Skuteczny antyphishing – tylko edukacja
Phishing nie jest atakiem przeciwko zabezpieczeniom technicznym, tylko przeciwko użytkownikowi systemu. Trzeba edukować tego użytkownika, tak, by nie podawał swoich danych gdzie popadnie. I banki to robią, tylko klienci nie dbają o swoje własne pieniądze...
Teoria...
Praktycznie każdy system bankowości elektronicznej zawiera pewnego rodzaju przewodnik, który informuje użytkownika, że:
- trzeba sprawdzić adres, w tym, czy jest to połączenie bezpieczne,
- sprawdzić certyfikat,
- nie należy podawać swoich danych w sposób nietypowy (to, co jest nietypowe, zależy od konkretnej implementacji systemu),
- bank nie kontaktuje się z klientem drogą mailową,
- jeśli coś budzi zaniepokojenie – należy skontaktować się z bankiem,
Czy tych wytycznych jest za dużo? Czy są one niezrozumiałe? Czy wymagają specjalistycznego wykształcenia do zastosowania w praktyce? Chyba nie...
Praktyka...
A jak to wygląda w praktyce? Popatrzmy na phishing przeciwko klientom BZ WBK. Jak wyglądał adres strony:
- http://www.esesoata.gov.co/www.centrum24.pl/bzwbkonline/,
- http://adsl-065-082-241-199.sip.clt.bellsouth.net/index.html,
Adres tak nie specjalnie przypomina adres prawdziwy, czyli https://www.centrum24.pl/bzwbkonline/eSmart.html?typ=13&lang=pl. Połączenie było po prostu po http, nie po https, czyli w przeglądarce nie pojawiła się “kłódeczka”, której obrazki do znudzenia spoglądają na użytkownika ze stron banków. Klient nie mógł zweryfikować certyfikatu, bo tego certyfikatu nawet nie było. Użytkownik postępujący zgodnie z instrukcją nie miał prawa nabrać się na ten phishing, było co najmniej trzy przesłanki sugerujące, że coś jest nie tak. A jednak ktoś się nabrał...
Tak swoją drogą zastanawiam się, czy poziom “przeciętnego użytkownika” aż tak bardzo się pogorszył, kiedyś atakujący starali się zrobić spoofing paska adresu w przeglądarce, podstawiali jakieś fałszywe certyfikaty, teraz często nawet tym nie zawracają sobie głowy. I tutaj napiszę coś, co może być kontrowersyjne. Banki nie powinny przejmować się użytkownikami, którzy dają nabierać się na phishing, jeśli właściwie poinformowały klientów, czego robić nie powinni. Każdy powinien mieć świadomość, że jest współodpowiedzialny za bezpieczeństwo swoich pieniędzy znajdujących się w banku. Ta współodpowiedzialność objawia się tym, że nie zostawia gdzie popadnie swojej karty kredytowej/bankomatowej z przyklejoną do niej karteczką z kodem PIN (bo jeśli tak się stanie i ktoś z niej skorzysta, to reklamacja nie zostanie uznana, tak często mówi regulamin). Tak samo powinno być w przypadku bankowości elektronicznej, jeśli użytkownik poda swoje dane, mimo, że ma wszelkie przesłanki, by tego nie robić, to jest sam sobie winien. Może w ten bolesny sposób nauczy się myśleć.
Druga sprawa – czy przypadkiem użytkownicy nie są bardziej narażeni na phishing, ponieważ wierzą w technologie “antyphishingowe” zawarte w przeglądarkach (Internet Explorer, Firefox, Opera)? Mają świadomość takiej poduszki bezpieczeństwa (bo sobie przeczytali materiały marketingowe) i wyłączają myślenie? Niestety, myślenie jest niezbędne. Kiedyś niemyślące jednostki wyeliminowałby dobór naturalny (na różne sposoby), teraz w wyniku naszej cywilizacji, mają się one całkiem dobrze. I zamiast ofiarą tygrysa, stają się ofiarą phisherów. Jakoś mi ich nie żal...
Oryginał tego wpisu dostępny jest pod adresem Skuteczny antyphishing – tylko edukacja
Autor: Paweł Goleń