Bezpieczeństwo transakcji elektronicznych
- 16.04.2015
Rozwój systemów bankowości elektronicznej umożliwił dotarcie różnych klientów do usług bankowych online. Niestety, przejście z obsługi w oddziałach do masowej bankowości internetowej niesie ze sobą ryzyko ataków. Ich ofiarą coraz częściej padają urzędy i instytucje publiczne.
Model, w którym wszystkie transakcje finansowe przeprowadzano w oddziałach banków, jest już przeszłością. Zamiast czeków i formularzy działają elektroniczne systemy, w których usługi bankowe są dostępne bezpośrednio z firmy bądź instytucji. Przejście do takich systemów skutkuje jednak nowymi zagrożeniami, które występują równolegle obok starych, pospolitych oszustw.
Pierwsze ataki kierowane przeciw użytkownikom bankowości elektronicznej polegały głównie na przechwyceniu danych w tranzycie. Powszechne szyfrowanie SSL z weryfikacją tożsamości witryny umożliwiło zmniejszenie ryzyka przechwycenia danych logowania w tranzycie. Powstało jednak nowe niebezpieczeństwo związane z infekcją podatnych systemów Windows na stacji roboczej. Jest to obecnie najpoważniejsze zagrożenie transakcji finansowych w firmach.
Zobacz również:
Koń trojański w komputerze
Złośliwe oprogramowanie (malware) służy dziś niemal wyłącznie do kradzieży informacji lub pieniędzy i jest rozwijane komercyjnie. Najpopularniejszym takim narzędziem jest ZeuS (razem ze wszystkimi wariantami i produktami pokrewnymi) – koń trojański służący do masowych infekcji, kierowany najczęściej przeciw domowym użytkownikom. Obecnie jest wykorzystywany także przeciw organizacjom publicznym i firmom, które korzystają z bankowości elektronicznej online. Taki koń trojański potrafi ominąć nawet zabezpieczenie tokenem. Może również zaszyfrować wszystkie dokumenty, żądając potem okupu.
Obrona:
- Ryzyko związane z obecnością malware'u można minimalizować – czytaj dalej.
- Korzystać wyłącznie z tych systemów bankowości elektronicznej, które oferują dwuskładnikowe uwierzytelnienie, najlepiej za pomocą haseł SMS.
Nie ufać przeglądarce
Najpopularniejszym atakiem jest przejęcie kontroli nad komputerem ofiary i podmiana w locie zawartości witryn systemu transakcyjnego przez złośliwe oprogramowanie. Wtedy system może na przykład żądać rzekomych dodatkowych potwierdzeń, które w rzeczywistości posłużą do wykonania przelewu środków lub zdefiniowania nowego zaufanego odbiorcy, by później zlecić przelew na konto podstawionej osoby. W ten sposób złodzieje ukradli 250 tys. zł z konta gminy Błażowa (grudzień 2013 r.), 300 tys. zł gminie Gidle (luty 2014 r.) oraz niemal 0,5 mln zł z konta gminy Rząśnia (październik 2014 r.).
Obrona:
- Korzystać wyłącznie z systemów bankowości elektronicznej, które stosują hasła SMS (ZeuS oraz SpyEye umożliwiają ominięcie zabezpieczenia tokenem).
- Do potwierdzenia transakcji używać osobnego prostego telefonu (nie może być to smartfon), a każdą wiadomość SMS porównywać z informacją na ekranie
- Sprawdzać listę przelewów zdefiniowanych.
- Nie korzystać z zaufanych przelewów zdefiniowanych.
- Wprowadzić zasadę potwierdzenia zleceń przez drugą osobę („podpis na dwie ręce”).
- Bronić się przed złośliwym oprogramowaniem.
- Zablokować możliwość szybkiego transferu pieniędzy przez SORBNET, wprowadzić limity transakcji w systemie elektronicznym.
Kiedy wkładać kartę do czytnika?
W systemach prywatnej bankowości elektronicznej oraz niektórych serwisach korporacyjnych potwierdzanie złożonych zleceń odbywa się przy wykorzystaniu kart mikroprocesorowych. O ile samej karty nie da się skopiować, o tyle złodzieje mogą ukraść kod PIN (za pomocą keyloggera), podmienić paczkę przelewów, a następnie ją podpisać za pomocą karty, która często znajduje się cały czas w czytniku.
Obrona:
- Korzystać z programu do podpisywania paczek na dobrze zabezpieczonym, osobnym komputerze.
- Wprowadzić zasadę obecności karty w czytniku tylko podczas podpisywania paczki.
- Dokładnie sprawdzać paczki przelewów.
- Rozważyć wprowadzenie podpisu przez dwie osoby (tzw. „podpis na dwie ręce”).