Gdy rozpoczynała się era bankowości elektronicznej, polskie banki jako zabezpieczenie stosowały regularnie zmieniane hasła i szyfrowanie SSL z kluczem o długości 128 bitów. Przy tak zabezpieczonym serwisie możliwe są ataki phishingowe - rozsiewanie wiadomości zawierających link do spreparowanej strony, która przypomina prawdziwy serwis transakcyjny. Pozyskane w ten sposób hasło umożliwia kradzież środków.

Pierwsze zabezpieczenia antyphishingowe

Każda instytucja finansowa posiada dział związany z zarządzaniem ryzykiem. Analizy prowadzone przez ten dział są impulsem do wdrażania różnych zabezpieczeń technicznych i proceduralnych. "Przy ochronie serwisów transakcyjnych podstawowym celem jest obrona przed działaniami przestępczości zorganizowanej. Do ochrony przed phishingiem używano różnych sposobów, ale tamę prostym kradzieżom z kont postawiły dopiero hasła jednorazowe oraz informacje wysyłane w wiadomości SMS" - mówi Paweł Jakub Dawidek, CTO firmy Wheel Systems.

Pierwszym krokiem na drodze do bezpieczniejszych usług bankowości elektronicznej było wprowadzenie haseł maskowanych. Zabezpieczenie to jest powszechnie stosowane do dziś w samoobsługowych kanałach telefonicznych, w których klient podaje losowo wybierane cyfry z wielocyfrowego hasła. W wersji internetowej zabezpieczenie to działa podobnie, wymagając przy każdym logowaniu podawania innego zestawu znaków z dłuższego hasła.

Kolejnym krokiem było wdrożenie tokenów sprzętowych. Przechwycenie odczytu nie umożliwiało realizacji podejrzanych zleceń, gdyż kod tokena jest ważny tylko przez krótki czas.

Złodziej w przeglądarce

Tańszą alternatywą dla tokenów sprzętowych są listy haseł jednorazowych, w tym także karty-zdrapki. Rozwiązały one problem kradzieży loginu i hasła, bo bez posiadania kodu nie daje się zrealizować transferu pieniędzy. Nie chronią jednak przed przejęciem kontroli nad przeglądarką przez złośliwe oprogramowanie.

Obecnie najpopularniejsze oprogramowanie do kradzieży informacji związanych z bankowością elektroniczną ma wtyczkę do przeglądarki internetowej, umożliwiającą podmianę treści przed jej prezentacją użytkownikowi i podmianę danych wysyłanych do banku. Metoda jest skuteczna, gdy ofiara korzysta z systemu, w którym hasła nie są przypisane do transakcji. "Przejęcie kontroli nad przeglądarką umożliwia dowolną modyfikację danych o transakcji podanych przez klienta, a zatem ofiara prawidłowo podpisze za pomocą tokena czy hasła przelew na rachunek przestępców. Ponieważ nie ma osobnego kanału zwrotnego, nawet nie wie, że podpisuje przelew na inny rachunek" - mówi Paweł Jakub Dawidek.

Hasła SMS: miało być świetnie...

Telefony komórkowe sprawiły, że bankowość elektroniczna może skorzystać z osobnego od przeglądarki kanału komunikacji. Wiadomości SMS są niezależne od informacji wyświetlanej użytkownikowi w przeglądarce i umożliwiają przeprowadzenie silnego uwierzytelnienia. Problem: szczegółów wiadomości prawie nikt nie czyta. Paweł Jakub Dawidek uważa, że: "Wysyłane wiadomości SMS oprócz kodu potwierdzającego transakcję i kluczowych danych o operacji zawierają wiele nieistotnych informacji, które tylko zmniejszają szanse na rzetelną weryfikację danych przez klienta. Zdarza się, że użytkownicy bez sprawdzenia szczegółów operacji przepisują kod z wiadomości do okna przeglądarki".

Hasło - odzew

W porównaniu do prostego hasła wysyłanego innym kanałem komunikacji metoda wymagająca potwierdzenia kryptograficznego jest znacznie bezpieczniejsza. Użytkownik korzysta z aplikacji, do której przepisuje kod wyświetlany przez przeglądarkę w serwisie transakcyjnym.

Paweł Jakub Dawidek wyjaśnia: "Kod challenge zawiera informacje o koncie docelowym i kwocie, dzięki czemu aplikacja może wyświetlić użytkownikowi prawdziwe dane o realizowanej operacji. Nawet jeśli w przeglądarce znajduje się koń trojański, klientowi zostaną zaprezentowane informacje, które faktycznie trafiły do banku. Użytkownik może świadomie potwierdzić, na jaki rachunek wysyła przelew. Istnieje sposób, by jeszcze bardziej utrudnić złodziejom proceder kradzieży pieniędzy: użytkownik zamiast odczytywać w aplikacji wybrane dane o realizowanej transakcji, musiałby je tam niezależnie wprowadzić. Jest to dodatkowy krok dla użytkownika, ale znacznie podnosi poziom bezpieczeństwa w stosunku do zwykłego kodu SMS".