19

Trudno mi sobie wyobrazić skuteczny atak phishingowy po wprowadzeniu silnego uwierzytelniania w bankach

Dyskusja pod wczorajszym wpisem o zmianach, które nas czekają po 14 września 2019 roku, skłoniła mnie do przemyśleń związanych z tym, jak utrudnią one życie przestępcom, którzy aktualnie prześcigają się w pomysłach na ataki phishingowe.

Najpierw przytoczę Wam zmianę, która nas czeka po wejściu w życie przepisów związanych z unijną dyrektywą PSD2 (Payment Services Directive 2), a która to sprowokowała tę dyskusję.

Co więc się zmieni dla klientów banków w Polsce? Przede wszystkim podczas korzystania z usług naszych banków spotkacie się z terminem silnego uwierzytelniania użytkowników, co oznacza, że podczas logowania do bankowości elektronicznej konieczne będzie zastosowanie drugiego oprócz loginu i hasła czynnika uwierzytelniającego. W praktyce będzie to wyglądało tak, że po udanym logowaniu klient będzie zobowiązany do potwierdzenia tego faktu kodem z SMS-a lub za pomocą mobilnej autoryzacji z poziomu aplikacji mobilnej naszego banku.

Zaznaczę od razu, że rozważamy ataki phishingowe, które znamy od dawna, a ich scenariusze opierają się na różnych zabiegach socjotechnicznych przestępców, które skłaniają ofiary do udostępnienia swoich danych logowania do bankowości elektronicznej na fałszywych stronach banków. Są to masowe akcje, liczone w tysiącach e-maili wysłanych do ofiar, z których część kończy się sukcesem i kradzieżą z kont.

Z rozważań wykluczam atak na duplikat karty SIM, bo skala jego nie jest tak duża, wymaga sporo zachodu od przestępców, a więc zwykle jest ukierunkowana na konkretne osoby, bo ciężko go przeprowadzić na wiele osób w tym samym czasie. Niemniej w przypadku takiego ataku mam nadzieję, że i jego skuteczność zostanie znacznie osłabiona z uwagi na nowe przepisy obowiązujące od 12 lipca, według których sprzedaż dowodów kolekcjonerskich będzie przestępstwem. Mam też nadzieję, że i firmy telekomunikacyjne wprowadzą odpowiednie procedury, chroniące swoich klientów przed tego typu atakami.

Tak więc, jak wygląda typowy atak phishingowy obecnie? Zwykle zaczyna się od wycieku danych ze sklepu internetowego, w którym często robimy zakupy, przestępcy wysyłają na wykradzione adresy e-mail czy numery telefonu informację, że nasza przesyłka zostanie wysłana, tylko musimy dopłacić 1,25 zł, bo zabrakło. Do wiadomości e-mail czy SMS-a dołączony jest link do dokonania płatności na fałszywej stronie, autoryzujemy płatność prawdziwymi danymi do bankowości elektronicznej, przestępcy loguje się nimi na prawdziwej stronie banku, dodają odbiorcę zaufanego, na nasz telefon przychodzi kod autoryzujący, przepisujemy go na fałszywej stronie myśląc, że to do potwierdzenia płatności i dalej już wiadomo, co się dzieje.

Co się stanie w takim przypadku po wprowadzeniu zmian i silnego uwierzytelniania 14 września? Zupełnie nic, przestępca uzyska tylko dostęp do naszego rachunku, będzie mógł sprawdzić co najwyżej naszą historię płatności, bo do dodania odbiorcy zaufanego będzie potrzebował kolejny kod z SMS-a, który przyjdzie na nasz telefon. Musieliby podstawić kolejną fałszywą stronę, a na tym etapie myślę, że odpadnie z 90% ofiar.

Byłoby naiwne z mojej strony sądzić, że nadchodzące zmiany zniwelują całkowicie ataki phishingowe, ale jestem przekonany, iż w znaczący sposób zostaną ograniczone, i że mocno utrudnią życie przestępcom, którzy z czasem z uwagi na dużo mniejszą skuteczność uznają je za nieopłacalne.