W Citibanku, Kredyt Banku, BPH, Millennium i ING zabezpieczenia są najsłabsze
Wiadomość o tym, że z internetowych kont klientów banku BPH hakerzy ukradli milion złotych, paradoksalnie może mieć pozytywny wydźwięk. Nie tylko dlatego, że dzięki komputerowym złodziejom przypomniano sobie o takich terminach jak phishing (kradzież danych osobowych) czy spyware (programy szpiegujące). Można mieć nadzieję, że zdarzenia tego rodzaju przynajmniej niektóre polskie banki skłonią do lepszego zabezpieczenia internetowych kont.
Zdaniem Piotra Kaszycy z polskiego oddziału RSA Security, firmy zajmującej się bezpieczeństwem w sieciach, banki mają możliwości, aby zapobiegać przypadkom wchodzenia do systemu nieuprawnionych osób. - Na rynku są dostępne tzw. technologie silnego uwierzytelniania, takie jak token SecurID, które praktycznie eliminują zagrożenie ze strony internetowych złodziei - wyjaśnia. Tokeny to małe elektroniczne urządzenia, które tworzą ciąg liczb. Poprawne ich podanie jest niezbędne do zalogowania się w banku lub do dokonania przelewu.
Jako przykład wręcz skandalicznej niefrasobliwości najczęściej podawany jest Citibank. Aby dokonać w nim internetowej transakcji, nie trzeba jej potwierdzać żadnym hasłem. Wystarczy zalogować się na stronę banku, podając login i stałe hasło użytkownika, a potem można robić, co się chce. Nic więc dziwnego, że bank ten stał się najpopularniejszym na świecie celem phishingu. Typowy atak przebiegał następująco: phisherzy rozsyłali e-maile, które wyglądały jak wiadomość od Citibanku. Użytkownicy proszeni byli o wejście na wskazane w e-mailu strony WWW, by zweryfikować dane. Po kliknięciu na link podany w e-mailu trafiali na miejsce do złudzenia przypominające prawdziwą stronę Citibanku, gdzie proszono ich o wpisanie loginu i hasła. Dane tych, którzy się dali nabrać, trafiły w ręce złodziei. Nie mogliby ich wykorzystać, gdyby Citibank stosował lepsze systemy zabezpieczenia, np. przy realizacji przelewów prosił klienta dodatkowo o podanie jednorazowego kodu generowanego przez token.
W wypadku BPH kradzieży dokonano z wykorzystaniem tzw. koni trojańskich rozsyłanych e-mailem do klientów. Program monitorował aktywność użytkownika i zapisywał dane umożliwiające korzystanie z internetowego konta bankowego. Po zdobyciu informacji złodzieje logowali się na strony banku i transferowali pieniądze na swoje konta, zakładane na podstawie fałszywych dokumentów. Natychmiast dokonywali wypłat. Co prawda, aby dokonać przelewu w BPH, trzeba było podać inne hasło niż przy logowaniu, ale nie było ono jednorazowe. Po dokonaniu jednej transakcji zabezpieczenie stawało się łupem hakerów i było niewiele warte. System ten wciąż stosują Kredyt Bank czy ING Bank Śląski.
Są też dobrze zabezpieczone konta, np. BZ WBK. Transakcje potwierdza się hasłem z tokena, którego uruchomienie wymaga wprowadzenia pięciocyfrowego hasła PIN (kod uniemożliwia użycie urządzenia po kradzieży) lub kodem otrzymywanym SMS-em każdorazowo z banku na podany przy podpisaniu umowy numer komórki (tzw. SMS-kod).
- Polskie banki internetowe powtarzają, że zapewniają bezpieczeństwo klientom, ponieważ stosują mechanizm szyfrowania transmisji SSL. Tymczasem jest to tylko jeden z wielu elementów składających się na bezpieczeństwo korzystania z bankowości internetowej - zauważa Michał Jarski z Internet Security System Polska. Mówił o tym na targach Moje Pieniądze, przewidując nieubłagane skutki tych zaniedbań. - Przedstawiciele banków zignorowali to, postrzegając ewentualne działania w tym zakresie wyłącznie jako koszt - mówi specjalista. Na efekt nie trzeba było długo czekać.
