W idealnej sytuacji do dokonywania transakcji bankowych online powinien być wykorzystywany terminal z systemem operacyjnym i przeglądarką poddaną hardeningowi, ograniczony w możliwości nawiązywania połączeń do kilku adresów IP. To raczej logiczny wniosek.

A zatem samo oprogramowanie AV/AS nie wystarcza. Potwierdzają to badania opublikowane we wrześniu br. przez firmę Trusteer - aż 55% ofiar Zeusa miało aktualnego antywirusa. Konieczne są także regularne aktualizacje systemu operacyjnego i przeglądarek. Pomińmy jednak kwestię braku refleksji typowego użytkownika e-bankingu i skupmy się na tym, co robią w tej sprawie same banki.

Bezpieczny portal e-bankowy

Banki przede wszystkim starają się wspomagać swoich klientów już podczas pierwszego kontaktu z portalem, wyposażając go w wiele mniej lub bardziej skutecznych zabezpieczeń. Pomijamy szyfrowanie komunikacji, bo to standard, choć zdarzają się wypadki przy pracy (możliwość negocjowania słabych mechanizmów kryptograficznych w SSL/TLS).

Już na etapie logowania do konta e-bankowego wprowadzane są usprawnienia. W zależności od typu konta (indywidualne, korporacyjne) - dostajemy różne możliwości. Spora grupa banków nadal wykorzystuje standardowe mechanizmy uwierzytelniania - nazwa użytkownika lub numer klienta i hasło. Niektórzy jednak robią pewien krok naprzód i wprowadzają wieloaspektowość do procesu uwierzytelnień lub stosują tzw. hasła maskowane. Ich idea polega na wpisywaniu tylko niektórych znaków z hasła według zmiennego algorytmu. Mechanizm ten daje użytkownikowi (i jego oprogramowaniu AV/AS) trochę czasu na ewentualną aktualizację i wykrycie kodu złośliwego. Jeżeli komputer jest zainfekowany, a celem atakującego jest przejęcie hasła logowania, to będzie potrzeba kilku/kilkunastu logowań (w zależności od liczby znaków), aby odczytać pełne hasło.

Kolejnym wzmocnieniem zabezpieczeń jest możliwość wpisywania hasła za pomocą wirtualnej klawiatury. Stosuje się dwa rodzaje takich klawiatur. Pierwsze mają zawsze ten sam układ znaków. W drugich, układ znaków jest generowany losowo. Większość specjalistów uważa ten rodzaj zabezpieczeń za mocno iluzoryczny, ponieważ gros używanych przez agresorów narzędzi potrafi sobie z taką klawiaturą poradzić (wykonując zrzuty ekranu, zapamiętując koordynaty kursora myszki w chwili kliknięcia). Stąd też różne pomysły na innowacje. Można więc spotkać klawiatury wirtualne, które nie wymagają klikania -wystarczy na dwie, trzy sekundy zatrzymać wskaźnik myszy nad określonym symbolem, aby został on zaznaczony.

Nie brakuje też innych nowatorskich pomysłów. Banki stosują dodatkowe mechanizmy, które pozwalają użytkownikowi (po zalogowaniu) zorientować się, czy nie ma do czynienia z podstawioną witryną. Na przykład klienci Alior Banku mogą wybrać obrazek, który będzie widoczny po zalogowaniu się do serwisu. Pojawienie się innego niż wcześniej wskazanego obrazka, powinno zapalić lampkę ostrzegawczą. Trochę więcej możliwości mają klienci korporacyjni. Z reguły otrzymują bardziej zaawansowane mechanizmy uwierzytelniania (np. tokeny OTP). Ale i one nie gwarantują pełnego bezpieczeństwa.