Nie daj się złowić

Z zagrożeniami czyhającymi na nieuważnych internautów korzystających z e-finansów jest podobnie jak z przebiegającymi przy czerwonym świetle. Łamią przepisy, licząc że uda im się uniknąć konsekwencji. Udaje się wielokrotnie, lecz czasami sytuacja bierze inny niż planowany obrót.

Stare porzekadło kowali mówi: o sile łańcucha świadczy jego najsłabsze ogniwo. Maksyma ta doskonale pasuje do relacji między instytucją finansową (najczęściej bankiem), internetem i klientem. W tym trio najłatwiejszy do pokonania jest klient, zaś najwięcej pracy wymaga złamanie zabezpieczeń stosowanych obecnie przez banki. W czym zatem tkwi problem? Przede wszystkim w braku znajomości podstawowych zasad bezpieczeństwa wielu osób korzystających z internetowej bankowości i robiących zakupy w sieci.

Strzeż się wędkarza

Początek naszego stulecia to czas rozwoju nowej formy kradzieży: phishingu. Samo pojęcie phishing zostało ukute w połowie lat 90. przez amerykańskich hakerów próbujących wykradać hasła do kont serwisu AOL. Pomysł był banalnie prosty: należy się podszyć pod pracownika AOL, wysyłając maila z prośbą o podanie hasła w celu rzekomej weryfikacji konta. Osoba, która otrzymywała maila z prośbą, odpowiadała na niego, ujawniając hasło. Działanie to nazywano password harvesting fishing, czyli łowienie haseł.

Zaledwie hasło i login

Na czym zatem polega phishing? Phisher, czyli osoba parająca się phishingiem, podszywając się pod pracownika banku wysyła w postaci spamu tysiące maili, w których prosi o weryfikację danych osobowych. Jednocześnie przekierowuje na spreparowaną stronę internetową - identyczną jak banku - na której należy uzupełnić dane osobowe po zalogowaniu przy użyciu prawdziwego loginu i hasła. W ten sposób phisher uzyskuje dostęp do konta bankowego lub karty kredytowej. W formularzu jest także prośba o podanie hasła jednorazowego lub PIN-u. I to wystarczy, aby opróżnić konto z gotówki.

Obecny phishing jest nastawiony na konkretnego klienta: najpierw instalowane jest zdalnie oprogramowanie szpiegowskie. Program taki wysyła następnie do phishera dane o banku, z którego korzysta atakowany. Po zidentyfikowaniu banku phisher wysyła zaproszenie do weryfikacji danych z idealnie skopiowanej strony internetowej odpowiadającej wyglądem stronie banku klienta.

Phishing idzie z duchem czasu, dlatego pojawiła się jego odmiana: phishing AP (Access Point). Hakerzy czyhają na ofiarę korzystającą z bezprzewodowych punktów dostępu do internetu (hot spoty np. w centrach handlowych, na lotniskach) podstawiając użytkownikowi stronę „udającą" stronę obsługującego hot spot. Dalej procedura wykradania jest taka jak przy „zwykłym" phishingu.

Anty-phisher

Najprostszą, a jednocześnie najskuteczniejszą metodą wyeliminowania zagrożenia utraty danych jest ignorowanie wszystkich maili od instytucji finansowych, sklepów i aukcji internetowych oraz firm, proszących o podanie danych osobowych, szczególnie tych poufnych. Należy pamiętać, że żadna taka instytucja nie prosi o weryfikację danych przez internet.

Zresztą nie tylko tego typu korespondencję należy kasować. Wszelkie maile od nieznanych osób czy instytucji powinny budzić nieufność. Obecnie hakerzy są w stanie instalować kody, dopisując je do powszechnie uznawanych za bezpieczne popularnych plików. Nie trzeba tłumaczyć, że karygodnie bezmyślne jest instalowanie nieznanego oprogramowania pochodzącego z niewiadomego źródła.

Komputer osobisty?

Oprócz phishingu, opartego na założeniu, iż ludzka naiwność nie zna granic, kolejną bardzo skuteczną metodą okradania z danych jest instalowanie oprogramowania szpiegującego. I tu docieramy do nader istotnej kwestii, jaką jest ochrona samego komputera.

