Czy nasze pieniądze są bezpieczne?

Z informacji Związku Banków Polskich wynika, że liczba posiadaczy kont internetowych w Polsce rośnie w błyskawicznym tempie i pod koniec roku 2010 może wynieść nawet 10 milionów. W związku z tym, stajemy się stopniowo łakomym kąskiem dla cyberprzestępców. Czy możemy spać spokojnie?

Skąd się biorą afery phishingowe?

Większość ataków na bankowość internetową zdarza się w Ameryce. Centrum Przeciwdziałania Oszustwom Internetowym (RSA Cyota Anti-Fraud Command Center) szacuje, że trzy czwarte wszystkich ataków phishingowych przypada na amerykańskie instytuacje finansowe, tylko 20 proc. na Europę, a 5 proc. na Azję.

Również Polska znajduje się na celowniku internetowych przestępców. Ataki phishingowe - choć sporadyczne - zdarzają się także u nas. Jak do tego dochodzi? Cyberprzestępcy mają w swoim repertuarze cały wachlarz wyszukanych narzędzi, np. specjalne cyberprzestępcze fora dyskusyjne. Tworzą one czarny rynek, kojarząc ze sobą kupujących oraz sprzedających nielegalne informacje i materiały. Oferują one takie możliwości jak np. informacje "edukacyjne" na temat tego, jak dokonać ataku phishingowego czy sprzedaż numerów kart kredytowych.

Według innego raportu, pt. "Szara strefa gospodarki", przygotowanego przez specjalistów z firmy G Data Software, poszukiwane są informacje służące do zakładania kont, przyjmowania tożsamości, jak też inne, umożliwiające wykonywanie przydatnych i niezbędnych w tym środowisku działań. W asortymencie znaleźć można dane osobowe takie jak nazwiska, adresy, informacje o kontach bankowych, po zrzuty baz danych.

Przez tego typu fora cyberprzestępcy mają dostęp do specjalnych sklepów internetowych oferujących m.in.: skradzione karty kredytowe w cenie 2-300 euro, 1 milion adresów e-mail w cenie 30-250 euro, wysyłkę 1 miliona adresów e-mail ze spamem w cenie 300-800 euro.

Zacofanie technologiczne Polski sprzyja bezpieczeństwu?

Wbrew powszechnemu mniemaniu, nasi rodzimi eksperci od bankowości elektronicznej wypadają na tle innych krajów zaskakująco dobrze. - Paradoksalnie, jeśli mowa o bankowości internetowej, to ogólne technologiczne zacofanie Polski bardzo nam w tej kwestii pomogło. W e-bankowość weszliśmy później niż inne kraje i już na starcie dysponowaliśmy lepszymi (bezpieczniejszymi), bo najnowszymi rozwiązaniami informatycznymi. Choć jak pokazuje historia, również i Polskie banki nie uniknęły pewnych błędów - mówi Piotr Konieczny, konsultant ds. bezpieczeństwa oraz właściciel serwisu niebezpiecznik.pl.

- Dziś w większości polskich e-banków do wykonania przelewu wymagane jest tzw. podwójne uwierzytelnienie (ang. two-factor authentication) - czyli coś co znam (hasło) i coś co mam (kod z tokena lub SMS-a). Wciąż jednak zdarzają się takie banki, w których dostępu do naszej gotówki chroni tylko hasło lub ochrona związana z "czymś co mam" włączana jest losowo przez system bankowy...

Na uwagę zasługuje również fakt - mówi Konieczny - iż firma Google potwierdza naszą dobrą pozycję w sektorze e-bankowości. Prace nad ich "elektronicznym portfelem" czyli Google Checkout powierzono właśnie polskim oddziałom firmy.

Które banki chronią najlepiej?

Według raportu "Bezpieczeństwo w bankowości elektronicznej", sporządzonego przez Michała Macierzyńsiego, analityka portalu bankier.pl, w ścisłej czołówce polskich banków dbających o bezpieczeństwo transakcji w internecie znajdują się: Eurobank, PNB Paribas Fortis, Reiffeisen Bank Polska oraz Bank Zachodni WBK. Czym wyróżniają się ich systemy bankowości? Przede wszystkim stosują najbezpieczniejsze dostępne obecnie metody, czyli kombinację haseł statycznych, haseł SMS-owych, tokenów oraz obrazków.

"Zarówno stosowane zabezpieczenia, procedury, jak i praktyka funkcjonowania, stawia zabezpieczenia wykorzystywane przez polskie banki na najwyższym światowym poziomie. Pod tym względem nasz kraj wyróżnia się na tle innych rynków" - czytamy w raporcie.

System jest tak silny jak jego najsłabsze ogniwo

Tomasz Zamarlik z G Data Software ujmuje to w ten sposób: Banki mogą stosować najnowocześniejsze metody ochrony przed oszustami, ale pamiętajmy, że system jest tak słaby jak jego najsłabsze ogniwo, a tym najczęściej jest człowiek. Cyberprzestępcy o tym wiedzą, dlatego nawet najbardziej skomplikowane systemy informatyczne nie ochronią nas przed atakiem, jeśli nieświadomie lub w dobrej wierze podzielimy się swoimi osobistymi danymi lub hasłami ze stosującymi sztuczki socjotechniczne internetowymi przestępcami. Absolutnym minimum powinno być używanie dobrej jakości oprogramowania antywirusowego.