Egyre többen veszik igénybe az online banki szolgáltatásokat Magyarországon is, az NRC Piackutató és a TNS közös felmérésének adatai szerint az év első felében a gyakori netezők 33 százaléka intézte pénzügyeit a világhálón keresztül. Ez a fél évvel korábbi adatokhoz viszonyítva két százalékpontos növekedést jelent, vagyis úgy tűnik, egyre jobban kedveljük a netes banki szolgáltatásokat. Nem csoda, hiszen gyors, kényelmes és az esetek többségében viszonylag egyszerű – legalábbis egy rövid, ismerőseim körében végzett felmérés során ezeket a jellemzőket hallottam legtöbbször. De elmondható az is, hogy a netes bankolás rendkívül biztonságos módja pénzügyeink kezelésének.
Titkos kapcsolat
Az online banki szolgáltatások esetén három kritériumot kell teljesítenie az alkalmazott módszernek – mondta el érdeklődésünkre Jakab Péter, az MKB Bank bankbiztonsági igazgatója, a Magyar Bankszövetség bankbiztonsági munkabizottságának elnöke. Egyrészt gondoskodni kell arról, hogy a hitelintézet központi számítógépe és a felhasználó gépe biztos legyen abban, hogy tényleg egymással kommunikálnak, titkosnak kell lennie a kapcsolatnak, és meg kell oldani, hogy ne lehessen azt manipulálni, illetve – ha ez mégis bekövetkezik – azt észre lehessen venni – sorolja a teendőket Jakab Péter. Ma már léteznek olyan technológiai megoldások, amelyek teljesítik ezeket a kívánalmakat, mint például az SSL és a PKI (lásd Biztonság mindenek felett című keretes írásunkat), így megfelelően biztonságossá tehetők az online banki műveletek.
Fontos eszköz a hitelintézetek kezében – főleg az adathalászat elleni küzdelemben –, hogy több csatornát használnak az azonosításra – közölte Jakab Péter. Az internetes felület mellett egy másik platformot – az esetek többségében a mobiltelefont – is igénybe veszik az azonosításra. A weben az azonosítót és a jelszót kell megadni, ezt követően általában a mobiltelefonra SMS-ben érkezik egy kód, amellyel el lehet indítani a tranzakciókat. Így a csalóknak az internetes azonosító és jelszó mellett meg kell szerezniük a másik eszközt is ahhoz, hogy a valódi ügyfelek nevében kezdeményezhessenek tranzakciókat, erre pedig nagyon kicsi az esély – állítja Jakab Péter. Ráadásul tovább növeli a biztonságot, hogy az SMS-ben megkapott kódok is csak korlátozott ideig érvényesek.
Arról sem szabad megfeledkezni, hogy a bankok sem Magyarországon, sem külföldön nem kérnek e-mailben semmilyen személyes azonosítót vagy jelszót. Ha valaki olyan elektronikus levelet kap, amely ilyen jellegű adatok megadására szólítja fel, akkor azt a legjobb azonnal törölni, ha esetleg mégis
elbizonytalanodna, akkor hívja fel bankja ügyfélszolgálatát – tanácsolja Gombás László, a Symantec magyarországi képviseletének szakértője.
Álcázott levelek
Bár a tavalyi magyarországi adathalász- (phishing-) támadások miatt komoly nyilvánosságot és figyelmet kapott a probléma, és csökkent is az ilyen fenyegetések száma, időről időre újra felbukkannak az adathalászlevelek. Különösen rendkívüli helyzetekben, eseményekkor lehet igen veszélyes egy ilyen támadás, a felhasználók ilyenkor könnyebben elbizonytalanodnak. Az Egyesült Államok Számítógépes
Sürgősségi Beavatkozó Csoportja (US-CERT) máris tud olyan kéretlen levelekről, amelyeket a pénzügyi válság okozta bankfelvásárlások miatti bizonytalanság kihasználására
küldtek szét. A felvásárlások miatt a felhasználók nincsenek tisztában azzal, hogy hitelintézetük online képviselete milyen formában működik tovább. Ebben a helyzetben az adathalászok a hagyományos „adategyeztetőnek” álcázott e-mailekkel próbálják lépre csalni az ügyfeleket. A bankok nevében kiküldött üzenetek sok esetben még büntetést is kilátásba helyeznek arra az esetre, ha a felhasználó nem lép be mihamarabb a pénzintézet „ellenőrző webhelyére” azért, hogy ott beírja banki azonosítóit, amelyeket a támadók a továbbiakban saját céljaikra használnak fel. A felvásárlások miatti zűrzavarban az adathalászok természetesen az ügyfelek bankjának új tulajdonosának adják ki magukat a kéretlen levelekben.
Sajnos a most vázolt technikánál jóval kifinomultabb megoldásokat is kidolgoztak az adathalászok a spamek (kéretlen üzenetek) kínálta lehetőségek kiaknázásával. Gyakori trükk, hogy valamilyen aktualitáshoz – például a gazdasági válsághoz – kapcsolódóan e-mailben egy érdekes tartalmú videóra hívják fel a felhasználók figyelmét, és hivatkozást (link) is adnak hozzá, ahol elérhető. A linkre kattintva megjelenő oldalon elhelyezett videó lejátszásához azonban speciális alkalmazásra van szükség, amelyben szintén a kíváncsi netező segítségére sietnek egy másik hivatkozás megadásával, ahonnan a lejátszó programot le lehet tölteni.
A csapda akkor zárul be, amikor a felhasználó rákattint a letöltés gombra, hiszen a megszerzett alkalmazás azon túl, hogy ténylegesen lejátssza a videót, egy rosszindulatú kódot is tartalmaz – vázolja a megoldás lényegét Gombás László. Ez a program bármilyen internetes tevékenység – akár online bankolás – közben rögzíti a megadott azonosítókat, jelszavakat, és egyszerű böngészés közben egy titkos csatornán továbbítja azokat a kód megalkotójának. Az így megszerzett adatok végül az webes feketekereskedelemben válnak árucikké.
Céges kockázat
A legnagyobb veszélyt jelentő tényező maga a felhasználó – teszi hozzá Gombás László. Gyakran előfordul, hogy közösen használt – például céges – számítógépen veszik igénybe a netbanki szolgáltatást, ami azt eredményezi, hogy akár más is hozzáférhet azonosítóinkhoz. Gyakori hiba az is, hogy sokan ugyanazt a jelszót használják több alkalmazásban – webes levelező alkalmazásban, internetes játékban, online bankolásnál. Ha ezt egyszer megszerzik a számítógépes bűnözők – akár egy rejtőzködő program segítségével –, akkor komoly problémákat okozhatnak. Éppen ezért a Symantec munkatársa azt javasolja, hogy lehetőleg bonyolult, betűket, számokat, írásjeleket is tartalmazó jelszót válasszanak a felhasználók. Emellett célszerű az olyan háztartásokban, ahol több személyi számítógépet is használnak, kijelölni egy gépet a „komoly” célokra – online ügyintézés, bankolás stb. –, mivel így kisebb az esélye, hogy kártékony programok települjenek rá, hiszen nem látogatnak róla veszélyes weblapokat. Rendkívül fontos az is, hogy a számítógépre telepített vírusirtó aktív legyen az internetes banki szolgáltatás használatakor, és folyamatosan frissítsük a védelmi alkalmazás adatbázisát – tette hozzá Gombás László.