2. Hírek
  3. Biztonság

Olvasnivaló: az internetes bankolás veszélyei

Az internetes szervezett bűnözés első számú motivációja régóta a pénzügyi haszonszerzés, így nem meglepő, hogy a támadások jelentős része az online bankolást veszi célba.

  • Írta:
  • Forrás: G Data

Az Európai Központi Bank (EKB) tavaly kiadott jelentése másfél milliárd euróra becsüli azt a kárt, amelyet az Európai Gazdasági Térségen belül 2013-ban a hamis banki tranzakciók okoztak. Ez az előző évhez képest 8 százalékos növekedést jelentett, ami alátámasztja, hogy jelentős problémáról van szó – írja friss közleményében a G Data biztonsági cég.

A G Data most közzétett ismeretterjesztő füzete szerint a támadás módjai ugyanakkor alapvetően megváltoztak az elmúlt évek során. Eredetileg az egyszerű átverés (a hiszékenységre épülő adathalász kampányok lebonyolítása) volt az uralkodó módszer. Ebben az esetben jellemzően egy hamis e-mailt küldtek a bank nevében a bűnözők, melyben elkérték a felhasználó belépési azonosítóját, jelszavát és esetleges titkos kódjait (PIN vagy tranzakció-azonosító). Mára azonban a felhasználók többsége megtanulta, hogy a bankja soha nem kéri el tőle e-mailben a jelszavát, a bankok pedig kétlépcsős azonosítási rendszereket vezettek be (például jelszó és sms-üzenetben érkező tranzakció-azonosító szám), így a támadások módja is komplexebbé vált. A bűnözők ma szinte kivétel nélkül rendkívül fejlett kártevőket (banki trójaiakat) alkalmaznak, melynek kódját akár évekig fejlesztik. Emellett jellemző, hogy már nem csupán a számítógépeket, de a mobiltelefonokat is megpróbálják megfertőzni.

Ellopott SMS-üzenetek

A tájékoztató felhívja arra a figyelmet, hogy a böngészőkbe történő beépülés után a kártevő eltéríti a számítógép és a bank közötti kommunikációt.  A titkosított csatorna így megkerülhető, és hiába épül fel a számítógép és a bank portálja között a kódolt adatkapcsolat, a trójai már minden adatot manipulál, mielőtt az még a böngészőben titkosításra kerülne.

A legegyszerűbb esetben a kártevő úgy tesz, mintha a felhasználó nevében cselekedne, és a legenerált visszaigazoló kód segítségével a bűnöző számlájára történő utalást hagyja jóvá. Az ilyen támadás előnye, hogy a tranzakció teljesen jogszerűnek tűnik, és így jó eséllyel átmegy a bank biztonsági ellenőrzésén. Mivel a trójaiak a billentyűzetleütések és a böngésző közé állnak be, és még azelőtt lopják el az adatokat, hogy azok titkosításra kerülnének a böngészőkben, ezért a tevékenységük ellen nem nyújt védelmet az, hogy a bankon titkosított SSL-kapcsolatot (zöld webcím a böngésző címsorában) használnak.

A legmodernebb trójaiak képesek arra is, hogy az sms visszaigazoló kódokat ellopják. A mobiltelefonok megfertőzésének általános módja, hogy a felhasználót a bank hamisított weboldalára irányítják, majd azon elhelyeznek egy figyelmeztetést. A figyelmeztetés informálja a felhasználót, hogy az internetbankoláshoz egy plusz biztonsági alkalmazást kell a telefonjára töltenie, és bekéri a telefonszámát is. A letöltésre kerülő szoftver megfertőzi a mobiltelefont, aminek köszönhetően a bűnözők már elfoghatják az sms-üzenetekben kiküldött azonosítókat. Mindez lehetővé teszi számukra, hogy tranzakciókat indítsanak és hajtsanak végre.

Mit tehetünk a biztonságos bankolás érdekében?

A G Data szakértői az alábbiakat javasolják a tranzakciók biztonságos lebonyolítása érdekében:

  • az internetes bankfiókunkba soha ne lépjünk be úgy, hogy egy e-mailben érkező linkre kattintunk. A bank webcímét mindig nekünk kell begépelnünk a böngésző címsorába
  • olyan banki szolgáltatást használjunk, amely kétlépcsős azonosítást (például jelszó és sms-üzenetben érkező kód) használ a tranzakciók végrehajtására
  • mindig csak a saját gépünkről bankoljunk. Ne használjunk nyilvános számítógépet a pénzügyeink elintézésére, de a saját gépünkről se kapcsolódjunk rá nyilvános (például reptéri) internethálózatra az utalások elvégzéséhez
  • válasszunk összetett, erős jelszót a bankfiókhoz. Ez álljon legalább 12 karakterből, tartalmazzon kis- és nagybetűket, valamint számokat és írásjeleket (például: */-!?)
  • a bankolás befejezése után mindig lépjünk ki a fiókunkból, és csak azután zárjuk be a böngészőt
  • állítsuk be, hogy az utalásokról kapjunk értesítéseket sms-ben vagy e-mailben
  • használjunk a számítógépen jogtiszta és rendszeresen frissített vírusvédelmi szoftvert, és ne felejtsük el telepíteni a Windows frissítéseit sem
  • az otthoni vezeték nélküli hálózatot is védjük megfelelően erős jelszóval, és állítsuk be a titkosítását (elkerülve az elavult WEP titkosítást)
  • az internetes számlánkat figyeljük rendszeresen: lépjünk be a fiókunkba, és ellenőrizzük az utalások történetét viszonylag gyakran
  • ha a hitelkártyánkkal kapcsolatban a legapróbb visszaélést vagy gyanús jelet észleljük, lépjünk kapcsolatba a bankunkkal, és tiltassuk le a kártyát. Nem szabad elfelejteni, hogy az ellopott hitelkártyákkal a bűnözők először csak kis összegű (néhány száz forintos) próbavásárlást szoktak elvégezni, mielőtt megpróbálják igazán megcsapolni a számlánkat

Azóta történt

Előzmények

  • A szingapúri közalkalmazottnak nem kell internet?

    A biztonság fontosabb, mint a kényelem: radikális intézkedés a kormányzati munkavállalóktól elvenni a netet, de ha nem tudnak vigyázni magukra, kénytelenek.

    Biztonság 46

  • Mi lesz veled, internet?

    Egy tekintélyes amerikai elemző felvázolta az idei év legfontosabb trendjeit. Mary Meeker szerint beérik a hangvezérlés, eljön az asszisztensek ideje, a régi motorosok nem adják fel.

    Mérleg 31

  • Petya a teljes merevlemezt titkosítja

    A napokban felfedezett zsarolóvírus önéletrajzot ígér, az elsődleges célcsoport a cégek humánerőforrás osztályain dolgozók.

    Biztonság 102