02/07/2020
Zagrożenia związane z korzystaniem z bankowości elektronicznej.
Najbardziej znanymi i powszechnymi zagrożeniami wynikającymi z korzystania z bankowości elektronicznej są:
I. Wyłudzenia danych (phishing).
Phishing oznacza wyłudzanie przez oszustów informacji tajnych i poufnych dotyczących użytkownika bankowości elektronicznej (dane te to przykładowo hasła, loginy, lub informacje, które korzystający z konta podaje w celu założenia rachunku bankowego). Oszust podszywa się za dobrze znane użytkownikowi bankowości elektronicznej osoby lub firmy i w ten sposób zdobywa jego dane. Działanie oszusta polega na lawinowym wysyłaniu do dużej ilości osób wiadomości e-mail z linkiem, w który – zgodnie z treścią wiadomości – należy wejść. E-mail wysłany przez oszusta ma postać standardowych wiadomości elektronicznych, które przesyłają uprawnione do tego osoby lub instytucje. Różnice są jednak zauważalne tylko przez wyjątkowo spostrzegawczych klientów bankowości elektronicznej. Jednakże w sytuacji, gdy użytkownik elektronicznej usługi bankowej wejdzie w link, pojawia się strona internetowa łudząco przypominająca witrynę internetową jego banku. Podając tam swoje dane, klient nie loguje się na swoje konto bankowe, a dane trafiają na serwer autora strony – oszusta.
Wśród metod phishingu wyróżnia się:
- metodę polegającą na przesyłaniu na adres klientów płyt CD lub pendrive, które po ich podłączeniu do komputera klienta powodują wgranie złośliwego oprogramowania, które przesyła do oszusta wszelkie zgromadzone na dyskach dane,
- phone phishing, który oznacza rozmowę telefoniczną z oszustem, który – podszywając się za pracownika banku – za pomocą różnych sztuczek w komunikacji pozyskuje dane klientów,
- pharming, czyli oszustwo polegające na przekierowaniu użytkownika ze strony internetowej banku do strony stworzonej przez oszusta; wówczas trafiają do niego wszystkie dane podane przez użytkownika. Przekierowanie takie może dojść do skutku po wgraniu w komputerze złośliwego oprogramowania, lub po przejęciu serwera danej instytucji, w tym przypadku banku,
- spear phishing, który oznacza kierowanie wiadomości mailowych do konkretnego adresata, w tym przypadku pracowników danej firmy, aby wyłudzić ich dane związane z tym przedsiębiorstwem; w tym podziale mieści się również whaling, który oznacza wyłudzanie danych od członków zarządzających danym przedsiębiorstwem (niekiedy określa się to również jako „polowanie na grube ryby”),
- social phising – ta forma phishingu stanowi najnowszą jego postać, gdyż jest związana z wyłudzaniem danych na powszechnie używanych przez klientów bankowości elektronicznej portalach społecznościowych; przykładem takiego wykorzystania phishingu jest Facebook phishing, na którym oszuści tworzą szereg metod, dzięki którym zdobyć można wszelkie dane wymagane do przejęcia rachunku bankowego użytkownika bankowości elektronicznej.
II. Kopiowanie kart płatniczych (skimming).
Przez skimming należy rozumieć skanowanie informacji umieszczonych na pasku magnetycznym karty płatniczej. Oszuści za pomocą specjalnych urządzeń technicznych (przykładowo czytnika kart, kamer rejestrujących wprowadzanie kodu PIN lub nakładek zapamiętujących ten numer) dokonują skanowania informacji zapisanych na pasku, które następnie są wprowadzane na sztuczną kartę lub oryginalną kartę płatniczą. Wykorzystując dane umieszczone na tej karcie, oszust może swobodnie dokonywać operacji na koszt użytkownika zeskanowanej karty. Skimming może być dokonany zarówno w bankomacie, jak i w punktach handlowo-usługowych.
