Bankowość internetowa może być bezpieczna?

Przeczytaj także: Bankowość elektroniczna: jak się ustrzec przed złodziejem?

W jaki sposób mogę się zabezpieczyć?

Banki i systemy płatności wkładają wiele wysiłku w zwiększenie ochrony swoich klientów, to jednak za mało, aby użytkownicy nie musieli przejmować się bezpieczeństwem swoich pieniędzy. Konieczne jest zabezpieczenie komputera użytkownika na wypadek kradzieży przez trojany bankowe oraz inne szkodliwe oprogramowanie danych niezbędnych do dokonania płatności – można to osiągnąć poprzez zabezpieczenie przeglądarki przed szkodliwym kodem, ochronę danych wprowadzanych z klawiatury oraz przy użyciu technologii antywirusowych, które uniemożliwiają wniknięcie szkodliwego oprogramowania do systemu. Jednak nawet ochrona antywirusowa sama w sobie nie wystarczy; musi istnieć metoda sprawdzania legalności zasobu sieciowego (strony banku, systemu płatności, sklepu internetowego itd.) oraz zapewniania bezpiecznego łączenia się z nią.

Żadna transakcja finansowa nie może być uważana za bezpieczną, jeżeli nie są chronione trzy kluczowe komponenty:

1. Komputer, z którego użytkownicy uzyskują dostęp do swoich kont bankowości online.

Oprogramowanie antywirusowe chroni cały system przed szkodliwymi programami; wyspecjalizowany komponent w takim oprogramowaniu chroni przeglądarkę wykorzystywaną do uzyskiwania dostępu do systemu bankowości online.

Oprogramowanie antywirusowe wykorzystuje różne mechanizmy ochrony, które utrudniają lub uniemożliwiają przeniknięcie szkodliwego kodu do systemu i uruchomienie go na komputerze. Te mechanizmy ochrony działają na wszystkich etapach operacji bankowej.

Jeżeli nieznany szkodliwy program zdoła przeniknąć do systemu, głównym zadaniem wszechstronnego rozwiązania antywirusowego będzie ochrona danych. W tym celu produkt musi monitorować procesy uruchomione w przeglądarce i chronić ją przed manipulacją ze strony innych aplikacji. Dodatkową ochronę zapewnia wirtualna klawiatura, przy użyciu której użytkownicy mogą bezpiecznie wpisać do przeglądarki szczegóły dotyczące dowolnej operacji płatniczej (numer karty kredytowej, kod CVV2/CVC2, dane osobowe itd.).

2. Kanał komunikacji między klientem a serwerem.

Bezpieczne połączenie uniemożliwia przechwycenie danych transmitowanych z klienta do serwera. Kanał komunikacyjny jest chroniony poprzez stosowanie specjalnych protokołów (TLS/SSL), co gwarantuje szyfrowanie transmitowanych danych. Z pomocą certyfikatu identyfikowana jest strona, z którą ustanawiane jest połączenie.

Strony banków i systemów płatności posiadają certyfikaty cyfrowe, które są wydawane i podpisywane przez centra certyfikacji. Certyfikaty weryfikują autentyczność strony i legalność jego właściciela.

Fałszywe strony nie posiadają certyfikatów lub wykorzystują ich fałszywe odpowiedniki. Możemy jednak mieć do czynienia z bardziej złożoną sytuacją. Na przykład trojan, który zagnieździł się w systemie, może zmodyfikować plik hosts i przekierować użytkowników na stronę, która stanowi dokładną replikę oryginalnej witryny. Ten sam trojan może zainstalować na komputerze ofiary dodatkowy certyfikat, który zweryfikuje legalność fałszywego certyfikatu na stronie internetowej cyberprzestępców podczas sprawdzania jej przez przeglądarkę. W ten sposób cyberprzestępcy mogą odszyfrować wszystkie dane przesyłane przez przeglądarkę z fałszywej strony.

Rozwiązanie antywirusowe powinno niezależnie sprawdzić autentyczność certyfikatu bezpieczeństwa zamiast zdawać się w tym celu na system operacyjny oraz przeglądarkę. Jeżeli certyfikat nie jest legalny, użytkownicy otrzymują ostrzeżenie.

3. Strona organizacji finansowej.

Cyberprzestępcy tworzą swoje strony w taki sposób, aby przypominały oficjalne serwisy banków i systemów płatności. Sprawdzanie legalności certyfikatu jest skuteczne tylko wtedy, gdy użytkownicy wprowadzają poprawny adres URL strony banku. Jeżeli użytkownicy wejdą na stronę banku poprzez kliknięcie fałszywego odsyłacza w wiadomości phishingowej, na portalu społecznościowym lub w wynikach wyszukiwania, muszą zainterweniować komponenty antyphishingowe. Odsyłacze zostaną porównane z bazą zasobów sieciowych, które nie są godne zaufania. Jeżeli użytkownicy będą próbowali odwiedzić nielegalną stronę, otrzymają ostrzeżenie o zagrożeniu. Aby nie paść ofiarą phisherów, użytkownicy powinni odwiedzać strony bankowe, wykorzystując odpowiednią listę z produktu antywirusowego.

Na koniec warto powiedzieć, że wysoki poziom autoochrony jest nieodzownym komponentem dobrego rozwiązania bezpieczeństwa. Jeżeli szkodliwy program zakłóci działanie rozwiązania antywirusowego, stworzy „wyłom” w systemie ochrony i naruszy bezpieczeństwo przyszłych transakcji.

Opisywana koncepcja zabezpieczania transakcji online jest zaimplementowana w module Bezpieczne pieniądze rozwiązania antywirusowego firmy Kaspersky Lab.