Bankowość online przez telefon - czy to bezpieczne?

Osoby, którym smartfon zastępuje komputer, nie są narażone na czyhające w Sieci zagrożenia tak bardzo, jak przeciętni użytkownicy komputerów - oceniają zgodnie przedstawiciele firmy antywirusowej Symantec i instytutu CERT Polska. Nie znaczy to jednak, że ze strony internetowych oszustów nic im nie grozi.

Głównym celem współczesnego cyber-przestępcy jest łatwy zarobek. Dlatego też najczęściej wykorzystywane metody ataków to eksploatacja dziur w programach użytkowych i systemach operacyjnych - najprostsze sposoby na maksymalizację zysków. Czy to oznacza, że lepiej sprawdzać stan konta w e-banku przez telefon niż komputer?

Bezpieczeństwo platform mobilnych

Według Przemysława Jaroszewskiego z NASK/CERT Polska systemy operacyjne i oprogramowanie dla telefonów komórkowych leżą w orbicie potencjalnych celów cyber-przestępców, ale zainteresowanie nimi nie jest duże. "Za mała jest stopa zwrotu" - ocenił Jaroszewski. Innymi słowy - dużo łatwiej przeprowadzać ataki na użytkowników w inny sposób, to znaczy taki, który zapewni im większy zasięg i wyższą skuteczność.

Nie znaczy to, że nie ma problemu. "Problem istnieje, ale jest niedoceniany" - podkreślił przedstawiciel CERT Polska.

Paweł Reszczyński z Symantec dodał: "Platformy mobilne są stosunkowo młode w porównaniu z Windows. Podwaliny tworzenia tych systemów operacyjnych były trochę inne. Platformy mobilne są nowsze i były już budowane z myślą o bezpieczeństwie, więc ich implementacja jest nieco inna. Z drugiej strony dysponują one dużo mniejszą funkcjonalnością". Brak pewnych technologii na urządzeniach mobilnych sprawia, że same z siebie stają się bezpieczniejsze - podsumował Reszczyński.

Za lenistwo się płaci

Już teraz przeglądarka w telefonie komórkowym w zupełności wystarcza do korzystania z bankowości online. Łatwo wyobrazić sobie sytuację, w której - przez lukę w oprogramowaniu - na telefonie instalowana jest złośliwa aplikacja, mogącą w locie modyfikować dane wyświetlane w przeglądarce i - co gorsza - wysyłane np. do strony internetowej banku.

Przemysław Jaroszewski tak opisał mechanizm działania ataku: "Gdy wykonujemy przelew jednorazowy, wpisujemy numer konta i kwotę, potem wysyłamy te dane do banku i otrzymujemy SMS z informacją zwrotną z kodem jednorazowym. A w SMS-ie czytamy to, co nas interesuje, czyli kod. Przepisujemy go, wysyłamy, dostajemy potwierdzenie, sprawdzamy w wykazie transakcji - wszystko się zgadza. Tyle tylko, że co innego dostał bank, a co innego my, bo po drodze zadziałało złośliwe oprogramowanie, które te dane zmieniło. W SMS-ie były dane które dostał bank, ale my tego nie przeczytaliśmy, bo jesteśmy leniwi."