykłą stronę WWW, czy też w oparciu o ładowaną oddzielnie aplikację? W pierwszym wypadku łatwo przechwycić hasła lub nawet całą sesję, w drugim - w komputerze, z którego korzysta klient, nie pozostają żadne ślady.

Włamywacze stosują różnorodne triki, aby zmylić czujność użytkownika Internetu. Zdrowy rozsądek i nieco wiadomości na temat bezpieczeństwa są najlepszą obroną.