Pár éve lakossági folyószámlanyitás közben a kissé túlbuzgó munkatárs arra figyelmeztetett, hogy a folyószámlához bankkártya, telefonbanking és internetbanking megoldás is párosul, de utóbbit nem ajánlja, „hiszen tudja ,milyen az internet”…
Akkor megdöbbentem, hogy a fiókban dolgozó munkatárs a bank saját szolgáltatását ennyire negatívan tálalja, de utólag, bár főnökei aligha dicsérték volna meg, ha hallották volna a párbeszédet, a bank rendszerének akkori biztonsági szintjét látva, valóban kockázatos lett volna a szolgáltatás.
Egyszintű azonosítás
Az internetbanking előnyei vitathatatlanok, egyszerű, rugalmas, gyors, általában nem is drága. Sajnos mind a mai napig léteznek azonban olyan internetbanking rendszerek, ahol a szolgáltatás kockázatos. Az ilyen rendszer úgy működik, hogy a szolgáltatások igénybevételéhez be kell lépni egy internetes oldalra, ott meg kell adnunk az azonosítónkat és egy statikus jelszót. Ez bizony egyáltalán nem biztonságos.
A kockázatoknak több szintje van, de a káros végeredmény mindig ugyanaz, a számlánkról illetéktelenek pénzt utalhatnak el. Vannak olyan triviális hibák, mint az internetes kávéházban nyitva felejtett oldal, a munkahelyi monitorra kis cetlin felragasztott azonosító és jelszó, ezeket természetesen kerüljük el, de figyelem, ha ennél óvatosabbak vagyunk, akkor sem vagyunk még biztonságban az ilyen rendszerekben.
Hej halászok, halászok
Az utóbbi években szinte mindennapossá vált, hogy a bűnözők az adathalászat (phishing) módszerével támadják meg az internetbanking rendszereket. A módszer lényege, hogy a bűnöző kéretlen levelet (spam) küld e-mailben. Általában a csalók nem rendelkeznek pontos e-mail cím listával, vagyis nem tudják, hogy kik az adott szolgáltatás ügyfelei, de már arra is volt eset, hogy meglepően koncentrált volt a megcélzott e-mail kör.
Jellemzően ezért csak szétlövik mindenfelé az üzenetet, miszerint adategyeztetés vagy karbantartás miatt kérik az ügyfeleket, hogy adják meg jelszavukat és azonosítójukat egy válaszlevélben. Figyelem, nem kell mérlegelni, soha, semmilyen körülmény közepette nem kell az ilyen levélre válaszolni, az egyetlen, amit tehetünk, hogy a bank vagy illetékes hatóság (rendőrség, felügyelet) felé továbbítjuk (forwardoljuk) a kéretlen levelet. A bankok ugyanis biztosan nem kérnek e-mailben semmilyen személyes adatot, ahogyan telefonon sem fognak jelszót egyeztetni.
Akit jobban is érdekel a phishing módszertana, azért (válaszadás nélkül) kicsit megvizsgálhatja a levelet. Érdekes elemeket fog találni, a módszer szerint egy, a bankéra nagyon hasonló e-mail címről jön, a fejlettebb verziókban a bank logóját, színvilágát is átvevő üzenet. Például gyakran a @xbank.hu e-mail cím helyett a @xbankhu.com címet szerzik meg a csalók. Ne válaszoljunk tehát soha az ilyen levelekre, mert különben a frissen megszerzett azonosítóval és jelszóval teljesen legálisan belép a csaló a rendszerbe, és utal.
Hova utalnak a csalók?
A kezdetleges csalási kísérletek során külföldre, például volt orosz tagköztársaságokba utaltak a csalók, de ezzel a módszerrel nem jártak sok sikerrel. Több napig tartott az utalás, addig a bank felfigyelt, leállította a folyamatot. Sokszor már az első megbízás gyanút keltett, és a manuális ellenőrzés során kibukott a csalás. Az újabb módszerek sajnos rámenősebbek. A csalók a támadásra kiszemelt bankban számlát nyitnak, jellemzően nem saját nevükben, hanem vagy hamis igazolvánnyal, vagy pár ezer forintért egy hajléktalant felbérelve. Ha sikerül jelszót és azonosítót szerezniük egy ügyféltől, azonnal utalnak. Bankon belül azután gyorsabban átkerül a pénz a másik számlára, ahonnan gyorsan fel is veszik, olykor továbbutalják az összeget. Bizony még az elmúlt évben is voltak sikeres támadások itthon.
