Nie zostań z zerem, czyli jak się chronić przed włamaniem na konto bankowe
Największy koszmar? Puste konto po ataku hakerów. Niebezpieczeństwo jest realne i dotyczy każdego, kto korzysta z bankowości elektronicznej – czy to na komputerze, czy mobilnie. W tym przypadku, podobnie jak w innych życiowych sytuacjach, również lepiej zapobiegać, niż leczyć. Nie jest to jednak możliwe bez zabezpieczenia na trzech podstawowych poziomach.
W ubiegłym roku w Polsce zarejestrowano ponad 10 tysięcy tzw. incydentów cyberbezpieczeństwa. To ponad 60 procent więcej niż rok wcześniej. Jak informuje zbierający te dane zespół CERT Polska – najpopularniejszym rodzajem ataków pozostaje phishing, stanowiący aż 73 procent tych incydentów.
To metoda najczęściej stosowana do przejęcia danych logowania na strony banków lub numerów kart kredytowych i innych danych wrażliwych atakowanych osób. Przestępcy wykorzystują emocje i ludzkie słabości, które są powszechne – pośpiech, strach, ciekawość, chęć osiągnięcia szybkiego zysku, otrzymania czegoś za darmo itp. Mimo że większość oszukanych nigdy by się z tym nie zgodziła, to oni są najsłabszym ogniwem zabezpieczeń, i to właśnie to ogniwo jest głównym celem większości ataków cyberprzestępców.
Wykorzystują technologię – ale celują w człowieka i jego słabe punkty.
Phishing wciąż na topie
To metoda, którą posługują się cyberprzestępcy od grubo ponad 20 lat. Polega na wysłaniu do ofiary wiadomości, w formie e-maila, SMS-a czy innej, która ma za zadania zachęcić go do kliknięcia w link prowadzący do fałszywej strony, np. bankowej. Im "lepszy" atak, tym ta strona jest lepiej przygotowana, bardziej podobna do prawdziwej, a nawet identyczna z nią.
Użytkownik klika w link i podaje na stronie swoje dane, np. login i hasło do konta w banku. Albo dane dostępowe do jakiegoś innego serwisu, który jest dla złodzieja atrakcyjny, choćby serwisu ogłoszeniowego, w którym przestępca może wystawić na sprzedaż fałszywe przedmioty. Następnie zgarnia pieniądze oszukanych klientów i znika, pozostawiając właściciela konta z niemałym problemem.
Kiedyś sposobem na tego typu zagrożenia była uważność – zwykle wystarczyło spojrzeć na pasek adresu, by zauważyć, że nie jest to strona logowania np. naszego banku. Dodatkową radą przekazywaną przez ekspertów było zwrócenie uwagi na kłódkę obok adresu, która gwarantuje szyfrowania połączenia.
Niestety dziś nie jest już to takie jednoznaczne.
Pod koniec listopada CSIRT KNF wysłał ostrzeżenie przed fałszywą stroną mBanku, która nie dość, że wyglądała identycznie z oryginalną, to jeszcze jej adres był łudząco podobny do oryginału, z tym że zamiast litery "a" występował znak "ạ". Po wprowadzeniu danych logowania użytkownik widział komunikat "Proszę czekać na autoryzację", a informacje w tym momencie trafiały do przestępców. W kolejnych krokach fałszywa strona prosiła o podanie otrzymanego kodu SMS, który pozwalał oszustom na wypłacenie pieniędzy z konta.
Oczywiście, jeśli ktoś jest superostrożny, to zauważył, że domena ma końcówkę "[.]com/pl/Login", a nie ".pl/pl/Login", ale przecież to naprawdę niewielka różnica i na pierwszy rzut oka (np. w pośpiechu) można na to nie zwrócić uwagi, podobnie jak na małą kropeczkę pod literą w adresie.
A kłódka, czyli znak szyfrowania?
A czy ktoś klika w tę kłódkę, żeby sprawdzić, przez kogo jest podpisany certyfikat bezpieczeństwa? No właśnie… Zabezpieczenie SSL, o którym tutaj mowa, może na stronie wprowadzić każdy i za każdym razem jest to kłódka przy adresie. To prawdziwe zabezpieczenie i rzeczywiście szyfruje ono połączenie (uniemożliwiając np. "przeczytanie" ekranu), ale co z tego, skoro mechanizm strony właśnie tak jest skonstruowany, żeby po wprowadzeniu danych przesyłać je do złodziei. Nie muszą podglądać, jak dane są wprowadzane, pozyskują je w inny sposób.
mBank nie jest tu oczywiście wyjątkiem, są inne przykłady takich bardzo podobnie wyglądających adresów domen, choćby cítí.com – to również atak z ostatnich miesięcy.
