Zacznijmy od podstaw: kiedy mamy do czynienia z uwierzytelnianiem, a kiedy z autoryzacją? Uwierzytelnianie polega na sprawdzeniu, czy osoba próbująca uzyskać dostęp do internetowego konta bankowego jest tą, za którą się podaje. Aby do tego doszło, na stronie logowania do serwisu transakcyjnego musi ona zwykle wpisać swój identyfikator i ustalone wcześniej hasło, coraz częściej wzmocnione dodatkowymi zabezpieczeniami. Autoryzacja umożliwia z kolei potwierdzenie, że dyspozycję wykonania określonej operacji (np. przelewu) złożyła uprawniona do tego osoba. Eksperci coraz większe znaczenie przypisują możliwości zweryfikowania parametrów zleconej transakcji.

Warto odnotować, że każdy z przebadanych przez nas banków stosuje dwustopniowy poziom zabezpieczeń – samo zalogowanie się na konto daje klientowi (ale i hipotetycznemu przestępcy) niewielkie pole manewru, gdyż przeprowadzenie większości operacji wymaga ich zautoryzowania.

Analitycy serwisu Bankier.pl, którzy w październiku 2009 r. przygotowali własny raport na temat bezpieczeństwa bankowości internetowej, tłumaczą taki stan rzeczy... zapóźnieniem polskiego sektora bankowego. W raporcie czytamy: Chociaż początkowo nie było to być może rozsądne biznesowo, ale rodzime banki od razu postawiły na bezpieczeństwo wykonywanych transakcji. Co prawda utrudniło to na początku rozwój i podwyższało koszt wdrożenia i utrzymania systemów, ale ostatecznie okazało się, że dzięki temu uniknięto błędów popełnionych w innych krajach, które postawiły na łatwość korzystania kosztem bezpieczeństwa (zob. Najbezpieczniejsze banki internetowe w Polsce).

Do ochrony kont indywidualnych polskie banki stosują obecnie cały szereg metod uwierzytelniania i autoryzacji. Które są najlepsze? Przyjrzyjmy się im po kolei.

Logowanie się do serwisu transakcyjnego

Najczęściej wykorzystywaną metodą uwierzytelniania są hasła, które mogą być statyczne lub maskowane. W tym pierwszym przypadku klient musi podać całe zapamiętane przez siebie hasło. Niektóre banki, zamiast pełnego hasła, żądają wpisania tylko niektórych znaków, za każdym razem innych – mówimy wówczas o haśle maskowanym.

Istnieje wiele sposobów wyłudzania haseł do systemów bankowości internetowej, jednym z najpopularniejszych pozostaje wciąż phishing. Według ekspertów z PandaLabs co tydzień w internecie pojawia się 57 tys. nowych stron podszywających się pod około 375 rozpoznawalnych marek z całego świata. Prawie 65% z nich udaje witryny różnych banków, także polskich. Potencjalne ofiary są na nie wabione głównie przy użyciu poczty elektronicznej (zob. Phishing – jak go rozpoznać i jak się przed nim chronić). Bardziej wymyślną metodą ataku jest pharming, który umożliwia przekierowanie internauty na podrobioną stronę bez jego wiedzy i zgody. Cyberprzestępcy wykorzystują do tego celu złośliwe oprogramowanie, które zmienia adresy DNS na komputerze lub serwerze ofiary (zob. Pharming – na czym polega i jak się przed nim zabezpieczyć). Ponadto do przechwytywania haseł używa się specjalnych programów – keyloggerów, które rejestrują wszystkie uderzenia klawiszy na klawiaturze podłączonej do zainfekowanego komputera. Znaleziono też sposób na banki, które zalecają swoim klientom korzystanie z wirtualnej klawiatury – powstały aplikacje wykonujące zrzuty ekranów z zapisem położenia kursora myszy (tzw. mouse loggery).

To czynnik ludzki jest piętą achillesową systemów bezpieczeństwa – napisał w swojej książce pt. „Sztuka podstępu” Kevin Mitnick, jeden z najbardziej znanych sieciowych włamywaczy. I miał rację, bo część stosowanych przez banki zabezpieczeń staje się bezwartościowa, jeśli klient – mniej lub bardziej świadomie – przekaże kluczowe informacje złodziejom.

Hasła maskowane eksperci uznają za bardziej bezpieczne od statycznych, ale i one podatne są na wszystkie opisane wyżej metody wyłudzania, zwiększa się tylko liczba prób koniecznych do zdobycia pełnego hasła. Dlatego coraz więcej banków wprowadza dodatkowe mechanizmy zabezpieczające. Do najprostszych należy wyświetlenie spersonalizowanego obrazka, wybranego podczas rejestracji. Obrazek taki pojawia się od razu po wpisaniu identyfikatora albo już po zalogowaniu się do serwisu transakcyjnego, a jego zadaniem jest upewnienie klienta, że korzysta z autentycznej strony bankowej. Niektóre typy ataków, takie jak man-in-the-middle czy man-in-the browser, bez większych problemów omijają to zabezpieczenie.

Wspominany wcześniej atak phishingowy zakłada wykorzystanie pozyskanych informacji w bliżej nieokreślonej przyszłości. W przypadku ataku man-in-the-middle przestępca posługuje się przechwyconymi danymi w czasie rzeczywistym, np. gdy ofiara po zalogowaniu się na sfałszowanej stronie zleca wykonanie jakiejś operacji, on – korzystając z wprowadzonych przez nią danych – loguje się do prawdziwego serwisu transakcyjnego i przelewa jej środki na własny rachunek. Z atakiem man-in-the-browser mamy do czynienia, kiedy za podsłuch i podmianę danych odpowiedzialne jest złośliwe oprogramowanie, które cyberprzestępcy udało się zainstalować na komputerze ofiary.

