eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseArtykułyPorady finansoweBankowość internetowa pod ostrzałem. Jak się bronić?

Bankowość internetowa pod ostrzałem. Jak się bronić?

2015-06-25 00:55

Bankowość internetowa pod ostrzałem. Jak się bronić?

Bankowość internetowa pod ostrzałem © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (3)

Robisz przelewy przez Internet? Możesz nawet nie wiedzieć, że twoje przelewy trafiają na konto cyberprzestępców. Jak się przed tym bronić?

Przeczytaj także: 7 kroków do bezpiecznych płatności online

Dostajesz e-mailem fakturę. Jak zwykle, kopiujesz numer konta i robisz przelew przez Internet. Zerkasz na końcówkę SMS-a potwierdzającego płatność, z którego przepisujesz kod do wprowadzenia na stronie banku. Przelew trafia na listę oczekujących operacji, a za kilka godzin pieniądze zostaną ściągnięte z twojego konta.

Trafią prosto na konto cyberprzestępcy.

Wszystko wyglądało zwyczajnie, aż do czasu…


Jak przebiegał atak? Przecież na stronie wszystko wyglądało poprawnie, a numer konta odbiorcy zmienił się dopiero, kiedy pieniądze zniknęły z banku. Jak to się mogło stać?

Typowy proces wykonywania zwykłego przelewu przez Internet wygląda następująco:
  1. dostajemy e-mail lub PDF z numerem konta, na który mamy zrobić przelew,
  2. kopiujemy numer rachunku,
  3. wklejamy numer konta w formularzu na stronie banku,
  4. przepisujemy z SMS-a kod potwierdzający transakcję,
  5. przelew trafia na listę oczekujących do wykonania.

Niestety taki proces to miejsce do ataku, a cyberprzestępcy coraz częściej wykorzystują naszą nieuwagę.

Jak działają wirusy zamieniające numer konta?


Złośliwe oprogramowanie zainstalowane w naszym komputerze wykrywa moment, w którym kopiujemy numer konta i podmienia go na inny, zdefiniowany przez cyberprzestępców. Nie zwracamy uwagi czy wklejony numer rachunku jest taki sam jak skopiowany, więc wykonujemy przelew dalej. Dopiero kiedy odbiorca upomni się o przelew, orientujemy się, że został wysłany na inne konto.

Uwaga! To niestety tylko najprostsza wersja ataku. W ostatnich miesiącach cyberprzestępcy zmodyfikowali go o dodatkowe sposoby na zamaskowanie nieuczciwego procederu:
  • wklejony numer konta wygląda tak jak skopiowany, jednak do banku wysyłany jest zmodyfikowany,
  • na stronie banku wyświetlają się sfałszowane komunikaty proszące o instalację dodatkowego oprogramowania w telefonie (np. fałszywego „certyfikatu bezpieczeństwa” lub „aplikacji ochronnej”), które podmienia numery kont również w SMS-ach,
  • w historii bieżących operacji numer konta podmieniony jest na numer rzeczywistego odbiorcy,
  • cyberprzestępcy skupiają się na bankach, w których potwierdzenie przelewu odbywa się za pomocą kodu z tokena (bez funkcji challenge–response), a nie kodu z SMS-a.

W najgorszym przypadku o ataku dowiemy się dopiero przeglądając archiwum wykonanych przelewów – cyberprzestępcy nie podmieniają historii, ponieważ zrealizowanych przelewów nie da się już anulować.

Jak bronić się przed atakiem?


W miarę możliwości powinniśmy korzystać z systemów płatności online zamiast z przelewów przez Internet. Czym to się różni? W przypadku systemu płatności online, sprzedawca wysyła do naszego banku informację o swoich danych i kwocie transakcji, a my tylko potwierdzamy chęć transakcji na stronie banku.

fot. mat. prasowe

Transakcja przez system płatności Dotpay

Bank otrzymuje numer konta od systemu płatności, tak że ani my, ani cyberprzestępcy nie mamy możliwości jego zmiany. Płatność zostaje zrealizowana wyłącznie po otrzymaniu z banku nieodwołalnego potwierdzenia złożenia przez kupującego dyspozycji wykonania przelewu z rachunku. To gwarancja, że poprawność płatności została zweryfikowana.


Czy system płatności online można zawsze wykorzystać?


Systemy płatności online są wykorzystywane coraz częściej i można za ich pośrednictwem płacić nie tylko w sklepach internetowych, ale też opłacić rachunki za telefon i Internet czy kupić bilet na komunikację miejską, na pociąg lub do kina.
- Korzystanie z systemu płatności online przez płacącego nie niesie ze sobą dodatkowych kosztów i nie wymaga zakładania konta w systemie - wyjaśnia Bernadetta Madej, dyrektor działu handlowego w Dotpay. - Płatność odbywa się na podstawie umów między bankiem, sprzedawcą i Instytucją Płatniczą pod czujnym okiem Komisji Nadzoru Finansowego - dodaje.

 

1 2

następna

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć bank.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: