Operacje bankowe online – co zrobić, by były bezpieczne?
Rynek mobilnych usług finansowych notuje obecnie najwyższy w ostatnich latach wskaźnik aktywności użytkowników. Wraz ze wzrostem ilości osób korzystających z tej formy bankowości wzrasta również liczba zagrożeń, których celem są instytucje finansowe i ich klienci. Według najnowszego raportu Trend Micro ilość ataków cyberprzestępczych, których celem są urządzenia mobilne, wzrosła w ostatnim kwartale o 29 proc. - ze 113 tysięcy do 146 tysięcy.
Bezpieczeństwo to najważniejszy aspekt decydujący o jakości świadczonych usług mobilnych. Jest on szczególnie ważny w przypadku instytucji takich jak banki, które przechowują nie tylko pieniądze swoich klientów, ale gromadzą także wrażliwe dane, których ochrona powinna stanowić najwyższy priorytet.
Stworzenie stron przeznaczonych dla urządzeń mobilnych i obsługujących je aplikacji, nie wystarcza, by zapewnić odpowiedni poziom bezpieczeństwa. Rozwój technologii pociąga za sobą wzrost liczby zagrożeń, które w przypadku urządzeń mobilnych są bardzo zróżnicowane. Zanim zdecydujemy się na korzystanie z oferowanych przez instytucje finansowe usług, warto dowiedzieć się, jakie zabezpieczenia posiada dany bank - jak wynika z ostatnich badań ponad 43 proc. wszystkich ataków skierowanych jest właśnie w ten sektor.
Jednym z najpopularniejszych sposobów przechwytywania danych użytkowników online’owych kont bankowych jest tzw. trojanizing legalnych aplikacji. Jest to metoda wykorzystywania przez cyberprzestępców złośliwych aplikacji, które często są idealnymi kopiami autoryzowanych narzędzi bankowych. Szkodliwe programy, instalowane na urządzeniach bez wiedzy ich użytkowników, wykradają dane osobowe, numery kont i informacje o kartach kredytowych.
- Cyberprzestępcy będą wykorzystywać różne sztuczki, aby użytkownik wierzył, że pobiera legalne aplikacje. Mogą one wykorzystywać te same obrazy, ikony, a także bezpośrednio naśladować nazwę wydawcy oryginalnej aplikacji. Jednym z przykładów jest tzw. "faketoken malware", aplikacja służąca wykradaniu danych poprzez podszywanie się pod generator tokenów instytucji finansowej. Pozorna informacja o błędzie w rzeczywistości wyłudza od nas informacje dostępowe do naszego konta" - komentuje Rik Ferguson, specjalista do spraw zabezpieczeń w Trend Micro.
Fałszowanie nie ogranicza się tylko do aplikacji bankowej. Strony mobile phone phishing są kolejnym sposobem wyłudzania danych osobowych, który jest coraz częściej spotykany. Do tej pory strony phishingowe były zagrożeniem jedynie dla komputerów. Można zauważyć bardzo dynamiczny rozwój tych narzędzi adresowanych również do urządzeń mobilnych. Działają one analogicznie do mechanizmu wykorzystywanego przez aplikacje szpiegujące. Podszywając się pod autoryzowane strony banków i innych instytucji zmuszają użytkowników do podania danych osobowych lub dostępowych do konta bankowego, poczty, a nawet do profilu na Facebooku.
- Z zebranych przez nas informacji wynika, że do września 2013 roku zanotowano wzrost ilości stron phishingowych dla telefonów komórkowych sięgający aż 53 proc. - ostrzega Rik Ferguson.
W przypadku stron phishingowych ważną zasadą bezpieczeństwa jest sprawdzenie czy odwiedzana przez nas strona internetowa jest odpowiednio chroniona szyfrowanym HTTPS. O bezpieczeństwie strony danej instytucji finansowej świadczy też widoczna ikona kłódki, która pojawia się na pasku adresowym strony internetowej. Należy o tym pamiętać z uwagi na to, że cyberprzestępcy mogą wykorzystać skradzione adresy e-mail i inne dane nie tylko celem uzyskania dostępu do konta bankowego.
Skutecznym zabezpieczeniem usług bankowości online i usług mobilnych jest system kilkuetapowej autoryzacji. Klienci banków powinni się upewnić, że dana instytucja finansowa oferuje dodatkową autoryzację każdej operacji, jak na przykład wysyłkę potwierdzającej wiadomości tekstowej lub generator kodów jednorazowych.
Dobre praktyki, o których powinien pamiętać każdy użytkownik konta bankowego online:
- Długie i skomplikowane hasło (duże i małe litery, cyfry i znaki typograficzne lub interpunkcyjne) jest trudniejsze do złamania;
- Wieloetapowy system autoryzacji prowadzonych operacji finansowych, jak np. weryfikacja smsem lub wiadomością e-mail to dodatkowe zabezpieczenie;
- Blokada PIN oraz funkcja zdalnego czyszczenia pamięci z telefonu komórkowego, w którym przechowywane są poufne dane, pomoże w wypadku kradzieży lub zagubienia urządzenia; Wystrzeganie się odbierania wiadomości przychodzących z nieznanych numerów telefonicznych i pobierania niesprawdzonych aplikacji to ważny element ochrony własnych danych, gdyż mogą one stanowić początek ataku na urządzenie mobilne.
