Na przeczytanie potrzebujesz 5 minut(y).
Każdy znawca dobrego (albo i nie) kina wie, że aby włamać się do banku wystarczy ukończyć gimnazjum i wykorzystać hakerskie narzędzie o trudno brzmiącej nazwie typu nmap lub emacs (koniecznie przez sendmail). Cóż… w rzeczywistości jest nieco trudniej. Wynika to z faktu, że banki są doskonale świadome bycia na celowniku osób szukających “łatwej” gotówki. Dlatego też każdego roku wydają miliony złotych na zakup najnowszych technologii, sprzętu oraz zatrudnianie najlepszych specjalistów w branży.
Skoro włamanie się do banku może okazać się bardzo kosztowne oraz czasochłonne, przestępcy wpadli na pomysł, że zamiast atakować banki, łatwiej jest atakować... klientów. Statystyczny internauta nie posiada przecież specjalistycznej wiedzy w dziedzinie bezpieczeństwa, nie inwestuje także regularnie pieniędzy w techniczne środki zabezpieczające jego komputera, ba… bardzo często nie zdaje sobie sprawy z potencjalnego ryzyka ściągając kolejną piracką kopię ulubionej gry lub pakietu biurowego z Internetu.
Poniższym tekstem chcemy rozpocząć cykl krótkich historii, które w maksymalny sposób obrazują to, jak wyglądają typowe scenariusze ataku oraz jakie błędy popełnili ich bohaterowie. Z założenia nie będą to teksty “techniczne”.
Historia: Janusz dostaje przesyłkę.
Tego dnia Janusz wstał wcześniej niż zwykle. To był dla niego ważny dzień, ponieważ dziś zaczynał nową, dobrze płatną pracę.
Nie mogę dać plamy pierwszego dnia
pomyślał dopijając szybko czarną, lekko chłodną już kawę.
Ciekawe, czy przyszły już dokumenty z kadr które miałem wypełnić.
Janusz otworzył laptopa i włączył program pocztowy. Niestety maila z kadr nie było, lecz jego uwagę przykuła wiadomość o interesującym tytule: “Powiadomienie o nadejściu przesyłki”.
Kurka…
pomyślał Janusz smyrając się po wąsie.
Nie przypominam sobie żebym coś zamawiał
Nie zastanawiając się dłużej wyświetlił wiadomość na ekranie swojego komputera:
Co za ludzie... żeby jeszcze nadawać hasła do załączników
pomyślał Janusz gdy przy próbie otwarcia załącznika program poprosił go o hasło. Po przepisaniu ciągu cyfr jego oczom ukazał się plik z ikoną podobną do znanych mu dokumentów PDF (takich jak często dostawał gdy musiał opłacić jakąś fakturę). Klik… spróbował otworzyć… nic. Drugi raz… nic… trzeci nic….
E... pewnie jakaś pomyłka
pomyślał zamykając program pocztowy. I w tym momencie gdy miał już wychodzić z domu aby nie spóźnić się na pierwszy dzień pracy zadzwonił jego telefon. To była jego żona Grażyna, przebywająca aktualnie na wyjeździe służbowym.
- Mam nadzieję że pamiętasz o tym, że dziś ostatni dzień płatności raty za lodówkę?
- Pamiętam - skłamał Janusz
- To dobrze, gdybyś zapomniał tego dziś zapłacić doliczą nam niezłe odsetki - ciągnęła Grażyna.
- Wiem, zapłaciłem. Spieszę się do pracy. Cześć.
Janusz odłożył telefon.
Kurka.. muszę jeszcze to zapłacić. Szybka piłka.
Janusz wrócił do swojego komputera, otworzył przeglądarkę internetową i wpisał adres: www.super-mega-bank.pl. Jego oczom ukazała się znana mu strona logowania na której wpisał swój identyfikator “janusz1982” i hasło “grazyna”. Po kliknięciu przycisku zaloguj zobaczył kręcące się kółeczko z napisem informującym, że “System przetwarza dane”, zmuszając tym samym Janusza do oczekiwania.
Co za patałachy pracują w tym banku - pomyślał Janusz stukając nerwowo w blat biurka. Zaraz spóźnię się przez nich do roboty.
Kółko przestało się kręcić i wyświetlił się komunikat, którego Janusz nigdy wcześniej nie widział. “W celu dodatkowej weryfikacji podaj kod SMS”.
No nie.. tego za wiele - pomyślał - znowu coś wymyślają. Podałem login i hasło, a teraz ode mnie jeszcze jakiś kodów chcą.
Telefon Janusza zawibrował i wyświetlił wiadomość:
Janusz, spojrzał na zegarek. Wiedział że jest już spóźniony.
7582… wprowadził cyfry do systemu bankowego.
“System chwilowo niedostępny”. Po wpisaniu kodu, oczom Janusza ukazał się komunikat, który doprowadził go niemal do furii. Zamknął laptopa i wyszedł z domu.
Dwie godziny później Grażyna stojąc przy kasie z parą nowiutkich białych kozaków widzi na terminalu komunikat “Brak środków na koncie”...
Co się wydarzyło?
