Prepad obrneného vozidla a odcudzenie 200-tisíc eur, ktoré prevážalo, sa prirodzene stali lákavým kúskom pre večerné správy. Celá akcia vyzerala ako z amerického trileru. Čo sa už do spravodajstva nedostalo, boli ďalšie tri krádeže spolu za pol milióna eur. Na rozdiel od efektného prepadnutia boli neviditeľné. Uskutočnili sa na internete, zneužitím bezpečnostných údajov klientov.
Odborníci na bezpečnosť bankových informačných systémov potvrdzujú, že útoky na bankové kontá v internetovom prostredí pribúdajú. „Navyše, za ostatné dva roky jednoznačne vidieť nárast ich profesionality,“ vysvetľuje šéf bezpečnosti vo VÚB Ivan Makatúra. Tam, kde pred pár rokmi odpozorovávali jedinci stlačené klávesy v počítači, aby získali heslo, teraz nastúpili profesionálne softvéry, ktoré dokážu automatizovať získavanie bezpečnostných kódov. Skúsenosti s nimi má aj väčšina bánk na Slovensku.
Klienti otvárajú dvere
Prítomnosť škodlivého softvéru v počítači, ktorý sa prenáša podobne ako vírus kontaktom s inými nakazenými počítačmi napríklad pri prezeraní „kontaminovaných“ internetových stránok, si klient ani nemusí všimnúť. Nemá ikonu a vôbec nenarúša fungovanie počítača. No keď klient zamieri na stránku internetového bankovníctva, takzvaný malware sa aktivizuje – preto sa mu hovorí trójsky kôň. Ten nápadnejší nahradí originálnu stránku banky vlastnou verziou, ktorá však nemá napríklad bezpečnostný certifikát. Na najnovších verziách prehliadačov sa v takom prípade nezobrazí znak zabezpečenia – zámka alebo zelenou farbou zvýraznená adresa.
Potom začne stránka klásť nezvyčajné bezpečnostné otázky. V prípade jednej z bánk vyskočilo dôveryhodne pôsobiace upozornenie, že banka zlepšuje bezpečnosť elektronického bankovníctva, preto žiada klientov, aby zadali všetky kódy z grid karty. Tá slúži vo viacerých bankách na overenie identity, aby mala banka istotu, že na druhej strane linky sedí naozaj klient a nie podvodník, ktorý neoprávnene získal prístupové meno a heslo. Ak klient niekomu odovzdá údaje z grid karty, otvára podvodníkovi dvere k vlastnému účtu. Tunajšie banky hovoria o tisíckach klientov, ktorí sa takto nechali nachytať.
Druhou, menej nápadnou a zákernejšou cestou k cudziemu účtu, je vstup medzi banku a klienta. Taký trójsky kôň dokáže po odoslaní platobného príkazu zmeniť vyplnené údaje o účte adresáta či transferovanej sume. Na strane klienta zmenu nevidno. Softvér sa o to postará. Klient nevedomky odsúhlasí platbu na účet podvodníka.
V momente realizácie platobného príkazu sa začína boj o čas. Ak si klient nevšimne napríklad v SMS výpise nesprávny účet, prípadne si neuvedomí, že dáta z grid karty si banka nikdy nepýta všetky naraz, úniku peňazí do rúk podvodníkov už nič nezabráni. Cieľový účet je len prestupná stanica, z ktorej si oprávnený majiteľ hotovosť okamžite vyberie. Ide o biele kone, ktoré vybraté peniaze odošlú prostredníctvom šekového systému – najčastejšie Western Union – do zahraničia. Posielaním šekom, nie elektronicky, zametajú stopy a komplikujú tak sledovanie peňazí. V cudzine si ich už vyberú sprostredkovatelia pracujúci pre organizovanú skupinu. V prípade slovenských peňazí sa stopa končí zväčša na Ukrajine.
Aktuálnosť. Na oboch stranách
Zlomyseľný softvér, ktorý odchytáva bankové dáta, má mnohé znaky profesionálnej aplikácie. Je naprogramovaný, aby sa dal rýchlo aktualizovať či upraviť podľa potrieb objednávateľa. Po vstupe klienta do internet bankingu dokáže zo vzdialeného servera – so sídlom napríklad v obľúbenom dátovom raji na Kajmaních ostrovoch – stiahnuť aktuálne šablóny pre stovky webstránok vrátane webov väčšiny slovenských bánk.
