Temat numeru – Technologie mobilne: Uważaj na portfel w smartfonie

BANK 2018/06

Security Report 2018 firmy Check Point pokazuje skalę ataków na zasoby w sklepie Google Play. Złośliwe oprogramowanie zaatakowało ponad 300 dostępnych w nim mobilnych aplikacji, które zostały pobrane przez 106 milionów użytkowników. A skala zagrożeń wciąż rośnie.

Security Report 2018 firmy Check Point pokazuje skalę ataków na zasoby w sklepie Google Play. Złośliwe oprogramowanie zaatakowało ponad 300 dostępnych w nim mobilnych aplikacji, które zostały pobrane przez 106 milionów użytkowników. A skala zagrożeń wciąż rośnie.

Adam Zajączkowski

Nie ma się co oszukiwać – coraz bardziej jesteśmy uzależnieni od smartfonów. Wyniki nie pozostawiają złudzeń: 95%t badanych przez pracownię Ipsos na zlecenie koncernu Huawei, deklaruje że nie rusza się z domu bez telefonu, a ponad połowa ma swój smartfon stale w zasięgu ręki. Używamy go przede wszystkim do wysyłania wiadomości przez komunikatory (88%), do robienia zdjęć (84%) i sprawdzenia „newsów” na portalach social media (73%). Smartfon jest często pierwszą rzeczą, po którą sięgamy zaraz po przebudzeniu. Tak robi ponad połowa Polaków. Aż dwie trzecie deklaruje, że ostatnie chwile przed zaśnięciem spędza także ze smartfonem. Nic zatem dziwnego, że mobilne technologie znalazły się na celowniku hakerów.

– Smartfon stał się naszym swoistym „centrum zarządzania”, bez którego ciężko nam się obejść. Powinno nam więc zależeć, aby zapisane na nim wrażliwe dane i pliki były bezpieczne – podkreśla Aleksander Naganowski, dyrektor ds. rozwoju nowego biznesu w polskim oddziale Mastercard Europe. – Nie napawa zatem optymizmem fakt, że według badań firmy F-Secure, tylko co trzeci użytkownik korzysta na co dzień z oprogramowania, które chroni jego telefon przed cyberzagrożeniami. Na szczęście banki mogą pomóc swoim klientom i chronić ich pieniądze, gdy ci płacą aplikacją mobilną.

Zbliżeniowe płatności telefonem oferuje większość polskich banków, czy to w standardzie HCE, czy w usłudze Google Play. W obydwu tych rozwiązaniach bezpieczne „zapisanie” karty płatniczej w telefonie jest możliwe dzięki technologii tokenizacji, realizowanej m.in. przez usługę Mastercard Digital Enablement Service (MDES). Tokenizacja pozwala zapisać w urządzeniu jej dane w postaci tokenu – 16-cyfrowego ciągu, który jest bezwartościowy dla osób postronnych. Wrażliwe dane karty w momencie transakcji nie są więc nikomu udostępniane, nawet sprzedawcy. Z kolei w przypadku zgubienia telefonu wystarczy, że konsument zablokuje wybrany token, bez konieczności zastrzegania powiązanej z nim karty płatniczej.

Mobilne aplikacje – cel numer 1!

Cyberprzestępcy atakują internautów średnio kilkanaście razy na godzinę. Najczęściej chodzi o wyłudzanie pieniędzy, poufnych danych albo wymuszanie okupu w zamian za odzyskanie zaszyfrowanych danych. Eksperci z zespołu bezpieczeństwa CERT Orange Polska podają, że w 2017 r. co miesiąc identyfikowano blisko 150 tys. podejrzeń incydentów. Blisko tysiąc z nich było poważnymi naruszeniami bezpieczeństwa. W ubiegłym roku ponad trzykrotnie wzrósł również odsetek zagrożeń dotyczących urządzeń mobilnych, które stanowią już jedną czwartą wszystkich ataków. Swego czasu koszmarem dla użytkowników komputerów był bankowy trojan Dridex, potrafił bowiem skutecznie wyprowadzać pieniądze z rachunków bankowych. Po raz pierwszy pojawił się w 2014 r. i został wówczas uznany za jeden z najbardziej wyrafinowanych typów zagrożeń. Cyberprzestępcy stworzyli wiele jego odmian. Temat na nowo odżył w połowie ub.r., kiedy to szkodliwy kod rozsyłany za pomocą wiadomości e-mail, wykorzystywał lukę w Wordzie. Cyberprzestępcy ukradli wtedy miliony dolarów z kont bankowych nieświadomych niczego użytkowników.

– Jednym z największych obecnie zagrożeń są fałszywe aplikacje, imitujące legalne programy, a w rzeczywistości wyłudzające od użytkownika dane logowania do bankowości internetowej – uważa Kamil Sadkowski, analityk zagrożeń z firmy ESET. – W ostatnich miesiącach informowaliśmy o kilku takich fałszywych aplikacjach, dostępnych w oficjalnym sklepie Google Play, które atakowały użytkowników polskich banków. Należały do nich m.in. unieszkodliwione w grudniu zeszłego roku aplikacje: StorySaver oraz Cryptomonitor, które były w stanie wyprowadzić pieniądze klientów aż 14 polskich banków oraz aplikacja „Bankowość uniwersalna Polska”, która agregowała formularze logowania do dwudziestu jeden polskich banków. Nieświadomi użytkownicy, podając swoje prawdziwe loginy oraz hasła, mogli sądzić, że logują się do swoich rachunków. Niestety tylko pozornie. Aplikacja została tak skonstruowana, by służyć do kradzieży danych logowania do rachunków bankowych, a następnie do wyprowadzania z nich pieniędzy – dodaje. Innym popularnym ostatnio zagrożeniem są fałszywe oferty publikowane przez oszustów w serwisach z ogłoszeniami. – Przy próbie skorzystania z takiej oferty użytkownik proszony jest o dokonanie płatności za pomocą spreparowanego przez oszustów serwisu pośredniczącego w płatnościach, który przekierowuje następnie na fałszywą stronę banku. Jeśli użytkownik nie rozpozna fałszywej witryny i spróbuje dokonać płatności, przekaże cyberprzestępcom dane logowania do swojego konta w banku, a stąd już tylko krok do przykrych konsekwencji finansowych – podkreśla Kamil Sadkowski.

image

Fałszywe aplikacje – jak się chronić?

Według ekspertów z ESET, warto kierować się kilkoma zasadami, które mogą uchronić przed ewentualnymi atakami lub infekcjami, mającymi na celu wyprowadzenie pieniędzy z rachunków bankowych.

1. Zabezpieczamy smartfon wzorem blokady, odciskiem palca lub kodem PIN. Dbamy o to, by osoby postronne nie poznały tego zabezpieczenia.

2. Dbamy o aktualizację systemu operacyjnego. W ramach aktualizacji często dostarczane są łatki luk wykorzystywanych przez cyberprzestępców. Aktualizując system, zwiększamy poziom zabezpieczeń.

3. Pobieramy aplikacje wyłącznie z oficjalnego sklepu (Google Play, Apple Store) i czytamy opinie użytkowników na ich temat. Jeśli są wątpliwe lub nie ma ich zbyt wiele, to lepiej zrezygnować z instalacji. Pamiętajmy, że taki rodzaj czujności nie zabezpiecza w 100% – zdarzały się całkiem popularne złośliwe aplikacje z dobrymi ocenami. Stosowanie się do rady zmniejsza ryzyko infekcji, natomiast nie wyklucza go całkowicie.

4. Zachowajmy czujność przy logowaniu się do swojego rachunku bankowego – korzystajmy z dedykowanej aplikacji danego banku, sprawdźmy, czy jej nazwa zgadza się z tą wskazaną na oficjalnej stronie. W przypadku logowania przez przeglądarkę upewnijmy się, że jesteśmy faktycznie na stronie swojego banku, a połączenie z nim jest szyfrowane.

5. Weryfikujmy uprawnienia, jakich żąda aplikacja przy instalacji – prośba o uprawnienia, które nie są adekwatne do funkcji aplikacji, powinny wzbudzić czujność.

Źródło: ESET Polska

Jak się chronić?

