01.03.2015, 07:10
Ponieważ o zagrożeniach bankowości online, sposobach ich unikania oraz ewentualnych konsekwencjach jej braku było i jest sporo u nas, niemniej artykuł jest nieco niepojący, a przy tym ciekawie napisany i trudno się nie zgodzić z konkluzją artykułu...więc i u nas fragmenty tekstu z "Niebezpiecznika" 
Całość poniżej
Cytat:Ten atak ciężko jest wykryć
Zapewne już wiele razy słyszeliście o tym jak kilka znanych firm lub instytucji przelało setki tysięcy złotych na złe rachunki bankowe. Praktycznie zawsze wina wynika z 2 powodów:
- zainfekowany komputer
- brak czujności osoby zlecającej przelew online
Przekręt polega na tym, że zainfekowanie komputera złośliwym oprogramowaniem prowadzi z reguły do podmiany numeru rachunku bankowego, na który ofiara chce wykonać przelew. Przestępcy robią to na 2 sposoby:
Podmiana numeru rachunku w systemowym schowku, kiedy ktoś kopiuje numer konta bankowego z faktury w PDF i wkleja go do pola w formularzu banku. Złośliwe oprogramowanie podmienia kopiowany do schowka (przez CTRL+C) numer rachunku na inny, a więc do interfejsu bankowości internetowej ofiara wkleja inny numer rachunku niż pierwotnie chciała. Niestety mało kto porównuje numery rachunków przed skopiowaniem i po wklejeniu…
Podmiana numeru w ostatnim kroku potwierdzenia przelewu — ofiara na ekranie podsumowania przelewu widzi poprawny numer konta (!!!) odbiorcy przelewu, ten na który chce zlecić przelew, ale tak naprawdę, przelew wcale nie jest zlecany na ten numer rachunku, który jest widoczny. Złośliwe oprogramowanie “w tle” podmienia widoczny numer, na numer rachunku “słupa”, kontrolowany przez przestępców.
Cytat:Żeby było śmieszniej, kiedy ofiara po wykonaniu przelewu rzuci okiem w historię wykonanych transakcji, nie zauważy niczego podejrzanego. Tam też złośliwe oprogramowanie maskuje numer rachunku na który faktycznie poszedł przelew, przysłaniając go tym, na który ofiara chciała przelać środki. Wszystko po to, aby sprawa jak najdłużej nie wyszła na jaw. Dlaczego? Bo pieniądze między bankami nie są przekazywane od razu (por. ELIXIR) — jeśli więc ofiara zorientowałaby się, że coś poszło nie tak, czasem ma nawet i kilka godzin na to, aby anulować fałszywy przelew. Kiedy jednak przelew dotrze na konto słupa, znika z niego od razu (jest dzielony i transferowany na inne rachunki lub środki zużywane są na zakup usług on-line, np. doładowań, albo po prostu zdobyta gotówka jest wprost wybierana z bankomatu).
Co ciekawe, przestępcy nie dopracowali jednak jednej rzeczy — o ile podmieniają numery w widoku historii transakcji, to nie robią tego podczas generowania potwierdzenia przelewu w PDF. Pewnie dlatego, że to dodatkowy kod, no i przede wszystkim możliwość wygenerowania potwierdzenia przelewu oznacza, że atak już się udał, bo pieniądze są już na koncie słupa i nie da się ich “cofnąć”.
No ale przecież przelew trzeba potwierdzić kodem!
W większości banków przelewy potwierdza się specjalnym kodem. Ten może być wygenerowany w specjalnym urządzeniu — tokenie albo dostarczony SMS-em. I w właśnie w SMS-ie jedyny nasz ratunek! Bo to, że mamy zainfekowany komputer niekoniecznie oznacza, że mamy także zainfekowany telefon. Krótko mówiąc, w treści SMS-a pojawi się FAKTYCZNY numer rachunku i FAKTYCZNA kwota przelewu, bo skoro przestępca nie kontroluje naszego telefonu, to nie jest w stanie podmienić treści SMS-a.
Ludzie jednak nie czytają całej treści SMS-a! Przyzwyczaili się, że jest w nim kod, który trzeba przepisać. Wiedzą że kod, którego potrzebują jest na końcu wiadomości, więc łatwo go lokalizują (a ponieważ często jest liczbowy, oprogramowanie telefonu dodatkowo go “wyróżnia” myśląc, że to numer telefonu). Rutyna. Po zlokalizowaniu kodu ludzi szybciutko, bez namysłu wpisują go w odpowiednie pole w formularzu przelewu online. To OGROMNY BŁĄD. Należy koniecznie sprawdzić numer rachunku w SMS-ie i porównać z tym wyświetlanym na ekranie komputera.
(...)
6 rad, jak bezpiecznie wykonywać przelewy
Podsumowując nasze analizy i dywagacje, oto skrótowa lista rad — zastosowanie się do nich pozwoli podnieść bezpieczeństwo operacji realizowania przelewu:
Cytat: 1. Z rezerwą podchodź do ekranu potwierdzenia przelewu wyświetlanego przez twój bank. Jeśli masz zainfekowany komputer, numery rachunków które są na nim prezentowane nie mają żadnego znaczenia, ponieważ mogą być “po cichu” podmienione, co oznacza, że gotówka pójdzie na inne konto.Wydatek 185 PLN na dedykowany komputer i 30PLN na stary telefon to bardzo niska kwota za “spokój ducha” związany z tym, że faktury za kilkadziesiąt tysięcy dotrą na odpowiednie konta. Nasi klienci stracili łącznie ponad milion złotych. Każdy z nich teraz żałuje, że nie zastosował się wcześniej do 6 rad wypisanych powyżej. Ucz się na ich, a nie swoich błędach…
2. Zrezygnuj z tokenów na rzecz haseł wysyłanych SMS-em. SMS-y z hasłami zawierają parametry potwierdzanej transakcji (numery rachunków i kwotę) — nie dotyczy niektórych tokenów challenge-response, które wymagają podania fragmentu numeru rachunku docelowego.
3. MUSISZ KONIECZNIE PORÓWNYWAĆ TE NUMERY Z TYM CO WIDZISZ NA EKRANIE KOMPUTERA a dodatkowo porównaj je z rachunkiem z faktury. To twoja jedyna szansa na wykrycie oszustwa i udaremnienie kradzieży.
4. Do odbierania bankowych SMS-ów wyznacz dedykowany telefon. Nie smartphone — telefon. Stara nokia sprawdzi się idealnie — im “głupszy” (starszy) telefon, tym lepiej, bo ciężej go zainfekować.
5. Nie dotykaj telefonu poza odczytywaniem SMS-ów. NIGDY nie instaluj na nim żadnych certyfikatów, aplikacji i najlepiej w ogóle nie zmieniaj jego ustawień.
6. Dla zwiększenia bezpieczeństwa, rozważ kupno taniego komputera dedykowanego TYLKO I WYŁĄCZNIE do wykonywania przelewów. (wystarczy Raspberry Pi 2 za 185 PLN — można na nim postawić Linuksa z przeglądarką). Nie korzystaj z tego komputera do przeglądania Facebooka, odbierania maili, czy grania w pasjansa.
Całość poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