Do metod zabezpieczających przed phishingiem i pharmingiem należy udostępniana przez niektóre banki możliwość logowania się do serwisu transakcyjnego z wykorzystaniem maskowanego hasła i jednorazowego kodu SMS dostarczanego na podany wcześniej numer telefonu komórkowego. Sposób ten nie chroni jednak przed atakami w czasie rzeczywistym.

Nieco pewniejszą metodą wzmocnienia hasła w procesie uwierzytelniania jest zastosowanie tokenu – na takie rozwiązanie zdecydowało się 7 z 20 przebadanych przez nas banków. Dostępne są tokeny sprzętowe, przypominające breloki do kluczy, oraz pod postacią aplikacji w telefonie komórkowym. Ich zadaniem jest generowanie jednorazowych, niepowtarzalnych kodów, które klient podczas logowania wpisuje najczęściej w to samo pole, co hasło (statyczne bądź maskowane). Banki oferują tokeny generujące kody na bazie czasu lub licznika. Te pierwsze eksperci uznają za bezpieczniejsze, gdyż wyświetlane przez nie hasła są unieważniane po upływie określonego czasu (np. 30 sekund), co utrudnia przeprowadzanie typowych ataków na klientów bankowości internetowej.

Do serwisów transakcyjnych niektórych banków można też zalogować się z wykorzystaniem sprzętowego podpisu elektronicznego. Banki udostępniające taką metodę uwierzytelniania wyposażają swoich klientów w zestaw do składania podpisu – czytnik, kartę z certyfikatem oraz odpowiednią bibliotekę do obsługi zestawu. Może to być również urządzenie typu USB łączące w sobie czytnik z kartą. Jest to dobre zabezpieczenie przed atakami phishingowymi i man-in-the-middle, cyberprzestępcy dysponują jednak oprogramowaniem, które potrafi modyfikować dane przekazywane do podpisu, wyświetlając na ekranie informacje niewzbudzające podejrzeń użytkownika (atak man-in-the-browser). Dlatego warto pamiętać o regularnym aktualizowaniu zarówno systemu operacyjnego, jak i zainstalowanych na nim aplikacji, zwłaszcza pakietu antywirusowego.

Autoryzacja transakcji

Banki powoli się wycofują ze stosowania kart z kodami jednorazowymi w postaci zdrapek, gdzie hasła służące do potwierdzania zleconych operacji dostępne są po starciu warstwy ochronnej. System prosi zwykle o podanie kodu o konkretnym numerze. Na rynku funkcjonują też karty typu macierz, gdzie kod buduje się z wartości umieszczonych w różnych polach. Teoretycznie są one bezpieczniejsze od kart z kodami wydrukowanymi po kolei, od nieświadomego użytkownika phisher łatwo jednak może wyłudzić zarówno kilka następujących po sobie kodów, jak i całą macierz. Metoda ta nie jest również odporna na ataki man-in-the-middle i man-in-the-browser.

Aż 12 spośród 20 przebadanych przez nas banków oferuje możliwość autoryzowania operacji za pośrednictwem wiadomości SMS zawierającej opis złożonej dyspozycji (np. kwotę, datę i wybrane cyfry z numeru rachunku) oraz unikalne hasło powiązane z daną transakcją. Do niedawna metoda ta uchodziła za najbezpieczniejszą, cyberprzestępcom udało się jednak opracować szkodliwe oprogramowanie, które zagnieżdża się w nowoczesnych telefonach komórkowych i potrafi przechwytywać wysyłane przez banki SMS-y. Atak ten, stosowany często w połączeniu z phishingiem, znany jest pod nazwą man-in-the-mobile (zob. Policja: uważaj na nowy phishing... i bądź legalny).

Klienci banków wykorzystujący w procesie uwierzytelniania tokeny mogą posłużyć się nimi także do autoryzowania transakcji. Oprócz wspomnianych wcześniej tokenów generujących kody na bazie czasu lub licznika w użytku są urządzenia i aplikacje mobilne z funkcją challenge-response. Kiedy klient zleca wykonanie określonej operacji, np. przelewu, system bankowy generuje kod transakcji (tzw. challenge). Właściciel konta musi wprowadzić go do tokena, by uzyskać kod potwierdzający (tzw. response), który trzeba następnie wpisać w serwisie transakcyjnym. Tokeny pod postacią aplikacji w telefonie mają tę przewagę nad sprzętowymi, że potrafią wyświetlić szczegółowe dane transakcji, której dotyczą.

Istnieje też możliwość potwierdzania złożonych dyspozycji przy użyciu podpisu elektronicznego i to zarówno sprzętowego, o którym była już mowa, jak i programowego (certyfikat i klucze przechowywane są wówczas na komputerze klienta). Ten drugi sposób, z uwagi na mniejszą liczbę elementów niezbędnych do dokonania transakcji, jest bardziej podatny na ataki man-in-the-browser, choć podobnie jak pierwszy zabezpiecza przed phishingiem i atakami w czasie rzeczywistym.

Poniżej zamieszczamy przegląd zabezpieczeń oferowanych na kontach indywidualnych przez 20 banków działających na polskim rynku, przygotowany na podstawie informacji dostępnych na ich stronach internetowych (stan na dzień 22.02.2011).