Dostałem link do filmy na YouTube, w którym ktoś opisuje jak najprawdopodobniej za pomocą złośliwego oprogramowania zainstalowanego na komputerze w połączeniu z własną nieuwagą stracił 40 000 zł – postanowiłem obejrzeć film, ale przyznam, że wytrzymałem gdzieś tak do połowy, i to mimo, że cały film(ik) nie jest specjalnie długi.
Dziś do tematu postanowiłem wrócić, bo od kolejnych 2 osób dostałem zapytanie w tej sprawie, więc postanowiłem tym razem się zmotywować i obejrzeć całość – przy okazji postanowiłem, że postaram się wyłapać co sensowniejsze (jak i te mniej sensowne/logiczne) fragmenty, do których następnie się odniosę w tym wpisie, i tu będę odsyłał kolejnych pytających… ;-)
Spis treści w artykule
Podmiana numerów kont w bankowości internetowej
Wprawdzie w filmie autor opisuje sytuację jaka mu się przydarzyła podczas wykonywania przelewu w systemie transakcyjnym mBanku – to równie dobrze taka sytuacja mogłaby dotyczyć każdego innego banku…
Zacznę od umieszczenia filmu, tak byście Wy również wiedzieli do czego będę się odnosił w dalszej części:
Autor zaczyna od stwierdzenia, że został okradziony „z pieniążków” (ech!) podczas wykonywania przelewu w mBanku:
Jak zostaliśmy okradzeni z pieniążków podczas wykonywania przelewu w mBanku
Tutaj właściwie nie ma nic istotnego, choć niekoniecznie podoba mi się mówienie o pieniądzach „pieniążki”, bo to trochę takie…
Mam tez nadzieję (choć nie chciałbym by to zabrzmiało/zostało odebrane źle), że autor filmu i zarazem ofiara całego procederu – a przynajmniej tak wynika z filmu – nie ściemnia, i nie jest to jakiś zabieg mający dać rozgłos kanałowi na YouTube, czy choćby zlecenie konkurencji.
Antywirus
Na samym początku obrywa się antywirusowi, a konkretnie jego producentowi:
Antywirus nie wykrywa tej sytuacji… Zabezpieczenia żadnego nie ma…
Rozumiem rozżalenie, bo znam wiele osób, które myślą, że jak kupią dobrego antywirusa i będą go na bieżąco aktualizować (!) to są bezpieczne – tymczasem jest to najczęściej złudne poczucie bezpieczeństwa, często prowadzące do nieodpowiedzialnych zachować, bo w końcu mamy antywirusa.
Obiecanie sam antywirus najczęściej niewiele pomoże, i raczej należy go traktować jako jedne z całego zestawu elementów bezpieczeństwa naszych urządzeń – a jednym z ważniejszych (ale i zarazem najsłabszych) jesteśmy my, użytkownicy.
Znam osoby które w ogóle nie mają żadnego antywirusa działającego w tle (nie polecam, ale to ich świadomy wybór), a dzięki odpowiedzialnemu zachowaniu jedyne co raz na jakiś czas muszę im skasować to śledzące ciasteczka – a wierzcie mi, oprócz „pogadanek” przeprowadzam u nich regularne kontrole, które nic nie wykazują.
Dodatkowo antywirusy w większości opierają się na sygnaturach, a więc najpierw firma produkująca takiego antywirusa musi zlokalizować niebezpieczne oprogramowanie, przepadać je i rozesłać nowe sygnatury do swoich programów (o ile mamy regularne i automatyczne aktualizacje). To wszystko wymaga czasu, i w czasach, gdy jesteśmy podłączeni do sieci bez przerwy jest to wyścig z czasem, który już na starcie jest przegrany.
Kolejnym utrudnieniem (dla antywirusa) jest to, że często takie szkodniki zachowują się jak zwykłe programy – na rynku mamy masę programów mogących zapisywać i odczytywać schowek, robić zrzuty ekranu… Pełno też wtyczek do przeglądarek, które na nasze życzenie ingerują w treść wyświetlanej strony – choćby wtyczki blokujące reklamy. Stąd wiele potencjalnie niebezpiecznych zachowań często jest tolerowana przez program antywirusowy, bo inaczej pewnie większość użytkowników by go wywaliła, bo „ciągle męczy jakimiś głupimi komunikatami” ;-)
Aktualizacje oprogramowania
Ważne jest też, by pamiętać o regularnych aktualizacjach oprogramowania z którego korzystamy – nie tylko systemu operacyjnego i antywirusa, ale dotyczy to również przeglądarek internetowych, komunikatorów, pakietów biurowych, a nawet wtyczek do przeglądarek.
