Wydawca treści

Bezpieczeństwo

ZAPOZNAJ SIĘ Z ZASADAMI DOTYCZĄCYMI BEZPIECZEŃSTWA

Aktualizacja umowy

Informacja o sposobie aktualizacji Umowy o wykonywanie zleceń nabycia lub zbycia instrumentów finansowych oraz prowadzenie rachunków

Zasilenie rachunku

Uprzejmie informujemy, że w celu usprawnienia obsługi wpłat oraz przelewów dokonywanych na rachunki inwestycyjne ...

Promocje

Pakiet Prestige, Pakiet Student

ABC rynku

AKCJA Jest to udział w kapitale zakładowym spółki akcyjnej. Posiada ona wartość ...

Pożyteczne linki

Instytucje rynku kapitałowego ...

Edukacja

Poniższe materiały pochodzą ze strony Giełdy Papierów Wartościowych S. A. ...

System UTP

Nowe typy zleceń w UTP Nowy sposób obsługi zleceń typu PKC (Market Order) Zlecenie PKC jest zleceniem bez limitu ceny, realizowanym ...

Zagrożenia

Zagrożenia w Internecie

Dość istotnym faktem wpływającym na bezpieczeństwo transakcyjnych systemów elektronicznych jest indywidualne zachowanie użytkowników tych systemów. Świadomość mechanizmów zagrożeń wynikających z wykorzystywania internetowych systemów transakcyjnych może ograniczyć ryzyko zarówno wyłudzenia, jak i kradzieży naszych danych i uzyskania przez osoby trzecie nieautoryzowanego dostępu, min. do rachunku maklerskiego. Poniżej opisano główne zagrożenia, na jakie narażony jest klient bankowości internetowej.
Powszechnym zjawiskiem związanym z wyłudzeniami danych (login, hasło, kody jednorazowe) jest stosowanie metod manipulacji nazywanych socjotechnika lub inżynierią społeczną. Sposobów na atak z wykorzystaniem manipulacji jest naprawdę wiele. Dodatkowo wspierane są przez specjalne aplikacje, które znacznie poszerzają zakres manipulacji. Poniżej znajdą Państwo charakterystykę metod wykorzystywanych do wyłudzeń oraz kradzieży informacji.
 

  • Phishing – metoda podszywania się pod np. instytucję finansową w celu wyłudzenia określonych informacji. W większości przypadków przestępcy wysyłają fałszywe powiadomienia w postaci e-mail tzw. "spam" lub sms-ów, które w odpowiedzi sugerują wysłanie danych. Dodatkowo w treści takiej wiadomości może występować ukryty link do specjalnie spreparowanej strony danej instytucji. Dopiero po przekierowaniu na taką stronę użytkownik proszony jest o wprowadzenie loginu, hasła lub kodu jednorazowego. Należy zaznaczyć również, że linki do takich stron rozpowszechniane są w inny sposób, min. poprzez pozycjonowanie w wyszukiwarkach internetowych witryn wyłudzających dane. Adresy URL tych witryn w nieznaczny sposób różnią się od autentycznych adresów. Wystarczy dokonać zmiany w taki sposób, by obejmowała ona oryginalną nazwę adresu URL, ale z dodatkowym znakiem czy też wyrazem, np. dla właściwej nazwy https://epp.millenniumdm.pl/ może zostać udostępniony http://epp-millenniumdm.pl/. 
     
  • Pharming - metoda znacznie niebezpieczniejsza od phishingu, ponieważ trudniejsza do wykrycia. Podobnie jak phising polega ona na przekierowaniu nas na fałszywą stronę internetową. W tym wypadku nawet po wpisaniu prawidłowego adresu strony dostajemy się na podrobiony serwis www. Atak ten polega na ingerowaniu w ustawienia systemu nazw domenowych (DNS) odpowiedzialnego za tłumaczenie nazwy mnemonicznej strony (https://epp.millenniumdm.pl/) na odpowiadający jej adres numeryczny (IP). Zazwyczaj korzystamy z serwerów DNS udostępnianych przez dostawców usług internetowych. Istnieją również sposoby modyfikowania plików znajdujących się bezpośrednio na naszym komputerze, które z pominięciem serwerów DNS mogą przekierować nas na fałszywą stronę. W tym przypadku jednak wcześniej nasz komputer musiałby zostać zainfekowany Trojanem czyli specjalnym oprogramowaniem, które może być także wykorzystywane do kradzieży danych poufnych.
     

Przestępcy internetowi wykorzystują cały wachlarz programów określanych 'oprogramowaniem złośliwym' ang. malware. Ataki z wykorzystaniem takiego oprogramowania mogą zostać przeprowadzone zarówno na osobisty komputer lub urządzenie sieciowe np. router wi-fi. 

  • Keyloggery - poprzez instalację takiego oprogramowania na komputerze przestępca może przechwycić wpisaną z klawiatury sekwencję znaków użytych do autoryzacji. Sama instalacja może nastąpić w połączeniu z metodą phishing, czyli np. otrzymujemy maila pochodzącego rzekomo od danej instytucji finansowej z informacją dotyczącą nowego produktu antyspamowego, który został załączony do wiadomości. Po pobraniu i instalacji przesłanej aplikacji komputer zostaje zainfekowany keyloggerem. Proces instalacji może nastąpić również automatycznie poprzez odwiedziny na specjalnie zainfekowanej witrynie. Skrypt umieszczony na takiej stronie wykorzystując luki w przeglądarce bez naszej wiedzy wprowadzi do naszego systemu keyloggera. Spotykane są także keyloggery sprzętowe. Są to niewielkie urządzenia, które można przymocować do klawiatury lub umieścić w kablu lub samym komputerze. Urządzenia te są rzadko używane ze względu na konieczność fizycznego dostępu do komputera, jednak mogą być szczególnie niebezpieczne, np. podczas korzystania z komputerów udostępnionych w kawiarenkach internetowych, biblioteki. 
     
  • Man-in-the-browser - atak zaczynający się infekcją przeglądarki internetowej przy wykorzystaniu oprogramowania złośliwego. Włamanie na komputer może nastąpić zarówno w czasie przypadkowego odwiedzenia zainfekowanej strony internetowej lub w wyniku uruchomienia odnośników, załączników otrzymanych pocztą elektroniczną. Zmieniona funkcjonalność przeglądarki internetowej umożliwi zmodyfikowanie treści transakcji lub wykonanie dodatkowej transakcji. 
     
  • Man-in-the-middle - po przejęciu kontroli nad domowym urządzeniem sieciowym cyberprzestępca pośredniczy w komunikacji pomiędzy stronami połączenia. Z pomocą uzyskanych w ten sposób informacji może on podszyć się pod jedną z komunikujących się stron i przechwycić pozostałe dane umożliwiające uwierzytelnienie.
     

Zachęcamy do zapoznania się z poniższymi publikacjami związanymi z zagrożeniami w cyberprzestrzeni.

Publikacje Komisji Nadzoru Finansowego dotyczącymi kwestii zagrożeń związanych z bankowością elektroniczną:
Usługi bankowości elektronicznej. Charakterystyka i zagrożenia.
Bezpieczeństwo finansowe w bankowości elektronicznej - przestępstwa finansowe związane z bankowością elektroniczną.


Publikacje Urzędu Komunikacji Elektronicznej:
Poradnik bezpiecznego korzystania ze środków komunikacji elektronicznej w cyberprzestrzeni.
Poradnik bezpiecznego korzystania z urządzeń mobilnych podłączonych do sieci Internet

Organizacje