Przeglądarki internetowe umożliwiają zapisywanie w pamięci różnych danych dzięki funkcji autouzupełniania. W niektórych bankach można tak zapisać login i hasło do bankowości internetowej. Nie jest to bezpieczny sposób przechowywania danych dostępowych.
Najpopularniejsze przeglądarki internetowe pozwalają korzystać z funkcji autouzupełniania. Dzięki temu można zapisać określone dane w pamięci przeglądarki, a później „jednym klikiem” wypełnić formularz niezbędnymi informacjami. Użytkownicy często zapisują w ten sposób hasła i loginy do różnych internetowych usług.
Większość banków wyłączyła na stronach logowania do systemów transakcyjnych możliwość zapisywania poufnych danych. Jednak niektóre wciąż pozwalają zapisać nie tylko login, ale także pełne hasło do bankowości internetowej. Eksperci zajmujący się bezpieczeństwem ostrzegają, że nie jest to bezpieczny sposób przechowywania wrażliwych danych.
„Bardzo łatwo jest zdobyć informacje z autouzupełniania”
- Bardzo łatwo jest zdobyć informacje z autouzupełniania – mówi Michał Jarski z firmy Trend Micro. - Pamiętajmy, że przecież automatyczne uzupełnianie informacji oznacza, że dane są gdzieś zapisane. Najczęściej jest to albo dedykowany plik, albo zapisywanie w rejestrze Windows, co wymaga nieco wyższych uprawnień, ale jest nadal możliwe do wyciągnięcia przez włamywacza. Same próby kradzieży prywatnych danych mogą być dokonywane bezpośrednio z przeglądarki internetowej, jak i z systemu transakcyjnego czy hotelowego systemu rezerwacyjnego przy zastosowaniu ataku typu man-in-the-middle. Najbardziej spektakularny przypadek z ostatnich lat to kradzież danych z numerami kart kredytowych użytkowników korzystających z Ubera – dodaje.
Ekspert zaleca też, by nie zapisywać w przeglądarkach numeru karty kredytowej, a transakcje wykonywać w oknie incognito. - Dzięki temu przeglądarka nie będzie zachowywać aktywności i rejestrować ich w historii przeglądania. To bardzo ważne – włamywacz nie będzie miał informacji o numerze karty, jak również o tym, z jakiego banku korzysta użytkownik. Nie zapisujmy tego, co nie jest potrzebne do zapisywania – mówi Michał Jarski.
By narobić szkód, wystarczy poznać login i hasło
Na pierwszy rzut oka może się wydawać, że potencjalny włamywacz niewiele zdziała pozyskując login i hasło do bankowości internetowej. Większość operacji, które tam wykonujemy wymaga dodatkowej autoryzacji kodem jednorazowym. Warto jednak pamiętać, że wciąż nie są to wszystkie dyspozycje. Niektóre banki wciąż umożliwiają na przykład dokonanie podmiany numerów rachunków na liście odbiorców zdefiniowanych, bez konieczności zatwierdzania tej operacji kodem SMS. Wystarczy, że złodziej zaloguje się do bankowości internetowej i podmieni numery na własny numer rachunku.
Niedawno opisywaliśmy też przypadek smishingu, czyli ataku wykorzystującego SMS-y. Złodzieje poznali login i hasło klienta, zalogowali się na konto i przygotowali przelew wychodzący. Później podszywając się pod bank, wyłudzili telefonicznie kod jednorazowy do zaakceptowania transakcji.
Warto też pamiętać, że dane w systemie transakcyjnym mogą dostarczyć złodziejom wielu cennych informacji. Po zalogowaniu się do bankowości internetowej, oszust może podejrzeć nasz stan oszczędności, pozna nasze imię i nazwisko, numer dowodu osobistego, sprawdzi nasz adres zamieszkania, numer telefonu. Część tych informacji może później wykorzystać w „realu”.
Jeśli bank uzna, że do włamania na konto doszło w wyniku pozyskania danych zapisanych w przeglądarce, najprawdopodobniej stwierdzi, że użytkownik nie dochował należytej staranności chroniąc dane dostępowe. Wówczas odrzuci naszą reklamację i droga do odzyskania pieniędzy stanie się niezwykle trudna.