Jak się więc bronić?
Korzystać z autoryzacji w aplikacji na smartfonie. Ponadto patrzeć uważnie na adresy stron. I wreszcie – zainwestować w oprogramowanie antywirusowe, które zabezpiecza przed phishingiem.
Nie tylko konta
Kupujesz coś w sieci. Sprzedawca prosi cię o adres e-mail lub kontaktuje się na dowolnym komunikatorze i po wymianie kilku wiadomości wysyła link do bramki płatniczej albo do strony, która żąda wprowadzenia danych karty kredytowej lub do strony, na której sam masz opłacić przesyłkę.
Oczywiście wszystkie strony są fałszywe, choć na pierwszy rzut oka trudno to stwierdzić. Co się dzieje dalej, zależy od pomysłowości przestępcy i celu, jaki chce osiągnąć. Zwykle jest to zdobycie danych logowania lub karty płatniczej, ale nie tylko to ma wartość. Być może na takiej stronie zostaniesz poproszony o podane numeru PESEL, numeru dowodu osobistego i innych wrażliwych danych, na które można na przykład zaciągnąć kredyt w banku. Dowiesz się o tym dopiero po kilku miesiącach, kiedy bank lub firma pożyczkowa wyśle ci ponaglenie do zapłacenia zaległych rat…
Te same dane mogą być pozyskane nawet bez konieczności użycia komputera. Ostatnio częste są ataki typu vishing, czyli voice phishing. Przestępcy dzwonią do ciebie, podają się za pracownika banku i – informując np. o tym, że ktoś chciał wypłacić twoje pieniądze – pozyskują informacje "niezbędne do autoryzacji". Nawet nie jest im potrzebne hasło czy PIN do twojego konta (wiesz przecież, że ich nie można podawać). Z tym, co dostaną, mogą zrobić, co zechcą, a nie zawsze jest to bezpośredni "włam" na konto bankowe.
Dzwoniącymi nie muszą być wcale "pracownicy" instytucji finansowych – ktoś może się podać np. za przedstawiciela ZUS-u czy choćby przychodni lekarskiej. Co więcej oszuści wykorzystują nakładki, które sprawiają, że osobie atakowanej wyświetla się prawdziwy numer danej instytucji (np. infolinii banku). To jest możliwe dzięki wcześniejszemu zainstalowaniu nakładki, która ukrywa prawdziwy numer dzwoniącego, a która została zainstalowana przez ofiarę poprzez kliknięcie w link otrzymany SMS-em na smartfona lub w podobny sposób.
Długa lista zagrożeń
O tym, żeby nie korzystać z niezabezpieczonych, nieznanych hot spotów (punktów dostępowych sieci Wi-Fi) eksperci mówią od lat. I od lat jest to jedno z powszechniejszych miejsc, z których korzystają przestępcy.
Bo przecież "tylko na chwilkę" i "nie było innego dostępu do sieci". Tymczasem to prawdopodobnie najprostszy sposób na włamanie się do komputera. Przestępcy po prostu tworzą tzw. WAP (Wireless Access Point), który przypomina publiczną sieć, np. hoteli (zwykle ma też odpowiednio wiarygodną nazwę). Użytkownik, który się łączy z takim punktem, automatycznie daje przestępcom dostęp do swojego urządzenia oraz wszystkich danych przesyłanych przez sieć.
To sposób najprostszy, ale i na niego łapie się wiele osób. Co przestępcy poza tym mają w zanadrzu? Całą masę złośliwego oprogramowania, które w różny sposób instalują na naszych komputerach – wykorzystując fałszywe strony, załączniki do e-maili, zainfekowane nośniki danych (np. USB). Mogą dzięki nim np. uszkodzić i skasować dane na komputerze.
Z kolei robaki internetowe nie wymagają nawet uruchomienia przez użytkownika, wkradają się do systemu przez luki w oprogramowaniu. Cel – m.in. kradzież danych.
Trojany to programy, które podszywają się pod legalny, godny zaufania plik. Kiedy znajdą się na urządzeniu, mogą być wykorzystane przez hakerów do szpiegowania, usuwania czy przechwycenia twoich danych.
Ransomware – blokuje urządzenie i żąda okupu w zamian za odzyskanie dostępu do danych. Spyware – rejestruje aktywność użytkownika w sieci, często wykorzystywany do kradzieży tożsamości i wykorzystania danych karty kredytowej.
Jest tego naprawdę dużo i można by długo o tego typu zagrożeniach pisać. Mają one jedną cechę wspólną – nie chcecie ich mieć na swoich urządzeniach. Bo większość z nich służy głównie temu, by ukraść wam pieniądze lub dane.
Broń się mądrze
Główną bronią przeciwko zagrożeniom w internecie jest wiedza o tym, że przestępcy przede wszystkich wykorzystują ludzkie słabości. Nie da się jednak być czujnym przez cały czas, więc trzeba korzystać z technologii – w tym oczywiście z dobrego oprogramowania zabezpieczającego. Celowo nie używamy słowa "antywirus", bo dzisiejsze zabezpieczenia sięgają daleko poza czystą obronę przed wirusami. Przykładem mogą być produkty marki ESET, która od wielu lat jest jednym z liderów na rynku cyberbezpieczeństwa na świecie. Jej flagowy produkt – ESET Internet Security – zawiera wszystkie elementy, jakie są potrzebne, by chronić twoje dane i pieniądze przed przestępcami.
Internet Security w wersji na 2022 to najnowsze rozwiązania, które pozwalają zabezpieczyć nie tylko komputer, ale też smartfona czy tablet. Program skanuje pliki w czasie rzeczywistym, czyli wszystko, co się dostaje do urządzenia, zostaje sprawdzone. Automatycznie skanuje również cały system podczas bezczynności, co wpływa korzystnie na komfort pracy. Zaawansowane rozwiązania sprawdzają urządzenie jeszcze przed startem systemu.
Przed atakami chroni firewall, antywirus i antyspyware, co oznacza, że obronę przed wszystkimi możliwymi zagrożeniami, także tymi, które jeszcze nie zostały dotąd rozpoznane. Dzięki sztucznej inteligencji ESET rozpoznaje niezidentyfikowane wirusy.
Jeśli chodzi o bezpośrednią ochronę finansów – ESET ma specjalną funkcję ochrony bankowości internetowej, która – między innymi – szyfruje komunikację między przeglądarką a klawiaturą, co uniemożliwia odczytanie wprowadzanych znaków. Oprogramowanie zawiera wbudowaną wstępnie zdefiniowaną listę witryn internetowych, które są uruchamiane w oknie bezpiecznej przeglądarki ESET. Tę listę użytkownik może dowolnie rozszerzać. Okno zabezpieczonej w ten sposób przeglądarki jest otoczone zieloną linią, co potwierdza, że przeglądanie i korzystanie z niej jest bezpieczne.
Nie zapominajmy też o smartfonach. Korzystając z pakietu ESET Internet Security, mamy możliwość zainstalowania ochrony na urządzeniach mobilnych z systemem Android. To potężny antywirus, chroniący przed wszystkimi zagrożeniami, skanujący urządzenie w czasie rzeczywistym lub dający możliwość skanowana zaplanowanego przez użytkownika. Co istotne dla zakupów i finansów w sieci – zawiera funkcję antyphishing. Wejście na fałszywą stronę powoduje wyświetlenie ostrzeżenia, że dana witryna jest na liście zagrożeń. Warto zauważyć, że to rozwiązanie integruje się z przeglądarkami urządzeń z androidem i to nie tylko z najpopularniejszymi.
Trzy filary bezpieczeństwa
Nie ma jednego sposobu na ochronę przed cyberprzestępcami, którzy chcą odebrać nam nasze pieniądze. Ale można powiedzieć, że są trzy aspekty, na które warto zwrócić szczególną uwagę.
Pierwszy to… my, czyli użytkownicy. Nie klikamy w nieznane linki w wiadomościach, nie podajemy danych (żadnych wrażliwych) przez telefon czy komunikatory lub e-maile. Uważamy, robiąc zakupy czy korzystając z bankowości online – dwa razy sprawdzamy, czy to na pewno właściwa witryna z właściwym adresem i czy pod kłódką SSL widnieje właściwy certyfikat, wydany dla firmy lub banku, z którego usług korzystamy.
Drugi filar naszego bezpieczeństwa to aktualizacje systemu i oprogramowania, z którego korzystamy. To nie jest zawsze tak, że nowa wersja programu oznacza jego nowe funkcje, najczęściej poprawki dotyczą właśnie zabezpieczeń i luk, które otwierają drogę przestępcom. Pamiętajmy też, że niektórych systemów producenci już nie wspierają, dlatego nie warto zwlekać w nieskończoność z instalacją nowych wersji.
Wreszcie filar trzeci – program zabezpieczający komputer i urządzenie mobilne. Nie tylko najprostszy, darmowy antywirus, ale porządny produkt, od uznanego na rynku dostawcy, który od lat działa w branży cyberbezpieczeństwa. Tylko taki zapewnia maksymalną dostępną ochronę.
Pamiętajmy jednak, że te programy tylko pomagają i nie zastąpią zdrowego rozsądku. I tutaj – patrz punkt pierwszy…