Bezpečnostní experti si otestovali rýchlosť, s akou dokáže malware reagovať na zmenu originálnej stránky internet bankingu. Na úvodnú prihlasovaciu stránku pridali bezpečnostné varovania, ktoré upozorňovali na to, aby klienti neprezrádzali údaje z grid karty. Autori trójskeho koňa svoju šablónu pozmenili do 24 hodín.
Podobne rýchlo však vedia zareagovať i firmy zaoberajúce sa bezpečnostným softvérom. Napríklad slovenská firma Eset, ktorá vyrába antivírusový program Nod. „Pri objavení nového druhu či variantu trójskeho koňa vedia naprogramovať záplatu prakticky cez noc,“ oceňuje I. Makatúra.
Problémom sú, samozrejme, nezabezpečené počítače, prípadne tie, ktorých majitelia vôbec nedbajú o aktuálnosť záplat proti nebezpečným kódom. Tie sú pritom podľa spoločnosti Eset v súčasnosti oveľa závažnejšie než samotné vírusy. Kým vírusy iba mažú dáta, prípadne komplikujú fungovanie počítača, trójske kone môžu spôsobiť rozsiahle škody. Nielen v internetovom bankovníctve, ale aj v iných oblastiach. Dokážu napríklad odchytávať čísla kreditných kariet alebo bezpečnostné heslá, vďaka ktorým sa útočníci môžu dostať k citlivým obchodným informáciám. Vyspelé zlomyseľné kódy dokonca dokážu preprogramovať priemyselné, počítačom riadené prístroje a poškodiť ich. Dajú sa teda zneužiť v konkurenčnom boji.
Koniec grid kariet
Na inovácie organizovaného zločinu banky reagujú. Tatra banka v týchto dňoch definitívne ruší autorizáciu inými nástrojmi než čítačkou, ktorá je najbezpečnejším riešením na trhu. Kombinuje toto malé elektronické zariadenie, čipovú platobnú kartu a jej PIN, a generuje náhodné heslá na základe konkrétnych údajov z transakcie. Keby aj trójsky kôň pozmenil údaje, verifikácia v banke nebude sedieť a transakcia sa neuskutoční.
Keďže čítačka nefunguje bez klientovej karty a PIN, banka má oveľa väčšiu istotu, že transakciu nezadáva niekto nepovolaný. Navyše sa nepripája do siete. Komunikáciu medzi bankou a čítačkou tak nie je možné odchytiť a zmanipulovať. Podľa Tatra banky ide v súčasnosti o najsofistikovanejší zabezpečovací nástroj na trhu, na ktorý sú škodlivé kódy zatiaľ krátke. Akurát že čítačku musí mať klient vždy pri sebe.
Doménu grid kariet opúšťajú v prospech bezpečnejších nástrojov postupne aj ostatné banky. VÚB s nimi plánuje skončiť v najbližších mesiacoch práve pre možný únik dát. Okrem získavania údajov cez dôveryhodne vyzerajúce podvodné internetové formuláre, čo zažila Tatra banka či Slovenská sporiteľňa, ich už klienti podvodníkom dobrovoľne poslali faxom alebo nadiktovali cez telefón. Ani služba CLIP pritom nemusí odhaliť nič nezvyčajné. Telefónne číslo volajúceho môže mať totiž tvar call centra príslušnej banky.
Časy grid kariet sa definitívne končia. Pre klientov je to pozitívum. Ak niekomu prezradili pozície grid karty, nemali nárok na to, aby im banka vrátila odcudzené peniaze. Zmluvy totiž klientovi výslovne zakazujú prezrádzanie autentifikačných a autorizačných údajov – mena, hesla, pozícií z grid karty či PIN kódu.
Odkiaľ unikajú dáta najčastejšie
(2007 až jún 2010, % podľa počtu zasiahnutých používateľov)
Pozn.: Zaznamenané úniky zasiahli v uvedenom období spolu takmer pol miliardy ľudí vo svete
PRAMEŇ: KPMG
Foto - Profimedia.cz
