Nie taki straszny ten internetowy pieniądz

Stosowanie powszechnych zabezpieczeń i odrobina ostrożności wystarczą, aby uchronić swoje e-konto przed włamaniem internetowych złodziei.

15.03.2013

Czyta się kilka minut

 / Fot. Miguel Ugalde / SXC.HU
/ Fot. Miguel Ugalde / SXC.HU

Najsłabszym ogniwem jest człowiek” – zwykli mawiać technokraci, którym jak dotąd nie udało się zaprojektować systemu informatycznego całkowicie odpornego na ataki cyberprzestępców. Nawet jeśli to tylko sprytna wymówka z ich strony, to prawdą jest, że przed większością zagrożeń, czyhających na użytkownika internetowego konta bankowego, można się ustrzec, dochowując należytej staranności w trakcie korzystania z niego.

E-ZŁODZIEJE ATAKUJĄ

Reguły są proste i dość oczywiste, a katalog najczęstszych sposobów na przechwycenie loginu i hasła, które pozwalają osobie nieuprawnionej na buszowanie po cudzym koncie, skończony. Choć oczywiście pomysłowość internetowych złodziei nie ma granic, to zazwyczaj atakują oni te same słabe punkty. Dzwonią do klienta, podszywając się pod pracownika banku, i próbują wyciągnąć od niego niezbędne dane, lub do banku, podając się za klienta, by zlecić własną operację finansową.

Analogicznie postępują w internecie, tyle że tam ataki mają bardziej wyrafinowany scenariusz.

KORZYŚCI Z E-KONTA

System idealny, całkowicie odporny na zakusy przestępców, prawdopodobnie nie istnieje. A gdyby istniał, musiałby mieć tyle zabezpieczeń, że trudności w ich codziennym pokonywaniu przez klienta przewyższałyby korzyści z udogodnień, jakie niesie ze sobą posiadanie internetowego dostępu do konta. To przede wszystkim niższe opłaty ponoszone na rzecz banku prowadzącego rachunek, ale i wygoda dokonywania operacji bez konieczności ruszania się z domu, tracenia czasu na dojazdy i oczekiwanie na obsługę w bankowych oddziałach. To także dostęp do pieniędzy z dowolnego zakątka świata, pod warunkiem, że znajdziemy się w zasięgu globalnej sieci.

Z tych udogodnień nie trzeba rezygnować. Wystarczy zachować ostrożność, by bezpiecznie korzystać z dostępu do usług bankowych przez internet.

HASŁO Z SIŁĄ

Najważniejsze to umieć chronić login i hasło do bankowego konta, a także hasła jednorazowe, bądź token – urządzenie służące do autoryzacji operacji dokonywanych na rachunku. Obowiązują tu podobne zasady jak przy ochronie kart kredytowych. Nie należy ich przechowywać w jednym miejscu, co pozwoliłoby potencjalnemu złodziejowi na uzyskanie kompletu danych za jednym zamachem, na przykład przy okazji kradzieży portfela czy torebki.

Podobnie jak w przypadku kart płatniczych, niewskazane jest używanie tego samego PIN. Użytkownik konta internetowego powinien się posługiwać unikatowym hasłem do logowania się do bankowego serwisu.

Wykorzystywanie w tym celu tego samego hasła, co używane do logowania się do komputera, poczty czy serwisu społecznościowego, jest dużą nieostrożnością. Hasło musi mieć odpowiednią siłę, czyli odporność na złamanie przez osobę niepowołaną. Najlepiej, kiedy składa się z przypadkowego ciągu cyfr oraz dużych i małych liter. Większość systemów bankowych wymaga posługiwania się właśnie takimi hasłami. Słabe i łatwe do rozszyfrowania są wszelkie hasła w jakiś sposób powiązane z osobą użytkownika rachunku, np. imiona dzieci, domowych zwierząt, daty ślubu, urodzenia itp.

Hasła nie należy nigdy zapisywać trwale w przeglądarce internetowej. Nawet wtedy, kiedy posługujemy się domowym komputerem lub osobistym laptopem. Utrata kontroli nad sprzętem zawsze może się zdarzyć, a to otwiera drzwi do naszego konta złodziejowi.

Z podobnych powodów niewskazane jest logowanie się do systemu bankowego z przypadkowych urządzeń i poprzez publiczne, niezabezpieczone sieci WiFi funkcjonujące na lotniskach, dworcach kolejowych, w kawiarniach, centrach handlowych i w innych miejscach, gdzie gromadzą się ludzie. Hasło i login mogą zostać przechwycone przez przestępców, a wtedy nietrudno o kłopoty.

STAWIAMY NA ANTYWIRUSY

Zarówno domowy komputer, jak i inne urządzenia służące do kontaktów z bankiem – od laptopów, przez tablety, po smartfony, należy zabezpieczyć odpowiednim oprogramowaniem przeciwwłamaniowym i przeciwwirusowym. Ważne jest także systematyczne instalowanie aktualizacji przysyłanych przez jego producenta. W ten sposób można zabezpieczyć się przed wykrywanymi lukami w zabezpieczeniach.

Większość najpopularniejszych programów antywirusowych funkcjonuje na tyle sprawnie, że jest w stanie wykryć próbę zdalnego ataku i kradzieży danych z komputera osobistego. Zabezpieczają one także przed zainstalowaniem w komputerze złośliwego oprogramowania, które śledzi czynności wykonywane przez jego użytkownika i może przechwycić hasło do internetowego konta.

NIE DAJ SIĘ OSZUKAĆ

Najpopularniejszym sposobem na wyłudzenie danych bankowych przez cyberprzestępców jest tzw. phishing. Nazwa to neologizm utworzony od angielskiego słowa fishing, oznaczającego łowienie ryb. Tu oznacza łowienie klientów, a wędką są fałszywe e-maile rozsyłane do nich przez przestępcę, który chce wyłudzić dane. Zwykle zawierają one prośbę o weryfikację danych bankowych lub po prostu o zalogowanie się w systemie. Takie listy często do złudzenia przypominają zwyczajną korespondencję pochodzącą z banku. Różnią się od niej tym, że mają w treści umieszczone okienko mające służyć do zalogowania się w systemie.

Po wpisaniu w takim okienku loginu i hasła przeglądarka zwykle wyświetla informację o błędzie logowania, po czym klient jest przekierowywany na właściwą stronę banku. To celowy zabieg, mający dodatkowo uśpić czujność ofiary. Klient nawet nie podejrzewa, że stał się obiektem ataku, a złodziej uzyskuje potrzebne dane i dostęp do konta.

Nieco bardziej zaawansowane próby wyłudzenia danych polegają na rozsyłaniu e-maili zawierających łącze przekierowujące klienta na fałszywą stronę, udającą stronę banku służącą do logowania. Po naciśnięciu odnośnika klient zostaje przekierowany na tę stronę. Po czym podejmuje próbę logowania, podczas której nieświadomie ujawnia swoje dane, a następnie trafia na właściwą stronę serwisu bankowego.

Przed tego rodzaju atakami można się uchronić, rygorystycznie przestrzegając zasady, że do serwisu bankowego logujemy się zawsze samodzielnie, nigdy z poziomu e-maila. Banki dobrze wiedzą o tego typu atakach i większość z nich nie wysyła żadnych linków w korespondencji do klientów, po to by nie usypiać ich czujności. Część z nich stosuje także tak zwane hasła maskowane. Polegają one na tym, że w czasie logowania system wymaga od użytkownika podanie niepełnego ciągu znaków stanowiącego hasło, czyli wybranych losowo cyfr. Dzięki temu nie da się jednorazowo uzyskać całego hasła. Jeśli wbrew regule klient proszony jest o pełne hasło, powinno to wzbudzić jego dodatkową czujność.

FAŁSZYWE STRONY

Mimo często łudzącego podobieństwa do serwisów bankowych, fałszywe strony można rozpoznać. Przede wszystkim należy sprawdzić, czy połączenie pomiędzy komputerem klienta a serwerem banku jest szyfrowane. Podstawowym zabezpieczeniem stosowanym przez banki jest użycie protokołu szyfrującego SSL. Uniemożliwia on odczytanie przesyłanych informacji osobom postronnym. Jeśli nawiązane połączenie zostało zabezpieczone – w przeglądarce pojawi się mała kłódka.

Fałszerstwo zdradza także brak konkretnego adresata wiadomości, błędy w treści czy też inny niż normalny adres strony. Często nazwa domeny różni się tylko nieznacznie od nazwy domeny bankowej i na pierwszy rzut oka trudno rozpoznać różnicę. Na przykład litera „l” jest zastępowana wielkim „I”, „g” literą „q”.

CZUJNOŚĆ PRZEDE WSZYSTKIM

Cyberprzestępcy z większymi talentami informatycznymi stosują bardziej skomplikowane sposoby. Na przykład metodę nazywaną man-in-the-middle. Polega ona na zainstalowaniu w oprogramowaniu urządzeń pośredniczących w przekazywaniu danych (takich jak routery czy serwery DNS, tłumaczące adresy wpisywane w przeglądarce na kod zrozumiały dla komputerów) wirusów przekierowujących na fałszywe strony, nawet po wpisaniu w pasku adresowym prawidłowego adresu banku. W tym przypadku niewiele można zrobić. Trzeba zdać się na ochronę ze strony dostawcy internetu i jak zawsze polegać na własnej czuj­ności.

Jeszcze inny sposób na dobranie się do danych w prywatnym komputerze to metoda man-in-the-browser. Polega na zainstalowaniu złośliwego oprogramowania w urządzeniu użytkownika. Może ono wyświetlać fałszywe informacje o zabezpieczeniach, zapisywać hasła i bez wiedzy właściciela przekazywać je w dowolne miejsce w sieci i wyrządzać wiele innych szkód.

Jedyny sposób na ochronę to unikanie pirackiego oprogramowania, dziwnych miejsc w sieci i korzystanie z programów antywirusowych.

Dziękujemy, że nas czytasz!

Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →

Dostęp 10/10

  • 10 dni dostępu - poznaj nas
  • Natychmiastowy dostęp
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
10,00 zł

Dostęp kwartalny

Kwartalny dostęp do TygodnikPowszechny.pl
  • Natychmiastowy dostęp
  • 92 dni dostępu = aż 13 numerów Tygodnika
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
89,90 zł
© Wszelkie prawa w tym prawa autorów i wydawcy zastrzeżone. Jakiekolwiek dalsze rozpowszechnianie artykułów i innych części czasopisma bez zgody wydawcy zabronione [nota wydawnicza]. Jeśli na końcu artykułu znajduje się znak ℗, wówczas istnieje możliwość przedruku po zakupieniu licencji od Wydawcy [kontakt z Wydawcą]

Artykuł pochodzi z numeru TP 12/2013