Witamy na naszym blogu finansowym!
Znajdziesz u nas wiele przydatnych informacji finansowych.

Archiwum: Listopad 18th, 2009

Phishing – prawdziwa historia.
• środa, Listopad 18th, 2009


Opiszemy tutaj prawdziwy przeprowadzony atak, oczywiście wszelkie dane zostały zmienione. W opisanym tu przypadku dzięki ostrożności udało się uniknąć przykrych konsekwencji. Pewnego dnia po godzinie 18 klientka próbowała się zalogować na stronę banku Citibank Online. Klientka chciała sprawdzić stan swojej karty kredytowej oraz wymagany czas spłaty, jak mówi robiła to wielokrotnie.

Tym razem jednak ją zaniepokoił fakt, że strona z historią ładowała się długo a potem została przekierowana na stronę gdzie poproszono ją w formularzu o podanie nr karty kredytowej oraz PIN`u. Pani zadzwoniła do banku i zapytała, dlaczego strona wygląda inaczej niż zazwyczaj. Na infolini uzyskała informację, że bank ma problemy z jednym z systemów informatycznych i niebawem wszystko wróci do normy. Takie wytłumaczenie jednak jej nie zadowoliło i zadzwoniła na infolini jeszcze raz, tym razem usłyszała, że są to standardowe procedury bankowe i są one zgodne z systemem bezpieczeństwa stosowanym przez ten bank. Co ciekawe po wylosowaniu klikamy w „tak” i pomimo że widzimy napis „wylogowany pomyślnie” to widzimy również całą historię naszej karty wraz z jej numerem.

Sam numer karty bez hasła do niej nic nie da osobie postronnej, ale wpływa to bardzo negatywnie na komfort klienta korzystającego z serwisu online. Nawet tak błaha informacja jak to ile ktoś wydaje miesięcznie w niepowołanych rękach może być bardzo niebezpieczna. Jak tłumaczył bank numer karty i PIN jest potrzebny gdy rejestrujemy nową kartę w systemie lub gdy logujemy się po raz pierwszy. Bank równocześnie zapewnia, że taki system weryfikacji jest sprawdzony i bezpieczny dla klientów. Kod, który jest podawany poprzez Internet jest poddawany tak samemu restrykcyjnemu procesowi jak PIN podawany w bankomacie. PIN, gdy tylko zostanie wpisany na stronie z kłódką jest szyfrowany i w taki sposób przesyłany do weryfikacji. Dlatego też nie ma żadnego niebezpieczeństwa, które może narazić klienta na stratę pieniędzy. Musimy pamiętać, że kod PIN jest tylko elementem służącym do weryfikacji klienta banku. Sama autoryzacja przeprowadzonych poprzez Internet transakcji odbywa sięga pomocą różnych dodatkowych środków zabezpieczających, czyli na przykład haseł jednorazowych z lity czy przesyłanych sms`em, lub użyciem tokena.

Kategoria: Bezpieczeństwo bankowe | Tagi: , , , ,