Bankowość online a zabezpieczenia

Przeczytaj także: Bezpieczna bankowość elektroniczna - porady

4. Bardzo groźny atak został przeprowadzony na klientów banku PKO BP w czerwcu 2008. Początkowo użytkownik był zachęcany do aktualizacji aplikacji Flash Player, która to jest potrzebna do przeglądania wielu witryn. Plik ten jednak był trojanem, który zmieniał w systemie plik hosts, przez co przy wpisywaniu adresu banku w przeglądarce, użytkownik był zawsze przekierowany na fałszywą stronę banku. Po wpisaniu loginu i hasła, pojawiała się kolejna strona, na której trzeba było wpisać 5 kolejnych kodów jednorazowych ze zdrapki. Jeżeli ktoś to zrobił, dał przestępcy nie tylko login i hasło do konta, ale także możliwość wykonania przelewu z własnych środków, na konto oszusta.

Z artykułu wynika, że powyższe przykłady bardzo dobitnie pokazują, że niestosowanie się do zaleceń banku, a przede wszystkim brak rozwagi w tym co się robi i nieświadomość zagrożeń, może doprowadzić do sporych kłopotów.

Jak oni to robią?

1. Socjotechnika

„...To czynnik ludzki jest piętą achillesową systemów bezpieczeństwa ...Częściej jednak ataki takie są skuteczne [socjotechniczne], ponieważ ludzie nie rozumieją sprawdzonych zasad bezpieczeństwa."

Powyższe zdanie pochodzi z książki "Sztuka podstępu", napisanej przez Kevina Mitnicka. Opisuje on w niej jak wielkim niebezpieczeństwem może być sam człowiek i jak łatwo można kogoś przekonać do tego by podał hasło czy login. Szczególnie dobrze znane i najczęściej używane metody, które zostały opisane przez psychologów to "stopa w drzwiach" oraz "drzwiami w twarz". Pierwsza polega na poprzedzaniu naszej prośby, innymi mniej istotnymi. Dzięki temu nie ma dużego kontrastu między kolejnymi prośbami i osoba je spełniająca nie czuje z tego powodu dyskomfortu. Druga metoda jest odwrotna. Ofiara proszona jest o spełnienie prośby, która jest wygórowana w stosunku do tej właściwej. Taki zabieg sprawia, że osoba ulegająca socjotechnikowi nie chce odmawiać kolejny raz, podając te dane, które faktycznie są mu potrzebne.

Artykuł podaje, że zjawisko socjotechniki jest szczególnie groźne w dzisiejszych czasach, bowiem obecnie bardzo łatwo poprzez czaty, komunikatory czy fora internetowe nawiązać znajomość z obcymi dla nas osobami. Poznając kogoś przez Sieć należy zachować ostrożność i nigdy nie odpowiadać na pytania będące z pozoru niegroźne, dotyczące banku w jakim mamy konto czy też stosowanych przezeń metod uwierzytelniania np. kody jednorazowe na karcie lub przez token.

2. Phishing

Jedną z najczęściej stosowanych metod ataku na banki jest phishing. Phishing to zwrot wskazujący na łowienie (fishing), lecz zapisany w anglojęzycznej "gwarze" internetowej, gdzie literę F zapisuje się często jako PH. Metoda ta ma faktycznie wiele wspólnego z łowieniem. Atakujący wysyła najpierw masowo maile skierowane do konkretnej grupy osób. Wiadomość zazwyczaj graficznie prezentuje się tak, jakby została nadana przez daną instytucję (np. bank). Posiada treść skierowaną do klienta, grafika przypomina tę ze strony banku.