Niestety Janusz padł ofiarą dość popularnego ataku. Taki scenariusz zazwyczaj zaczyna się od wiadomości e-mail lub SMS o treści o tyle interesującej (czy nawet szokującej) że zachęca odbiorcę do otwarcia pliku znajdującego się w załączniku lub też kliknięcia w link. Załącznik zawiera bardzo często złośliwe oprogramowanie (w tym przypadku tzw. malware bankowy), które po otwarciu instaluje się na komputerze ofiary, a następnie czeka na wizytę na stronie internetowej banku. Po wykryciu, że ofiara weszła na stronę systemu bankowego oprogramowanie to (w zależności od jego wariantu) przechwytuje ruch wychodzący z komputera internauty i kieruje go wprost do serwera sterowanego przez przestępcę. W ten sposób login i hasło Janusza nigdy nie trafiły do banku, a zobaczyła je osoba (być może) gdzieś na drugim końcu świata i za ich pomocą zalogowała się na konto Janusza. Do szczęścia brakowało jej tylko kodu SMS, który umożliwi autoryzację przelewu wszystkich środków z konta. Z uwagi na to że komputer Janusza został zarażony złośliwym oprogramowaniem i był w pełni kontrolowany przez przestępcę, mógł on wyświetlić komunikat z prośbą o wpisanie kodu w celu “dodatkowej weryfikacji”. Kod wpisany przez Janusza został tak naprawdę wykorzystany przez przestępcę do autoryzacji przelewu.
Jakie błędy popełnił Janusz i o czym warto pamiętać?
Zdaję sobie sprawę że po przeczytaniu powyższej historii, w głowach wielu czytelników rodzi się pytanie „a może zablokować tą bankowość internetową i wrócić do wykonywania przelewów w oddziale”? Spokojnie, wystarczy wypracować sobie kilka podstawowych nawyków przy korzystaniu z bankowości internetowej o których bardzo często banki przypominają w swoich sekcjach bezpieczeństwa i które możecie znaleźć poniżej w skondensowanej formie. Oczywiście nie jest to lek na całe zło tego świata, natomiast stosowanie się do tych podstawowych zasad znacząco podniesie Wasz poziom bezpieczeństwa w sieci.
- Już w pierwszym kroku Janusz nigdy nie powinien otwierać załączników ani klikać w linki przesyłane przez nieznanych nadawców. Jeżeli macie wątpliwości czy dana wiadomość została przesłana przez osobę lub firmę, za którą się podaje warto skontaktować się z nadawcą za pomocą innego kanału komunikacji (np. telefonicznie) i potwierdzić autentyczność wiadomości. Uwaga, jeżeli kontaktujemy się telefonicznie to nigdy nie wykorzystujemy numeru telefonu podanego w treści wiadomości, a korzystamy z innego źródła.
- Janusz wchodząc na stronę swojego banku w pośpiechu i rozkojarzeniu nie zweryfikował charakterystycznych elementów, które mogą (ale nie muszą) zdradzić, że strona na której się znajdujemy nie jest rzeczywistą stroną banku:
- Czy zgadza się adres systemu bankowego (nie ma tam żadnych literówek) oraz czy zaczyna się od przedrostka https (oznacza to że kanał komunikacji z serwerem po drugiej stronie jest szyfrowany, nie oznacza to natomiast w 100% że znajdujemy się na stronie banku - napiszemy o tym kiedyś więcej).
- Czy w pasku adresu znajduje się symbol zamkniętej kłódki obok której widnieje nazwa banku do którego się logujemy? W zależności od banku i przeglądarki internetowej wygląda to inaczej, natomiast ważne jest aby nazwa banku się pojawiła (niestety ta rada nie działa w przypadku przeglądarki Safari na komputerach z macOS, tu trzeba kliknąć w kłódkę i przeczytać zawartość certyfikatu).
- Czy strona wygląda tak jak zwykle, czy nie pojawiły się nowe elementy lub bank nie zaczyna pytać o rzeczy o które wcześniej nie pytał? W takim przypadku warto zakończyć wizytę na stronie i skontaktować się z bankiem telefonicznie w celu potwierdzenia, że system właśnie w ten sposób powinien się zachowywać. Uwagę Janusza powinien zwrócić fakt, że pojawiło się kręcące się kółeczko z prośbą o oczekiwanie, którego wcześniej nie było, a później prośba o wpisanie kodu SMS.
- Zasada najważniejsza - zawsze czytaj DOKŁADNIE SMSy. Możesz mieć zarażony komputer, ale przestępca nic nie zrobi jeżeli nie zautoryzujesz drugim kanałem (np. kodem SMS) operacji finansowej. Większość banków w chwili obecnej oferuje w standardzie kod SMS, który w treści dokładnie opisuje jaką transakcję wykonujesz. W przytoczonym przykładzie Janusz ewidentnie wykazał niedbalstwo ze swojej strony przepisując sam kod i nie czytając pozostałej treści SMSa. Gdyby to zrobił, może pojawiłaby się z jego strony wątpliwość, że przecież żadnego przelewu nie zlecał i nie podałby kodu SMS. Jeżeli Twój bank oferuje możliwość autoryzacji z wykorzystaniem aplikacji mobilnej, to bardzo gorąco zachęcam do skorzystania z tej opcji - jest ona znacznie bezpieczniejsza niż SMS.
Stosowanie tych podstawowych zasad powinno korzystnie wpłynąć na Wasze bezpieczeństwo (a z pewnością nie zaszkodzi).
Dajcie znać w komentarzach czy podobają się Wam tego typu historie. Jeżeli tak, to postaramy się kontynuować ten cykl i prezentować różne scenki ilustrujące w jaki sposób można stracić pieniądze przez własną nieuwagę (lub niewiedzę). Być może macie jakieś inne rady które warto stosować przy korzystaniu z bankowości internetowej? Czekamy na Wasze komentarze.
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.