Bezpieczeństwo bankowości mobilnej. Na razie jest lepiej niż na desktopie

Dostęp do serwisów bankowych za pomocą urządzeń mobilnych jest coraz bardziej powszechny i z pewnością liczba użytkowników tego typu rozwiązań będzie w najbliższych czasach dynamicznie rosła. Mam dobrą wiadomość dla tych, którzy wykonują operacje bankowe przy użyciu smartfonów i tabletów – jak na razie jest to dużo bezpieczniejsza metoda łączenia się z bankiem niż przy użyciu komputera PC. Mobilne aplikacje bankowe są bardzo bezpieczne i jak dotąd nie stwierdziliśmy w naszych laboratoriach szkodliwego kodu, który byłby w nie wymierzony.

Pewne utrudnienie stanowić może jedynie jest mnogość wersji aplikacji bankowych. Często istnieją prywatne aplikacje, które służyły ich twórcom do wchodzenia „na skróty” do ich konta bankowego. Z oczywistych przyczyn takich nieoficjalnych aplikacji należy unikać jak ognia. Innym problemem może być fakt, że istnieje wiele wersji językowych tej samej aplikacji bankowej, które dostosowane są do potrzeb lokalnych rynków. Natłok takich wariantów potrafi wprowadzić niezłe zamieszanie i zaskoczyć użytkowników. Aby uniknąć nieporozumień najlepiej sprawdzić na stronie banku, jaka aplikacja jest dedykowana krajowi, z którego pochodzimy. To zdecydowanie powinno ułatwić sprawę. Warto przy tym wspomóc się wyszukiwarką na komputerze PC.

Telefony komórkowe mogą być oczywiście wykorzystane do prób złamania zabezpieczeń konta bankowego, ale jak do tej pory zawsze występowało to w kontekście operacji wykonywanych na komputerach PC. Takim przykładem jest trojan Perkele siejący spustoszenie mniej więcej roku temu.

Mechanizm działania Perkele wykorzystywał fakt, że wiele banków dla potwierdzenia operacji wykorzystuje telefony komórkowe, gdzie wysyłane są dane potwierdzające transakcje, czyli tokeny typu mobile Transaction Authentication Number (mTAN). Po zainstalowaniu trojan Perkele monitorował przychodzące wiadomości SMS i skanował je w poszukiwaniu numeru mTAN.

Oczywiście trojan ten stanowił tylko jedną część całej operacji. Uzupełniał komponent komputerowy infekujący witryny poprzez wstrzykiwanie kodu. Kiedy użytkownik odwiedził zainfekowaną witrynę bankową, był proszony o podanie numerów telefonu w celu otrzymania „aplikacji zabezpieczającej” od banku. Użytkownik następnie otrzymywał wiadomość SMS z łączem do pobrania aplikacji. Po instalacji PerkeSecuApp. A wyświetlał lub wykonywał pozorowane operacje, a w tle po cichu przechwytywał wiadomości SMS.

W mobile strzeż się phishingu

Zagrożenia związane z mobilnymi przeglądarkami internetowymi w kontekście bankowości online wiążą się przede wszystkim z phishingiem, czyli bardziej metodą socjotechniczną, niż informatyczną. Skuteczność phishingu jest stale wysoka, mimo, że od wielu lat ponawiane są apele, a użytkownicy są stale informowani o tym, jakich wiadomości na pewno nie wysyłają do nich serwisy aukcyjne czy banki.

W przypadku urządzeń mobilnych skuteczność ta spowodowana jest bardzo prozaiczną kwestią, jaką jest wielkość ekranu telefonu, która zdecydowanie ogranicza czytelność wyświetlanych stron. W tym przypadku dużo łatwiej jest przez pomyłkę wcisnąć link prowadzący użytkownika tam, gdzie sami raczej nie chciałby się dostać.

Im więcej danych, tym więcej zagrożeń

Oczywiście, bezpieczeństwo mobilne nie dotyczy tylko bankowości online. Tak naprawdę na naszych przenośnych urządzeniach mamy zgromadzoną masę informacji i plików, którymi raczej nie chcemy się z nikim dzielić, a na pewno nie chcemy ich stracić.  Dlatego należy wyposażyć tablet i smartfon w odpowiednie zabezpieczenie antywirusowe blokujące potencjalne szkodliwe oprogramowanie. Jest to szczególnie ważne teraz, kiedy liczba zagrożeń na platformy mobilne, a w szczególności na Androida, rośnie w tempie niemal wykładniczym. Jak wynika z danych naszego Laboratorium aż 97 proc. złośliwych programów na urządzania przenośne dotyczy platformy opracowanej przez Google, a w roku 2013 powstało ponad trzy razy więcej nowych rodzin malware’u niż rok wcześniej. Z pewnością ten trend będzie się nadal utrzymywał wraz ze wzrostem liczby urządzeń mobilnych będących w naszym posiadaniu. Co więcej, najpewniej cyberprzestępcy będą chcieli wykorzystać luki w programach, które mają swoje odpowiedniki w wersjach na komputery PC. Takim przykładem jest odtwarzacz flash w przeglądarkach internetowych, a jego podatność na różne ataki spędza sen z oczu wielu administratorom sieci.

Ostatnią rzeczą, na którą należy bardzo uważać jest kontrolowanie modułu Bluetooth oraz łączenie się z publicznymi sieciami Wi-Fi. Na wszelki wypadek zawsze warto wyłączać modem i Bluetooth w chwili, kiedy z nich nie korzystamy. Już jest tak, że marketerzy wykorzystują namierzanie adresu MAC sieci Wi-Fi, a skoro robią to oni, to pewnie wkrótce metoda dostanie wykorzystana przez osoby o niecnych intencjach.

W przypadku publicznych sieci Wi-Fi należy zwrócić uwagę na jeszcze jedną kwestię – otóż często są one niezabezpieczone, a więc bardzo łatwo można śledzić połączenia zalogowanych użytkowników. Sprawia to, że hakerzy mogą mieć dostęp do poufnych informacji, takich jak między innymi dane uwierzytelniające do poczty czy serwisu bankowego, oczywiście o ile otwierane są one w przeglądarce internetowej.

Dobrym rozwiązaniem w takim przypadku jest zainstalowanie VPN-a, czyli prywatnej sieci wirtualnej szyfrującej połączenie uniemożliwiając przechwycenie danych. W przypadku F-Secure takim rozwiązaniem jest Freedome, który nie tylko szyfruje połączenie, ale też skanuje w chmurze pobierane treści pod kątem wirusów. Takie rozwiązanie umożliwia swobodne korzystanie w publicznych sieci Wi-Fi na całym świecie.

Urządzenia mobilne są coraz bardziej narażone na różnego typu ataki. Historia uczy, że wraz ze wzrostem popularności danej platformy, powstaje na nią coraz więcej złośliwego oprogramowania. Taki los spotkał Windows i z pewnością będzie on też udziałem Androida. Szczególnie, że system Google jest bardziej otwarty niż iOS i Windows Phone. Należy być bardzo czujnym i nie ułatwiać pracy tym, którzy czyhają na nasze informacje i pieniądze.

Autor

Sean Sullivan, doradca ds. bezpieczeństwa w F-Secure.