Varnost za telebane: kraja identitete

Pred kratkim sem napravil test, v katerem sem v internet priklopil osebni računalnik z nameščenim operacijskim sistemom Windows XP in varnostnim paketom SP2, brez nameščenega dodatnega varnostnega programja. Nato sem se s takšnim računalnikom odpravil na spletni potep, pri čemer sem uporabljal brskalnik Internet Explorer. Obiskal sem tako spletne stavnice kot tudi spletne strani, namenjene otrokom, in pri tem ugotovil, da so otroške spletne strani največji generator neželene programske opreme. V pičli uri sem namreč nabral več kot 200 primerkov neželenih reklamnih programov (adware) in vohunske programske opreme (spyware). Zdaj lahko vsaj deloma razumem povprečnega uporabnika, ki je vsak mesec dobesedno prisiljen na novo nameščati operacijski sistem. Takšen uporabnik se seveda ne spomni, da bi zaradi okužbe zamenjal tudi digitalni certifikat spletne banke in vsaj tista občutljivejša gesla.
V današnjem svetu sloni velik del vašega življenja na sposobnosti, da dokažete svojo identiteto. Moč prepričevanja, da ste dejansko to, za kar se predstavljate, je način, na katerega se danes izvaja trgovina in še vrsta drugih dejavnosti. V internetu sestavlja vašo identiteto vrsta dejavnikov, kot so uporabniška imena, gesla, številke plačilnih kartic, davčne številke, EMŠO, osebne identifikacijske števile (PIN-i) itd. Tovrstni digitalni identifikatorji delujejo na podlagi predpostavke, da ste vi edina oseba, ki jih pozna. Kadar poslujete prek interneta, od vas za identifikacijo nihče ne zahteva slike, kot je to navada v fizičnem svetu.

KRAJA IDENTITETE V INFORMACIJSKI DOBI

Prevare s kreditnimi karticami so danes najpogostejša oblika kraje identitete. Kriminalci v teh primerih ukradejo osebne podatke in dokumente, ki jih nato uporabijo za odpiranje bančnih računov v imenu žrtve. Takšne račune kriminalci uporabljajo nekaj mesecev, vse dokler jih banke ne blokirajo. Takrat si kriminalci preprosto izberejo naslednjo žrtev. Nekatere dobro organizirane skupine kriminalcev so sposobne ukrasti tudi več kot 50.000 identitet letno, s čimer zaslužijo več milijonov dolarjev. Velik del ukradenih številk kreditnih kartic se nato uporabi za nakup različnih artiklov, ki jih pozneje prodajo na spletnih dražbah, kot je npr. eBay. Tatovi identitet odprejo bančni račun v imenu svoje žrtve in prej ali slej zaprosijo za kredit. Po pridobitvi kredita takšna oseba preprosto izgine in prevzame identiteto naslednje žrtve. Žrtvi ostane zgolj prazen bančni račun in obveznosti odplačevanja kredita za naslednjih 20 let. Kriminalec si s pridobljenim kreditom kupi hišo, ki jo nato odda v najem ali proda.

Kraja informacij iz podatkovnih zbirk

Obstajata dva načina kraje identitet. Prvi je kraja informacij iz podatkovnih zbirk bank, ponudnikov internetnega dostopa, maloprodajnih mest, računovodskih servisov, varnostnih služb ... Kot uporabnik računalnika se pred tovrstnimi tatvinami praktično ne morete zavarovati, saj pride do zlorabe vaših podatkov v podjetjih, kjer so vaši podatki tako ali drugače shranjeni. Edino, kar kot uporabnik lahko storite, je to, da od podjetij (prodajalne, banke, zavarovalnice, e-uprava, trgovski centri, varnostne službe ...) zahtevate dokazila o ustrezni stopnji varnosti informacijske tehnologije. Če se v podjetju, ki ga boste povprašali o varnosti vaših osebnih podatkov, ne bodo ustrezno odzvali se lahko obrnete na Inšpektorat za varstvo osebnih podatkov, ki bo na podlagi zakona o varovanju osebnih podatkov ustrezno ukrepalo. Zagrožene kazni za kršitelje se gibljejo od 500 tisoč do milijon tolarjev.

