Nauji internetinės bankininkystės pavojai
Neteisingas paspaudimas ir nėra pinigų. Pakalbėsime apie dažniausiai daromas klaidas ir kaip naudotis saugia CHIP naršykle, sukurta specialiai internetinei bankininkystei.
Internetinės piniginės „Webmoney“ ir „Yandex.Money“ taip pat patiria sukčiavimo atakas. Džiaugsmas perkant naują kompiuterį buvo didelis.
Paslaugos specialistas ką tik prijungė jį prie interneto, o mūsų skaitytojas nusprendė iš karto sumokėti už įrengimą naudojantis internetinės bankininkystės sistema.
Įvedus slaptažodį pasirodė klaidos pranešimas ir banko svetainė buvo neprisijungusi. Kitas prisijungimas mūsų skaitytoją šokiruoja: sukčiai visiškai išvalė jos paskyrą. Ši moteris tapo farmacijos atakos auka.
Reikalas tas, kad įsilaužėliai kelioms minutėms banko portalą pakeitė netikru puslapiu.
Siekdami apsisaugoti nuo tokių problemų ir padėti pervesti pinigus tik tinkamam gavėjui, surinkome ir aprašėme dešimt dažniausiai pasitaikančių pavojų, kurie iškyla naudojantis internetinės bankininkystės sistemomis. Be to, mes jums pasakysime, kaip apsisaugoti nuo jų, ir tuo pačiu suteiksime jums puikų apsaugos įrankį - saugią naršyklę iš CHIP, kurią rasite svetainėje http://download.chip.eu/ ru.
Pharming: nauja sukčiavimo forma
Beveik niekas nebepakliūva į sukčiavimo aferas.
Bet kokiu atveju tai galima daryti prielaidą, nes dauguma internetinės bankininkystės sistemų vartotojų jau yra pakankamai apsišvietę ir gautuose el. laiškuose nebespaudžia nuorodų į banko puslapius.
Nepaisant to, senas žinomas sukčiavimas išsiplėtė ir toliau daro didžiausią žalą internetinei bankininkystei.
Interneto mafija nemiega, sukčiai sukūrė naują apgaulės formą – pharming. Pagal gerai žinomą principą vartotojas patenka į sukčiavimo puslapį, kuris atrodo panašus į originalą. Tačiau spąstai veikia kitaip: kenkėjiška programa perprogramuoja jūsų kompiuterio naršyklę taip, kad net įvedus teisingą banko adresą naršyklė būtų siunčiama į netikrą puslapį.
Sprendimas. Geriausia apsauga yra atnaujinta antivirusinės duomenų bazės versija. Juk tokios atakos dažniausiai kyla iš kenkėjiškų programų. Be to, visada turėtumėte patikrinti, ar banko URL prasideda https deriniu. Be to, šiuolaikinėse naršyklių versijose adreso juosta turėtų pasidaryti žalia arba geltona, o turėtų pasirodyti užrakto piktograma, informuojanti, kad puslapis užšifruotas. Daugelis imituojančių portalų šių savybių neturi.
Tačiau būkite atsargūs: net jei puslapis turi visas išvardytas savybes, jis vis tiek gali būti netikras. Tai reiškia, kad banko portale aptikus saugumo spragą ir įsilaužėliui ją panaudojus sukčiavimo puslapiui perdengti, naršyklė parodys visas reikalingas saugos funkcijas. Tokiu atveju, įvedant prieigos duomenis, pinigai bus prarasti.
Geriau į savo naršyklę rankiniu būdu įvesti banko URL ir išsaugoti jį kaip žymę – tik įvedę žiniatinklio adresą būsite apsaugoti nuo sukčiavimo atakos.
Patarimas. Yra paprastas būdas atskleisti netikrą puslapį: įveskite teisingą sąskaitos numerį, bet neteisingą PIN kodą. Jei puslapis tikrai priklauso jūsų bankui, ekrane pasirodys klaidos pranešimas, nes buvo neteisingai įvesti prieigos duomenys. Netikras puslapis, priešingai, padėkos jums už duomenų įvedimą ir nusiųs juos įsilaužėliui, kuris ilgai prisieks.
„Windows“: apsauga negarantuojama
Banko serveriai dažniausiai yra gerai apsaugoti, skirtingai nei jūsų kompiuteris – ypač jei jame įdiegta „Windows“.
Užuot atakavę bankų pinigų saugyklas, įsilaužėliai taikosi į silpniausią grandinės grandį – „Microsoft“ operacinės sistemos vartotoją. Norint apsisaugoti nuo sukčių, XP ir Vista naudotojams reikės specialių apsaugos priemonių. Tiesa, jie lėtina sistemą ir reikalauja nuolatinės priežiūros. Tai reiškia, kad turėtumėte kasdien atnaujinti savo antivirusines duomenų bazes.
