Bankowość internetowa pod ostrzałem. Jak się bronić?

Przeczytaj także: 7 kroków do bezpiecznych płatności online

Dostajesz e-mailem fakturę. Jak zwykle, kopiujesz numer konta i robisz przelew przez Internet. Zerkasz na końcówkę SMS-a potwierdzającego płatność, z którego przepisujesz kod do wprowadzenia na stronie banku. Przelew trafia na listę oczekujących operacji, a za kilka godzin pieniądze zostaną ściągnięte z twojego konta.

Trafią prosto na konto cyberprzestępcy.

Wszystko wyglądało zwyczajnie, aż do czasu…

Jak przebiegał atak? Przecież na stronie wszystko wyglądało poprawnie, a numer konta odbiorcy zmienił się dopiero, kiedy pieniądze zniknęły z banku. Jak to się mogło stać?

Typowy proces wykonywania zwykłego przelewu przez Internet wygląda następująco:

1. dostajemy e-mail lub PDF z numerem konta, na który mamy zrobić przelew,
2. kopiujemy numer rachunku,
3. wklejamy numer konta w formularzu na stronie banku,
4. przepisujemy z SMS-a kod potwierdzający transakcję,
5. przelew trafia na listę oczekujących do wykonania.

Niestety taki proces to miejsce do ataku, a cyberprzestępcy coraz częściej wykorzystują naszą nieuwagę.

Jak działają wirusy zamieniające numer konta?

Złośliwe oprogramowanie zainstalowane w naszym komputerze wykrywa moment, w którym kopiujemy numer konta i podmienia go na inny, zdefiniowany przez cyberprzestępców. Nie zwracamy uwagi czy wklejony numer rachunku jest taki sam jak skopiowany, więc wykonujemy przelew dalej. Dopiero kiedy odbiorca upomni się o przelew, orientujemy się, że został wysłany na inne konto.

Uwaga! To niestety tylko najprostsza wersja ataku. W ostatnich miesiącach cyberprzestępcy zmodyfikowali go o dodatkowe sposoby na zamaskowanie nieuczciwego procederu:

• wklejony numer konta wygląda tak jak skopiowany, jednak do banku wysyłany jest zmodyfikowany,
• na stronie banku wyświetlają się sfałszowane komunikaty proszące o instalację dodatkowego oprogramowania w telefonie (np. fałszywego „certyfikatu bezpieczeństwa” lub „aplikacji ochronnej”), które podmienia numery kont również w SMS-ach,
• w historii bieżących operacji numer konta podmieniony jest na numer rzeczywistego odbiorcy,
• cyberprzestępcy skupiają się na bankach, w których potwierdzenie przelewu odbywa się za pomocą kodu z tokena (bez funkcji challenge–response), a nie kodu z SMS-a.

W najgorszym przypadku o ataku dowiemy się dopiero przeglądając archiwum wykonanych przelewów – cyberprzestępcy nie podmieniają historii, ponieważ zrealizowanych przelewów nie da się już anulować.

Jak bronić się przed atakiem?

W miarę możliwości powinniśmy korzystać z systemów płatności online zamiast z przelewów przez Internet. Czym to się różni? W przypadku systemu płatności online, sprzedawca wysyła do naszego banku informację o swoich danych i kwocie transakcji, a my tylko potwierdzamy chęć transakcji na stronie banku.

Czy system płatności online można zawsze wykorzystać?

Systemy płatności online są wykorzystywane coraz częściej i można za ich pośrednictwem płacić nie tylko w sklepach internetowych, ale też opłacić rachunki za telefon i Internet czy kupić bilet na komunikację miejską, na pociąg lub do kina.

- Korzystanie z systemu płatności online przez płacącego nie niesie ze sobą dodatkowych kosztów i nie wymaga zakładania konta w systemie - wyjaśnia Bernadetta Madej, dyrektor działu handlowego w Dotpay. - Płatność odbywa się na podstawie umów między bankiem, sprzedawcą i Instytucją Płatniczą pod czujnym okiem Komisji Nadzoru Finansowego - dodaje.