SI-CERT ob vseevropskem mesecu kibervarnosti opozarja na zlorabe elektronskega bančništva – obvestilo SI-CERTa (17. 10. 2013)
Evropska unija letos prvič organizira vseevropsko kampanjo (European Cyber Security Month), s katero želi spodbuditi ozaveščenost o kibervarnosti med državljani. Slovenija v evropski akciji sodeluje s programom ozaveščanja Varni na internetu, ki ga koordinira center SI-CERT. Slovensko javnost opozarjajo na spletne goljufije, ki lahko povzročijo resno finančno škodo. S tem namenom predstavljajo video vodič, ki spletnim uporabnikom svetuje, kako naj zaščitijo svoj e-bančni račun pred zlorabami.
Uporabniki sami odpremo vrata zlorabam
Uporaba elektronskih bančnih poti je udobna, hitra in enostavna, tudi za ne ravno veščega spletnega uporabnika. Poleg vseh naštetih prednosti je elektronsko bančništvo tudi varno. Pogosto smo tisti najšibkejši člen sami uporabniki, ki nevede odpremo vrata zlorabam. Torej, kako izgleda rop bančnega računa v digitalni dobi?
Naj se sliši še tako naivno, a mi sami napadalcu zaupamo geslo za dostop do e-bančnega računa. V tem primeru gre za phishing krajo gesel. Goljuf nam pošlje elektronsko sporočilo, ki izgleda kot legitimno sporočilo banke, v katerem nas poziva, da se moramo nujno prijaviti v spletno banko. V sporočilu je tudi povezava, ki vodi na lažno stran, ki pa je videti identična spletni strani naše banke. Če tam vpišemo svoje geslo, ga pravzaprav posredujemo goljufu. Proti takšni prevari se uporabniki lahko preprosto zavarujejo že z uporabo t. i. varnih zaznamkov (secure bookmark), ko shranijo med zaznamek spletno stran svoje banke v HTTPS obliki.
Lahko pa je naš računalnik okužen z virusom, ki beleži pritiske tipk (t.i. keylogger), nato pa napadalcu pošilja shranjena in prestrežena gesla z računalnika. Virus napadalcu pošlje tudi digitalni certifikat, če je le-ta shranjen na računalniku. Zato na SI-CERT opozarjajo, naj uporabniki digitalni certifikat vedno hranijo na pametni kartici ali pametnem USB ključu in nikoli na disku računalnika, če uporabljajo takšno obliko dostopa do spletne banke. Pomembno je tudi redno posodabljanje brskalnika, vseh njegovih vtičnikov in vseh nameščenih programov, antivirusni program je zgolj minimum zaščite in ne rešitev vseh težav.
Računovodje naj bodo še bolj previdni
Majhnost slovenskega tržišča in jezika je poskrbela, da kar nekaj let slovenski bančni trg ni bil resna tarča organiziranega kriminala, ampak mirno obdobje se končuje. Marca letos je kriminalistična policija, ob sodelovanju SI-CERT in Urada RS za preprečevanja denarja, uspešno preiskala vdore v e-bančne račune, iz katerih so kriminalci skupaj prenakazali kar 2 milijona evrov.
To jim je uspelo s kombinacijo okužbe s trojanskim konjem in uporabo tehnik socialnega inženiringa. Kriminalci so ciljali predvsem na računovodske službe majhnih podjetij. Na računovdje so naslovili elektronska sporočila, ki so na prvi pogled izgledala, kot da jih pošilja uradna institucija (banka, DURS ali lizing podjetja). Vsebina sporočila je bila spisana tako, da je gotovo pritegnila pozornost prejemnika (zavrnjen račun, spremenjena davčna zakonodaja itd.), sporočilu pa je bil pripet tudi stisnjen ZIP-arhiv. Le-ta je vseboval trojanskega konja, ki je po zagonu prestrezal vsa vpisana gesla, napadalcem pa je omogočal tudi popoln dostop do sistema. Kadar v računovodstvu po uporabi e-bančništva iz čitalca niso odstranili kartice s certifikatom in so računalnik pustili vključen, so storilci ponoči imeli vse potrebno za dostop do računa podjetja. Spodaj (na koncu tega obvestila) je prikazano tovrstno e-sporočilo.
Zavajujoča sporočila so na prvi pogled izgledala, kot da jih pošilja uradna institucija
Podjetniki in računovodje morate nameniti večjo pozornost varni uporabi storitev elektronskega bančništva, saj ste še posebej izpostavljene tarče spletnih kriminalcev:
- Redno spremljajte transakcije na svojih računih, vključenih v poslovanje prek e-banke.
- Če za elektronsko poslovanje uporabljate pametne kartice ali USB ključke z nameščenim digitalnim potrdilom, ju ne puščajte v računalniku, ampak ju po zaključku dela izvlecite iz čitalca oz. računalnika ter se odjavite iz spletne banke.
- Računalnik, na katerem uporabljate elektronsko banko, ugasnite, ko ga ne uporabljate (izven delovnega časa, v času dopusta…).
- Nikoli nikomur ne pošiljajte občutljivih podatkov (gesla, digitalnega potrdila ipd.) prek elektronske pošte, vaša banka tega nikoli ne bi zahtevala od vas.
- Vsak sum zlorabe računalnika ali elektronske banke takoj prijavite policiji in svoji banki.
Za vse dodatne informacije se obrnite na SI-CERT, Tehnološki park 18, 1000 Ljubljana
Kontaktna oseba: Jasmina Mešić, koordinatorka programa ozaveščanja Varni na internetu
jasmina.mesic@cert.si, T: 01 479 89 54