BPH w telewizyjnej reklamie namawia ostatnio do skorzystania ze swoich usług. Pracownik banku, indagowany przez Janusza Weissa odgrywającego rolę dociekliwego klienta, skrzętnie wylicza zalety i korzyści wynikające z założenia konta. Reklamę kończy uwaga jednej ze sprzątaczek: "Zapomniał powiedzieć o internecie". W kontekście ostatnich wydarzeń może to i dobrze, bo niewykluczone, że część nowych klientów błyskawicznie wróciłaby tam, skąd przyszła.
Gdzie bezpiecznie, a gdzie niebezpiecznie
Redakcja magazynu komputerowego Chip przetestowała pod koniec 2004 roku systemy bezpieczeństwa w internetowych bankach i na tej podstawie stworzyła ranking.
Najgorzej wypadły: Citibank, Bank Millennium, Kredyt Bank, BPH, ING Bank Śląski, Pekao SA, mBank, Inteligo, Deutsche Bank PBC
Najlepsze oceny dostały: BZ WBK, BGŻ (w opcji z tokenem), Nordea (w opcji z listą, w której system pyta o losowo wybrane hasło), Raiffeisen Bank
Wiadomość o tym, że z internetowych kont klientów banku BPH hakerzy ukradli milion złotych, paradoksalnie może mieć pozytywny wydźwięk. Nie tylko dlatego, że dzięki komputerowym złodziejom przypomniano sobie o takich terminach jak phishing (kradzież danych osobowych) czy spyware (programy szpiegujące). Można mieć nadzieję, że zdarzenia tego rodzaju przynajmniej niektóre polskie banki skłonią do lepszego zabezpieczenia internetowych kont.
Zdaniem Piotra Kaszycy z polskiego oddziału RSA Security, firmy zajmującej się bezpieczeństwem w sieciach, banki mają możliwości, aby zapobiegać przypadkom wchodzenia do systemu nieuprawnionych osób. - Na rynku są dostępne tzw. technologie silnego uwierzytelniania, takie jak token SecurID, które praktycznie eliminują zagrożenie ze strony internetowych złodziei - wyjaśnia. Tokeny to małe elektroniczne urządzenia, które tworzą ciąg liczb. Poprawne ich podanie jest niezbędne do zalogowania się w banku lub do dokonania przelewu.
Jako przykład wręcz skandalicznej niefrasobliwości najczęściej podawany jest Citibank. Aby dokonać w nim internetowej transakcji, nie trzeba jej potwierdzać żadnym hasłem. Wystarczy zalogować się na stronę banku, podając login i stałe hasło użytkownika, a potem można robić, co się chce. Nic więc dziwnego, że bank ten stał się najpopularniejszym na świecie celem phishingu. Typowy atak przebiegał następująco: phisherzy rozsyłali e-maile, które wyglądały jak wiadomość od Citibanku. Użytkownicy proszeni byli o wejście na wskazane w e-mailu strony WWW, by zweryfikować dane. Po kliknięciu na link podany w e-mailu trafiali na miejsce do złudzenia przypominające prawdziwą stronę Citibanku, gdzie proszono ich o wpisanie loginu i hasła. Dane tych, którzy się dali nabrać, trafiły w ręce złodziei. Nie mogliby ich wykorzystać, gdyby Citibank stosował lepsze systemy zabezpieczenia, np. przy realizacji przelewów prosił klienta dodatkowo o podanie jednorazowego kodu generowanego przez token.
W wypadku BPH kradzieży dokonano z wykorzystaniem tzw. koni trojańskich rozsyłanych e-mailem do klientów. Program monitorował aktywność użytkownika i zapisywał dane umożliwiające korzystanie z internetowego konta bankowego. Po zdobyciu informacji złodzieje logowali się na strony banku i transferowali pieniądze na swoje konta, zakładane na podstawie fałszywych dokumentów. Natychmiast dokonywali wypłat. Co prawda, aby dokonać przelewu w BPH, trzeba było podać inne hasło niż przy logowaniu, ale nie było ono jednorazowe. Po dokonaniu jednej transakcji zabezpieczenie stawało się łupem hakerów i było niewiele warte. System ten wciąż stosują Kredyt Bank czy ING Bank Śląski.