III. Carding.
Carding oznacza posługiwanie się cudzymi danymi z karty bez upoważnienia w transakcjach związanych z zamówieniami telekomunikacyjnymi, pocztowymi lub internetowymi. Cechą charakterystyczną cardingu, wpływającą jednocześnie na jego częste występowanie wśród oszustów, jest fakt, iż w celu posługiwania się danymi z karty innej osoby nie jest wymagane jej fizyczne posiadanie. Dla oszusta niezbędna jest tylko wiedza o numerze i terminie ważności karty, a w niektórych wypadkach również numer CVV2. Sposoby zdobycia przez oszusta tych danych są różne, ale wyróżnia je w szczególności możliwość ich ustalenia na podstawie wyciągów bankowych, wydruków z terminala POS, lub za pomocą programów komputerowych generujących numery kart płatniczych. W celu ustalenia daty ważności danej karty, oszuści metodą „chybił trafił” określają miesiąc, w którym kończy się ważność karty, ponieważ w większości są one wydawane na okres jednego roku.
IV. Sniffing.
Pojęcie to oznacza pewnego rodzaju podsłuch komputerowy, za pomocą którego oszust jest w stanie w sposób nieuprawniony przechwycić informacje znajdujące się na serwerze. Osoby popełniające ten czyn posiłkują się specjalnymi programami, które służą odbieraniu danych i późniejszej ich weryfikacji. Programy te są umieszczane w sieci LAN w taki sposób, aby jak najbardziej wnikliwie przechowywać informacje i dane przesyłane w tej sieci, jak również monitorować czynności, które są dokonywane za jej pomocą. Dane przesyłane za pomocą programów mogą być analizowane zarówno na bieżąco, jak również mogą być składowane na serwerze, a oszust w późniejszym czasie może dokonać ich dogłębnej analizy i ocenić, które dane są dla niego przydatne. Warto wskazać, iż oszust swoim bezprawnym czynem dąży do uzyskania korzyści majątkowej i w tym celu korzysta ze zdobytych – w sposób nielegalny – danych ofiary, podszywając się pod nią.
Działając w ten sposób, oszust może w łatwy sposób zdobyć wiele danych o innej osobie, a co najważniejsze – dane te mogą być dla tej osoby szczególnie wrażliwe. Wśród tych danych można wyróżnić między innymi loginy i hasła do bankowości elektronicznej. Dzięki tym działaniom, sprawca posiada otwarty dostęp do zgromadzonych na rachunku bankowym środków.
V. Spoofing.
Ten rodzaj przestępstwa związanego z bankowością elektroniczną należy traktować jako bardzo zbliżony do wcześniej interpretowanego phishingu. Spoofing oznacza jednak czynności związane ze zmianą właściwości określających adres IP na potencjalnie zaufany. Podszywanie się pod osobę lub podmiot szczególnie szanowany w społeczeństwie zapewnia oszustowi anonimowość. W celu przeprowadzenia ataku na źródło danych o klientach bankowości elektronicznej, oszuści wykorzystują luki technologiczne istniejące w systemach operacyjnych, aplikacjach oraz protokołach stron internetowych. Spowodowanie takiego ataku wywołują najczęściej poprzez wgranie w systemie ofiary złośliwego oprogramowania, które następnie plądruje dane na nim umieszczone. W ten sposób oszust uzyskuje dostęp do tych danych i może wykorzystywać je w celach osiągnięcia korzyści majątkowych. Ataki spoofingu stanowią jedno z największych zagrożeń dla klientów bankowości elektronicznej.
VI. Złośliwe oprogramowanie.
W bankowości elektronicznej złośliwe oprogramowanie może być wprowadzane do systemu użytkownika w następujących formach:
- spam – klient bankowości elektronicznej, po wejściu w link umieszczony w masowej korespondencji bez własnej wiedzy instaluje oprogramowanie,
- oprogramowanie typu malware – czyli wirusy komputerowe, zarażające pliki znajdujące się na dysku komputera danego klienta w sposób niezauważalny dla klienta; dane umieszczone na komputerze, jak również dane do logowania na konto bankowe jest przesyłane na serwer oszusta,
- oprogramowanie typu spyware – wirusy komputerowe, których działanie polega na szpiegowaniu działania użytkownika w Internecie; jest ono instalowane bez wiedzy, zgody i jakiejkolwiek kontroli użytkownika sieci; na podstawie tej metody użytkownik bankowości elektronicznej ma wgląd do wszelkich działań podjętych w internecie, a w szczególności do danych do logowania do konta bankowego, jak również wszelkich innych danych osobowych.