Najprostszym sposobem ochrony jest instalowanie legalnego oprogramowania antywirusowego i tzw. ścian ogniowych (firewalli). Obecnie dostępne systemy oferują kilka mechanizmów ochrony w jednym pakiecie. Większość ma także wmontowane monitory ruchu internetowego połączeń wchodzących i wychodzących. Jeśli więc np. nie pracujemy w internecie, a nagle zaczyna się połączenie z nieznanym programem lub serwerem, monitor ruchu internetowego zasygnalizuje nam, czy na naszym komputerze nie jest instalowany intruz, który właśnie informuje hakera o naszych danych.

Posiadając oprogramowanie, ważne jest, by odpowiednio je ustawić - najważniejsze jest automatyczne aktualizowanie sygnatur, bowiem codziennie w sieci pojawia się kilka nowych wirusów. Warto też zwrócić uwagę na poziom bezpieczeństwa, skaner poczty, dodatkowe narzędzia badawcze - najlepiej ustawić zalecany poziom i niczego nie wyłączać. Zasada zabezpieczania komputera jest prosta: o odporności nie decydują pojedyncze, nawet najlepsze mechanizmy, lecz suma wszystkich zabezpieczeń.

Czysta przeglądarka

Bezpieczeństwo komputera można zwiększyć jeszcze kilkoma metodami. Należy odpowiednio skonfigurować przeglądarkę internetową, gdyż w swojej domyślnej zapamiętuje hasła i loginy. Wprawdzie w połączeniu szyfrowanym - a takie musi być w przypadku transakcji - przeglądarka nie podpowiada automatycznie haseł, jednak w jej pamięci zachowane są informacje dotyczące loginu i banku. Warto więc poświęcić kilka minut i wejść w narzędzia, potem w opcje i wybrać prywatność/bezpieczeństwo. Tam należy odznaczyć zapamiętywanie haseł, ciasteczek i włączyć funkcję czyszczenia wszelkich danych po wyjściu z programu. Warto także pamiętać o okresowej zmianie haseł: najlepsze są kombinacje liter, cyfr i na przykład znaków przestankowych. Im dziwniejsze hasło, tym lepsze.

Mysz zamiast klawiatury

Prostym i skutecznym zabezpieczeniem przed kradzieżą haseł jest używanie tzw. wirtualnej klawiatury. To nic innego jak klawiatura komputera wyświetlana na ekranie monitora. Zamiast więc uderzać w klawiaturę, klika się myszką, wpisując odpowiednie znaki. Metoda ta ma jedyną wadę: jest czasochłonna i niewygodna. Poza tym same zalety: jest właściwie ogólnodostępna, bo znaleźć ją można w opcjach Windows, a ponadto zabezpiecza przed działaniem wirusa „czytającego" uderzenia na klawiaturze.

W trakcie każdego logowania należy sprawdzać, czy przed adresem strony pojawia się oznaczenie bezpiecznego połączenia https://, (zwykle jest to http://), pasek adresu zmienił kolor na żółty zaś w dolnym pasku ukazał się symbol zamkniętej kłódki. Nie zaszkodzi także systematycznie sprawdzać dokładnie transakcje na koncie - czy nie pojawiała się transakcja, której nie możemy sobie przypomnieć.

Na koniec najważniejsze: zawsze trzeba pamiętać, że cyberzłodzieje czyhają na każdy nieuważny ruch, a „elektronicznych" pieniędzy pilnować tak jak się pilnuje torebki, idąc ciemną ulicą w nieznanym mieście.

Z dala od kawiarni internetowych

Zbliżają się wakacje, więc czas wyjazdów oraz wzmożonych zakupów. Wtedy właśnie zachodzi często konieczność sprawdzenia konta bądź stanu karty kredytowej. I tu pojawia się niesłychane zagrożenie: pokusa skorzystania z internetowej kawiarenki czy biblioteki publicznej. Większość komputerów w miejscach ogólnie dostępnych jest zainfekowana - logując się, musimy więc być przygotowani, że nasze dane stają się transparentne. Dlatego też wszyscy specjaliści od bezpieczeństwa IT polecają logowanie tylko poprzez jeden, najlepiej domowy komputer.

Artur A. Adamski

Redaktor i prowadzący działy inwestycyjne m.in. w PAP, „Życiu Warszawy", „Pulsie Biznesu", „Home&Market", „Gazecie MSP", „Twoim Biznesie".

„Farmacja i Ja”, lipiec - sierpień 2008