Jeśli interesujecie się branżą bankową bądź czytacie blogi o bezpieczeństwie informatycznym bardzo prawdopodobne, że słyszeliście o ostatnim włamie na serwery Plus Banku. Sprawa jest o tyle ciekawa (niepokojąca?), że hacker przez kilka miesiące miał dostęp do całej infrastruktury banku i… nie został zauważony. Skoro więc bank nie jest w stanie kontrolować dostępu do swoich serwerów to jak my, zwykli „Kowalscy” możemy chronić się przed wszelkiego rodzaju atakami? Wprawdzie w tym wypadku bank deklaruje, że poniesie pełną odpowiedzialność finansową za ewentualne straty, ale kto wie, czy w przyszłości sami nie padniemy ofiarą podobnego ataku? Wtedy nikt za nasze błędy nie zapłaci.
Ponieważ lepiej zapobiegać niż „leczyć” stworzyliśmy dla was poradnik, dzięki któremu wyłapiecie próby ataków z bardzo wysoką skutecznością – być może nawet wtedy, kiedy hacker uzyska dostęp do serwerów banku, a nie tylko waszego komputera.
Fałszywe maile od banku
Ten atak znany jest od bardzo dawna, ale niestety ciągle znajdują się osoby, które się na niego nabierają. Najczęściej zaczyna się od tego, że „nasz” bank wysyła nam wiadomość e-mail z prośbą o zalogowanie w celu wykonania określonej czynności. Przykładowo dosłownie wczoraj pojawiła się fala takich maili wysyłana, teoretycznie, od PKO BP. Bank informował w mailu, że dostęp do konta został zablokowany i w celu jego odblokowania należy wejść na konkretną stronę i podać swoje dane (login, hasło i kody jednorazowe).
Zazwyczaj nadawcami tego typu maili są (teoretycznie) banki takie jak PKO BP, Pekao SA, Alior Bank czy BZWBK. Dlaczego? Są to banki z największymi bazami klientów w Polsce, więc złodziej wie, że jego atak może się udać – przynajmniej kilkadziesiąt procent odbiorców wiadomości faktycznie będzie miało konto w danym banku.
Atakujący liczy tu również na… naiwność odbiorców. Zastanówmy się, czy bank sam z siebie wysyłałby maila informującego o zablokowaniu dostępu? Może macie inne doświadczenia z odblokowaniem dostępu, ale zazwyczaj można tego dokonać jedynie przez infolinię banku lub przez wizytę w oddziale. Z resztą zamiast słuchać tego, co „bank” pisze w mailu najprościej samodzielnie wejść na stronę banku i sprawdzić, czy wszystko działa. Dlaczego? Atakujący chce nas bowiem sprowadzić na fałszywą stronę przypominającą stronę banku abyśmy tam podali swój numer klienta i hasło!
Fałszywa strona banku
Jak sprawdzić, czy dana strona należy do banku? Po pierwsze – przyglądnijmy się dokładnie adresowi strony. Złodzieje często próbują przekierować nas na adres typu „…bamk.pl” zamiast „…bank.pl”. Różnica jednej litery, a już właściwie mamy pewność, że ktoś próbuje nas oszukać. W opisanym wyżej przypadku atakujący próbował przekierować na stronę kontrola-ipko.com.
Jeśli chcemy mieć gwarancję, że dana strona faktycznie należy do banku, to możemy skorzystać z narzędzia „whois” (np. whois.domaintools.com). Dzięki niemu w łatwy sposób sprawdzimy m.in. kto jest właścicielem danej domeny i kiedy została utworzona. Poniżej dane dla prawdziwej strony PKO oraz fałszywej:
Pamiętajmy również, aby zwracać uwagę na to, jak wygląda strona banku. Załóżmy, że atakujący wysłał nam maila na którego daliśmy się nabrać. Weszliśmy na fałszywą stronę i nie zauważyliśmy literówki. Co powinno nas odstraszyć? Bardzo prawdopodobne, że wygląd strony będzie się delikatnie różnił od strony banku. Jeśli natomiast nie będzie – jest spora szansa, że zamiast podania kilku znaków z naszego hasła atakujący poprosi o pełne hasło. Wariacja tej możliwości to poproszenie o np. znaki numer 1,3,5,7,9 hasła, a następnie wyświetlenie błędu i poproszenie o znaki parzyste. W ten sposób atakujący jest w stanie skompletować pełne hasło.
