Okradają tylko naiwnych
Eksperci zajmujący się informatyką śledczą oceniają, że najwięcej kradzieży z bankowych kont internetowych jest konsekwencją niefrasobliwych działań ich użytkowników, którzy często sami ułatwiają złodziejom ominięcie zabezpieczeń.
Jak powiedział Zbigniew Engiel z katowickiej firmy Mediarecovery (bezpieczeństwo informatyczne), jako że banki stosunkowo dobrze zabezpieczają internetowe konta, cyberprzestępcy najchętniej korzystają z potencjalnie najsłabszego ogniwa w relacji klient- bank, czyli naiwności klientów.
Odniósł się w ten sposób do niedawnych informacji medialnych o kradzieży z konta przedsiębiorcy z Katowic ponad 70 tys. zł. Według policji, przestępcy posłużyli się w tym przypadku - podobnie jak w wielu innych - fałszywym e-mailem i stroną internetową, na której podszywając się pod bank, prosili klientów o zalogowanie się i podanie hasła.
Jak wyjaśniają specjaliści, tego rodzaju działalność, tzw. phishing, pozwala przestępcom zdobywać dane, które mogą zostać wykorzystane nie tylko do kradzieży pieniędzy z konta internetowego, ale również do innego rodzaju przestępstw, np. wyłudzeń kredytów.
- Żaden szanujący się, dbający o bezpieczeństwo bank, nie będzie nigdy pytał swego klienta poprzez e-mail o jakiekolwiek dane, nie będzie też prosił o ich podanie czy też aktualizację. Odbywa się to inną drogą, najczęściej listowną - wskazał Engiel.
Potwierdza to Arkadiusz Mierzwa z Pekao SA, który zaznaczył, że w przypadku jego banku informacje bezpośrednio związane z bezpieczeństwem pieniędzy klientów, np. kody pozwalające uaktywnić usługę bankowości internetowej, przesyłane są klientom listami poleconymi - w specjalnie zabezpieczonych kopertach.
Specjaliści podkreślają, że oprócz ignorowania przysyłanych rzekomo przez banki e-maili z prośbami o podanie jakichkolwiek informacji, użytkownicy kont internetowych powinni stale stosować kilka zasad, które znacząco utrudnią komputerowym przestępcom dokonanie kradzieży.
Podstawową zasadą jest dbanie o bezpieczeństwo samego komputera. Przede wszystkim należy używać legalnego i często aktualizowanego oprogramowania antywirusowego wraz z bazą najnowszych sygnatur. Przydatne są również tzw. firewalle i systemy wykrywania intruzów - blokujące niepożądane połączenia komputera z internetem.
Według specjalisty ds. bezpieczeństwa ING Banku Śląskiego Pawła Trzcionkowskiego, ich brak naraża klientów na umieszczenie na komputerze złośliwego oprogramowania, które może służyć do wykradzenia danych identyfikacyjnych takich jak loginy, hasła czy jednorazowe kody.
- Kontrola środowiska komputera, z którego klient łączy się z usługą bankowości internetowej pozostaje poza możliwościami banku, który nie jest w stanie egzekwować od użytkowników stosowania podstawowych zasad bezpieczeństwa. Możemy uświadamiać klientom zagrożenia, co czynimy na stronie informacyjnej banku, i wspierać ich nowymi mechanizmami zabezpieczeń w samej aplikacji internetowej - wskazał Trzcionkowski.
Równie ważne, jak stosowanie właściwie skonfigurowanych i na bieżąco uaktualnianych narzędzi ochrony przed wirusami i atakami z internetu, jest korzystanie z legalnych i również na bieżąco uaktualnianych systemów operacyjnych oraz niestosowanie oprogramowania niewiadomego pochodzenia.
Nie należy korzystać z usług bankowości internetowej poprzez komputery dostępne powszechnie, chociażby w kawiarenkach internetowych. Nie wiadomo bowiem, czy nie znajdują się na nich np. programy szpiegujące, tzw. spyware, pozwalające m.in. na przejmowanie haseł wpisywanych przez przypadkowych użytkowników czy tzw. trojan horse - umożliwiające przestępcom przejęcie kontroli nad komputerem.
Niezupełnie bezpieczne mogą w tym wypadku okazać się również połączenia bezprzewodowe. Trzcionkowski wyjaśnił, że wynika to z dość dużego zasięgu sygnału radiowego urządzeń bezprzewodowych i możliwości uzyskania dostępu do komputera klienta w przypadku, gdy transmisja bezprzewodowa nie jest poprawnie zabezpieczona.
Specjaliści wskazują, że o bezpieczeństwie usługi bankowości internetowej nie decydują pojedyncze mechanizmy, lecz suma wszystkich wprowadzonych zabezpieczeń. Każde kolejne zabezpieczenie podnosi bezpieczeństwo całego rozwiązania i komplikuje przygotowanie potencjalnego ataku.
Jednym z dodatkowych takich rozwiązań chroniących użytkownika przed odczytaniem wpisywanych przez niego znaków przez typowe programy śledzące i zapisujące uderzenia klawiszy jest tzw. wirtualna klawiatura, na której wpisuje się hasło klikając myszką.
Każdorazowo korzystając z bankowości internetowej trzeba też sprawdzać, czy przed adresem strony pojawia się oznaczenie bezpiecznego połączenia https://, a na dolnym pasku przeglądarki internetowej - symbol zamkniętej kłódki.
Własnoręczne wpisywanie adresu strony internetowej chroni przed zalogowaniem na fałszywej stronie banku. Specjaliści nie zalecają korzystania z funkcji tzw. autouzupełniania loginów i haseł - gdyż te znajdują się w pamięci komputera i mogą stać się łatwym łupem programów szpiegujących.
Bezpieczeństwo używania kont internetowych zwiększa częsta zmiana znanych tylko użytkownikowi haseł. Nie należy przy tym zapisywać ich na dysku komputera bądź na podłączanych do niego nośnikach zewnętrznych, by nie narazić się na działanie programów szpiegujących.
Jedną ze stosunkowo nowych metod zabezpieczania transakcji dokonywanych przez internet jest jej autoryzacja jednorazowym kodem o ograniczonym czasie ważności. Jak podkreślił Trzcionkowski, w przypadku jego banku kod ten jest każdorazowo generowany do konkretnej dyspozycji i dostarczany klientom bezpłatnym sms-em.
Wraz z kodem użytkownik otrzymuje informację o szczegółach złożonej dyspozycji takich jak kwota i ostatnie cyfry rachunku beneficjenta. Pozwala to na potwierdzenie czy klient autoryzuje dyspozycję złożoną przez siebie. Co ważne, kod i opis dyspozycji przesyłany jest sms-em, czyli kanałem komunikacji zupełnie niezależnym od internetu.
Do firm zajmujących się informatyką śledczą stosunkowo często trafiają komputery ofiar lub wykrytych sprawców kradzieży z kont internetowych. Specjaliści potwierdzają wówczas, czy rzeczywiście doszło do takiego przestępstwa. Wykrywaniem przestępstw popełnianych w sieci zajmują się już uprawnione wyspecjalizowane jednostki służb i policji.
Specjaliści podkreślają, że nieprzestrzeganie zasad komputerowego bezpieczeństwa - nie tylko podczas korzystania z usług bankowości internetowej - nie musi skutkować natychmiastową utratą danych czy pieniędzy. Ich lekceważenie może źle się skończyć np. po kilku latach, gdy przestępcy przypadkowo trafią na nasz komputer, lub do dłuższej obserwacji zauważą, że na koncie pojawiła się akurat większa suma pieniędzy. MTB