Złodzieje znaleźli sposób na obejście tego zabezpieczenia banku. Mogą cię okraść

Robert Kędzierski
Ataki skierowane przeciwko klientom bankowości elektronicznej stały się jeszcze bardziej niebezpieczne. Złodzieje znaleźli sposób na obejście bardzo ważnego zabezpieczenia.

Zaufana Trzecia Strona donosi o nowym sposobie cyberprzestępców na wykradanie pieniędzy z naszych kont. Nauczyli się jak omijać ważne zabezpieczenie, które do tej pory miało gwarantować bezpieczeństwo transakcji przeprowadzanych online. Chodzi o certyfikat SSL potwierdzający zaszyfrowanie połączenia z bankiem.  

Certyfikat SSLCertyfikat SSL Fot. www.hongkiat.com

Przeczytaj też: Przestępcy są groźni, bo... są grzeczni.

 

Przestępcy obchodzą zabezpieczenie

Do tej pory przestępcy działali dość ordynarnie. Używali phishingu - kierowali klientów na fałszywą stronę banku i wyłudzali dane logowania licząc, że uda się wyciągnąć od niezbyt zorientowanego w kwestiach technicznych klienta kod SMS. To pozwala zalogować się na konto, zmienić dane któregoś z odbiorców zaufanych i wyprowadzić wszystkie oszczędności z naszego konta. 

Ten sposób na kradzież przestaje być skuteczny w przypadku bardziej świadomych klientów, którzy słyszeli o dwóch ważnych zasadach dotyczących bezpieczeństwa. Po pierwsze: adres banku musi być autentyczny (np. www.pko.pl, a nie www.pko.xyz). Po drugie symbol kłódki przed nazwą strony. Na fałszywych stronach go nie ma, a tylko obecność takiego symbolu gwarantuje, że  połączenie z bankiem jest szyfrowane i nikt nie może "podsłuchać" naszej korespondencji, a więc przejąć naszego loginu. Inne ataki polegają na fizycznej podmianie numeru konta, kiedy kopiujemy go jako tekst (np. z wiadomości e-mail) i wklejamy do odpowiedniego pola na stronie banku. Jeden z polskich użytkowników stracił w ten sposób 40 tys. zł.

Nie ufaj kłódce

Fałszywe strony nie mogły do tej pory wyświetlić ikony kłódki przed nazwą adresu. Najnowszy wirus sprawia jednak, że kłódka się pojawia. 

Komputer ofiary jest zarażany w taki sposób, by jednocześnie zmienić konfigurację serwerów DNS i zainstalować fałszywy certyfikat. Użytkownik zostanie więc skierowany na podstawioną przez przestępców stronę (nawet jeśli samodzielnie wpiszę poprawny adres strony). Zobaczy też ikonkę z kłódką wyświetlaną dzięki fałszywemu certyfikatowi. 

Jak się bronić?

Obrona przed atakiem tego typu jest dość prosta, ale wymaga jednego: świadomości. Jak wyjaśnia firma Prebytes, specjalizująca się cyberbezpieczeństwie, autentyczny certyfikat różni się od fałszywego.

Fałszywy a poprawny certyfikat SSLFałszywy a poprawny certyfikat SSL Fot. Prebyte/Związek Banków Polskich

W pierwszym wypadku po kliknięciu ikonki kłódki zobaczymy dodatkowe informacje potwierdzające fakt, że certyfikat został wydany dla banku, z którego korzystamy. "Fałszywa" kłódka takich informacji nie wyświetla.

Niestety spora część konsumentów może nie zwrócić na to uwagi - w końcu samodzielnie wpisali adres swojego banku, nie klikali linka z wiadomości o zablokowaniu konta. 

Więcej o:
Komentarze (12)
Złodzieje znaleźli sposób na obejście tego zabezpieczenia banku. Mogą cię okraść
Zaloguj się
  • otopolskiepieklo

    Oceniono 11 razy 11

    jasne sprawdzać czy certyfikat jest autentyczny, czy dane się zgadzaja, czy to czy sramto - niedługo szybciej bedzie pójśc do oddziału

  • mille666

    Oceniono 6 razy 4

    Odstawcie komputery, bo nie macie pojęcia co się w nich dzieje... choć kuriozalne jest to, że ludzie korzystają z bankowości na swoich komóreczkach, tu złodzieje nie muszą się zbytnio trudzić...

  • rybiaglowa

    Oceniono 2 razy 2

    Teraz kilka słów prawdy prosto w oczy:
    1. Przeglądarki są do d.... W firefoxie aby obejrzeć pełną treść certyfikatu potrzebuję aż 5 (!) kliknięć.
    2. To, że sobie obejrzę cały certyfikat nie koniecznie mi coś da bo niektóre organizacje mają wszystko w poważaniu i rejestrują byle jakie certyfikaty - vide logowanie do konta pocztowego na gazeta.pl - certyfikat jest do nic niemówiącej strony oauth.gazeta.pl a informacji o organizacji dla której wystawiono certyfikat brak! Dodatkowo po zalogowaniu certyfikat wyświetla się zupełnie inaczej: poczta.gazeta.pl. Informacji o organizacji nadal brak.
    3. Wprawdzie na screenach z artykułu nie widać nazwy strony dla jakiej wystawiono certyfikat ale wystawiony jest przez certyfikowaną organizację. Ciekawi mnie czy byle dupek jak tylko zapłaci może zarejestrować domenę a potem dla niej wystawić certyfikat ssl. Czy jego tożsamość nie powinna być w jakikolwiek sposób weryfikowana? Dlaczego to zawsze klient banku ma odpowiadać za prawidłowe zalogowanie i zweryfikowanie coraz bardziej skomplikowanych zabezpieczeń? Faktycznie niedługo szybciej, prościej i bezpieczniej będzie stanąć w kolejce do oddziału.

  • takbir

    0

    a co za problem wygenerowac falszywy certyfikat z paroma polami oid ktore sprawiaja ze falszywka wyglada na EV? jak root certyfikate zainstalowany to dupa...co prawda jest jeszcze hsts... ale jak juz ktos byl glupi na tyle zeby uruchomic robala co moze dodac certyfikat, to robal tez moze usunac zpamieci przegladarki rekordy hsts

  • allegropajew

    0

    Tak było od zawsze, a ten atak byl opisywany jakiś lat temu 10. Jedyna rada -- klikac kłódkę i porównywać z tym, co dostaliśmy od banku na ulotce (w szczególności ścieżka będzie krótsza o jedną pozycję). Bo naszego życia nikt za nas nie przezyje.

    Gościula

  • tasiorous

    0

    Oglądanie certyfikatu nic nie da !!!. Jeśli przestępcy podmieniają adresy DNS oraz instalują nam lewy cert jako prawdziwy. To ten lewy może być certem urzędu certyfikacji udającym prawdziwy. I wystawiony z tego urzędu każdy certyfikat tez może udawać prawdziwy. Zarówno ten urzędu jak i wystawiony może mieć dokładnie te same właściwości jak prawdziwy. Te same nazwy/daty/czy id. Nawet doświadczony użytkownik może takiego certyfikatu nie rozpoznać w szczególności jak nie ma prawdziwego do porównania.

  • starsailor3

    0

    Trzeba używać BARDZO dobrych antywirusów. Sam mam Avasta płatnego i reaguje na bardzo wiele tego typu nieprawidłowości.

  • ssamiec

    Oceniono 7 razy -3

    Jak się bronić?
    Nie logować się do banku spod windowsa.

Aby ocenić zaloguj się lub zarejestrujX