Są też dobrze zabezpieczone konta, np. BZ WBK. Transakcje potwierdza się hasłem z tokena, którego uruchomienie wymaga wprowadzenia pięciocyfrowego hasła PIN (kod uniemożliwia użycie urządzenia po kradzieży) lub kodem otrzymywanym SMS-em każdorazowo z banku na podany przy podpisaniu umowy numer komórki (tzw. SMS-kod).
- Polskie banki internetowe powtarzają, że zapewniają bezpieczeństwo klientom, ponieważ stosują mechanizm szyfrowania transmisji SSL. Tymczasem jest to tylko jeden z wielu elementów składających się na bezpieczeństwo korzystania z bankowości internetowej - zauważa Michał Jarski z Internet Security System Polska. Mówił o tym na targach Moje Pieniądze, przewidując nieubłagane skutki tych zaniedbań. - Przedstawiciele banków zignorowali to, postrzegając ewentualne działania w tym zakresie wyłącznie jako koszt - mówi specjalista. Na efekt nie trzeba było długo czekać.
BPH w telewizyjnej reklamie namawia ostatnio do skorzystania ze swoich usług. Pracownik banku, indagowany przez Janusza Weissa odgrywającego rolę dociekliwego klienta, skrzętnie wylicza zalety i korzyści wynikające z założenia konta. Reklamę kończy uwaga jednej ze sprzątaczek: "Zapomniał powiedzieć o internecie". W kontekście ostatnich wydarzeń może to i dobrze, bo niewykluczone, że część nowych klientów błyskawicznie wróciłaby tam, skąd przyszła.
Gdzie bezpiecznie, a gdzie niebezpiecznie
Redakcja magazynu komputerowego Chip przetestowała pod koniec 2004 roku systemy bezpieczeństwa w internetowych bankach i na tej podstawie stworzyła ranking.
Najgorzej wypadły: Citibank, Bank Millennium, Kredyt Bank, BPH, ING Bank Śląski, Pekao SA, mBank, Inteligo, Deutsche Bank PBC
Najlepsze oceny dostały: BZ WBK, BGŻ (w opcji z tokenem), Nordea (w opcji z listą, w której system pyta o losowo wybrane hasło), Raiffeisen Bank
Zdaniem Piotra Kaszycy z polskiego oddziału RSA Security, firmy zajmującej się bezpieczeństwem w sieciach, banki mają możliwości, aby zapobiegać przypadkom wchodzenia do systemu nieuprawnionych osób. - Na rynku są dostępne tzw. technologie silnego uwierzytelniania, takie jak token SecurID, które praktycznie eliminują zagrożenie ze strony internetowych złodziei - wyjaśnia. Tokeny to małe elektroniczne urządzenia, które tworzą ciąg liczb. Poprawne ich podanie jest niezbędne do zalogowania się w banku lub do dokonania przelewu.
Jako przykład wręcz skandalicznej niefrasobliwości najczęściej podawany jest Citibank. Aby dokonać w nim internetowej transakcji, nie trzeba jej potwierdzać żadnym hasłem. Wystarczy zalogować się na stronę banku, podając login i stałe hasło użytkownika, a potem można robić, co się chce. Nic więc dziwnego, że bank ten stał się najpopularniejszym na świecie celem phishingu. Typowy atak przebiegał następująco: phisherzy rozsyłali e-maile, które wyglądały jak wiadomość od Citibanku. Użytkownicy proszeni byli o wejście na wskazane w e-mailu strony WWW, by zweryfikować dane. Po kliknięciu na link podany w e-mailu trafiali na miejsce do złudzenia przypominające prawdziwą stronę Citibanku, gdzie proszono ich o wpisanie loginu i hasła. Dane tych, którzy się dali nabrać, trafiły w ręce złodziei. Nie mogliby ich wykorzystać, gdyby Citibank stosował lepsze systemy zabezpieczenia, np. przy realizacji przelewów prosił klienta dodatkowo o podanie jednorazowego kodu generowanego przez token.
