Tamni oblaci nad Internet bankarstvom u Hrvatskoj?

Teoretski si u pravu ali realnost je drugačija, banka je dužna štiti novac klijenta bez obzira na njegovo znanje, inteligenciju, itd inače gubi smisao kao banka. Ljudi stavljaju novac u banku da bi bio siguran. Ako zanemarimo na trenutak IT kao struku, poslovno i pravno nema razlike u kontroli pristupa osobnom sefu i računu internet bankarstva.

Banka mora osigurati sigurnost i na svojoj strani i na strani klijenta, inače nije banka. Kod nas je na bankama da osigraju sigurnost novca a na HNB-u je da tu sigurnost provjerava i verificira prije implementacije. Pravile basela su jasna oko ovoga.

Ovo što se događa je problem jer se krađe obavljaju uz pravu verifikaciju tako da je na bankama da promjene sustav, korisnik je tu nemoćan. Petnajstak godina se bavim sigurnošću u financijskoj industriji, uglavnom izvan Hrvatske i mogu reći da situacija nikada nije bila gora, alati zaštite su postali neadekvatni, pa i u ovom trenutku dok ovo pišem ne mogu sto posto reći da mi je računalo bez neke životinje koja sjedi u memoriji, usprkos svim alatima i iskustvu, a što se tiče internet preglednika nitko više ne može reći koje podatke sve sakupljaju i kud ih šalju.

 slažem se s dobrim dijelom, uz par crtica. (dijelovi izneđu točkica)

-autor, L.Carić teško da nije bar paušalno upoznat, vjerojatno vrlo dobro zna, predugo je tu. (uvjek postoje i drugi mogući razlozi)

-pitanje, što s npr ie 6-11 fixom, javom, ssl-om... u ovoj priči, tj kako misliš da bi to računalo bilo sigurno (samim tim što ga nije juzer konfigurirao ili antivirus? = LOL). Jedino da banke imaju svoj zatvoren OS ili sustav koji bi tad teoretski bio bez ijedne rupe iil da npr MS-Oracle i ostali rade hollfree/backdorfree/bugfree verziju za banke. Nisu malware-keyloggri i useri uzrok ove situacije nego osnovni alati kao certifikati odnosno institucije koje se o tomu brinu. Juzer baš ništa ne može, jednako kao što ne možeš kupiti mobitel koje odgovarajuće službe ne mogu prisluškivati. Do te mjere da ni linux kao alternativa u ovom slučaju nije alternativa, bar ne za većinu poslovnjaka (kojima je novac i skinut, ne s računa građana to je nevezano s ovom situacijom).

-da (treće), banke su odgovorne... (ali u ovom slučaju to pokušavaju negirati ili barem prikriti). I dalje točno (četvrto), sve je osigurano, ali ni osiguravajuće kuće ne mogu pokriti krađe ovih razmjera, zato se prave mutavi i reklamiraju antiviruse uz (sad već iritirajuće) upozorenje juzerima o pinovima i malwareima.

...

U ovom slučaju (moje mišljenje) nije stvar sigurnosti-isplativosti, nego nedopustivog stanja za novčarski/sigurnosni sektor. npr kad je posljednji put neka banka kažnjena zbog loše implementacije sigurnosnih mehanizama dok npr neki obrt može biti kažnjen zbog nedostatka prozupožarnog aparata. Milijarde (bilo koje valute) su posljednjih godina 'nestajale' u raznim transakcijskim čarobiranjima, manjak su sanirale države-građani, dal će ovo sanirati osiguravajuća društva ili opet građani? Ogroman novac je u pitanju, ne ''par milionćića..''. Jednako kao što je kod npr propasti banaka moguće da klient ostane bez ušteđevine, tako je moguće i sad, bez obzira što postoji i osiguranje i obaveza banaka. Prevelik novac.

