Bezpieczeństwo transakcji elektronicznych

Rozwój systemów bankowości elektronicznej umożliwił dotarcie różnych klientów do usług bankowych online. Niestety, przejście z obsługi w oddziałach do masowej bankowości internetowej niesie ze sobą ryzyko ataków. Ich ofiarą coraz częściej padają urzędy i instytucje publiczne.

Model, w którym wszystkie transakcje finansowe przeprowadzano w oddziałach banków, jest już przeszłością. Zamiast czeków i formularzy działają elektroniczne systemy, w których usługi bankowe są dostępne bezpośrednio z firmy bądź instytucji. Przejście do takich systemów skutkuje jednak nowymi zagrożeniami, które występują równolegle obok starych, pospolitych oszustw.

Pierwsze ataki kierowane przeciw użytkownikom bankowości elektronicznej polegały głównie na przechwyceniu danych w tranzycie. Powszechne szyfrowanie SSL z weryfikacją tożsamości witryny umożliwiło zmniejszenie ryzyka przechwycenia danych logowania w tranzycie. Powstało jednak nowe niebezpieczeństwo związane z infekcją podatnych systemów Windows na stacji roboczej. Jest to obecnie najpoważniejsze zagrożenie transakcji finansowych w firmach.

Zobacz również:

  • Microsoft przejął sieć serwerów należących do chińskich hakerów

Koń trojański w komputerze

Złośliwe oprogramowanie (malware) służy dziś niemal wyłącznie do kradzieży informacji lub pieniędzy i jest rozwijane komercyjnie. Najpopularniejszym takim narzędziem jest ZeuS (razem ze wszystkimi wariantami i produktami pokrewnymi) – koń trojański służący do masowych infekcji, kierowany najczęściej przeciw domowym użytkownikom. Obecnie jest wykorzystywany także przeciw organizacjom publicznym i firmom, które korzystają z bankowości elektronicznej online. Taki koń trojański potrafi ominąć nawet zabezpieczenie tokenem. Może również zaszyfrować wszystkie dokumenty, żądając potem okupu.

Obrona:

  • Ryzyko związane z obecnością malware'u można minimalizować – czytaj dalej.
  • Korzystać wyłącznie z tych systemów bankowości elektronicznej, które oferują dwuskładnikowe uwierzytelnienie, najlepiej za pomocą haseł SMS.

Nie ufać przeglądarce

Najpopularniejszym atakiem jest przejęcie kontroli nad komputerem ofiary i podmiana w locie zawartości witryn systemu transakcyjnego przez złośliwe oprogramowanie. Wtedy system może na przykład żądać rzekomych dodatkowych potwierdzeń, które w rzeczywistości posłużą do wykonania przelewu środków lub zdefiniowania nowego zaufanego odbiorcy, by później zlecić przelew na konto podstawionej osoby. W ten sposób złodzieje ukradli 250 tys. zł z konta gminy Błażowa (grudzień 2013 r.), 300 tys. zł gminie Gidle (luty 2014 r.) oraz niemal 0,5 mln zł z konta gminy Rząśnia (październik 2014 r.).

Obrona:

  • Korzystać wyłącznie z systemów bankowości elektronicznej, które stosują hasła SMS (ZeuS oraz SpyEye umożliwiają ominięcie zabezpieczenia tokenem).
  • Do potwierdzenia transakcji używać osobnego prostego telefonu (nie może być to smartfon), a każdą wiadomość SMS porównywać z informacją na ekranie
  • Sprawdzać listę przelewów zdefiniowanych.
  • Nie korzystać z zaufanych przelewów zdefiniowanych.
  • Wprowadzić zasadę potwierdzenia zleceń przez drugą osobę („podpis na dwie ręce”).
  • Bronić się przed złośliwym oprogramowaniem.
  • Zablokować możliwość szybkiego transferu pieniędzy przez SORBNET, wprowadzić limity transakcji w systemie elektronicznym.

Kiedy wkładać kartę do czytnika?

W systemach prywatnej bankowości elektronicznej oraz niektórych serwisach korporacyjnych potwierdzanie złożonych zleceń odbywa się przy wykorzystaniu kart mikroprocesorowych. O ile samej karty nie da się skopiować, o tyle złodzieje mogą ukraść kod PIN (za pomocą keyloggera), podmienić paczkę przelewów, a następnie ją podpisać za pomocą karty, która często znajduje się cały czas w czytniku.

Obrona:

  • Korzystać z programu do podpisywania paczek na dobrze zabezpieczonym, osobnym komputerze.
  • Wprowadzić zasadę obecności karty w czytniku tylko podczas podpisywania paczki.
  • Dokładnie sprawdzać paczki przelewów.
  • Rozważyć wprowadzenie podpisu przez dwie osoby (tzw. „podpis na dwie ręce”).
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200