Jedną z najpopularniejszych ostatnio metod oszukiwania w Internecie jest wyłudzanie danych umożliwiających dokonywanie transakcji bankowych przez osoby nieuprawnione.
Idea procederu jest prosta: przestępca „wyłudza” od klientów banków numery kart płatniczych i kredytowych, loginy i hasła umożliwiające transakcje online, a także PIN-y do kart. Dzięki tym narzędziom przestępcy uzyskują prawie nieograniczony dostęp do środków gromadzonych na rachunkach bankowych, a czasami nawet mogą obciążać je ponad dostępne saldo.
Przestępcy wykorzystują do tego bogate instrumentarium działań, które pozwalają im na pozyskiwanie poufnych danych. Jednak problem nie leży tylko w działaniach przestępczych ale w naszej codziennej prewencji. Wielu użytkowników wykazuje się sporą niefrasobliwością zapisując numery kont, loginy i hasła dostępu na twardym dysku. Internetowi złodzieje włamują się do komputerów użytkowników serwisów bankowych, pozyskując z nich dane niefortunnie „chowane” na twardych dyskach.
Najpopularniejszymi sposobami na wyciąganie danych jest wysyłanie korespondencji „w imieniu” banku, która nakłania użytkownika do ujawnienia danych lub sfałszowanie strony WWW banku.
Pierwszy sposób polega na rozsyłaniu korespondencji do wcześniej przygotowanej bazy klientów danego banku z prośbą o podanie lub potwierdzenie danych klienta wraz z informacjami umożliwiającymi dokonywanie transakcji. Ważkim prawnie aspektem sprawy jest to, w jaki sposób przestępcy weszli w posiadanie bazy adresów klientów danego banku. Niestety najczęściej wykorzystywane są do tego kontakty przestępców z nielojalnym pracownikiem z banku mającym kontakt z taką bazą lub sukcesywne zbierane ich poprzez różnorodne formularze na niepozornych stronach internetowych, oferujących np. udział w konkursach, badaniach opinii. Do myślenia powinien dać każdy formularz, w którym jesteśmy pytani o bank, w którym posiadamy rachunek.
Listy elektroniczne rozsyłane do tak wyselekcjonowanej bazy zazwyczaj odwołują się do zasad bezpieczeństwa, do procesu zabezpieczenia przed hakerami, etc. Przestępcy profesjonalnie przygotowują szatę graficzną maila, która jest spójna z autentyczną korespondencją banku, zarówno od strony wizualnej (znaki towarowe, style, czcionki), jaki i formułami frazeologicznymi. Pozornie nic nie budzi podejrzeń, jednak w mailach tych użytkownik proszony jest o podanie swoich danych oraz identyfikatorów i haseł w celu, o ironio, podnoszenia bezpieczeństwa i zabezpieczenia transakcji. W rzeczywistości po wypełnieniu przez użytkownika żądanych pól można uznać, że klient jest goły jak święty turecki, gdyż przestępcy mogą uzyskać dostęp do jego rachunku.
Jednak takie włamanie do serwisu transakcyjnego nie musi oznaczać dla użytkownika jeszcze „wyczyszczenia rachunku”. Zabezpieczenia stosowane w polskich bankach oferujących obsługę online są wielostopniowe i chronią nasze środki do pewnego stopnia nawet po nieuprawnionym „wejściu” do systemu transakcyjnego.
Pierwszy poziom zabezpieczeń to login i hasło, które umożliwiają zalogowanie się w serwisie, na tym poziomie można wykonać jedynie operacje stałe lub zdefiniowane. Dopiero korzystając z drugiego poziomu, tzw. silne uwierzytelnienie, zabezpieczeń czyli haseł transakcyjnych (jednorazowych) można dokonać transakcji innej niż zdefiniowana. Dla przykładu mBank udostępnia hasła jednorazowe (TAN) w zbiorach 50 liczb 4 cyfrowych przesyłanych pocztą w formie papierowej, Inteligo udostępnia hasła będące również zbiorem cyfr w formie nadruku na plastikowej karcie, Bank Zachodni WBK przy podpisaniu umowy udostępnia klientom token (małe urządzenie generujące niepowtarzalne ciągi cyfr, które umożliwiają dokonanie autoryzowanej przez bank operacji). Czyli przestępca po zalogowaniu do systemu transakcyjnego, może przelać nasze środki jedynie na rachunki, które użytkownik wcześniej wprowadził do systemu transakcyjnego (zatem należy dobrze przemyśleć jakie rachunki definiujemy na stałe, a które będą realizowane jako jednorazowe transakcje), ewentualnie złożyć wnioski w imieniu użytkownika.