Socialni inženiring

Socialni inženiring je eden izmed zelo premetenih načinov goljufanja. Socialni inženiring zlorablja vaš prirojen čut, da morate ljudem zaupati in jim pomagati v težavah. Še posebej to velja v primerih, ko imate opravka z ljudmi v uniformah ali oblečenimi v drage poslovne obleke, ki se vozijo v prestižnih avtomobilih.
Kot strokovnjaka za varnost me podjetja pogosto najamejo, da preverim stopnjo njihove informacijske varnosti. Nekoč sem prišel na varovano parkirišče in nato v prostore podjetja brez službene izkaznice, pri čemer me nihče od varnostne službe ni ničesar vprašal. Scenarij je bil tak, da sem se preprosto pripeljal pred zapornico, ki je varovala dostop na parkirišče, nakar se je za mano pripeljala neka gospa. Gospe sem pomahal z roko in vozilo premaknil naprej tik do zapornice, tako da je gospa lahko s svojo službeno izkaznico odprla zapornico. Tako sem prišel na parkirišče, od koder sem se odpravil peš proti vhodu v stavbo. Ker je takrat v stavbo vstopalo veliko uslužbencev, sem se z njimi sprehodil mimo vratarnice in vstopil v objekt. Ker sem imel s seboj prenosni računalnik, sem se lahko v sejni sobi brez težav povezal v krajevno omrežje in začel odkrivati informacije. Pozneje sem imel dogovorjen sestanek z direktorjem, zadolženim za informacijsko varnost v tem podjetju, in presenečen je bil, ko sem mu poročal o svojih ugotovitvah. Na tem mestu bi vas opozoril, da sem imel za tak način vstopa dovoljenje vodstva podjetja, zato v tem primeru ni šlo za kaznivo dejanje.

Največji del kaznivih dejanj tatvine identitete temelji ravno na tehnikah socialnega inženiringa pri čemer za stik z žrtvijo rabi elektronska pošta. To je namreč izredno lahko ponarediti tako, da bo videti, kot da prihaja od direktorja podjetja ali celo samega predsednika države.

Internetno ponarejanje

Gre preprosto za ustvarjanje lažne spletne lokacije ali ponarejanje naslova pošiljatelja elektronskega sporočila. Veliko spletnih kriminalcev namreč v internet postavljajo ponarejene spletne strani, ki so na prvi pogled videti kot pristne. Ko uporabnik zaide na ponarejeno spletno stran in vanjo vnese uporabniško ime in geslo, s tem v roke kriminalca preda svojo identiteto. Tovrstni napadi so znani pod imenom web site spoofing. Na podoben način pošiljatelji neželene elektronske pošte uporabljajo neobstoječe naslove elektronske pošte, s katerih vas nato zasujejo s sporočili.

Ribarjenje

Ribarjenje (phishing) je eden najučinkovitejših in hkrati tudi najbolj zahrbtnih napadov. Večina tovrstnih napadov se začne s preprostim elektronskim sporočilom. Kriminalci pogosto razpošljejo na tisoče elektronskih sporočil, ki so videti kot, da jih je poslala vaša banka, ponudnik internetnih storitev (ISP) ali katera od internetnih trgovin (eBay in PayPal sta najbolj priljubljeni tarči).
Velika večina tovrsnih napadov trdi, da je prišlo do težav z vašim uporabniškim računom, zato vas pozivajo, da sledite povezavi v sporočilu in težavo odpravite. Klik na takšno povezavo vas bo privedel na ponarejeno spletno stran, ki bo na prvi pogled videti kot pristna. V drugih primerih vas bo vpis internetnega naslova v brskalnik ravno tako privedel do ponarejene spletne strani, saj so kriminalci vdrli in spremenili vnose v sistemu za internetno naslavljanje (DNS − domain name system). Takšni napadi se imenujejo pharming.
Kot da vse to še ni dovolj, bo večina tovrstnih elektronskih sporočil vsebovala še kakšno izmed oblik vohunskega programja. Nekateri izmed priloženih programov bodo beležili pritiske tipk (keyloggers) medtem, ko bodo drugi zajemali slike vašega zaslona in rezultate pošiljali napadalcu. Nekateri od tovrstnih zlonamernih programov bodo vaš brskalnik usmerjali na ponarejene spletne strani banke ali spletne trgovine.

Programi za beleženje tipk

Tako imenovani »keystroke loggers« so programi, ki beležijo vaše pritiske tipk na tipkovnici. Te informacije se nato pošiljajo oddaljenem napadalcu preko interneta, ki tako odkrije gesla in druge zaupne podatke. Nekateri tovrstni programi vsebujejo seznam bank in se aktivirajo samo, ko žrtev obišče spletno stran, namenjeno bančništvu.
Podrobneje o tovrstnih programih v nadaljevanju tega članka.

Kraja pošte in pregledovanje smeti

Tatovi identitet pogosto vlamljajo v poštne nabiralnike, kjer iščejo predvsem bančne izpiske, kreditne kartice, plačilne kartice, obvestila o PIN-številkah ipd. Pomislite samo, koliko informacij vsebuje navaden račun, ki ga vam neko podjetje pošlje po pošti. Na takšnem računu so ponavadi vaše ime, priimek, naslov, številka bančnega računa, kontrolna številka računa, telefon ...
Druga metoda, ki jo uporabljajo kriminalci, je pregledovanje smeti (dumpster diving). Ljudje namreč v smeti mečejo vse mogoče dokumente, iz katerih lahko napadalec pridobi občutljive informacije. Med tovrstne dokumente sodijo razna obvestila borznih družb, bank, zavarovalnic in podobno. Najboljši način za preprečevanje tovrstnih zlorab je uničevanje dokumentov, preden jih odvržemo v smeti. Na tem mestu bi vas opozoril tudi na brisanje vsebine trdega diska, preden prodate ali vržete v smeti svoj stari osebni računalnik. Nikar ne mislite, da ste z običajnim brisanjem datotek in formatiranjem trdega diska uničili podatke. Obstaja namreč vrsta programskih orodij, s katerimi je mogoče tako zbrisane podatke povrniti v njihovo prvotno obliko. (O tem smo podrobneje pisali v julijsko-avgustovski številki Mojega mikra, članek pa lahko najdete tudi na naši spletni strani www.mojmikro.si)

PREPREČEVANJE KRAJE IDENTITETE

Obstaja nekaj načinov, s katerimi preprečimo tatvino identitete. Nekateri izmed načinov so tehnološke narave, večina pa vključuje zgolj uporabo zdrave kmečke pameti. Najboljša obramba je zdrava mera skepticizma, kadar koli prejmete elektronsko sporočilo, ki trdi, da prihaja od katere izmed spletnih trgovin ali finančnih institucij. Upoštevajte naslednje nasvete:
1. Legitimne organizacije vam nikoli ne bodo poslale elektronskega sporočila, v katerem bi od vas zahtevale razkritje občutljivih podatkov.
2. Velika podjetja so pozorna na to, da v njihovih sporočilih ni pravopisnih napak, zato bodite pozorni na čudno formulirane fraze.
3. Nikoli ne kliknite na povezavo znotraj elektronskih sporočil. Povezavo raje prepišite v URL-vrstico svojega brskalnika. Pozor, rekel sem prepišite, ne skopirajte in prilepite.
4. Če ste mnenja, da utegne biti z vašim bančnim računom res nekaj narobe, potem dvignite slušalko in pokličite službo za pomoč uporabnikom v banki.
5. Uporabite programsko opremo, ki vas bo opozorila na možnost, da je spletna stran lažna. Tovrstne programe bomo podrobneje opisali v nadaljevanju tega članka.
6. Če dobite sporočilo od banke ali spletne trgovine, s katero ne poslujete, bo najbolje, da poročilo zbrišete brez odpiranja. Številna »ribiška« sporočila namreč vsebujejo viruse in vohunsko programje.
7. Uporabljajte protivirusno programsko opremo, ki naj bo posodobljena in nastavljena tako, da bo samodejno pregledovala elektronsko pošto.
8. Uporabljajte osebni požarni zid.
9. Uporabljajte protivohunsko programsko opremo.
10. Redno pregledujte bančne izpiske in bodite pozorni na morebitne neskladnosti.