Sprendimas. Net negalvokite apie prisijungimą prie „Windows“ be atnaujintos antivirusinės duomenų bazės! Beje, Linux užtikrina aukščiausią apsaugos lygį. Šios OS sprendimų dėka pamiršite lėtas nuskaitymo programas, tačiau mainais turėsite įvaldyti naują sąsają.
Jei naudojate abi sistemas lygiagrečiai, atlikite finansines operacijas naudodami „Linux“, o laiškus ir paveikslėlius apdorokite sistemoje „Windows“. Arba naudokite LiveCD, pavyzdžiui, Knoppix iš šaltinio www.knoppix.org. Tačiau pereinant iš „Windows“ į „Linux“, kiekvieną kartą turėsite iš naujo paleisti kompiuterį. Arba naudokite MokaFive Player (www.mokafive.com) – virtualizatorių, pagrįstą VMware. Privalumas: be jokių problemų galite paleisti Damn Small Linux virtualioje mašinoje. Jis yra mažas, lankstus ir pateikiamas kartu su „Firefox“, kad būtų saugesnė internetinės bankininkystės patirtis.
Internet Explorer: daug saugumo spragų
Internet Explorer naršyklė nėra saugi. „Firefox“ nustatę tinkamus nustatymus ir įdiegę reikiamus priedus, turėsite daug daugiau galimybių atremti įsilaužėlių ataką. Priešingai, dėl daugybės spragų ir „ActiveX“ komponentų „Explorer“ suteikia platų įsilaužėlių veikimo lauką. Informacijos saugumo bendrovė „Secunia“ šių metų rugpjūtį „Internet Explorer 7“ aptiko 29 saugumo spragas, iš kurių dešimt kelia rimtą grėsmę. Jei, nepaisant visko, norite ir toliau naudotis programa, turite nuolat diegti naujausius atnaujinimus.
Sprendimas. Daug patikimiau dirbti su „Firefox“, tačiau ją taip pat reikia laiku atnaujinti. Patikimas sprendimas yra naudoti saugią naršyklę iš CHIP, kurią galima atsisiųsti iš svetainės http://download.chip.eu/ru. Atnaujinome nešiojamąją „Firefox“ versiją su svarbiausiais saugos papildiniais, todėl ji tapo stipresnė ir patikimesnė. Integruotas „PhishLank SiteChecker“ apsaugos jus nuo netikrų bankininkystės svetainių ir įspės, jei jau esate sukčiavimo puslapyje. Papildinys turi prieigą prie duomenų bazės, į kurią bendruomenė įveda visas žinomas sukčiavimo svetaines.
Papildinys No Script deaktyvuoja, pavyzdžiui, JavaScript, kuris kelia rimtą pavojų naudojantis internetine bankininkyste. Dauguma bankų portalų veikia be jo.
„JavaScript“ išjungimo problema yra ta, kad daugelis Web 2.0 svetainių tiesiog neveiks tinkamai. Tačiau jei lygiagrečiai su įprasta Firefox versija naudojate saugią nešiojamąją naršyklę, ši problema išnyks – ir jūsų finansinės operacijos yra patikimai apsaugotos. Kitas pranašumas: naršyklė veikia tiesiai iš nešiojamųjų laikmenų, tokių kaip USB diskai ir kompaktiniai diskai. Naudokite „Firefox“ tik internetinėms pinigų operacijoms. Išsaugokite nuorodą į banko svetainę USB atmintinėje ir paleiskite naršyklę tik per ją. Norėdami tai padaryti, atidarykite banko svetainę, naršyklės įvesties eilutėje spustelėkite mažą simbolį URL kairėje ir, laikydami nuspaudę pelės mygtuką, vilkite jį į USB diską.
Apgailestaujame pripažindami, kad galite susidurti su bankais, kurie leidžia tik „Internet Explorer“ dirbti su savo internetinėmis sistemomis, o tai ne tik neleidžia naudoti „Firefox“ ir kitų naršyklių, bet ir neleidžia vykdyti internetinės bankininkystės naudojant „Linux“. Tuomet reikėtų pagalvoti apie banko pakeitimą tokiu, kuris profesionaliau aptarnauja klientus visose srityse.
Atviras LAN: Kvietimas įsilaužėliams
Neapsaugotas tinklas yra pavojingas ir patraukia sukčių dėmesį – nesvarbu, prisijungiate prie laidinio ar belaidžio tinklo.
Tačiau įsilaužėliams į pastarąjį įsiskverbti daug lengviau.
Tereikia nešiojamo kompiuterio, o vagis kontroliuoja visus duomenų mainus, įskaitant PIN slaptažodžius ir internetinės bankininkystės sistemos TAN kodus. WPA šifravimas yra privalomas belaidžiams tinklams. MAC filtras, leidžiantis tik tam tikriems įrenginiams pasiekti tinklą, dar labiau padidins saugumą.
