Dzięki nowym technologiom i upowszechnianiu dostępu do sieci internet, wykonanie przelewu bankowego nie wymaga już wizyty w oddziale banku i wyczekiwania w kolejce.
Z uwagi na wygodę, a także łatwość i szybkość dostępu oraz niskie koszty, bankowość internetowa przyciągnęła już miliony klientów.
W ślad za bankami usługi finansowe zaczęły udostępniać w internecie również inne instytucje, co sprawia, iż obecnie dane ogromnej liczby użytkowników są przetwarzane w różnego rodzaju aplikacjach internetowych. W tym kontekście niepokojący staje się fakt, że wielu klientów tych aplikacji pada ofiarą przestępców komputerowych, którzy stale doskonalą techniki ataków prowadzonych w celu uzyskania korzyści materialnych. Niemal codziennie docierają do nas z całego świata informacje o nowych atakach na klientów popularnych serwisów bankowości internetowej. Skala powstałych w ten sposób strat finansowych jest trudna do oszacowania z uwagi na brak upublicznienia tych informacji przez instytucje finansowe.
Do przeprowadzenia skutecznych ataków przestępcy komputerowi najczęściej wykorzystują najsłabszy element bezpieczeństwa, jakim jest człowiek – użytkownik serwisu internetowego. Ludzie z natury są podatni na manipulację, czyli tak zwane ataki socjotechniczne. Celem tych ataków jest zdobycie zaufania ofiary i nakłonienie jej do wykonania wskazanych przez atakującego czynności. W przypadku ataków na klientów bankowości internetowej działania te przybierają często wyrafinowaną, skomplikowaną formę i mają na celu przede wszystkim wyłudzenie danych uwierzytelniających. Wsparte narzędziami i usługami informatycznymi mają bardzo szerokie pole rażenia i mogą być niezwykle skuteczne.

Phishing

Ataki mające na celu wyłudzenie haseł dostępowych klientów nazywane są powszechnie terminem phishing. Często przybierają formę masowej wysyłki poczty elektronicznej pochodzącej rzekomo od instytucji finansowej. Zamieszczone w wiadomościach odnośniki prowadzą do nieautoryzowanej repliki aplikacji internetowej, której podstawowym celem jest rejestracja wprowadzonych przez ofiary ataków danych uwierzytelniających. Z uwagi na powszechne wykorzystanie w serwisach bankowości internetowej dodatkowych, silnych metod uwierzytelnienia – np. haseł jednorazowych, ofiary ataku są bardzo często dodatkowo proszone o ich wprowadzenie. Statystycznie część osób, głównie z mniejszą świadomością odnośnie do występujących zagrożeń, pada ofiarą takiego ataku i wprowadzając dane uwierzytelniające otwiera przed atakującymi możliwość przejęcia pieniędzy z rachunków bankowych.
W ostatnich latach rośnie złożoność ataków phishingowych. W celu ochrony przed tego rodzaju zagrożeniami nie wystarczy już weryfikacja poprawności certyfikatu prezentowanego przez serwer. W przypadku przejęcia przez atakującego kontroli nad komputerem osobistym klienta bankowości internetowej jego przeglądarka internetowa prezentuje nieautoryzowane strony wyłudzające hasła dostępowe bez konieczności łączenia się z repliką serwera banku. W takim przypadku zarejestrowanie sekwencji wprowadzanych klawiszy (np. hasła dostępowego) również nie stanowi żadnego problemu.
Potencjalnie, skrajnie wyrafinowane formy ataku mogą pasywnie oczekiwać na realizację przez klienta operacji wymagającej wprowadzenia jednorazowego kodu dostępowego, przy czym kod ten zostaje przejęty w celu autoryzacji innej nieautoryzowanej operacji wybranej przez atakującego. Dlatego tak istotne jest, aby na przykład przy uwierzytelnianiu za pomocą kodów SMS-owych weryfikować, czy nadesłany kod dotyczy realizowanej właśnie operacji.



Jak się bronić

Wobec tak zaawansowanych form ataku powstaje pytanie, jak bezpiecznie korzystać z finansowych aplikacji internetowych. Przede wszystkim należy zapewnić bezpieczeństwo silnych metod uwierzytelniania, które są ostatecznym i najbardziej efektywnym mechanizmem chroniącym pieniądze przed niechcianym opuszczeniem konta. Należy zapewnić, aby nie miały do nich dostępu niepowołane osoby, jak również zachować szczególną ostrożność przy ich udostępnianiu. Fakt niespodziewanego zapytania o dane uwierzytelniające, np. jednorazowe hasła dostępowe, najprawdopodobniej świadczy o próbie ich wyłudzenia, w związku z czym nie powinny być one absolutnie przekazywane.
Konieczne jest również zapewnienie odpowiedniego poziomu bezpieczeństwa komputera osobistego, z którego wykonywane są operacje finansowe. W żadnym wypadku nie należy korzystać ze współdzielonych komputerów, do których dostęp fizyczny mogą mieć osoby niezaufane. Bezpieczny komputer powinien być wyposażony jako minimum w oprogramowanie chroniące przed wirusami i innym złośliwym kodem, na bieżąco aktualizowane w sygnatury ataków udostępniane przez producenta. Wskazana jest również instalacja tak zwanej osobistej zapory ogniowej (firewall), ograniczającej ryzyko przejęcia kontroli nad komputerem. Krytyczne jest również bieżące aktualizowanie wykorzystywanego oprogramowania. Brak aktualnych poprawek bezpieczeństwa otwiera komputer na szereg zagrożeń, prowadzących do skutecznego włamania. W szczególności należy dbać o aktualizację przeglądarek internetowych, które są szczególnie narażone na ataki za pośrednictwem należących do hakerów stron internetowych. Z kolei bezpieczne korzystanie z komputera osobistego obejmuje między innymi odwiedzanie wyłącznie zaufanych stron internetowych, unikanie otwierania poczty internetowej pochodzącej z niewiadomego źródła oraz nieuruchamianie plików wykonywalnych pozyskanych z niezaufanych źródeł. Bezpieczeństwo własnego komputera to klucz do ochrony przed najbardziej zaawansowanymi atakami.
Podsumowując. Phishing i ataki na użytkowników finansowych aplikacji internetowych to problem, który występuje na całym świecie. W przypadku tego procederu można mówić o zorganizowanej, międzynarodowej przestępczości i wielomilionowych przepływach finansowych.

Trzeba być ostrożnym

Banki i instytucje finansowe starają się walczyć z problemem, poprzez ciągłe uświadamianie swoich klientów odnośnie do występujących zagrożeń oraz wprowadzanie dodatkowych zabezpieczeń. W ślad za tymi działaniami przestępcy komputerowi opracowują jednak coraz bardziej wyrafinowane metody ataków. W związku z tym, że człowiek w samej swej naturze jest podatny na dobrze przygotowaną manipulację, nie istnieje sprawdzona recepta, która chroniłaby przed wszystkimi atakami. Niewątpliwie utrzymanie bezpieczeństwa wykorzystywanego komputera osobistego zgodnie z najlepszymi praktykami oraz zachowanie wysokiej ostrożności, a wręcz podejrzliwości, we wszelkich kontaktach z pracownikami instytucji finansowej to najlepsze działania, by ustrzec się przed atakami.