– Przede wszystkim należy dokładnie sprawdzać oceny oraz komentarze aplikacji, które pobieramy z sieci, nawet z zaufanego źródła, jak Google Play – doradza analityk zagrożeń z firmy ESET. – Warto także weryfikować uprawnienia, których wymaga aplikacja (ta o funkcjonalności latarki, żądająca dostępu do wiadomości SMS, powinna wzbudzić naszą czujność). Dane naszej karty płatniczej powinniśmy podawać jedynie w zaufanych i sprawdzonych aplikacjach oraz tych znanych nam serwisach internetowych, z którymi połączenie jest szyfrowane za pomocą protokołu HTTPS (ikona zamkniętej kłódki przy adresie WWW).

Jeśli pierwszy raz korzystamy z aplikacji, której nikt nam wcześniej nie polecił i nikt o niej wcześniej nie słyszał – warto dwa razy zastanowić się, zanim udostępnimy jej jakiekolwiek nasze dane. Powinniśmy też zainstalować aplikację zabezpieczającą na urządzeniu mobilnym (antywirusa), która wykryje i zablokuje próbę ataku oraz ochroni przed pułapkami phishingowymi (pozostawienie swoich danych na witrynie, która do złudzenia przypomina stronę banku lub znanego sklepu). I najważniejsze – zawsze ograniczajmy dostęp do swojego urządzenia mobilnego, stosując PIN, wzór blokady lub korzystajmy z czytnika linii papilarnych. W ten sposób ograniczymy ryzyko, że niepowołane osoby uzyskają dostęp do naszej aplikacji bankowości mobilnej lub innych naszych prywatnych danych (zdjęć, wiadomości itd.).

Prościej, ale i bezpieczniej

Telefon możemy wykorzystywać do płatności nie tylko w sklepie stacjonarnym, ale też w e-commerce – czy to za pośrednictwem strony internetowej danego sklepu, czy też aplikacji zakupowej sprzedawcy. – Dlatego Mastercard ogłosił swoje poparcie dla powstającego standardu technologicznego Secure Remote Commerce (SRC). Jego upowszechnienie i zaadaptowanie przez pozostałych graczy na rynku płatności ułatwi konsumentom płatności kartą online. Docelowo SRC ma zostać wdrożony w postaci jednego przycisku, który będzie pozwalał płacić wygodnie nawet na małym ekranie smartfonu – informuje Aleksander Naganowski. – Konsumenci będą też mieli wgląd w to, w jaki sposób ich dane uwierzytelniające są wykorzystywane i przechowywane. Bezpieczeństwo standardu SRC jest budowane na technologii tokenizacji. Rozwiązanie to ma szansę stać się powszechne, ponieważ już dziś niemal 75% kart na świecie mogłoby być stokenizowanych.

Kolejny element bezpieczeństwa przy zbliżeniowych płatnościach telefonem jest gwarantowany przez standard EMV, stosowany we wszystkich płatnościach zbliżeniowych, nie tylko tych za pomocą plastikowej karty, ale także mobilnych. – W standardzie EMV stosowane są zaawansowane techniki kryptograficzne, które generują dla każdej transakcji unikalne, cyfrowe podpisy. Taka transakcja jest zawsze weryfikowana przez organizację płatniczą oraz wydawcę karty, dzięki czemu niemożliwe jest jej naśladowanie lub sfałszowanie – wyjaśnia dyrektor ds. rozwoju nowego biznesu w polskim oddziale Mastercard Europe.

Zbliżeniowe transakcje mobilne są przetwarzane w ramach tej samej sieci płatności i podlegają tym samym rygorom bezpieczeństwa, co te dokonywane plastikową kartą. – W związku z tym oferujemy bankom rozwiązania, które pomagają im wykrywać podejrzane transakcje i fraudy, również w sferze mobile. Mastercard Decision Intelligence to rozwiązanie oparte na sztucznej inteligencji, która uczy się na podstawie kolejnych transakcji, a przyznana im ocena punktowa jest dodatkowym czynnikiem branym pod uwagę przy weryfikacji kolejnych – zaznacza Aleksander Naganowski. – Wprowadziliśmy również system wczesnego wykrywania oszustw – Early Detection System. Na podstawie informacji o wyciekach danych i incydentach dotyczących złamania systemów bezpieczeństwa system generuje alerty dla banków. Wydawcy i posiadacze kart mogą dzięki temu zareagować już w momencie pojawienia się ryzyka fraudu.

Udostpnij artyku: