Bankowość

Wpis ten jest związany z tematem autoryzacji transakcji, który wielokrotnie już poruszałem. Mimo tego temat wciąż nie został wyczerpany, jest ciągle wiele aspektów, o których się mówi. Jeden z nich chcę tu poruszyć, tak trochę w ramach ciekawostki.

Nie bardzo rozumiem całego szumu wokół URLzone. Nie robi on niczego nieoczekiwanego. Owszem, jest sprytny, ale nie odkrywczy. Malware na komputerze może stworzyć użytkownikowi dowolną iluzję rzeczywistości, która ograniczona jest jedynie inwencją twórców. Z tego powodu w systemach bankowości internetowej ważna jest nie tylko autoryzacja transakcji, ale również skuteczne poinformowanie użytkownika o parametrach autoryzowanej właśnie transakcji. Jak ostatnio pisałem, warunek ten obecnie spełnia autoryzacja transakcji przy pomocy kodów SMS. Oczywiście wraz z kodem autoryzacyjnym w SMS muszą być przesłane również parametry transakcji, jaka będzie realizowana. W interesie użytkownika natomiast leży ich sprawdzenie.

Każdy bank twierdzi, że jego system bankowości internetowej jest bezpieczny. Użytkownik zwykle nie ma możliwości zweryfikowania tych twierdzeń. Można jednak popatrzeć na taki system krytycznym okiem. Tu kilka przykładów na co warto zwrócić uwagę.

Podobno złodzieje kradnący pieniądze z kont bankowych zaczęli celować również w te systemy, w których autoryzacja transakcji odbywa się przy pomocy kodów SMS. Rozwinę trochę ten temat.

Na blogu F-Secure pojawił się wpis: €25,000 Bank Robbing Mobile Phones? Podobno telefon Nokia 1100 może zostać wykorzystany do przejmowania SMS przesyłanych przez bank do klientów. Na chwilę obecną brak jest bliższych szczegółów i potwierdzenia tej informacji, ale warto śledzić ten wątek. Jeśli okaże się, że rzeczywiście możliwe jest łatwe przechwytywanie wiadomości SMS, może zrobić się ciekawie. Swoją drogą, czy ktoś zna się na GSM na tyle dobrze, by móc spekulować na jakiej zasadzie mogłoby to działać?

Podpis elektroniczny jest jednym ze sposobów autoryzacji transakcji w bankowości internetowej (lub ogólnie - metodą potwierdzania operacji), ale również mechanizm ten jest wykorzystywany przy niektórych schematach uwierzytelnienia. Niby prosta rzecz, ale bywa implementowana źle.

Ostatnio miał miejsce gigantyczny wyciek danych osobowych z PEKAO S.A.. Można się spierać, czy był on rzeczywiście taki gigantyczny, ale nie o tym chcę pisać. Jeśli ktoś jeszcze o tym nie słyszał, może zacząć swoją lekturę tu. Chcę pokazać dlaczego do takich zdarzeń dochodzi i będzie dochodzić.

Jakiś czas temu pojawiły się informacje o ataku na klientów PKO BP, informacja dostępna jest na przykład tu: Klienci PKO BP - uwaga na cyberoszustów. Tradycyjnie przyczepię się do kwestii merytorycznych zawartych w tym artykule.

A przynajmniej ja ich nie lubię. I mam ku temu konkretne powody...

Phishing nie jest atakiem przeciwko zabezpieczeniom technicznym, tylko przeciwko użytkownikowi systemu. Trzeba edukować tego użytkownika, tak, by nie podawał swoich danych gdzie popadnie. I banki to robią, tylko klienci nie dbają o swoje własne pieniądze...