E-rachunek pod kontrolą

PC Format 12/2011

Bankowość elektroniczna jest bezpieczniejsza niż tradycyjna. Jednak złodzieje przystosowali się do nowej rzeczywistości i kradną pieniądze przez internet. Na szczęście, przestrzegając kilku prostych zasad, łatwo się przed nimi uchronisz. BARTŁOMIEJ MROŻEWSKI

Najważniejszą sprawą dla bezpiecznego korzystania z bankowości internetowej jest nie dać się złapać na atak phishingowy, który polega na skłonieniu użytkownika do wpisania danych logowania i autoryzacji przelewu na fałszywej stronie WWW. Można się przed tym bardzo prosto ochronić, sprawdzając podczas logowania ważność certyfikatu, który musi mieć każdy serwis transakcyjny banku.

Pilnuj certyfikatu

Ważność certyfikatu sprawdza przeglądarka. Jeśli jest poprawny, z lewej strony paska adresu zobaczysz duży zielony przycisk z nazwą banku, dla którego został wystawiony. Możesz go kliknąć i przeczytać informacje o firmie oraz wystawcy certyfikatu i dowiedzieć się, jak długo jeszcze będzie ważny.

Maskuj hasło

Warto zwrócić uwagę także na to, czy hasło podczas wpisywania jest maskowane. Bezpieczny system logowania powinien żądać tylko niektórych liter z hasła lub pojedynczych cyfr numeru PIN. Dzięki temu, nawet jeśli jesteś szpiegowany przez keyloggera lub nieuczciwego administratora sieci, albo po prostu ktoś patrzy ci przez ramię, co może się zdarzyć przy korzystaniu z ogólnodostępnego komputera (np. w bibliotece czy hotelu), nie ujawnisz pełnego loginu do konta.

Wybierz konto z bezpiecznym systemem autoryzacji

Niestety nawet najlepiej rozwiązany system haseł łatwo złamać za pomocą ataku phishingowego czy bardziej wyrafinowanych metod hakerskich, jak man-in-the-middle. Na szczęście sam fakt, że złodziej dostanie się do twojego konta, nie znaczy jeszcze, że zdoła ukraść ci pieniądze. Na drodze stoi jeszcze mechanizm autoryzacji przelewów i płatności, który jest najważniejszym zabezpieczeniem każdego systemu transakcyjnego.

Podstawowe metody autoryzacji przelewów to: karta kodów podstawowych, token, hasło SMS. Wszystkie wspomniane metody autoryzacji transakcji, nawet karta kodów jednorazowych, pozwalają na bezpieczne korzystanie z konta internetowego.

Zabezpiecz własny komputer

O skutecznym zabezpieczaniu peceta pisaliśmy wiele razy. Dla porządku przypomnijmy dwie najważniejsze rzeczy.

Po pierwsze niezbędna jest systematyczna aktualizacja oprogramowania: systemu operacyjnego i wszystkich aplikacji. Większość eksploitów, które są wykorzystywane przez złodziei, to znane i już załatane luki w zabezpieczeniach.

Po drugie trzeba korzystać z oprogramowania zabezpieczającego: programu antywirusowego oraz skanera antyspyware. Za skuteczną ochronę tymi narzędziami nie musisz płacić, bo podstawowe wersje skutecznych programów zabezpieczających są dostępne za darmo. Polecamy program Avira Free Antivirus (www.avira.com) oraz AdAware (www.lavasoft.com) czy Spybot – Search & Destroy (www.safer-networking.org).

Metody autoryzacji transakcji

W użyciu jest kilka metod autoryzacji. Pokazujemy je w kolejności od najprostszej do złamania do najbezpieczniejszej.

Karta kodów jednorazowych – wciąż jeszcze standardowe zabezpieczenie w wielu bankach internetowych, niestety niezbyt odporne na ataki phishingowe, za których pomocą złodzieje wyciągają kody od łatwowiernych użytkowników.
Token – w przeciwieństwie do karty drukowanej nie ma listy wcześniej wygenerowanych kodów autoryzacyjnych, lecz generuje je do każdej transakcji. Jest skuteczniejszy niż karta kodów, ale także do złamania. Token jest odporny na atak phishingowy.
Hasło SMS z opisem transakcji – kod przysyłany na telefon komórkowy po zatwierdzeniu transakcji. Oprócz hasła zawiera dokładny opis danego przelewu. Takiego kodu złodziej nie będzie mógł użyć do kradzieży, bo jest ważny tylko dla konkretnej transakcji.
Generator kodów na bazie danych o transakcji – najskuteczniejsze zabezpieczenie, bazujące na aplikacji na smartfony. Kod jednorazowy w tym przypadku nie jest generowany w banku ani wysyłany SMS-em. Do smartfonu wędrują tylko dane o transakcji.