Środki zgromadzone na rachunku może transferować na konta spoza tych zaakceptowanych przez posiadacza rachunku, o ile przełamie zabezpieczenia drugiego poziomu. W tym celu musiałby uzyskać dostęp do listy haseł jednorazowych użytkownika, naturalnie pasujące parami z hasłami w systemie informatycznym banku (np. fizycznie kradnąc listę haseł lub token), lub wygenerować hasła, które utworzą takie pary, np. w drodze włamania do systemu informatycznego banku (mało prawdopodobne) lub informatyczne ich wygenerowanie (statystycznie krańcowo trudne). System transakcyjny banku „pozwala” pomylić się we wpisywanym haśle jednorazowym ograniczoną ilość razy, potem dla bezpieczeństwa użytkownika dostęp do rachunku jest blokowany. Drugim z popularnych sposobów oszukiwania klientów banków jest podrabianie stron www serwisów transakcyjnych. Przestępcy postępując zgodnie z zasadą „proste jest piękne” kopiują w pełni strony internetowe banków. W konsekwencji użytkownik widzi stronę taką samą jak w oryginalnym serwisie bankowym, jednak podpięte są do niej zupełnie inne mechanizmy informatyczne, które gromadzą i przekazują przestępcom dane użytkownika. Najczęściej gromadzone w ten sposób są identyfikatory (login) oraz hasła dostępowe, a nawet hasła jednorazowe, uzyskiwane w czasie symulowanych transakcji. Klienci szwedzkiego Handelsbanku zostali skierowani drogą mailową na identyczną do bankowej stronę internetową, co więcej przestępcy przygotowali domenę podobną do oryginalnej różniąca się jedynie rozszerzeniem kraju zamiast szwedzkiego prefiksu (.se), adres kończył się oznaczeniem .nu, które jest domeną należącą do wysepki Niue, na południowym Pacyfiku. Dla bezpieczeństwa użytkowników ważne jest aby sprawdzić dokładnie (co do litery) składnię adresu internetowego oraz czy na początku adresu http://www. Po http, w czasie logowania, przybyła literka s, przyjmując postać https://www, wówczas połączenie z serwerem bankowym jest szyfrowane dla bezpiecznego transferu danych. Protokół SSL pozwala na wykorzystanie sprawdzonych algorytmów szyfrujących do utajniania przesyłanych informacji. Stosowanie przez banki protokołu z kluczem 128-bitowym gwarantuje, że żaden potencjalny przestępca sieciowy nie pozna przesyłanych przez nas informacji, gdyż koszt złamania takiego zabezpieczenia są przy obecnym poziomie rozwoju techniki jest niedostępny nawet dla przestępców. Przestępcy w swojej działalności wykorzystują również łączenie obu powyższych technik, mailem kierują użytkownika na spreparowaną specjalnie stronę.
Dekalog bezpiecznego korzystania z bankowości internetowej
Logując się do systemu bankowego, sprawdzaj, czy transmisja odbywa się w ramach bezpiecznego połączenia, musisz widzieć w adresie https://, a na pasku stanu przeglądarki WWW ma być symbol kłódki.
Systematycznie sprawdzaj ważność certyfikatu oraz czy jest on wystawiony dla banku, z którego korzystasz, w tym celu kliknij na symbol kłódki.
Nigdy nie zapisuj nazwy użytkownika (login) i hasła. Jeśli masz możliwości dokonywania zmiany co jakiś czas zrób to, a do ich tworzenia używaj dużych i małych liter oraz cyfr.
Unikaj logowania w miejscach publicznych, tam gdzie mogą Cię podglądnąć lub gdzie może być zainstalowane nieznane oprogramowanie (służące np. do zapamiętywania używanych klawiszy).
Korzystając z serwisu bankowego wyłącz autouzupełnianie nazw użytkowników i haseł w formularzach.
Kiedy nie jesteśmy sami lub nie w swoim domu i wpisując hasło uważaj, by nikt go nie podejrzał.
Nie udostępniaj nikomu tokena, a tym bardziej hasła do konta, ani listy haseł jednorazowych.
W czasie autoryzowanego połączenia z serwisem bankowym nie pozostawiaj komputera samego.
Każdą wizytę w systemie transakcyjnym banku zakończ opcją wylogowania się z systemu i poczekaj na załadowanie się strony to potwierdzającej tę operację.
Dbaj o swój komputer dobrym programem antywirusowym i pamiętaj o uaktualnianiu jego baz.
Magdalena i Tomasz Horoszkiewicz
źródło: justitia.pl
Bazy: Bezpieczeństwo Twoich finansów w Internecie
Czy bankowość internetowa jest bezpieczna?
Czy mogę zostać okradziony przez hakera?
Jak chronić się przed przestępstwami internetowymi?