Napadi na elektronske banke so znova postali priljubljeni. Zdaj se skušajo goljufi in tatovi vriniti kar v komunikacijski kanal med uporabnikom e-banke in bančnim strežnikom ter spreminjati podatke o transakcijah, je zapisal Delo na svoji spletni strani.

Potem ko so se uporabniki le zavedeli, da morajo varovati svoja gesla in digitalna potrdila (certifikate) ter paziti na lažne spletne strani, prek katerih zlikovci ribarijo dragocene podatke (t. i. phishing), so se začeli pojavljati novi načini napadov. Zdaj se skušajo goljufi in tatovi vriniti kar v komunikacijski kanal med uporabnikom e-banke in bančnim strežnikom ter spreminjati podatke o transakcijah. Obramba pred tovrstnimi napadi obstaja, toda tako uporabniki kot banke bodo morali biti v prihodnje še bolj pozorni in ažurni.

V NLB so tako potrdili, da so našli lažne spletne strani njihovega Klika ter se ukvarjali s sumom kraje in zlorabe osebnih identifikacijskih elementov enega od komitentov.

Predstavnik Hermes Softlaba Rudi Bric je ocenil, da je ključno za varnost elektronskega bančništva sodelovanje med bankami in proizvajalci programske opreme. »To je naša prednost pred kriminalci, ki z bankami seveda ne morejo sodelovati,« je dodal Bric. Doslej so napadalci prežali predvsem na podatke, ki bi jim omogočili vstop v e-banko, torej da bi se prijavili namesto uporabnika. V zadnjem času pa so iznašli načine, kako kar neposredno spreminjati komunikacijo med banko in njenim uporabnikom. Dva najbolj pogosta tovrstna napada, Mož v sredini (Man in the middle) in Mož v brskalniku (Man in the browser) tokrat opisujemo podrobneje.

Nekatere slovenske banke oz. podružnice tujih bank v Sloveniji smo zato vprašali, ali so v zadnjem letu ali dveh opazili kakšen poskus vdora v njihovo spletno banko. V NLB so nam tako potrdili, da so našli lažne spletne strani njihovega Klika ter se ukvarjali s sumom kraje in zlorabe osebnih identifikacijskih elementov enega od komitentov. Kot so poudarili, se je doslej vedno izkazalo, da so šibki člen uporabniki, saj napadalci še niso vdrli neposredno v sistem e-banke. V NLB še dodajajo, da število zlorab glede na število uporabnikov in opravljenih transakcij zanemarljivo majhno. Iz SKB so nam odgovorili, da doslej še niso zaznali vdorov v njihovo e-banko, podobno tudi v banki Hypo Alpe Adria, je povedal vodja informatike Matjaž Stražišar. V obeh bankah za prijavo v sistem uporabljajo generator enkratnih gesel. Medtem ko so v Abanki lani odkrili nekaj kraj digitalnih potrdil in nato več nepooblaščenih vstopov v e-banko ter transakcij.

Večina bank je poudarila, da varnostne mehanizme v svojih elektronskih podružnicah nadgrajuje ves čas. Tako je vodja skupine za elektronsko bančništvo v banki Unicredit Aleš Sedej povedal, da so lani povsem prenovili sistem spletnega bančništva, pri čemer so dodali nekaj varnostnih elementov. Kljub temu so ostali pri enakem načinu prijave v sistem. Po Sedejevem mnenju fizični generator gesel ter uporabiško ime in številka pin nudijo zelo visoko stopnjo varnosti. Kot smo omenili, tovrsten način uporabljata tudi banki SKB in Hypo. Nasploh banke očitno nerade menjajo način prijave v spletno banko. V Abanki so odgovorili, da so pred časom uvedli obvezno menjavo vstopnega gesla vsake tri mesece ter uporabo navidezne tipkovnice za vnos tega gesla, kar pomaga pri zaščiti pred prestrezniki gesel (t. i. keyloggerji).

Hermes Softlabov strokovnjak za varnost Tadej Vodopivec je sicer poudaril, da je ob zadnjih metodah napadov še bolj pomembno potrjevanje samih transakcij kot način avtentikacije uporabnika. Takšen varnostni element je jeseni lani uvedla NLB, saj morajo uporabniki njene spletne banke pri izvajanju nakazil (na račune, kamor še niso nakazovali) vpisati dodatno geslo iz nabora znakov, ki so jih dobili po pošti. Vodopivec je glede tega opozoril, da bi morale iti banke še korak naprej in uvesti takšen način potrjevanja transakcij, ki bi potekal po neodvisnem kanalu, torej takem, ki ga napadalec ne more nadzorovati. Med te je Vodopivec prištel čitalce bančnih kartic EMV CAP, potrditveno sporočilo sms, klic na znano telefonsko številko. Teh načinov banke v Sloveniji še niso uvedle, hkrati pa to dodatno potrjevanje pomeni tudi manj udobno e-bančno storitev. Spletne banke so namreč priljubljene prav zaradi prijaznosti in prihrankov pri času (in provizijah), čeprav je trajalo kar dolgo, da so se res prijele.

Vir in foto: Delo, 16. 02. 2010