Zapisujesz login i hasło do bankowości internetowej w przeglądarce? To niebezpieczne

analityk Bankier.pl

Przeglądarki internetowe umożliwiają zapisywanie w pamięci różnych danych dzięki funkcji autouzupełniania. W niektórych bankach można tak zapisać login i hasło do bankowości internetowej. Nie jest to bezpieczny sposób przechowywania danych dostępowych.

Najpopularniejsze przeglądarki internetowe pozwalają korzystać z funkcji autouzupełniania. Dzięki temu można zapisać określone dane w pamięci przeglądarki, a później „jednym klikiem” wypełnić formularz niezbędnymi informacjami. Użytkownicy często zapisują w ten sposób hasła i loginy do różnych internetowych usług.

Większość banków wyłączyła na stronach logowania do systemów transakcyjnych możliwość zapisywania poufnych danych. Jednak niektóre wciąż pozwalają zapisać nie tylko login, ale także pełne hasło do bankowości internetowej. Eksperci zajmujący się bezpieczeństwem ostrzegają, że nie jest to bezpieczny sposób przechowywania wrażliwych danych.

„Bardzo łatwo jest zdobyć informacje z autouzupełniania”

- Bardzo łatwo jest zdobyć informacje z autouzupełniania – mówi Michał Jarski z firmy Trend Micro. - Pamiętajmy, że przecież automatyczne uzupełnianie informacji oznacza, że dane są gdzieś zapisane. Najczęściej jest to albo dedykowany plik, albo zapisywanie w rejestrze Windows, co wymaga nieco wyższych uprawnień, ale jest nadal możliwe do wyciągnięcia przez włamywacza. Same próby kradzieży prywatnych danych mogą być dokonywane bezpośrednio z przeglądarki internetowej, jak i z systemu transakcyjnego czy hotelowego systemu rezerwacyjnego przy zastosowaniu ataku typu man-in-the-middle. Najbardziej spektakularny przypadek z ostatnich lat to kradzież danych z numerami kart kredytowych użytkowników korzystających z Ubera – dodaje.

Ekspert zaleca też, by nie zapisywać w przeglądarkach numeru karty kredytowej, a transakcje wykonywać w oknie incognito. - Dzięki temu przeglądarka nie będzie zachowywać aktywności i rejestrować ich w historii przeglądania. To bardzo ważne – włamywacz nie będzie miał informacji o numerze karty, jak również o tym, z jakiego banku korzysta użytkownik. Nie zapisujmy tego, co nie jest potrzebne do zapisywania – mówi Michał Jarski.

By narobić szkód, wystarczy poznać login i hasło

Na pierwszy rzut oka może się wydawać, że potencjalny włamywacz niewiele zdziała pozyskując login i hasło do bankowości internetowej. Większość operacji, które tam wykonujemy wymaga dodatkowej autoryzacji kodem jednorazowym. Warto jednak pamiętać, że wciąż nie są to wszystkie dyspozycje. Niektóre banki wciąż umożliwiają na przykład dokonanie podmiany numerów rachunków na liście odbiorców zdefiniowanych, bez konieczności zatwierdzania tej operacji kodem SMS. Wystarczy, że złodziej zaloguje się do bankowości internetowej i podmieni numery na własny numer rachunku.

Niedawno opisywaliśmy też przypadek smishingu, czyli ataku wykorzystującego SMS-y. Złodzieje poznali login i hasło klienta, zalogowali się na konto i przygotowali przelew wychodzący. Później podszywając się pod bank, wyłudzili telefonicznie kod jednorazowy do zaakceptowania transakcji.

Warto też pamiętać, że dane w systemie transakcyjnym mogą dostarczyć złodziejom wielu cennych informacji. Po zalogowaniu się do bankowości internetowej, oszust może podejrzeć nasz stan oszczędności, pozna nasze imię i nazwisko, numer dowodu osobistego, sprawdzi nasz adres zamieszkania, numer telefonu. Część tych informacji może później wykorzystać w „realu”.

Jeśli bank uzna, że do włamania na konto doszło w wyniku pozyskania danych zapisanych w przeglądarce, najprawdopodobniej stwierdzi, że użytkownik nie dochował należytej staranności chroniąc dane dostępowe. Wówczas odrzuci naszą reklamację i droga do odzyskania pieniędzy stanie się niezwykle trudna.

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Przeczytaj też

Obudź swoje marzenia na wiosnę z kredytem T-Mobile.
Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
1 1 ~Michał_

MBank tak ma zapisuje jak chcesz hasła login czy nr klienta

! Odpowiedz
1 1 ~ciasteczko

Jeszcze chwila i odkryjecie super cookie zapisywane w profilu przeglądarki, których "zwykłe" czyszczenie nie usuwa. A ever cookie to pewnie sci-fi.

! Odpowiedz
0 3 ~mhm

W temacie ostatniego akapitu: to przecież banki nie dochowują odpowiedniej staranności umożliwiając zapisanie hasła w przeglądarce. Tyle podatków płacimy na różne dziwne instytucje, może ktoś zająłby się narzuceniem bankom stosowania haseł maskowanych (przynajmniej jako opcja dostępna dla użytkownika — wtedy wybierający zwykłe rzeczywiście świadomie obniżaliby swoje bezpieczeństwo).

Pokaż cały komentarz ! Odpowiedz
26 2 ~martyna

trzeba uważać tak jak z wszystkim innym ;) mam konto getin up i póki co nie narzekam na zabezpieczenia . a konto nowoczesne i z bajerami typu karta z wyświetlaczem.

! Odpowiedz
0 4 (usunięty)

(wiadomość usunięta przez moderatora)

! Odpowiedz
0 11 ~spadaj

Ile Leszek płaci za reklamę?

! Odpowiedz
0 0 (usunięty)

(wiadomość usunięta przez moderatora)

! Odpowiedz

Księgarnia Bankier.pl

Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego ilustracje: Andrzej Mleczko, Robert B. Cialdini Cena: 34,90 zł  Zamów książkę

Znajdź nas na Facebooku

Zapisz się na bezpłatny newsletter Bankier.pl