Bet net jei nenaudojate WLAN, o esate prisijungę tiesiogiai per maršrutizatorių, įranga turi silpną nuorodą - numatytąjį slaptažodį. Pakeiskite jį, kad įsilaužėliai negalėtų pasiekti jūsų tinklo per internetą. Maršrutizatoriaus modelį galima atpažinti „iš išorės“, naudojant „Java“ ir „JavaScript“ programėlę. Sukčiai gali patekti į kažkieno maršruto parinktuvą įprastomis priemonėmis ir su standartiniu slaptažodžiu net iš priešingos Žemės rutulio pusės.
Turėdamas prieigą prie aparatinės įrangos, jis gali pradėti Drive-byPharming ataką. Tai veda prie to, kad vartotojas, kaip ir įprasto apsipirkimo atveju, patenka į netikrą banko puslapį. Antivirusinė programa šioje situacijoje nepadės, nes įsilaužimas vykdomas neįdiegus kenkėjiškos programos aukos kompiuteryje.
Prisiminkite vartotojo vardą ir slaptažodį: didelė rizika
Net ir pati saugiausia naršyklė gali turėti trūkumų. 2.0.0.5 versijos Firefox slaptažodžių tvarkyklė buvo pažeidžiama. Jei naršyklėje būtų įjungtas „JavaScript“, o vartotojas darbo vietoje išsaugotų asmeninius prieigos duomenis (vartotojo vardą ir slaptažodį), įsilaužėliai galėtų perskaityti šiuos duomenis specialiai sukurtuose puslapiuose ir siųsti juos toliau grandinėje.
Sprendimas. Atnaujinkite savo naršyklės versiją. Trūkumas buvo greitai ištaisytas ir „Firefox“ grįžta į vėžes, tačiau niekada neišsaugokite prisijungimo duomenų naršyklėje: internetinės bankininkystės vartotojo vardą ir slaptažodį reikia įvesti rankiniu būdu.
TAN slaptažodžių saugojimas kompiuteryje: jokios saugumo garantijos
Tas pats, kas sakoma apie prieigos duomenų išsaugojimą, galioja ir TAN (transakcijos autorizavimo numerio) slaptažodžiams. Netgi duomenų saugojimo ir šifravimo programinės įrangos sistemos negarantuoja visiškos apsaugos nuo įsilaužėlių. Atlikę slaptažodžių saugojimo saugos testą, aptikome kai kurių programų trūkumų ir galėjome aptikti slaptažodžius. Kitas pavojus, kuris visada išlieka: kai tik vartotojas atidaro šifravimo programą, kad gautų reikiamus slaptažodžius, saugumas sugenda. Sukčiai gali skaityti informaciją tiesiai iš kito monitoriaus ir gauti prieigą prie visų TAN slaptažodžių vienu metu.
Sprendimas. Geriausia iš savo stalo stalčiaus išimti TAN slaptažodžius. Kitu atveju teiraukitės banko, ar jie teikia saugaus numerio gavimo SMS žinute paslaugą – mTAN. Daugumos bankų mTAN procedūra yra pagrįsta gavėjo duomenimis pervedimų metu.
Jei įsilaužėlis nukreipia pinigų srautą, TAN tampa netinkamas naudoti. Kai kurie bankai šias paslaugas teikia nemokamai, kiti ima nedidelę sumą už SMS siuntimą.
Įvesties klaida: amžinai prarasti pinigai?
Maža klaida su lemtinga pabaiga: jei pavedimą atliekate paskubomis, galite suklysti įvesdami gavėjo sąskaitos numerį.
Bankas įvykdo jūsų užsakymą taip, kaip tikėjotės, tik pinigai atsiduria netinkamoje vietoje, o skirtas gavėjas lieka be nieko. Ką reikia žinoti: bankas negali grąžinti jūsų pinigų, jei operacija jau atlikta, o tai įvyksta gana greitai. Žinoma, bus dvigubai įžeista, jei neteisingai įvestas sąskaitos numeris iš tikrųjų egzistuoja. Jei taip atsitiko, nepaisant teisinės gavėjo pareigos grąžinti jūsų pinigus, to gali neįvykti. Paaiškėjus, kad gavėjas yra finansiškai nemokus, pinigai gali būti laikomi prarastais.
Sprendimas. Dukart patikrinkite duomenis iškart juos įvedę, o tada dar kartą, kai puslapis paprašys patvirtinimo. Jei atsiranda klaida, nedelsdami informuokite banką apie įvykį. Gera apsauga nuo rašybos klaidų: pridėkite lėšų pervedimo dokumentus – daugelis portalų leidžia tai padaryti.
