Banki online: zachowajmy czujność

Specjaliści SANS Institute twierdzą, że klienci bankowości online powinni poświęcać więcej uwagi specyficznym oznaczeniom na przeglądarkach internetowych, ponieważ wiele popularnych ośrodków bankowych może niepotrzebnie narażać swoich klientów na ryzyko kradzieży tożsamości.

Według ekspertów SANS Institute problemem jest formularz logowania, jaki stosują banki online, który zachęca użytkownika do podania swojego identyfikatora i hasła. Mimo tego, iż taki formularz może być zaszyfrowany, to jednak nie zawsze stosowana jest technologia uwierzytelniania, która pozwala sprawdzić autentyczność witryny, na której się logujemy.

Bardziej bezpiecznym podejściem jest wymuszanie na użytkownikach używania podczas logowania witryn stosujących HTTPS (HyperText Transport Protocol Secure). Witryny stosujące HTTPS używają protokołu SSL (Secure Sockets Layer), który nie tylko szyfruje informację, ale także zapewnia certyfikaty cyfrowe gwarantujące, że ośrodek sieciowy, do którego się logujemy jest prawdziwy.

Witryny, które nie używają takiego rodzaju bezpiecznych połączeń są podatne na ataki znane jako 'sfałszowanie DNS', gdzie atakujący próbują skierować użytkowników na nieoryginalną stronę sieciową. Jest to realizowane przez sfałszowanie odwzorowania nazwy domeny na fizyczny adres IP w czasie nawigowania po Internecie.

Tego typu atak jest jednak dość skomplikowanym przedsięwzięciem technicznym, dlatego hakerzy używają znacznie prostszych technik do nakłonienia użytkownika do podania swojego identyfikatora i hasła, stosując np. techniki phishingu.

SANS Institute uważa, że nie ma uzasadnionych powodów niestosowania połączeń SSL w bankowości online. Instytut publikuje listę banków używających SSL pod tym adresem. Niestety lista nie obejmuje Polski. Część banków stosuje strony SSL jako opcje, co nie zawsze jest oczywiste dla użytkownika. Aby znaleźć taką stronę można zastosować prostą sztuczkę, która zmusi przeglądarkę do wyświetlenia ikony kłódki, symbolizującej bezpieczne połączenie SSL, na dole ekranu. W tym celu należy w formularzu logowania wpisać niewłaściwe hasło lub identyfikator, a większość banków online używających opcjonalnie bezpiecznego logowania skieruje użytkownika na stronę logowania SSL.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200