Stalno su kažnjeni na ovaj ili onaj način, nadgledanje je konstantno od strane HNB-a. Pregledi sigurnosti se konstantno prema zakonu o unutarnjim kontrolama. Analogij bi bila kao da ti inspektori porezne uprave dolaze svaki mjesec u firmu ili obrt.

Da banke počnu dijeliti iOS stvorila bi se kritična masa korisnika kritičnih aplikacija. Nedugo nakon toga bi vidjeli Zeus varijantu za iOS. Sigurno. Umjeto iOS umetni bilo koji drugi OS i rezultat je isti. Sigurno.

 -slažem se.. btw, policija također, kod nestanka novca ne smije vjerovati nikome, pa ni bankama, također novinari nebi trebalo vjerovat.. ali možda je pravilo ne pljuj u tanjur važnije. Uvjek su prvi sumnjivci upravo stranke, 'ukućani', no to ovaj put nije tako. Nadležne osobe su satima davale iskaze, zar policija ne zna što se dešava? Zar oni nisu dio sustava? ... Ili neki saborski zastupnik, ako ništa u cilju podizanja prašine, izbori bilo koji razlog, ali nitko ništa. Osim PRovskih pamfleta koji opet govore o skrivanju pina i malwareu... Što radi HNB (zapravo ne samo HNB, nego ostatak svijeta, jer nisu stvar lokalne banke, koje btw ni nisu lokalne, nego čitav bankarski sustav). ParisHiltonine gaćice ili internacionalni problem? Ako se problem gurne pod tepih, tad problema nema?

Nakon svega ovdje procitanog, čini mi se da mi se sigurnije logirat na battlenet s autentifikatorom nego na internet banking :)

OK, recimo, da je u nekom svemiru, klijent banke "sam sebi kriv" ako mu je netko uvalio virus i pobrao podatke
i blabla.
Ali kako je ovo moguće? Kako se može popelješiti račun ženi koja nema ni računalo, novac samo podiže na šalteru poslovnice, ne koristi bezgotovinsko plaćanje ni internet banking? Ja sam za ibanking morao aktivirati posebnu uslugu i to plaćam, kako je njoj onda tip plaćao kockarnici online?
S obzirom da su jedini podaci koje je
lopov imao, prema tekstu, broj kartice i ime vlasnika kartice?
Za koji kufer onda mi imamo za net banking tokene, za bezgotovinsko i bankomate pin i ostala s*anja?
Čak i sa tim famoznim OIBom, za koji tvrdi žena da ga nije izdiktirala jer ju je spriječila unuka,
kako netko može baratati tuđom imovinom? Čemu nam onda na karticama služe chipovi ili
nekad, oni magnetski zapisi, pinovi i tokeni?
Meni ovo izgleda kao da pljačkaš dođe u poslovnicu, pod prijetnjom pištoljem uzme novce,
a banka meni javi "'ebga, gospodine, niste imali sreće, morali smo upravo vaš novac predati pljačkašu"

Imaš Amex? Za njega nema PIN-a, kao i za neke druge katice. Pročitaj mi podatke s njega i opelješit ću te u minuti.

Da bi čovjek bio zaštićen, ili mora imati bar malo pameti u glavi (što većina ima) ili se mora koristiti kompleksniji autorizacijski sustav (što je većini prekomplicirano).

A zašto Amex, master i sl nemaju pin? Zašto kod plaćanja računa hep-u trebaš imati token, pin i generirati novi kljuc a kod plaćanja čing mingu iz Singapura trebaju ti samo podaci koji pišu na kartici i svi ih mogu ukrasti na milion prodajnih mjesta?

Jedan od oblika napada:

- napadač šalje mail koji izgleda kao da ga šalje porezna uprava i sadrži attachment

- žtrvi se mail ne čini opasan i otvara mail

- mail attachment otvaranjem inficira računalo žrtve (na žalost znatan postotak zaštita antivirus i slično ne prepoznaju opasnost)

- pokrenuta aplikacija dohvaća s interneta prave opasnosti. Kako su kriptirane prolaze sve što bi ih na putu moglo prepoznati

Ovime žrtvino računalo postaje bot.