Lapozzon! Most jön a megoldás.
—-Kém-game—-
Sajnos egyszintű azonosítás mellett még akkor sem vagyunk biztonságban, ha nem dőlünk be az adathalászoknak, nem kell ugyanis feltétlenül a közreműködésünk a sikeres csaláshoz. Magyarországon is volt példa, de Ázsiában, illetve az Egyesült Államokban egy időben gyakori visszaélés volt a saját gépünkbe telepített kém módszere, amellyel óvatlan válaszadás nélkül is megszerezhetők az adataink. Vannak ugyanis olyan kémprogramok, amelyek akár egy internetes letöltés, vagy egy weboldal meglátogatása során, számunkra észrevétlenül letöltődnek a gépünkre.
Egyetlen dolgot tudnak, a gépünkön rögzítik a billentyűleütéseket, és továbbítják illetéktelen helyre. Észre sem vesszük, de hosszú karaktersorok érkeznek a csalóhoz, aki ha a www.xbank.hugbrucknerpubi adatsort értelmezik, jó eséllyel kitalálják, hogy beléptem az X Banknál vezetett számlám miatt a bank internetbanking oldalára, ahol azután megadtam az azonosítómat (gbruckner), majd a jelszavamat (pubi). Úgy vehetnek le pénzt, szabályosan belépve a számlánkról, hogy semmilyen szarvashibát nem követtünk el, legfeljebb a vírusvédelem és a tűzfaltelepítés terén.
Több szinten
Ha az internetbanking szolgáltatáshoz nem csak egy statikus jelszó tartozik, akkor ezek a veszélyek gyakorlatilag eltűnnek. Rengeteg ötletes megoldás van. Már az is egyfajta biztonság, ha az azonosító megadása után a rendszer generál egy új, addig nem használt jelszót, amit e-mailben elküld. Még kisebb a kockázat, ha a biztonság többcsatornás, például a számítógépen megadott azonosító és jelszó után a mobiltelefonunkra érkezik még egy frissen generált belépési kód is.
A szakemberek azért ezen is fanyalognak, mondván a bank-ügyfél bizalmi viszonyba így belép a mobiloperátor is, ami egyfajta kockázat, de a tavalyi tapasztalatok azt mutatták, hogy ez a biztonság elegendő volt a támadások százszázalékos hárítására. A többcsatornás azonosítóval rendelkező internetbanking szolgáltatásoknál nem hallani sikeres visszaélésekről, igaz, valóban léteznek még fejlettebb megoldások, például a token (számítógéptől független kütyü), a csipkártya (különösen az online vásárlásokhoz), vagy a csak az adott személyre jellemző biológiai azonosítók (ujjlenyomat, íriszazonosítás).
Alapvető óvintézkedések
1. A kritikusabb alkalmazásokat lehetőleg egy gépről, a saját otthoni számítógépünkről végezzük, ahol vírusirtót is telepítünk!
2. Az internetes bankolás, illetve a vásárlás során mindig százszázalékosan figyeljünk a megadott adatokra, a számjegyekre, mert ha elütünk egy nullát, a neten nehezebb korrigálni, mint az üzletben, ahol aligha fizetjük ki a százezer forintot egy tízezres ingért.
3. Ha valamilyen oldalra PIN-kódot, jelszót kell használnunk, lehetőleg ne válasszunk triviális jelszót, (például közösségi portálon használt becenevet, születési dátumot).
4. A jelszavakat lehetőleg ne írjuk fel sehová, de ha ezt nem tudjuk, legalább használjunk valami egyszerű konverziót. Matematikai képességünk függvényében valamilyen módosított számot jegyezzünk fel, és legalább a konvertálási szabályt tároljuk el az agyunkban.
5. Kritikus jelszavaknál ne fogadjuk el a számítógépes programok jelszómegjegyzési szolgáltatásait. Egy levelezőprogramnál még kevésbé kellemetlen, ha esetleg valamelyik munkatárs belép az automatikusan felkínált jelszóval, de egy webáruházban már kínosabb lehet.
6. Minden esetben fektessünk nagy hangsúlyt az internetes oldal pontos beírására. Részben legenda, részben talán igaz, hogy népszerű e-shopok közelében hasonló címmel működnek fals oldalak, amelyek a pénzünket szívesen veszik, de szállítani már biztosan nem fognak.
