Chronić najsłabsze ogniwo

Zamiast forsować bankowe zabezpieczenia, cyberprzestępcy obierają za cel klientów.

"Banki w Polsce stosują bardzo wysoki poziom zabezpieczeń bankowości internetowej. Przez minioną dekadę nie było przypadku udanego sforsowania bankowych systemów informatycznych, obsługujących bankowość internetową. Dlatego przestępcy atakują klientów w myśl zasady, że człowiek jest najsłabszym ogniwem" - mówi Piotr Marek Balcerzak, sekretarz, członek Prezydium Rady Bankowości Elektronicznej w Związku Banków Polskich. W sytuacji kiedy klient padnie ofiarą oszustwa, w wyniku którego zniknęły środki z jego internetowego konta, banki zazwyczaj oddają skradzione pieniądze. Jeżeli jednak klient w sposób świadomy przyczynił się do ich utraty (np. przekazał poufne dane, dotyczące identyfikacji i uwierzytelnienia tożsamości oraz autoryzacji transakcji), musi liczyć się z odmową banku. Należy zaznaczyć, że obowiązek chronienia przez klienta takich danych nakłada na niego polskie prawo.

Na celowniku

Ostatnie kilkanaście miesięcy pokazało, że Polska dołączyła do grona ofiar udanych ataków phishingowych. Wcześniejsze próby internetowych przestępców mogły budzić jedynie zdziwienie lub uśmiech politowania nad nieudolnym tłumaczeniem treści na język polski. "W pewnym momencie nastąpił przełom i za phishing zabrano się bardziej profesjonalnie. Polskie banki stały się bezpośrednim celem ataków, a zawarty w nich przekaz wygląda na coraz bardziej prawdopodobny. W tej dziedzinie przestaliśmy być zacofani" - mówi Mirosław Maj, kierownik CERT Polska.
Należy rozstać się z myślą, że ataki pochodzą z drugiego końca świata. Proceder w podziemiu internetowym nie ma granic. Internetowi przestępcy, najwyraźniej zniecierpliwieni nieskutecznością, postanowili swoje ataki powiązać z rzeczywistymi wydarzeniami i zdobyć lepsze tłumaczenie komunikatu. Świadczy o tym październikowy atak na klientów BZWBK, gdzie pod pozorem faktycznej zmiany przez bank systemu e-bankowości wyłudzano od klientów dane do logowania. Klienci BZWBK doświadczyli też już wcześniej ataku typu phishing. Ofiarami za każdym razem padło tylko kilkunastu klientów, a straty sięgały kilkunastu tysięcy złotych. To niewiele, biorąc pod uwagę liczbę klientów BZWBK oraz zgromadzonych przez nich środków oraz skalę ataku, czyli dziesiątki tysięcy e-maili.

Bank na swoich stronach prowadzi akcję edukacyjną, współpracuje także z Fundacją Mozilla w zakresie przekazywania danych o stronach, wyłudzających dane klientów. Te informacje są umieszczane w przeglądarce Firefox w spisie szkodliwych witryn. Dzięki temu użytkownicy są ostrzegani przy próbie połączenia z taką witryną.
Najlepszą obroną przed phishingiem jest stosowanie się do żelaznej zasady ignorowania e-maili zachęcających do podawania loginów, haseł, numerów kart etc. W praktyce banki nigdy takich e-maili nie wysyłają do swoich klientów. Wizyta na podstawionej przez przestępców stronie internetowej może skończyć się utratą dostępu do rachunku (atakujący zmieniają hasło dostępowe) oraz pieniędzy na koncie. Jeszcze groźniejsze są ataki, które odbywają się w tle. Złośliwe oprogramowanie na komputerze potrafi podmienić "w locie" numer konta, na które dokonywany jest przelew.