Bankowość internetowa pod ostrzałem. Jak się bronić przed cyberprzestępcami?

Bankowość internetowa pod ostrzałem. Jak się bronić przed cyberprzestępcami?

 
Dostajesz e-mailem fakturę. Jak zwykle, kopiujesz numer konta i robisz przelew przez Internet. Zerkasz na końcówkę SMS-a potwierdzającego płatność, z którego przepisujesz kod do wprowadzenia na stronie banku. Przelew trafia na listę oczekujących operacji, a za kilka godzin pieniądze zostaną ściągnięte z twojego konta.

Trafią prosto na konto cyberprzestępcy.

Wszystko wyglądało zwyczajnie, aż do czasu…

Jak przebiegał atak? Przecież na stronie wszystko wyglądało poprawnie, a numer konta odbiorcy zmienił się dopiero, kiedy pieniądze zniknęły z banku. Jak to się mogło stać?

Typowy proces wykonywania zwykłego przelewu przez Internet wygląda następująco:

1. dostajemy e-mail lub PDF z numerem konta, na który mamy zrobić przelew,
2. kopiujemy numer rachunku,
3. wklejamy numer konta w formularzu na stronie banku,
4. przepisujemy z SMS-a kod potwierdzający transakcję,
5. przelew trafia na listę oczekujących do wykonania.

Niestety taki proces to miejsce do ataku, a cyberprzestępcy coraz częściej wykorzystują naszą nieuwagę.

Jak działają wirusy zamieniające numer konta?

Złośliwe oprogramowanie zainstalowane w naszym komputerze wykrywa moment, w którym kopiujemy numer konta i podmienia go na inny, zdefiniowany przez cyberprzestępców. Nie zwracamy uwagi czy wklejony numer rachunku jest taki sam jak skopiowany, więc wykonujemy przelew dalej. Dopiero kiedy odbiorca upomni się o przelew, orientujemy się, że został wysłany na inne konto.

Uwaga! To niestety tylko najprostsza wersja ataku. W ostatnich miesiącach cyberprzestępcy zmodyfikowali go o dodatkowe sposoby na zamaskowanie nieuczciwego procederu:

wklejony numer konta wygląda tak jak skopiowany, jednak do banku wysyłany jest zmodyfikowany,
na stronie banku wyświetlają się sfałszowane komunikaty proszące o instalację dodatkowego oprogramowania w telefonie (np. fałszywego „certyfikatu bezpieczeństwa” lub „aplikacji ochronnej”), które podmienia numery kont również w SMS-ach,
w historii bieżących operacji numer konta podmieniony jest na numer rzeczywistego odbiorcy,
cyberprzestępcy skupiają się na bankach, w których potwierdzenie przelewu odbywa się za pomocą kodu z tokena (bez funkcji challenge–response), a nie kodu z SMS-a.

W najgorszym przypadku o ataku dowiemy się dopiero przeglądając archiwum wykonanych przelewów – cyberprzestępcy nie podmieniają historii, ponieważ zrealizowanych przelewów nie da się już anulować.

Jak bronić się przed atakiem?

W miarę możliwości powinniśmy korzystać z systemów płatności online zamiast z przelewów przez Internet. Czym to się różni? W przypadku systemu płatności online, sprzedawca wysyła do naszego banku informację o swoich danych i kwocie transakcji, a my tylko potwierdzamy chęć transakcji na stronie banku.

Czy system płatności online można zawsze wykorzystać?

Systemy płatności online są wykorzystywane coraz częściej i można za ich pośrednictwem płacić nie tylko w sklepach internetowych, ale też opłacić rachunki za telefon i Internet czy kupić bilet na komunikację miejską, na pociąg lub do kina.

- Korzystanie z systemu płatności online przez płacącego nie niesie ze sobą dodatkowych kosztów i nie wymaga zakładania konta w systemie - wyjaśnia Bernadetta Madej, dyrektor działu handlowego w Dotpay. - Płatność odbywa się na podstawie umów między bankiem, sprzedawcą i Instytucją Płatniczą pod czujnym okiem Komisji Nadzoru Finansowego - dodaje.