A skoro przy wtyczkach do przeglądarek jesteśmy – to jednym z popularniejszych wektorów ataków jest Java i Flash, a na wideo wyraźnie widać, że Java bezskutecznie domaga się aktualizacji. Nie twierdzę, że tym razem to stara i dziurawa wersja Javy była celem ataku, ale nie można tego wykluczać – dlatego pamiętajcie o aktualizacjach
Nie korzystasz? Wyłącz
Jeśli nie korzystacie na co dzień z Javy i/lub Flasha warto rozważyć wyłączenie tych wtyczek, ew. ustawienie w przeglądarce ręcznej aktywacji (z potwierdzeniem) wtyczek dla osadzonych na stronach treści tego typu – może nie wyeliminuje to ryzyka w 100%, ale znacznie podniesie Wasze szanse w tym starciu.
Połączenie szyfrowane
Kolejnym elementem na który zwraca uwagę autor filmu, jest kłódka w przeglądarce, tuż przy adresie strony banku, która symbolizuje bezpieczne/szyfrowane połączenie ze stroną banku.
Jesteśmy na stronie mBanku – kłódeczka w adresie symbolizowałaby, że połączenie jest szyfrowane, zabezpieczone przez mBank…
Nie wiem, to zabezpieczanie polega chyba na tym, że mBank tą kłódeczkę zamieszcza…
Jesteśmy zalogowani, mamy kłódeczkę, szyfrowane połączenie – naprawdę dziękujemy mBankowi za takie szyfrowanie połączeń…
Z jednej strony chciałbym pochwalić takie zachowanie, bo zawsze podczas korzystania z połączenia szyfrowanego warto zwrócić uwagę na ten element – najlepiej klikając na ten element i sprawdzając dane certyfikat, bo sama „kłódeczka” oznacza tylko i wyłącznie, że połączenie jest szyfrowane.
W przypadku większych instytucji (np. banki) zazwyczaj dodatkowo mamy do czynienia z droższymi certyfikatami EV, które oprócz „kłódeczki” wyświetlają nazwę podmiotu stojącego za daną stroną, co pozwala od razu zweryfikować również to, czy certyfikat należy do odpowiedniej firmy.
Ale to tylko szyfrowanie komunikacji między serwerem a przeglądarką
Problem w tym, że autor filmu ma za złe bankowi, że ten wyświetla mu w przeglądarce swój certyfikat, pokazując, że połączenie jest bezpieczne, gdy tymczasem podczas wykonywania przelewu nastąpiła ingerencja w to bezpieczne połączenie, i przelew trafił na na to konto co powinien.
Tutaj niestety mamy do czynienia z kolejnym niezrozumieniem tego jak działa internet – i nie chodzi mi tu o jakieś szczególnie techniczne zagadnienia, ale o podstawowe mechanizmy, które mają nam zapewnić bezpieczeństwo.
Wspomniana tutaj „kłódeczka”, czy nawet nazwa (zielona) banku w adresie przeglądarki świadczy tylko o tym, że takie połączenie jest bezpieczne (przynajmniej zazwyczaj), ale dotyczy to tylko informacji przesyłanych między przeglądarką (np. wpisanych w formularzu danych do przelewu) a serwerem banku.
Natomiast w tym przypadku najprawdopodobniej mamy do czynienia z atakiem po stronie klienta banku, na jego komputerze, w jego przeglądarce – i to tutaj odbywa się cała niefortunna dla naszego bohatera operacja. Ale o tym za chwilę…
Kiedyś gdzieś usłyszałem/przeczytałem coś w stylu:
Z komputera/internetu nie powinien korzystać nikt, kto nie rozumie jak on działa, a już na pewno nie powinien korzystać z bankowości internetowej, tak jak nie prowadzi samochodu czy pociągu ten, kto nie ma odpowiednich umiejętności/uprawnień.
Oczywiście jest to przerysowywane, i nie do końca się z tym zgadzam – choćby dlatego, że niewłaściwym/nieumiejętnym korzystaniem z komputera/internetu w większości przypadków krzywdę zrobimy tylko sobie, tymczasem bez uprawnień prowadząc samochód/pociąg najpewniej oberwie się też innym… ;-)
Przelew na właściwy numer, przynajmniej teoretycznie
Dalej autor filmu mówi, że nawet teraz – już po wykryciu tego, że pieniądze poszły na inne konto – przeglądając historię transakcji widzi, że numer jest prawidłowy:
Numery zostały tak podmienione, że nawet przeglądając w tej chwili historie widzimy, że dokonaliśmy dobrego przelewu…
Dopiero wygenerowanie potwierdzenia transakcji w pliku PDF obnaża całą sytuację:
Dopiero generując potwierdzenie przelewu zobaczymy, że na potwierdzeniu widnieje inny numer konta…
I w tym momencie to co już wcześniej można było podejrzewać jest niemalże pewne – po stronie komputera, być może w samej przeglądarce działa jakiś szkodnik, który podczas wysyłania formularza do banku podmienia jeszcze na naszym komputerze, jeszcze w samej przeglądarce (dlatego szyfrowanie połączenia nie ma tu nic do rzeczy) wysyłany numer numer konta na który chcemy wykonać przelew.