Hasła
A jeśli już o hasłach mowa – są one ważne, ale w zasadzie nie najważniejsze w tym poradniku. Dlaczego? Złodziej zazwyczaj musi jeszcze przechwycić nasz telefon komórkowy do autoryzacji SMSów (lub token/kartę kodów, jeśli z nich korzystamy) aby ewentualnie ukraść środki. Mając sam dostęp do konta będzie mógł co najwyżej sprawdzić nasze saldo i historię lub próbować dodać swój numer konta jako zaufany.
Oczywiście hasło warto mimo wszystko chronić. Bank zachęcają nas do zmiany hasła w miarę często, ale również do tego, aby hasło było możliwie skomplikowane (małe, wielkie litery, cyfry, znaki specjalne). Pamiętajmy jednak, że najsłabszym ogniwem jesteśmy… my, a nie nasze hasło. Prościej złodziejowi będzie je wykraść za pomocą fałszywych maili/stron, niż w inny sposób.
Swoją drogą jak myślicie – które hasło jest lepsze? 10 znakowe, składające się z małych, wielkich liter oraz cyfr i znaków specjalnych? Czy może 20 znakowe, ale bez zbędnych kombinacji? W teorii, gdyby złodziej próbował zalogować się na siłe próbując wszystkich możliwych kombinacji (atak brute-force), to duuuużo dłużej zajęłoby mu zalogowanie się na konto, zabezpieczone… prostszym, ale dłuższym hasłem.
Oczywiście najlepsze jest długie hasło ze znakami specjalnymi.
Pamiętajmy również, aby mieć różne hasła do różnych serwisów internetowych (nie tylko banków). Jeśli złodziej przechwyci nasze hasło w dowolnym serwisie internetowym, to nie zaloguje się do innego. Nawet proste dodawanie z pozoru losowych znaków może być dobrym rozwiązaniem (np. hasło do zalogowania na „Jakiegoś Banku” może mieć dodane na początku/środku/końcu znaki typu „jb” od jego nazwy – warto być bardziej kreatywnym).
Brak „kłódki”
Wiele osób każe również zwracać uwagę na tzw. „kłódkę”, czyli informacje o tym, że połączenie do danej strony jest szyfrowane. Jest w tym trochę racji – żaden bank nie pozwoliłby sobie na połączenie nieszyfrowane, które może zostać podsłuchane – w końcu przesyłane są nasze dane osobowe, hasła czy loginy. Problem w tym, że obecnie niemal każdy może wyrobić sobie ceryfikat SSL (nawet za darmo) i zabezpieczyć swoją stronę „kłódką” – warto również sprawdzać, jakie dane dokładnie znajdują się w certyfikacie.
Inna sprawa, że pobranie strony w sposób szyfrowany wcale nie oznacza, że pozostałe dane (np. XHR) pobierane są w ten sposób. Ale ten temat zostawmy blogom informatycznym :)
Podmiana numerów rachunków bankowych podczas robienia przelewu
W ostatnim czasie jednym z częstszych ataków jest skrypt podmieniający numery kont bankowych. Za jego „sukcesem” stoi łatwość implementacji. Wystarczy, że zainstalujemy jakąś „lewą” wtyczkę do przeglądarki, która oprócz swojej funkcji będzie również próbowała podmienić 26-cyfrowe numery na zdefiniowany wcześniej numer rachunku. Równie dobrze taki trojan może zostać umieszczony w aplikacji, która instalujemy na naszym komputerze ale równie dobrze… na serwerach banku, w postaci kilku linijek JavaScript (tak właśnie było w przypadku Plus Banku). Możliwości jest więc bardzo dużo, a podmiana może się odbywać w różnych momentach – np. w momencie robienia kopiuj-wklej (atakujący podmienia zawartość systemowego schowka), ale równie dobrze w momencie wysłania formularza z przelewem – pomimo podania dobrego numeru klikamy „wyślij” i w tym właśnie momencie złodziej wstrzykuje swój numer rachunku w miejsce, w którym milisekundę temu był nasz.
