Wczoraj przez media niczym burza przetoczyła się informacja na temat złośliwego oprogramowania, które stworzono z myślą o użytkownikach bankowości elektronicznej. Choć o aplikacji E-Security eksperci CERT Polska informowali już jakiś czas temu, to głośno wokół całej sprawy zrobiło się dopiero wczoraj. Faktem jest, iż do tej pory temat nie doczekał się uwagi w mediach i z zagrożenia zdawali sobie sprawę nieliczni, więc ostatnie wydarzenia można skwitować słowami lepiej późno niż wcale.
Piszę o E-Security, ponieważ wychodzę z założenia, że o problemie powinno się mówić i pisać wszędzie – to poważne zagadnienie i należy je odpowiednio mocno komunikować. Wiele osób pewnie nie słyszało jeszcze o wspomnianej aplikacji i lepiej dmuchać na zimne. Zwłaszcza, iż wrzawa wokół tematu zapewne nie pojawiła się przypadkowo – cyberprzestępstwa stają się w Polsce sporym zagrożeniem, a większość ludzi w ogóle nie zdaje sobie z nich sprawy lub ma na ten temat blade pojęcie. Właśnie tę niewiedzę wykorzystują przestępcy. Coraz śmielej i na coraz większą skalę.
Zadaniem E-Security jest kradzież haseł jednorazowych do kont bankowości elektronicznej. Jeżeli ktoś myślał do tej pory, że otrzymywanie owych haseł za pomocą wiadomości SMS jest w pełni bezpieczne i chroni pieniądze na koncie w 100%, to muszę go zmartwić. Nie oznacza to oczywiście, że mamy do czynienia z trzymaniem pieniędzy w dziurawej skarpecie – jeżeli ktoś przestrzega zasad bezpieczeństwa, to jego środki nie są zagrożone. Przynajmniej w teorii. Twórcy E-Security żerują na grupie ludzi, która owych środków bezpieczeństwa nie stosuje.
Specjaliści CERT Polska wskazują, iż proces instalacji E-Security dzieli się na kilka części. Rozpoczyna się od zainfekowania komputera, potem pojawia się propozycja instalacji specjalnej aplikacji na telefonie („certyfikat E-Security”). Jeżeli użytkownik wykona tę czynność, to w przyszłości może mieć poważny problem – przestępcy będą mieli dostęp zarówno do jego komputera, jak i do smartfonu, a to może skutkować niekontrolowanymi przelewami. Właściciel konta nie będzie nawet wiedział kiedy doszło do przelania środków z jego konta. Wspomniane komunikaty i propozycje wyglądają dość wiarygodnie, więc część osób nie zaprząta sobie głowy ich sprawdzaniem i po prostu postępuje według wskazówek przestępców. Właśnie na tym polega ich największy błąd.
Głównym problemem nie jest w tym przypadku niewiedza, ponieważ każdy nie może być specjalistą we wszystkich dziedzinach. Jeżeli jednak nie ma się o czymś pojęcia, to zawsze warto sprawdzić u źródła (w tym przypadku należy podkreślić, że źródłem jest bank – to z nim trzeba się kontaktować, a nie z numerami podanymi w nadsyłanych komunikatach). Taka procedura zajmuje zazwyczaj niewiele czasu i warto go poświęcić, jeśli nie chcę się zostać z pustym kontem, długami albo innymi problemami natury prawnej lub finansowej. Banki (dotyczy to także innych instytucji) oraz wynajmowane przez nich firmy mogą wymyślić nawet tysiąc sensownych zabezpieczeń, ale zawsze znajdzie się jakiś sposób na ich ominięcie. Klientowi pozostaje, więc korzystać z zabezpieczenia podstawowego, a zarazem ostatecznego: własnego rozumu.
Źródło grafiki: thesun.co.uk