Bardzo prawdopodobne, że stosunkowo niewiele doniesień o przestępstwach komputerowych w Polsce nie wynika z braku zorganizowanej przestępczości. A tylko z faktu, że firmy wolą milczeć o ataku hakera i nie powiadamiać nikogo. Ani policji, ani partnerów biznesowych, a przede wszystkim swoich klientów. Tymczasem policja twierdzi, że oszustwa komputerowe stały się już w Polsce znaczącym problemem.
W maju 2005 r. opinia publiczna dowiedziała się o serii włamań na internetowe konta w banku BPH. Te śmiałe wirtualne włamania zdemaskowały niski poziom zabezpieczeń w niektórych polskich bankach WWW. Co gorsza, obnażyły niski stan wiedzy polskich internautów na temat bezpieczeństwa transakcji internetowych. Od kilku miesięcy policja prowadzi kilka równoległych dochodzeń dotyczących włamań na internetowe konta bankowe. W kwietniu 2005 r. rzeszowska policja poinformowała o zatrzymaniu dwóch z siedmiu osób z grupy specjalizującej się w tego rodzaju oszustwach. Także krakowska policja prowadzi dochodzenie w sprawie niebezpiecznej grupy phisherów. Trudno jest na obecnym etapie śledztwa oceniać skalę zjawiska, tzw. phishingu, czyli kradzieży pieniędzy z internetowego konta przez nielegalne pozyskanie haseł. Oszustwa dotyczyły głównie jednego banku - BPH - i przeprowadzane były na szeroką skalę przez wiele miesięcy, a łączna kwota wyłudzeń może sięgać nawet miliona złotych. Na razie nie wiadomo, kto za nimi stoi oraz czy udało się odzyskać choćby część ze skradzionych środków. Bank BPH pokryje straty na kontach poszkodowanych.
Według dostępnych ze źródeł policyjnych informacji, phiserzy rozsyłali e-mailami spreparowane programy (konie trojańskie, tzw. trojany), których zadaniem było szpiegowanie działalności użytkowników. Gdy nieświadoma ataku ofiara łączyła się ze stroną internetową banku, trojan zapisywał dane wprowadzane przez użytkownika z klawiatury. Informacje były gromadzone przez trojana i przesyłane wprost na adresy e-mailowe złodziei. Dzięki temu phiserzy mogli odczytać hasło dostępu do konta oraz do klucza prywatnego zabezpieczającego transakcję. Od tej chwili mogli logować się do banku w imieniu ofiary. Następnym krokiem było złożenie dyspozycji przelewu wszystkich pieniędzy na rachunek bankowy wirtualnych złodziei, aby wyczyścić konto zaatakowanej osoby.
Ta technika okazała się na tyle skuteczna, że oszuści powtarzali tę operację wielokrotnie. Czuli się bezkarnie, ponieważ konto bankowe było założone na fałszywe dokumenty. Nie wiadomo dokładnie, ilu poszkodowanych dotyczył proceder. To właśnie szereg drobnych ataków, a nie jedna duża akcja złożyły się na ostateczną wielkość strat. Najbardziej dochodowe dla phiserów okazały się włamania na konta firmowe, ze względu na to, że często są na nich zdeponowane spore środki.
Bank BPH ma swoją interpretację tego procederu - ofiary ataków nie używały programów antywirusowych i najprawdopodobniej nie korzystały ze wszystkich zabezpieczeń oferowanych standardowo przez bank BPH, w szczególności z klawiatury ekranowej oraz klucza zabezpieczającego transakcje. Czy mimo tych tłumaczeń bank pozostaje zupełnie bez winy? Przecież to bank ustala oferowane klientom zabezpieczenia. Bank BPH zdecydował się na ochronę transakcji przez wprowadzenie dwóch haseł: dostępowego i hasła do klucza, klawiatury ekranowej oraz samego klucza. Zapomniał jednak o innych rozwiązaniach stosowanych przez konkurencyjne banki: tokeny, hasła jednorazowe i hasła przez SMS. Dopiero obecnie zaczął to zmieniać.