Izvođenje napada na internetsko bankarstvo.

Žrtva pokušava na uobičajen način pristupiti aplikaciji.

Po unosu podataka iz autentifikacijskog uređaja, podaci se presreću i šalju napadaču, a žrtvi se pokazuje greška kao da su podaci neispravno uneseni. Ponovnim upisom ulazi u aplikaciju, no napadač je već iskoristio podatke koje je dobio pa i on ulazi.

===

U slučaju autorizacije koja se razlikuje od podataka na ulazu u aplikaciju, tipično se opet kreće od prijavnice.

Na prijavnici napadač mijenja izgled login stranice, na način da dodaje polja kakva se tipično nalaze na stranici autorizacije transakcija, a žrtvu pokušava uvjeriti da je neophodno popuniti dodatna polja ("za test" ili "za provjeru autentičnosti" ili neki drugi razlog.

===

drugi način zaraze je da napadač pokuša na web stranice koje svakodnevno korsitite podmetnuti "reklamu" koja je većinu vremena legalna najnormalnija, a onda u određenom (tipično kratkom vremenu) klik na reklamu odvede na web stranicu s koje se pokupi zaraza.

Treba primjetiti da

a) ne morate posjećivati neobične stranice da bi bili zaraženi

b) na žalost svih nas koji od antivirusa očekujemo možda previše, oni nisu u stanju obaviti svoj posao

Nitko ne kaže da su nepotrebni, već jednostavno nije lako da budu dovoljno dobri obzirom nije više kao nekada da maliciozni kod nekog tipa ima određeni "potpis" već se mijenjaju veliki broj puta u samo jednom danu.

Veća efikasnost se postiže praćenjem ponašanja malicioznih programa (kopiranje sadržaja ekrana, hvatanje pristusnutuh tipki, komunikacija s drugim serverima...) 

c) često kao korisnik niste svjesni da se nešto događa

d) na žalost banka ne može razlikovati vašu aktivnost od aktivnosti napadača

Što očekivati?

Zamislite da ste banka, a godina je 2013. Svjesni da nikada sustavi nisu dovoljno sigurni, podižete nivo sigurnosti. Uvodite uređaje s tipkovnicom za unos pina i ekranom, tražite od korisnika da svaku transakciju radi u radnom vremenu koje više nije 24/7; tražite da se transakcije dodatno autoriziraju dodatnim kanalom, po svakom provođenju šaljete SMS i email. Naravno od korisnika očekujete da snose bar dio tih troškova, pa vaše naknade rastu, kao i trošak novih uređaja.

I sad to ponudite korisniku objašnjavajući mu da će doći vrijeme kada će sve to imati smisla.

A sad se stavite u ulogu korisnika.

Ta banka mi želi znatno zakomplicirati život, a bez ikakvog razloga jer je dosada sve funkcioniralo puno jednostavnije. A na tržištu postoje i drugi koji nisu tako rigorozni.

Dakle tada - samo pola godine prije vaša odluka bi bila vjerojatno logična promjena banke.

Kako sada stvari stoje pokazala bi se nelogičnom, no tada bi bilo suludo prihvatiti ove "nemoguće uvjete".

Ali u zadnje vrijeme sve se promijenilo. Ono što se traži je pogodan omjer sigurnosti u odnosu na komociju korisnika.

Za očekivati je da unaprijed navedete brojeve računa i maksimalne mjesečne iznose koje ćete na njih plaćati. Kod takvih transakcija vjerojatno će biti komotnije nego kod onih drugih kod kojih su brojevi računa na koje tipično ne plaćate, ili pak veći iznosi koji nisu uobičajeni za vaše transakcije. No vjerojatno je normalno očekivati kupujem li stan ili auto i plaćam nekomu veliki iznos, da me na kraju i pridavi s malo više komplikacija oko autorizacije, pa čak i da me tjeraju da dodatno nazovem nekoga i potvrdim svoju transakciju.