Jak się przed tym atakiem skutecznie chronić? Zazwyczaj po widoku, na którym wpisujemy swoje dane jeszcze jeszcze kolejny widok, na którym bank każe nam zweryfikować wprowadzone dane. Zwracajmy więc zawsze uwagę, czy w tym kroku jest ten rachunek, który przed chwilą podaliśmy.
Jeszcze skuteczniejszą metodą jest weryfikowanie numeru rachunku podczas akceptacji przelewu SMSem. Większość banków w tej krótkiej wiadomości tekstowej podaje (przynajmniej część) rachunku docelowego. Jeśli więc złodziej zrobi świetną robotę i do tej pory będzie wyświetlał poprawny rachunek i spróbuje go podmienić w ostatnim kroku, to właśnie SMS zweryfikuje, czy nikt nam niczego nie kradnie. Zamiast więc przepisywać tylko kod weryfikacyjny rzućmy również okiem na to, na jaki rachunek przelewamy środki.
Pin do karty na kartce w… portfelu
Możecie się śmiać widząc tytuł tego paragrafu, ale taka jest prawda – wiele osób, zwłaszcza starszych, ma przyklejony numer PIN do karty (albo umieszczony gdzieś w portfelu). Jeśli złodziej ukradnie nam portfel, to może szybko opróżnić nasze konto. Lepiej więc nadać samemu PIN, niż zapisywać go gdziekolwiek. Rok urodzenia, data urodzenia, ulubione cyrfy, kawałek innego numeru – wszystko jest lepsze, niż numer podany wprost :)
Niezaufane urządzenia
Na koniec jeszcze jedna uwaga: nie logujcie się do banku, ani nie dokonujcie przelewów na niezaufanych komputerach czy urządzeniach mobilnych. Nie macie bowiem pewności, że złodziej nie zainstalował niczego na tym komputerze (a może zaatakował np. warstwę sieciową kafejki, w której siedzisz).
Jeśli jednak trzeba dokonać przelewu na innym urządzeniu, dobrą praktyką jest zrobienie go w oknie prywatnym (incognito) przeglądarki. Często bowiem wszelkiego rodzaju wtyczki (również te złośliwe) są domyślnie włączone w przeglądarce, ale nie w trybie incognito. Pamiętajcie również, aby samodzielnie wejść na stronę banku, zwracać uwagę na to, czy jej adres jest poprawny, zweryfikować numer rachunku również w SMSie oraz zwracać uwagę na to, czy strona banku wygląda tak samo, jak zawsze.
Poniżej wszystkie punkty opisane w artykule w formie skompresowanej:
- nie ufaj podejrzanym mailom
- zawsze samemu wpisuj adres strony banku
- nigdy nie podawaj swojego hasła ani kodów jednorazowych w celu odblokowania dostępu do konta
- nigdy nie podawaj pełnego hasła, jeśli wcześniej ustawione było hasło maskowane
- sprawdzaj, czy adres banku jest poprawny (nie ma literówek) i czy podczas logowania przy adresie jest kłódka
- używaj różnych haseł do różnych stron
- zawsze sprawdzaj numer, na który przelewasz środki, przed zatwierdzeniem przelewu (w ostatnim kroku)
- zawsze sprawdzaj, czy numer konta w SMSie jest poprawny
- nie noś zapisanego numeru PIN do karty w portfelu
- staraj się nie logować do banku z innego urządzenia niż twój komputer, tablet czy telefon
Jeśli zastosujesz się do powyższych rad – jest spora szansa, że twoje środki zawsze będą bezpieczne. No chyba, że złodziej zaatakuje bezpośrednio bank (wtedy to bank odpowie za ewentualne straty).