2013 első negyedévében mintegy 113 ezer online banki felhasználót károsítottak meg rosszindulatú szoftverek (malware) segítségével. Világszerte a banki weboldalak 81 százaléka tartalmaz komoly sérülékenységet, a mobilalkalmazások többségével különösen könnyű visszaélni – figyelmeztet a BDO Magyarország IT Megoldások üzletága.

A legfrissebb internetes csalás Dél-Afrikában pattant ki a héten. A Dexter nevű, népszerű amerikai sorozat hőséről elnevezett vírus 1 millió dollárt emelt le az ügyfelek bankkártyáiról. Nyomozók szerint Európából indult a támadás, de még nem tudják, pontosan honnan - írta a BBC.

A kifinomult vírusok ellen jóval nehezebb védekezni, mint az ellen, amikor a bankok nevében ismeretlenek elektronikus levelek segítségévek próbálják megszerezni az ügyfelek adatait. Az e-mailekben pénzmosás elleni vizsgálatokra hivatkozva kérik az embereket, adják meg a banki szolgáltatások internetes használatához szükséges felhasználónevüket és jelszavukat. Magyarországon számos bankot kipécéztek maguknak a csalók, akik külföldi szerverről küldik az ál-leveleket az ügyfeleknek. A magyar pénzintézetek soha nem kérdezik ügyfeleiktől személyes technikai adataikat, tehát ha valaki ilyen e-mailt kap, az biztosan csalás. Ezeket a bankok nagyon hamar észreveszik és megteszik a szükséges intézkedéseket.

Helyesen tesszük, hogy bízunk a bankokban

Magyarországon az online fizetési módok közül a banki átutalást a lakosság túlnyomó többsége biztonságosnak értékeli. A nemzetközi statisztikák szerint ugyanakkor az internetes csalások mintegy kétharmada pénzügyi műveletek érint: 33 százalékuk online fizetéskor (e-payment), 17 százalékuk online bankoláskor (e-banking), 13 százalékuk pedig online vásárláskor történik. Ráadásul az esetek 40 százalékában az áldozatok képtelenek megtéríttetni a kárukat.

A hazai trendek tehát alapvetően a nemzetközi tendenciákat követik. Ez is oka annak, hogy egyre több hazai pénzintézet végeztet rendszeresen biztonsági auditokat. A tét óriási: az ügyfelek bizalmának fenntartása. Különösen elgondolkodtató tény, hogy a támadások 96 százaléka nem komplikált támadás, illetve, hogy az incidensek többségét csak legalább egy hét elteltével, egy harmadik fél fedezte fel.

A bizalom fenntartásának számos eszköze van. Egyrészt a leggyakoribb típust jelentő behatolási (hacking) incidensek mintegy 90 százaléka soha nem kerül nyilvánosságra. Másrészt – és ez a hazai banki gyakorlatban mindenképpen pozitív vonás – a károk megtérítésében az itthoni bankok igen együttműködőek. Bár nincs erre vonatkozó magyar statisztika, a legalább részleges megtérítések aránya hazai viszonylatban kedvezőbb lehet a nemzetközileg kimutatott 59 százaléknál.

Biztonsági auditok típusai

A legegyszerűbb és egyben legolcsóbb eljárás a hálózat letapogatása (network scanning), amelyeket legjellemzőbb módon automatizált szoftvereszközök alkalmazásával végeznek. Szintén általános céllal, az adott rendszer kockázatainak felderítése érdekében zajlik a sérülékenység feltérképezése (vulnerability assessment), amelynek sikeressége nagyban függ attól, hogy mennyire széles spektrumot céloz meg. Ennek eredményeként születik meg a sérülékenységek kategorizált és minősített listája, amelynek alapján megkezdhető a kockázatok elhárítása. Ezt az auditot célszerű belső kiindulási ponttal is elvégezni: a rendszerek védelmi pontjairól ugyanis nagyon sok esetben kiderül, hogy csak a külső támadók távoltartására vannak felkészítve.

A behatolási tesztek (penetration testing) során már egy tényleges cél elérése a feladat – például egy védett adatbázis kompromittálása, egy rendszerparaméter megváltoztatása vagy egy alrendszer feltörése. Az etikus hackerek abban tudnak segíteni, hogy a felfedezett sérülékenységeket maximálisan kihasználják, ennek során valamennyi, a valódi hackerek által is használt kreatív megoldásokat alkalmazva. Ilyen eszköz például a pszichológiai manipuláció (social engineering) is, melynek során jogosultsággal rendelkező személyektől igyekeznek bizalmas adatokhoz jutni, kihasználva azok gyanútlan segítőkészségét.

A leghatékonyabb eljárás az egyes alkalmazások célzott biztonsági vizsgálata (Application security assesment), melynek során a konkrét, biztonságosnak tartott szoftverek mélyreható átvilágítása zajlik.
„Az idei évben az adatbiztonsági piacon új irányt figyelhetünk meg. Míg korábban az adatszivárgást megakadályozó biztonsági rendszerek fejlesztése és alkalmazása volt a fő irány, ma a fókusz az adott alkalmazások, szoftverek biztonsági szintjének növelésére helyeződött át” – hívja fel a figyelmet a szakértő.