W wypadku BPH kradzieży dokonano z wykorzystaniem tzw. koni trojańskich rozsyłanych e-mailem do klientów. Program monitorował aktywność użytkownika i zapisywał dane umożliwiające korzystanie z internetowego konta bankowego. Po zdobyciu informacji złodzieje logowali się na strony banku i transferowali pieniądze na swoje konta, zakładane na podstawie fałszywych dokumentów. Natychmiast dokonywali wypłat. Co prawda, aby dokonać przelewu w BPH, trzeba było podać inne hasło niż przy logowaniu, ale nie było ono jednorazowe. Po dokonaniu jednej transakcji zabezpieczenie stawało się łupem hakerów i było niewiele warte. System ten wciąż stosują Kredyt Bank czy ING Bank Śląski.
Są też dobrze zabezpieczone konta, np. BZ WBK. Transakcje potwierdza się hasłem z tokena, którego uruchomienie wymaga wprowadzenia pięciocyfrowego hasła PIN (kod uniemożliwia użycie urządzenia po kradzieży) lub kodem otrzymywanym SMS-em każdorazowo z banku na podany przy podpisaniu umowy numer komórki (tzw. SMS-kod).
- Polskie banki internetowe powtarzają, że zapewniają bezpieczeństwo klientom, ponieważ stosują mechanizm szyfrowania transmisji SSL. Tymczasem jest to tylko jeden z wielu elementów składających się na bezpieczeństwo korzystania z bankowości internetowej - zauważa Michał Jarski z Internet Security System Polska. Mówił o tym na targach Moje Pieniądze, przewidując nieubłagane skutki tych zaniedbań. - Przedstawiciele banków zignorowali to, postrzegając ewentualne działania w tym zakresie wyłącznie jako koszt - mówi specjalista. Na efekt nie trzeba było długo czekać.
BPH w telewizyjnej reklamie namawia ostatnio do skorzystania ze swoich usług. Pracownik banku, indagowany przez Janusza Weissa odgrywającego rolę dociekliwego klienta, skrzętnie wylicza zalety i korzyści wynikające z założenia konta. Reklamę kończy uwaga jednej ze sprzątaczek: "Zapomniał powiedzieć o internecie". W kontekście ostatnich wydarzeń może to i dobrze, bo niewykluczone, że część nowych klientów błyskawicznie wróciłaby tam, skąd przyszła.
Gdzie bezpiecznie, a gdzie niebezpiecznie
Redakcja magazynu komputerowego Chip przetestowała pod koniec 2004 roku systemy bezpieczeństwa w internetowych bankach i na tej podstawie stworzyła ranking.
Najgorzej wypadły: Citibank, Bank Millennium, Kredyt Bank, BPH, ING Bank Śląski, Pekao SA, mBank, Inteligo, Deutsche Bank PBC
Najlepsze oceny dostały: BZ WBK, BGŻ (w opcji z tokenem), Nordea (w opcji z listą, w której system pyta o losowo wybrane hasło), Raiffeisen Bank
Wiadomość o tym, że z internetowych kont klientów banku BPH hakerzy ukradli milion złotych, paradoksalnie może mieć pozytywny wydźwięk. Nie tylko dlatego, że dzięki komputerowym złodziejom przypomniano sobie o takich terminach jak phishing (kradzież danych osobowych) czy spyware (programy szpiegujące). Można mieć nadzieję, że zdarzenia tego rodzaju przynajmniej niektóre polskie banki skłonią do lepszego zabezpieczenia internetowych kont.
Zdaniem Piotra Kaszycy z polskiego oddziału RSA Security, firmy zajmującej się bezpieczeństwem w sieciach, banki mają możliwości, aby zapobiegać przypadkom wchodzenia do systemu nieuprawnionych osób. - Na rynku są dostępne tzw. technologie silnego uwierzytelniania, takie jak token SecurID, które praktycznie eliminują zagrożenie ze strony internetowych złodziei - wyjaśnia. Tokeny to małe elektroniczne urządzenia, które tworzą ciąg liczb. Poprawne ich podanie jest niezbędne do zalogowania się w banku lub do dokonania przelewu.
