Zaufana Trzecia Strona donosi o nowym sposobie cyberprzestępców na wykradanie pieniędzy z naszych kont. Nauczyli się jak omijać ważne zabezpieczenie, które do tej pory miało gwarantować bezpieczeństwo transakcji przeprowadzanych online. Chodzi o certyfikat SSL potwierdzający zaszyfrowanie połączenia z bankiem.
Certyfikat SSL Fot. www.hongkiat.com
Przeczytaj też: Przestępcy są groźni, bo... są grzeczni.
Przestępcy obchodzą zabezpieczenie
Do tej pory przestępcy działali dość ordynarnie. Używali phishingu - kierowali klientów na fałszywą stronę banku i wyłudzali dane logowania licząc, że uda się wyciągnąć od niezbyt zorientowanego w kwestiach technicznych klienta kod SMS. To pozwala zalogować się na konto, zmienić dane któregoś z odbiorców zaufanych i wyprowadzić wszystkie oszczędności z naszego konta.
Ten sposób na kradzież przestaje być skuteczny w przypadku bardziej świadomych klientów, którzy słyszeli o dwóch ważnych zasadach dotyczących bezpieczeństwa. Po pierwsze: adres banku musi być autentyczny (np. www.pko.pl, a nie www.pko.xyz). Po drugie symbol kłódki przed nazwą strony. Na fałszywych stronach go nie ma, a tylko obecność takiego symbolu gwarantuje, że połączenie z bankiem jest szyfrowane i nikt nie może "podsłuchać" naszej korespondencji, a więc przejąć naszego loginu. Inne ataki polegają na fizycznej podmianie numeru konta, kiedy kopiujemy go jako tekst (np. z wiadomości e-mail) i wklejamy do odpowiedniego pola na stronie banku. Jeden z polskich użytkowników stracił w ten sposób 40 tys. zł.
Nie ufaj kłódce
Fałszywe strony nie mogły do tej pory wyświetlić ikony kłódki przed nazwą adresu. Najnowszy wirus sprawia jednak, że kłódka się pojawia.
Komputer ofiary jest zarażany w taki sposób, by jednocześnie zmienić konfigurację serwerów DNS i zainstalować fałszywy certyfikat. Użytkownik zostanie więc skierowany na podstawioną przez przestępców stronę (nawet jeśli samodzielnie wpiszę poprawny adres strony). Zobaczy też ikonkę z kłódką wyświetlaną dzięki fałszywemu certyfikatowi.
Jak się bronić?
Obrona przed atakiem tego typu jest dość prosta, ale wymaga jednego: świadomości. Jak wyjaśnia firma Prebytes, specjalizująca się cyberbezpieczeństwie, autentyczny certyfikat różni się od fałszywego.
Fałszywy a poprawny certyfikat SSL Fot. Prebyte/Związek Banków Polskich
W pierwszym wypadku po kliknięciu ikonki kłódki zobaczymy dodatkowe informacje potwierdzające fakt, że certyfikat został wydany dla banku, z którego korzystamy. "Fałszywa" kłódka takich informacji nie wyświetla.
Niestety spora część konsumentów może nie zwrócić na to uwagi - w końcu samodzielnie wpisali adres swojego banku, nie klikali linka z wiadomości o zablokowaniu konta.