Sprzedawca nie oferuje płatności online – co zrobić?

Pomimo że szybkie transfery bankowe online (tzw. Pay by Link) są najpopularniejszym sposobem płatności w Polsce, częstszym od przelewów i płatności kartą kredytową, to jeszcze nie wszyscy sprzedawcy zintegrowali systemy płatności online. Czy oznacza to, że powinniśmy zrezygnować z transakcji, jeśli nie możemy zapłacić przez Dotpay lub inny system płatności?  

Niekoniecznie. Jeśli musimy zrobić zwykły przelew przez Internet, naszą linią obrony jest urządzenie uwierzytelniające przelew. Najlepszym wyborem byłby token z funkcją challenge–response, jednak niewiele banków ma je w ofercie. Zdrapka lub token wyświetlający kod niestety w żaden sposób nie chronią przed atakiem – nie poinformują nas o tym, jaką transakcję potwierdzamy.

Jak z poziomu telefonu chronić konto w banku?

Ochronić nas może przede wszystkim czujność. Po otrzymaniu SMS-a z kodem potwierdzającym transakcję powinniśmy upewnić się, że numer konta w SMS-ie zgadza się z numerem konta w PDF-ie lub e-mailu z poleceniem zapłaty. To zdecydowanie zwiększa bezpieczeństwo transakcji.

Oczywiście cyberprzestępcy próbują różnych metod. Aby lepiej się chronić i mieć szansę na wykrycie próby oszustwa, powinniśmy też zadbać o bezpieczeństwo telefonu, na który przychodzą SMS-y z kodem potwierdzającym przelew. Trzeba być nie tylko uważnym i dokładnie weryfikować dane w SMS, ale także zadbać o to, aby na smartfonie był zainstalowany antywirusowy pakiet zabezpieczający przed atakami hakerów. Warto regularnie skanować system operacyjny. Co istotne to wcale nie musi wiązać się z dodatkowymi kosztami. Wystarczy poświęcić chwilę czasu i pobrać nawet darmowy program antywirusowy. W sieci znajdziemy różne aplikacje do skanowania systemu i usuwania wirusów, od koni trojańskich po złośliwe oprogramowania, jak maleware. Korzystanie z oprogramowania antywirusowego jest naprawdę dobrym zwyczajem i może nas ochronić przed przykrymi niespodziankami.

Dlaczego korzystanie z szybkich płatności typu Pay By Link jest bezpieczniejsze od innych?
 
Pamiętajmy, że dodatkowe warunki stawiane operatorom płatności online sprawiają, że poziom bezpieczeństwa transakcji przeprowadzanych przez tego typu systemy rośnie znacząco, nawet w porównaniu ze zwykłymi przelewami bankowymi. Rejestr takich instytucji płatniczych prowadzi Komisja Nadzoru Finansowego, która weryfikuje, czy akredytowana firma spełnia wymagania bezpieczeństwa. Listę firm można sprawdzić w wyszukiwarce dostępnej na stronie internetowej Komisji Nadzoru Finansowego, dodatkowo warto prześledzić rejestr licencjonowanych Agentów Rozliczeniowych prowadzony przez Narodowy Bank Polski. Jeżeli podmiot podający się za instytucję płatniczą znajduje się na ww. listach, możemy być spokojni o nasze środki finansowe. Można także upewnić się, czy instytucja finansowa posiada certyfikat PCI DSS, którego posiadanie potwierdza zgodność z międzynarodowymi wymogami bezpieczeństwa w zakresie przetwarzania transakcji kartowych. Standard ten potwierdza spełnianie światowej jakości norm dotyczących bezpieczeństwa.

- Kwestia bezpieczeństwa podczas transakcji internetowych jest najważniejsza. A szybkie przelewy bankowe, typu Pay By Link, to nie tylko optymalizacja czasu, ale właśnie także bezpieczeństwo – podsumowuje Bernadetta Madej.