Postanowiliśmy sprawdzić, jak obecnie wygląda dbałość banku BPH o bezpieczeństwo klientów korzystających z dostępu przez Internet. W tym celu założyłem w tym banku konto osobiste, prosząc na miejscu o aktywowanie dostępu przez Internet (w ramach systemu Sez@m). Niestety, potwierdziły się moje obawy - w czasie zakładania konta wraz z dostępem internetowym jedyną wzmianką na temat bezpieczeństwa było przekazanie wymogów dotyczących długości hasła i składających się na nie znaków (jest to wymóg systemu banku). Nie zostałem poinformowany o tym, jak zabezpieczyć swój komputer przed programami szpiegującymi, ani nawet jak korzystać ze wszystkich zabezpieczeń oferowanych przez bank. Ani razu nie padło określenie „klawiatura ekranowa”, nie było też zachęty do przejrzenia informacji na temat bezpieczeństwa, opublikowanych na stronach internetowych banku. Zupełnie tak, jakby bank BPH zakładał, że każdy klient jest ekspertem w dziedzinie bezpieczeństwa danych. Pracownik banku zadbał o kompleksowe aktywowanie dostępu do systemu Sez@m. Dotyczy to także procedury generowania klucza prywatnego, który jest konieczny do potwierdzania operacji finansowych na koncie. Ponownie pojawiła się ze strony pracownika banku prośba o wprowadzenie hasła (tym razem hasła dostępu do klucza). Jednak ani słowem nie zostało objaśnione, jakie znaczenie ma wybór lokalizacji klucza - pozostawiono domyślne „repozytorium banku”. Tymczasem znaczenie tego wyboru jest dla kwestii bezpieczeństwa rzeczą fundamentalną. Dlaczego? W sytuacji, gdy klucz jest przechowywany w repozytorium banku, jego skuteczność jako zabezpieczenia spada do zera. Jest to opcja wprawdzie wygodna, ponieważ można wykonywać przelewy i inne operacje z dowolnego komputera (interfejs banku zachowuje się tak, jakbyśmy mieli klucz zawsze przy sobie), ale jednocześnie jest to również wygodne dla oszustów. Nie muszą fatygować się, by zdobyć taki klucz, wystarczy, że wejdą w posiadanie haseł.
Najlepszym rozwiązaniem dla klientów BPH byłoby przechowywanie klucza prywatnego we własnym komputerze - wówczas przy każdej transakcji trzeba będzie go wskazać, a dostęp do przelewów z innych komputerów bez klucza zakończy się fiaskiem. Dopóki złodzieje nie skopiują klucza od użytkownika, realizowanie transakcji będzie niemożliwe.
Pracownik banku dokonał wyboru za mnie. Opcja wskazująca repozytorium banku jest zaznaczona domyślnie w formularzu. Więc nawet przy samodzielnej rejestracji użytkownik może nie dostrzec potrzeby jej zmiany. Lokalizację klucza można wprawdzie ustanowić jeszcze raz już po zarejestrowaniu, za pośrednictwem panelu obsługi konta, ale najpierw ktoś musiałby uświadomić klientowi taką potrzebę.
Podsumujmy - po standardowej rejestracji w placówce banku nie miałem w praktyce zabezpieczenia w postaci klucza prywatnego, nie dowiedziałem się też, dlaczego warto korzystać z klawiatury ekranowej. Jedynym zabezpieczeniem są więc dwa hasła, które złodziej może łatwo przechwycić za pomocą konia trojańskiego odczytującego wprowadzane na klawiaturze znaki (tego typu programy nazywane są keyloggerami - „logują” to, co jest wpisywane na klawiaturze) lub dzięki odpowiednio spreparowanej stronie internetowej. Owszem, w takich przypadkach oszukany klient banku sam jest sobie winien, ale trzeba dodać wprost - bank nie postarał się, by życie złodziejom znacząco utrudnić. Dopiero teraz zapowiada przesyłanie kodów przez sms.
Stanisław Brzeg- Wieluński
Więcej we wrześniowym numerze miesięcznika BANK
Zaprenumeruj BANK


































































