Czy nasze pieniądze są bezpieczne?

Z informacji Związku Banków Polskich wynika, że liczba posiadaczy kont internetowych w Polsce rośnie w błyskawicznym tempie i pod koniec roku 2010 może wynieść nawet 10 milionów. W związku z tym, stajemy się stopniowo łakomym kąskiem dla cyberprzestępców. Czy możemy spać spokojnie?

Skąd się biorą afery phishingowe?

Większość ataków na bankowość internetową zdarza się w Ameryce. Centrum Przeciwdziałania Oszustwom Internetowym (RSA Cyota Anti-Fraud Command Center) szacuje, że trzy czwarte wszystkich ataków phishingowych przypada na amerykańskie instytuacje finansowe, tylko 20 proc. na Europę, a 5 proc. na Azję.

Również Polska znajduje się na celowniku internetowych przestępców. Ataki phishingowe - choć sporadyczne - zdarzają się także u nas. Jak do tego dochodzi? Cyberprzestępcy mają w swoim repertuarze cały wachlarz wyszukanych narzędzi, np. specjalne cyberprzestępcze fora dyskusyjne. Tworzą one czarny rynek, kojarząc ze sobą kupujących oraz sprzedających nielegalne informacje i materiały. Oferują one takie możliwości jak np. informacje "edukacyjne" na temat tego, jak dokonać ataku phishingowego czy sprzedaż numerów kart kredytowych.

Przez tego typu fora cyberprzestępcy mają dostęp do specjalnych sklepów internetowych oferujących m.in.: skradzione karty kredytowe w cenie 2-300 euro, 1 milion adresów e-mail w cenie 30-250 euro, wysyłkę 1 miliona adresów e-mail ze spamem w cenie 300-800 euro.

Zacofanie technologiczne Polski sprzyja bezpieczeństwu?

Wbrew powszechnemu mniemaniu, nasi rodzimi eksperci od bankowości elektronicznej wypadają na tle innych krajów zaskakująco dobrze. - Paradoksalnie, jeśli mowa o bankowości internetowej, to ogólne technologiczne zacofanie Polski bardzo nam w tej kwestii pomogło. W e-bankowość weszliśmy później niż inne kraje i już na starcie dysponowaliśmy lepszymi (bezpieczniejszymi), bo najnowszymi rozwiązaniami informatycznymi. Choć jak pokazuje historia, również i Polskie banki nie uniknęły pewnych błędów - mówi Piotr Konieczny, konsultant ds. bezpieczeństwa oraz właściciel serwisu niebezpiecznik.pl.

- Dziś w większości polskich e-banków do wykonania przelewu wymagane jest tzw. podwójne uwierzytelnienie (ang. two-factor authentication) - czyli coś co znam (hasło) i coś co mam (kod z tokena lub SMS-a). Wciąż jednak zdarzają się takie banki, w których dostępu do naszej gotówki chroni tylko hasło lub ochrona związana z "czymś co mam" włączana jest losowo przez system bankowy...

Na uwagę zasługuje również fakt - mówi Konieczny - iż firma Google potwierdza naszą dobrą pozycję w sektorze e-bankowości. Prace nad ich "elektronicznym portfelem" czyli Google Checkout powierzono właśnie polskim oddziałom firmy.

Według raportu "Bezpieczeństwo w bankowości elektronicznej", sporządzonego przez Michała Macierzyńsiego, analityka portalu bankier.pl, w ścisłej czołówce polskich banków dbających o bezpieczeństwo transakcji w internecie znajdują się: Eurobank, PNB Paribas Fortis, Reiffeisen Bank Polska oraz Bank Zachodni WBK. Czym wyróżniają się ich systemy bankowości? Przede wszystkim stosują najbezpieczniejsze dostępne obecnie metody, czyli kombinację haseł statycznych, haseł SMS-owych, tokenów oraz obrazków.

"Zarówno stosowane zabezpieczenia, procedury, jak i praktyka funkcjonowania, stawia zabezpieczenia wykorzystywane przez polskie banki na najwyższym światowym poziomie. Pod tym względem nasz kraj wyróżnia się na tle innych rynków" - czytamy w raporcie.

System jest tak silny jak jego najsłabsze ogniwo

Tomasz Zamarlik z G Data Software ujmuje to w ten sposób: Banki mogą stosować najnowocześniejsze metody ochrony przed oszustami, ale pamiętajmy, że system jest tak słaby jak jego najsłabsze ogniwo, a tym najczęściej jest człowiek. Cyberprzestępcy o tym wiedzą, dlatego nawet najbardziej skomplikowane systemy informatyczne nie ochronią nas przed atakiem, jeśli nieświadomie lub w dobrej wierze podzielimy się swoimi osobistymi danymi lub hasłami ze stosującymi sztuczki socjotechniczne internetowymi przestępcami. Absolutnym minimum powinno być używanie dobrej jakości oprogramowania antywirusowego.