Isto tako možda ću takvu transakciju morati obaviti tijekom radnog dana i nekog radnog vremena sličnom kako je u poslovnici.

Da razmalzili smo se, a sad se treba osvijestiti i prihvatiti neka ogranićenja.

Dodatno, jučer čitam kako su napadači dodatno prešli na datoteke na zaraženom računalu - pronađu datoteke koje im se čine da su vama dovoljno važne da kada iz kriptiraju - da mogu od vas tražiti određeni iznos za dekripciju.

Tako da ako se i odreknete Internet Bankarstva, vaša oaza nije sigurna...

Ovo mi se čini najgore moguće mjesto za napad - poput nevidljive osobe koja vam je iza leđa, a toga niste svjesni. (Naravno i sam se nadam da moje računalo nije jedno od "onih"....)

Zanima me - što se vama čini dovoljno učinkovito, a da bi bilo dovoljno ugodno za korišenje? 

(molim da se suzdržite pošalice koju ste već u mislima vjerojatno već napola napisali; hajde - jači ste od toga... :)

Tu je osnovni problem. Naći balans upotrebljivosti i sigurnosti.

Sad je Zaba krenula s tim m-tokenima, jest sigurnije, ali sad sam lud od poziva mnogih "kako sad to", "moram nabaviti novi mobitel, zašto ovaj iz '97. ne može to raditi", "kakvi su ovo brojevi" i slično.

U svakom slučaju, hvala vam ljudi na konkretnim i korisnim informacijama.
Žalostno je da se ovo može naći samo u ovakvim opskurnim internim prepiskama
u nekom komentaru neke teme na nekom forumu, a potencijalno može značiti razliku
između opljačkanog i "sigurnog".

Prije 20-30 godina kad tehnika nije bila toliko napredna banke su perfekto funkcionirale kao i danas. Kad si htio poslat pare bilo gdje i na kraj svijeta sve je perfektno urađeno. Kad si stavio pare na štednju dobio si "7 različitih" papira na kojima piše koliko para imaš i kad si ih uplatio i na njima je bilo 5-6 pečata i isto toliko potpisa. Tehnologija napreduje ali su ljudi ipak sigurniji i sve je lakše dokazat kad ti teta u pošti lupi 5 štambilja na račun onda si siguran kad za par mjeseci netko pita da li si platio ili ne. Danas i kad dođe do suđenja zbog ovakvih stvari , ti doneseš potvrde sa interneta sa svim mogućim bar kodovima i šiframa i onda te samo pitaju " A di je pečat" I tu sve završava banka nije kriva.

Poruka od Banke :)

 Jedan od načina širenja virusa koji mogu kompromitirati Vaše računalo je elektronička pošta. Dobili smo više Vaših prijava da ste zaprimili elektroničku poštu vezanu uz važan podatak / važnu obavijest / ugovor koji imaju SLIČNE mail adrese kao poznate financijske institucije (npr. info@zaba.hr, vazne@zaba.hr, lucy@zaba.hr, kristina@zaba.hr itd. ) ili telekomi. Dobivena pošta sadrži sumnjive privitke ili sumnjive linkove.
Molimo obratite pažnju na elektroničku poštu koju ne očekujete, a koja sadrži priloge i linkove. Savjetujemo Vam ne otvarajte takvu elektroničku poštu niti privitke i nemojte klikati na linkove iz te pošte (ne posjećujte internet stranice na koje upućuje link iz te elektroničke pošte), nego ju obrišite. Ako ste iste otvorili, ne pristupajte e-zabi, dok ne provjerite i očistite zloćudni kod s Vašeg računala, za što Vam mogu koristiti programi s portala Nacionalnog CERT-a (antibot.hr), a preporučujemo i da angažirate stručnu osobu za provjeru Vašeg računala.