Bezpieczeństwo kont osobistych


W ostatnich dniach ponownie w mediach było głośno o atakach hakerskich. Za sprawą wirusa Petya zainfekowanych zostało wiele globalnych firm na świecie, w tym również w Polsce. Atak był bardzo medialny i jak to zwykle bywa na jakiś czas rozbudzi szum wokół tematu bezpieczeństwa w sieci, po czym przeminie.

Na co dzień spotykamy się z mniej spektakularnymi atakami, które nie są nagłaśniane w mainstreamie, co nie oznacza, że są mniej groźne – dotykają bowiem „szarych obywateli”, czyli nas.

Padnięcie całej sieci komputerowej Antonova – producenta samolotów za wschodniej granicy – pokazuje skalę działań hakerskich, lecz tak naprawdę nie dotyka nas bezpośrednio. Co innego, gdy z konta Kowalskiego znika 2000 zł, które właśnie otrzymał przelewem od pracodawcy i są to jego jedyne pieniądze, z których musi przetrwać do następnej wypłaty.
Niestety wiele z takich nieprzyjemnych sytuacji sprowadzamy na siebie sami przez głupotę, niechlujstwo i czasem niewiedzę – choć może to ostatnie powinno nazwać się ignorancją, gdyż proste komunikaty o tym, czego nigdy nie należy robić, zamieszczane są wszędzie, gdzie podajemy swoje dane.

Temat poruszyłem już w artykule z cyklu „bankowe abc” o koncie osobistym. W dzisiejszym poście opiszę w prostych słowach metody działania internetowych złodziei oraz co możemy zrobić, żeby utrudnić im pracę.

Jak hakerzy kradną pieniądze?

Temat należy zacząć od kilku słów teorii.

W obecnych czasach jest mnóstwo możliwości włamywania się na czyjeś konta, wykradania danych itp. I pomimo tego, że zabezpieczenia są coraz lepsze – druga strona barykady jest zawsze krok do przodu, o czym świadczą udane próby włamań. Ale ten obszar zostawmy specjalistom od cyberbezpieczeństwa i skupmy się na naszych „małych ogródkach”.

Ktoś mógłby powiedzieć: „co kogo może interesować atak na moje konto? Mam tam zaledwie kilkaset złotych, więc nikt się na to nie rzuci”. Otóż jest to bardzo mylne stwierdzenie, gdyż tak jak działa mechanizm mikrooszczędności w gromadzeniu sporego kapitału, tak samo hakerzy „dorabiają się” ogromnych pieniędzy poprzez kradzieże małych kwot – jest to łatwiejsze i mniej ryzykowne. Oczywiście do czasu.
„Najfajniejsze” jest to, że często klienci banków nawet nie zwrócili uwagi na to, że zostali okradzeni – właśnie przez to, że kwota, która zniknęła z konta była stosunkowo mała.
To, że większość Polaków nie prowadzi domowego budżetu również nie jest bez znaczenia – ktoś, kto regularnie spisuje swoje wydatki wie, jaki powinien być stan jego konta i tym samym jest w stanie szybko zorientować się, że z rachunku zginęły jakieś środki.
Do tego dochodzi stosowanie krótkich, prostych haseł, nie zwracanie uwagi na to, co się dzieje z naszą kartą przy płatnościach lub zapamiętywanie danych karty w systemach płatności internetowych bez zachowania rozsądku, już nie mówiąc o stosowaniu nieaktualnego antywirusa lub nawet jego brak.

Tak, często wykładamy się jak na tacy i tym samym stajemy się łatwym celem – czemu więc ktoś miałby z tego nie skorzystać?

Przechodząc do metod, jakimi hakerzy najczęściej próbują wyłudzić nasze dane i tym samym ukraść pieniądze, możemy wyróżnić:

1. Phishing

Jest to chyba najpopularniejszy sposób wyłudzania danych, o którym mówi się wszem i wobec, a jednak wciąż działa.
Proces zaczyna się zwykle od wysłania do klientów danego banku maila z linkiem przekierowującym do fałszywej strony logowania na konto. Strona ta często jest łudząco podobna do oficjalnej strony banku – zawiera taki sam układ, te same kolory, podobny adres.
Klient banku, podając swoje dane do logowania (nazwę użytkownika i hasło) jednocześnie daje dostęp do konta hakerowi, który tę fałszywą stronę stworzył. Ten rejestruje podane dane i tym samym ma nielimitowany dostęp do rachunku tak długo, jak długo klient nie zmieni hasła.
Ale to jeszcze nie oznacza, że może przelać sobie pieniądze – operacje bowiem są zabezpieczone kodami sms, kartami zdrapkami itp., lecz i na to ma gotowe rozwiązanie. Wystarczy, że w jakiś sposób poprosi klienta o podanie kodu jednorazowego, a klient ponownie go poda myśląc, że prosi go o to bank. W ten sposób konto zostaje wyczyszczone w ciągu maksymalnie kilku minut.

Jak to może wyglądać w praktyce?

Klient otrzymuje mailem informację, że jego konto zostało zablokowane, np. z powodu podejrzenia o próbę włamania. Aby odblokować konto, należy kliknąć na załączony link, zalogować się na konto i dla bezpieczeństwa zmienić hasło. Klient więc klika na link, na fałszywej stronie podaje swoje dane i klika „zaloguj”. Na ekranie widzi komunikat „proszę czekać” – w międzyczasie haker dzięki podanym danym przygotowuje do wykonania przelew. Gdy dochodzi do momentu podania kodu sms, na ekranie pojawia się komunikat: „na Twój telefon wysłaliśmy kod do zmiany hasła, prosimy o jego podanie”. Klient zerka na smsa nie czytając jego treści i podaje otrzymany cyfry. Haker wpisuje kod i.. przelew zrealizowany. Klient otrzymuje komunikat o błędzie i prośbę o ponowne logowanie. Ale jest już po fakcie.

Jak do tego nie dopuścić?

Bardzo prosto – wystarczy nie klikać żadnych linków wysłanych mailem. Zgodnie z instrukcjami wszystkich banków, których komunikat brzmi: 

„bank nigdy nie prosi telefonicznie, ani w formie e-maila o podanie haseł lub potwierdzenie danych umożliwiających autoryzację operacji.
JEŚLI PRZY LOGOWANIU POJAWI SIĘ NIETYPOWY KOMUNIKAT LUB PROŚBA O PODANIE DANYCH OSOBOWYCH LUB HASEŁ LUB ICH AKTUALIZACJĘ NALEŻY PRZERWAĆ LOGOWANIE I SKONTAKTOWAĆ SIĘ Z BANKIEM.” (https://www.bslasin.pl/pl,page,bezpieczenstwo_ib_-_zalecenia,17,142,146.html)

Tylko tyle i aż tyle.

2. Wirus podmieniający numery kont

Jest to tzw. złośliwe oprogramowanie, które po zainstalowaniu na komputerze działa cały czas niezauważone w tle. Nie robi w zasadzie nic, więc trudno je wykryć. Jedyną jego funkcją jest monitorowanie komputerowego „schowka” – czyli pamięci podręcznej, w którą wpadają rzeczy poprzez komendę „kopiuj” lub skrót klawiszowy „ctrl + c”. Z tej funkcji wielu z nas korzysta podczas dokonywania przelewów internetowych – kopiujemy numer konta i wklejamy go w aplikacji bankowości elektronicznej, tzw. „control c – control v” lub po prostu „kopiuj – wklej”.
Na takie właśnie zachowanie użytkownika czyha ten program. Gdy wykryje, że do schowka skopiowaliśmy 26 cyfrowy numer konta bankowego, automatycznie podmienia go na jeden z wcześniej zapisanych przez hakera numerów rachunków. W momencie kiedy wklejamy konto w odpowiednie pole, numer jest już podmieniony. Tym sposobem zamiast np. opłacić rachunek za prąd, nieświadomie przelewamy pieniądze hakerowi.

W 2015 roku było dość głośno o wirusie ClipBanker. Nie udało się ustalić dokładnie ile osób wpadło w jego pułapkę, ale nieoficjalnie mówi się o kwotach w milionach złotych.

Jak się bronić przed tego typu złośliwymi programami?

Wirus rozsyłany jest w podobny sposób jak w punkcie pierwszym, więc najlepszym sposobem jest nie otwieranie nieznanych maili, wiadomości, a przede wszystkim załączników w nich umieszczonych. Niestety wirus może się przedostać na nasz komputer inną drogą, np. razem ze ściąganymi z sieci plikami. Jeśli nie wykryje go nasz antywirus, niestety nie będziemy mieć żadnej świadomości zainfekowania.

Z niejakim rozwiązaniem tego problemu wyszły niektóre banki. Uzupełniły swoje strony www bankowości internetowej o funkcjonalność, która (podobną metodą co wirus) wykrywa, że numer konta nie jest wpisywany „z palca” tylko wklejany poprzez „kopiuj” lub „ctrl + v” i wyświetla informację, że numer został wklejony z sugestią, aby sprawdzić czy jest on właściwy (niepodmieniony).
Inny bank poszedł krok dalej i oprócz wspomnianego komunikatu kasował dwie pierwsze cyfry wklejanego rachunku i wymuszał wpisanie ich ręcznie. Ponieważ dwie pierwsze cyfry rachunku są to tzw. cyfry kontrolne, jeśli nawet nie zwrócilibyśmy uwagi na to, że wklejony numer jest nieprawidłowy i wpisali tylko te dwie cyfry z właściwego rachunku, aplikacja nie przepuści przelewu – nie będzie się zgadzała suma kontrolna numeru bankowego.

Innym sposobem zmniejszenia ryzyka jest korzystanie z szablonów płatności (odbiorców), które utworzyliśmy sami lub opłacanie rachunków poleceniami zapłaty czy zleceniami stałymi (więcej o nich w artykule o koncie osobistym). Dzięki temu nie musimy za każdym razem wpisywać / wklejać numerów kont do przelewów i tym samym ograniczamy możliwość pomyłki.

3. Man in the browser

Ponownie jak w powyższych przypadkach, komputer zostaje zainfekowany złośliwym programem. Jednak w tym przypadku ofiarą zostaje przeglądarka internetowa (Internet Explorer, Chrome, Opera etc.).
Wirus po zainfekowaniu zagnieżdża się w przeglądarce i przejmuje nad nią kontrolę. Od tego momentu może przechwycić każdą treść i zmodyfikować dosłownie wszystko, a użytkownik nie będzie nic o tym wiedział.

Zagrożenie typu MiTB jest często wykorzystywane w sytuacji, kiedy podajemy dane swojej karty płatniczej / kredytowej, np. dokonując zakupu w sklepie internetowym lub zapisując się na płatne subskrypcje – silnik wirusa tworzy w witrynie internetowej dodatkowe formularze lub pola danych do uzupełnienia, które trafiają na jego serwer i mogą zostać wykorzystane do wyczyszczenia naszego konta lub wykorzystania limitu na rachunku karty kredytowej.

Jakie mamy możliwości obrony?

W przypadku ataków man in the browser niestety nie chroni nas ani protokół SSL (szyfrowana transmisja danych), ani dwuskładnikowe uwierzytelnianie (konieczność podania poza loginem i hasłem dodatkowych danych, np. kodu sms) – zainfekowana przeglądarka sczytuje i może wykorzystać każdą daną, którą wprowadzimy do systemu.
Również moment zainfekowania często pozostaje niezauważony (także przez antywirusa), ponieważ wirus może zostać zainstalowany nie tylko poprzez otwarcie załącznika z wiadomości, ale również poprzez samoczynne otwarcie się niechcianej strony. A to zdarza się dość często – np. gdy wchodzimy w kolejne linki wyszukiwarki w poszukiwaniu jakichś informacji.

Najlepszą obroną pozostaje więc nasz rozsądek – jeśli tylko zauważymy, że jakieś strony (bankowe lub niebankowe) zachowują się inaczej niż zwykle lub jesteśmy proszeni o podawanie większej ilości informacji niż zazwyczaj, powinniśmy natychmiast zaprzestać wykonywania danej operacji i skorzystać z jakiegoś narzędzia do skanowania komputera w poszukiwaniu złośliwych programów.

Powyżej opisałem tylko trzy metody działania cyberprzestępców – jest ich zdecydowanie więcej i czasem są bardziej wyrafinowane, ale chciałem pokazać te najczęściej spotykane mechanizmy kradzieży na jakie jesteśmy narażeni codziennie i jak się przed nimi zabezpieczyć.


Podsumowując, to co możemy zrobić, aby bezpiecznie korzystać z internetowego dostępu do bankowości to:

1. Nie otwieranie wiadomości od nieznajomych

2. Nie otwieranie podejrzanych załączników oraz linków

3. Posiadanie programów antywirusowych i ich regularna aktualizacja

4. Korzystanie z zalecanych aktualizacji i „łatek” na system operacyjny

Najlepszą jednak radą, jaką mogę dać, to zachowanie zdrowego rozsądku.

Jeśli idziemy do jakiegoś punktu zapłacić rachunek to nie niesiemy pieniędzy w wyciągniętej ręce przed sobą przez całą drogę – nie róbmy więc tego samego w Internecie. Komunikaty bezpieczeństwa wyświetlane przez banki są dla nas, dla klientów – nie ignorujmy ich. Kiedy chodzi o nasze pieniądze, zawsze lepiej na chwilę zwolnić i sprawdzić wszystko dwa razy, niż potem płakać nad rozlanym mlekiem.

A na koniec link do jednej z reklam traktującej o bezpieczeństwie w sieci:



(nie jest to link sponsorowany, mbank nie płaci mi za reklamę swoich usług)


PS. Kolejny raz na usta ciśnie mi się stwierdzenie: „wszystko jest dla ludzi, byle z głową” – chyba powinienem ustawić to hasło jako motto bloga ;)

Komentarze