Jako przykład wręcz skandalicznej niefrasobliwości najczęściej podawany jest Citibank. Aby dokonać w nim internetowej transakcji, nie trzeba jej potwierdzać żadnym hasłem. Wystarczy zalogować się na stronę banku, podając login i stałe hasło użytkownika, a potem można robić, co się chce. Nic więc dziwnego, że bank ten stał się najpopularniejszym na świecie celem phishingu. Typowy atak przebiegał następująco: phisherzy rozsyłali e-maile, które wyglądały jak wiadomość od Citibanku. Użytkownicy proszeni byli o wejście na wskazane w e-mailu strony WWW, by zweryfikować dane. Po kliknięciu na link podany w e-mailu trafiali na miejsce do złudzenia przypominające prawdziwą stronę Citibanku, gdzie proszono ich o wpisanie loginu i hasła. Dane tych, którzy się dali nabrać, trafiły w ręce złodziei. Nie mogliby ich wykorzystać, gdyby Citibank stosował lepsze systemy zabezpieczenia, np. przy realizacji przelewów prosił klienta dodatkowo o podanie jednorazowego kodu generowanego przez token.
W wypadku BPH kradzieży dokonano z wykorzystaniem tzw. koni trojańskich rozsyłanych e-mailem do klientów. Program monitorował aktywność użytkownika i zapisywał dane umożliwiające korzystanie z internetowego konta bankowego. Po zdobyciu informacji złodzieje logowali się na strony banku i transferowali pieniądze na swoje konta, zakładane na podstawie fałszywych dokumentów. Natychmiast dokonywali wypłat. Co prawda, aby dokonać przelewu w BPH, trzeba było podać inne hasło niż przy logowaniu, ale nie było ono jednorazowe. Po dokonaniu jednej transakcji zabezpieczenie stawało się łupem hakerów i było niewiele warte. System ten wciąż stosują Kredyt Bank czy ING Bank Śląski.
Są też dobrze zabezpieczone konta, np. BZ WBK. Transakcje potwierdza się hasłem z tokena, którego uruchomienie wymaga wprowadzenia pięciocyfrowego hasła PIN (kod uniemożliwia użycie urządzenia po kradzieży) lub kodem otrzymywanym SMS-em każdorazowo z banku na podany przy podpisaniu umowy numer komórki (tzw. SMS-kod).
- Polskie banki internetowe powtarzają, że zapewniają bezpieczeństwo klientom, ponieważ stosują mechanizm szyfrowania transmisji SSL. Tymczasem jest to tylko jeden z wielu elementów składających się na bezpieczeństwo korzystania z bankowości internetowej - zauważa Michał Jarski z Internet Security System Polska. Mówił o tym na targach Moje Pieniądze, przewidując nieubłagane skutki tych zaniedbań. - Przedstawiciele banków zignorowali to, postrzegając ewentualne działania w tym zakresie wyłącznie jako koszt - mówi specjalista. Na efekt nie trzeba było długo czekać.
BPH w telewizyjnej reklamie namawia ostatnio do skorzystania ze swoich usług. Pracownik banku, indagowany przez Janusza Weissa odgrywającego rolę dociekliwego klienta, skrzętnie wylicza zalety i korzyści wynikające z założenia konta. Reklamę kończy uwaga jednej ze sprzątaczek: "Zapomniał powiedzieć o internecie". W kontekście ostatnich wydarzeń może to i dobrze, bo niewykluczone, że część nowych klientów błyskawicznie wróciłaby tam, skąd przyszła.
Gdzie bezpiecznie, a gdzie niebezpiecznie
Redakcja magazynu komputerowego Chip przetestowała pod koniec 2004 roku systemy bezpieczeństwa w internetowych bankach i na tej podstawie stworzyła ranking.
Najgorzej wypadły: Citibank, Bank Millennium, Kredyt Bank, BPH, ING Bank Śląski, Pekao SA, mBank, Inteligo, Deutsche Bank PBC
Najlepsze oceny dostały: BZ WBK, BGŻ (w opcji z tokenem), Nordea (w opcji z listą, w której system pyta o losowo wybrane hasło), Raiffeisen Bank