W historii widzimy dobry (…) numer się zgadza… Tymczasem on został podmieniony. Generujemy potwierdzenie, i w potwierdzeniu mamy już inny numer konta…
Ten konkretny szkodnik jest na tyle podstępny, że dodatkowo – w lecie – podmienia numer konta który widzimy w historii operacji (nadal jest t przeglądarka), choć już nie ingeruje (a mógłby) w przesyłany przez bank (i generowany na serwerze banku, gdzie nie ma tego szkodnika) plik PDF z potwierdzeniem przelewu, który dodatkowo wyświetlany jest w zewnętrznym programie.
SMS prawdę Ci powie
Całemu zajściu można by zapobiec gdyby poszkodowany sprawdził w SMSie nie tylko kod SMS który musiał podać by dokonać autoryzacji przelewu, ale również ostatnie cyfry rachunku, na który przelew ma zostać wykonany.
Dodatkowo tutaj objawia się przewaga wiadomości SMS z kodem, w której można umieścić dodatkowe informacje, nad np. papierowymi kodami jednorazowymi, czy nawet tokenami.
Zwłaszcza, że autor filmu – przynajmniej teraz – ma tego świadomość:
Jak się ustrzec od tego – podczas wypełniania wniosku numer widzimy OK, dopiero SMSie który przyszedł… Tam były 4 ostatnie cyfry i tylko po tym SMSie można było się zorientować, że coś nie tak – czytajcie te SMSy
Nie pozostaje mi nic innego, jak tym razem zgodzić się bez żadnego zawahania z autorem :-)
Jak żyć? Jak przelewać?
Na to (ostatnie) pytanie odpowiedź jest jedna – z głową…
W opisanym przypadku nie pomogło nawet wpisanie numeru rachunku ręcznie, bez korzystania ze schowka systemowego.
Na pewno warto każdorazowo nie tylko interesować się kodem automatyzacyjnym (w wiadomości SMS), ale i pozostałymi informacjami, zwłaszcza kwotą przelewu i kontrolnymi cyframi docelowego numeru rachunku – zazwyczaj będą to np. 2 pierwsze i 4 ostatnie cyfry (np. Bank Smart), bądź (np. w mBanku) 8 ostatnich cyfr numeru rachunku, choć niestety jeszcze nie wszystkie banki przesyłają takie informacje w swoich SMSach.
Zawsze też – o ile taka opcja jest dostępna – możecie przygotować i zapisać przelew w jednej przeglądarce, a następnie – po weryfikacji – autoryzować go w innej przeglądarce, lub na innym komputerze.
Aplikacja dedykowana, czyli najczęściej mobilna
Paradoksalnie – bo ostatnio nastała moda na pisanie bzdur o niebezpieczeństwie związanym z aplikacjami mobilnymi – bezpieczną metoda autoryzacji płatności będzie dedykowana aplikacja banku, najczęściej dostępna na smartfony (nie kojarzę banku, który by oferował tego typu aplikacje na komputery stacjonarne, a już na pewno nie dla klientów indywidualnych), gdzie ew. ingerencja w wyświetlane dane jest nie tyle niemożliwa, co najczęściej dużo trudniejsza.
A gdy nadal masz wątpliwości/się obawiasz
Gdy nadal masz wątpliwości/obawy, zawsze możesz udać się do oddziału ;-)
A tak na serio – oczywiście można jeszcze bardziej podnieść poziom ochrony, korzystając choćby z:
- Dedykowany komputer: w firmach może to mieć sens, a domach raczej wątpliwe… A do tego zawsze jest ryzyko, że jakiś użytkownik „przy okazji” sprawdzi sobie pocztę, czy wiadomości na portalu społecznościowym
- Wirtualna maszyna: rozwiązanie podobne do dedykowanego komputera, z tym, że łatwiej upilnować, i nie wymaga zakupy, oraz nie zajmuje dodatkowe miejsca. Wady – jak wyżej, plus ew, próba ataku na linii wirtualna maszyna – główny komputer (mało prawdopodobne, choć pewnie możliwe)
- LiveCD: chyba najbezpieczniejsza opcja z 3 przedstawionych, zwłaszcza, gdy obraz systemu pobierzemy z zaufanego źródła (nie, nie chodzi o Windowsa z torrentów). Oczywiście nie można wykluczyć ataku na system plików podczas wypalania płyty czy nagrywania danych na pamięć flash, jak i ew. szkodnika w BIOSie/UEFI
Oczywiście to nie wszystkie możliwości, ale jak widzicie idziemy w (nie)bezpieczną stronę, a i tak nie wykluczymy choćby ataków przy pomocy światła z żarówki, bo Li-Fi może niebawem stać się standardem… ;-)
Warto też nie klikać w każdy link, nie otwierać każdego załącznika jaki podeślą (nie tylko) znajomi…
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01