Klient pod obstrzałem

Przedstawiamy najważniejsze czynniki ryzyka, związane z wykorzystaniem samoobsługowych kanałów bankowości elektronicznej.

Najpoważniejszym zagrożeniem dla usług webowej, konsumenckiej bankowości elektronicznej jest złośliwe oprogramowanie infekujące stację roboczą klienta oraz phishing. Typowy model korzystania z takich usług zakłada logowanie do publicznie dostępnej strony WWW z transmisją szyfrowaną za pomocą SSL. Ponieważ przechwycenie informacji przesyłanej w szyfrowanej sesji SSL nie oznacza dostępu do zaszyfrowanych danych, model ten zapewnia dość dobrą ochronę przed przejęciem informacji jedynie za pomocą nasłuchu ruchu sieciowego. Serwery świadczące taką usługę są zazwyczaj dość dobrze chronione za pomocą zapór sieciowych, urządzeń IDS/IPS oraz terminowania ruchu SSL na osobnych urządzeniach, by móc dokonać inspekcji ruchu, zanim dotrze on do serwera aplikacyjnego w infrastrukturze IT banku. Zatem, zamiast atakować dobrze chronione serwery bankowości elektronicznej, cyberprzestępcy wybrali łatwiejszy cel - stację roboczą posiadacza rachunku.

Pocisk kontra pancerz

Historycznie pierwsze ataki wykorzystywały keylogger, ale bardzo prędko przestały być skuteczne, gdy europejskie banki uzupełniły zabezpieczenia, wprowadzając dwuskładnikowe uwierzytelnienie. Od kilku lat nie ma w Polsce banku, który świadczyłby usługi bankowości elektronicznej bez takich zabezpieczeń, dzięki czemu ryzyko nadużyć znacznie maleje. Statyczne hasła jednorazowe TAN, zapisane na przykład na papierowej liście lub karcie-zdrapce, są stosunkowo tanie w porównaniu do tokenów, ale mają istotną wadę - nie są przypisane do konkretnej transakcji. Wadę tę mają też klasyczne tokeny, takie jak RSA SecurID. Ten fakt wykorzystywali dość często przestępcy, przygotowując fałszywą stronę WWW, która imitowała stronę logowania do portalu transakcyjnego, żądała hasła jednorazowego, a potem przekierowywała na prawdziwy portal z sygnałem wylogowania. W tym czasie automat przestępców już wykonywał nieautoryzowany przez użytkownika przelew, korzystając z przechwyconych danych. Czas od przechwycenia kodu do realizacji przelewu był na tyle krótki, że hasło z tokena nie zdążyło wygasnąć. Przed takimi atakami banki chronią się za pomocą systemu monitoringu, który kontroluje parametry sesji użytkownika.

Zamiast kartek z kodami, hasła SMS

Jednym z najpopularniejszych kanałów komunikacji wykorzystywanym do przesyłania haseł jednorazowych generowanych przez system IT banku, jest telefonia komórkowa. Transakcyjne hasła SMS poprawiają bezpieczeństwo w porównaniu do zestawu statycznych haseł i wydają się dobrą alternatywą dla papierowych list kodów TAN. Niestety, istnieją już sposoby obejścia nawet takiego zabezpieczenia - najczęściej spotykanym jest wstrzyknięcie kodu HTML do istniejącej sesji za pomocą złośliwego oprogramowania. Tak można przeprowadzić dowolny przelew, jeśli tylko w jakiś sposób uda się przekonać użytkownika, by potwierdził operację za pomocą kodu SMS. Moduł modyfikacji strony transakcyjnej sprawia, że użytkownik widzi w przeglądarce inną treść od tej, którą generuje bank i potwierdza hasłem SMS zupełnie inną transakcję. Atak powiedzie się, jeśli użytkownik nie sprawdza informacji (numeru konta, kwoty) zawartych w wiadomości tekstowej, zatem banki uzupełniają kod o skrócone informacje, które umożliwiają wychwycenie nadużycia przez uważnego użytkownika.

Złodziej w telefonie

Bardzo poważnym problemem związanym z bezpieczeństwem webowej bankowości elektronicznej jest coraz powszechniejsze korzystanie przez klientów z telefonów klasy smartphone. Urządzenia te posiadają stosunkowo silny procesor oraz zaawansowany system operacyjny i również mogą być celem ataku. Cyberprzestępcy mogą przygotować złośliwe oprogramowanie, które będzie oczekiwało na wiadomości SMS zawierające hasła jednorazowe. Po przechwyceniu, może niezwłocznie przekazać je dalej za pomocą modułu GSM w tym samym telefonie.

Niektórzy użytkownicy takich telefonów (szczególnie dotyczy to telefonów Apple iPhone, wyposażonych w bardzo dobrą przeglądarkę Safari) logują się do systemów bankowości elektronicznej wprost z telefonu. Hasło SMS dla transakcji przychodzi wtedy na ten sam telefon, zatem moc takiego zabezpieczenia jest de facto zredukowana prawie do pojedynczego statycznego hasła, gdyż informacje potwierdzające przelew są dostępne w tym samym urządzeniu. Instalacja złośliwego oprogramowania, które mogłoby ingerować w treść wyświetlanej strony (to potrafi od dawna ZeuS) i przechwycić hasło SMS z modułu GSM (to potrafi wiele programów na przykład na platformie Windows Mobile czy Symbian, na przykład SMS Spam Manager) daje szansę przejęcia obu informacji niezbędnych do kradzieży środków z konta ofiary.

Bankowość prywatna na celowniku

Usługi bankowości elektronicznej świadczone za pomocą dedykowanego oprogramowania były uznawane za bardzo bezpieczne. W przypadku korporacji, usługi takie są często świadczone przy uwierzytelnieniu transakcji przez dwie osoby (kontrasygnata), standardem jest użycie kart inteligentnych chronionych kodem PIN.


TOP 200