Bankavimas kelyje: pavojinga zona
Patariame būti atidiems naudojantis internetine bankininkyste viešose vietose, pavyzdžiui, interneto kavinėse. Yra galimybė pervesti pinigus įsilaužėliams, nes nėra žinoma, kokia yra šio kompiuterio antivirusinė apsauga. Be to, labai lengva stebėti visus ryšius viename tinkle.
Atlikdamas finansines operacijas vartotojas gali nepastebėti, kad prie gretimo stalo sėdi įsilaužėlis ir viską registruoja.
Sprendimas. Venkite pinigų operacijų kitų žmonių darbo vietose. Geriausias pasirinkimas yra mobilioji bankininkystė.
Kai kurie bankai jau dabar leidžia kai kurias operacijas atlikti mobiliuoju telefonu ir nemokamai. Priklausomai nuo paslaugų teikėjo, dirbant iš užsienio, prieigos prie tinklo išlaidos gali būti gana didelės. Tačiau tokios išlaidos vis tiek yra nepalyginamai mažesnės nei nuostoliai, kuriuos gali sukelti įsilaužėlis. Remiantis pasauline statistika, 2007 m. vidutinis vienas įsilaužėlių atakos nuostolis buvo apie 6000 USD.
Žaidimo tarpininkai: griežta bausmė
Mūsų pavyzdyje, straipsnio pradžioje, įsilaužėlio rasti nepavyko, nes žaidime buvo tarpininkas, kuris per Western Union jam pervedė pinigus.
Pervestus pinigus sukčius gali gauti bet kurioje pasaulio vietoje vos per kelias minutes. Tam jam tereikia asmens tapatybės kortelės, kuri daugeliu atvejų yra netikra. Pinigai dingo, o vienintelis, ant kurio galite numalšinti pyktį, yra tarpininkas. Paprastai tai yra padorus pilietis, kuris atrado el. laišką, kuriame jam siūlomas didelis atlygis vien už tai, kad pateikė savo sąskaitos duomenis, kad galėtų pervesti pinigus.
Sprendimas. Neatsakykite į elektroninius laiškus su melagingais pažadais! Už jų dažniausiai visada slepiasi sukčiavimas. Greitųjų pinigų pervedimo paslaugomis naudokite tik jums tikrai artimus žmones.
Neteisingas atsijungimas: mirtinos pasekmės
Sąskaitos būsena patikrinama, pinigų pervedimas baigtas, o užuot tinkamai atsijungę, tiesiog uždarykite naršyklės langą. Pasekmės gali būti mirtinos, ypač tais atvejais, kai kompiuteriu naudojatės ne tik jūs. Taip yra todėl, kad kai kuriuose portaluose galite prisijungti tiesiog paspaudę norimą adresą savo naršyklės istorijoje ir net nereikės įvesti PIN kodo, kad galėtumėte pasiekti savo finansus.
Sprendimas. Teisingai palikite sistemą! Dėl papildomo saugumo po banko sesijos galite ištrinti visus naršyklėje likusius pėdsakus: istoriją, talpyklą ir slapukus.
Greitoji pagalba: kaip reaguoti
Jei įvyktų blogiausias scenarijus ir taptumėte sukčiavimo auka, pasinaudokite šiais patarimais.
Blokuoti prieigą.
Būkite ramūs ir užblokuokite prieigą prie savo paskyros. Kasdien tikrinkite paskyros būseną. Taip iš karto pastebėsite nepageidaujamų operacijų buvimą, o bankas greičiausiai turės laiko jus išgelbėti nuo nuostolių.
Kreipkitės į banką. Jei esate tikri, kad operacija buvo sėkminga, bet puslapyje vis tiek rodoma nepaaiškinama klaida, nedelsdami informuokite banką. Nes šiuo metu įsilaužėlis akivaizdžiai atlieka savo nešvarų darbą. Nepaisant nerimo, išlikite objektyvūs, mandagūs ir tiksliai apibūdinkite, kas nutiko.
Nedarykite jokių pakeitimų kompiuteryje. Daugiau nelieskite kompiuterio, palikite viską kaip yra. Net ir pastebėję Trojos arklį, neuždarykite kenkėjiškos programos.
Nes tik tokiu atveju galima atsekti įvykių eigą ir nustatyti, kad dėl nuostolių padarymo kaltas sukčius.
Saugūs internetinės bankininkystės įrankiai F-Secure Internet Security 2008 – antivirusinė programa Avira AntiRootkit Tool – apsauga nuo kenkėjiškų programų Comodo Firewall Pro – apsauganti Windows nuo Trojos arklių ir įsilaužėlių atakų NoScrlpt – daugiau saugumo naršant internete PhishTank SiteChecker – apsauga nuo sukčiavimo atakų SpyBot – Search & Destroy – apsaugo nuo šnipinėjimo programos