ORODJA ZA ZAŠČITO PRED TATVINO IDENTITETE

Poleg zdrave kmečke pameti vam bodo v borbi s kriminalci v veliko pomoč tudi programska orodja. Na vrhu seznama je vsekakor protivirusni in protivohunski program. Glede na to, da večina sporočil »ribičev« vsebuje viruse in zlonamerno kodo, vam priporočam, da svoj protivirusni program redno posodabljate. Protivohunski programi so namenjeni odkrivanju vohunske programske opreme, ki jo običajni protivirusni programi ne odkrivajo. Poleg omenjene zaščite morate biti pozorni tudi na to, da vedno uporabljate najnovejši spletni brskalnik, ki naj bo ustrezno nastavljen.

Uporaba protokola SSL

Secure Sockets Layer (SSL) je protokol, ki omogoča šifriran prenos informacij prek spleta oz. prek protokola HTTP (Hypertext Transfer Protocol). SSL omogoča uporabo digitalnih certifikatov, tako da spletni brskalnik lahko loči pristno spletno stran od lažne. Ko se s svojim brskalnikom povezujete v strežnik spletne banke, ta preveri digitalni certifikat spletnega strežnika banke in s tem potrdi, da se dejansko povezujete na pravo spletno stran banke. Vsi spletni brskalniki imajo tovrstne zmožnosti že privzeto omogočene, zato se vam z njihovim vključevanjem ni treba ukvarjati.
Obstajata dva načina, na katera lahko preverite, ali določeno spletno mesto uporablja SSL. Prvi način je ta, da si ogledate URL-naslovno vrstico v vašem brskalniku, kjer mora biti naslov vpisan kot: https://, ne pa kot http:// (HTTPS je zaščitena različica protokola HTTP). Drugi način je ta, da v spodnjem desnem vogalu brskalnika poiščete ikono v obliki ključavnice. Kljub temu imejte neprestano v mislih, da tudi v primeru, ko določena spletna stran ima obe omenjeni značilnosti, to ne zagotavlja, da spletna stran ni zlonamerna. Tatovi identitet lahko namreč domeno registrirajo ravno tako, kot to stori banka. Spletne transakcije morate vedno uporabljati zgolj na spletnih straneh, ki uporabljajo SSL, vendar to ne pomeni, da so vaši podatki zaščiteni tudi na lokaciji, ker jih bo podjetje shranilo. Kot sem že omenil, kriminalci neprestano vdirajo v podatkovne zbirke kupcev in iz njih pridobivajo občutljive podatke, ki jim omogočajo pridobitev finančne koristi. Problem torej ni v varnem prenosu vaših podatkov prek protokola SSL, temveč v varnem shranjevanju podatkov.

Dvofaktorska avtentikacija

Kot sem že omenil, je eden izmed problemov pri spletnem trgovanju ta, da se tovrstni sistemi zanašajo na uporabniško ime in geslo. Tovrstne podatke kriminalci pridobivajo na vrsto načinov, od ugibanja do napadov z ribarjenjem. Težavo je mogoče rešiti z dvofaktorsko identifikacijo, v kateri se stranka identificira na dva načina. Poglejmo praktičen primer z bančno kartico. Prvi faktor v tem primeru je PIN (nekaj, kar poznate) medtem ko je drugi vaša bančna kartica (nekaj, kar imate). Vaš PIN kriminalcem ne pomeni nič, če nimajo tudi vaše bančne kartice.

JE UPORABA ENKRATNIH GESEL RES VARNA?

Banke so v zadnjih letih začele uporabljati časovno omejena gesla. Nekatere banke v ta namen ponujajo »kalkulatorje«, ki stranki vsakih nekaj sekund generirajo drugo geslo, ki je uporabno samo enkrat in zgolj v omejenem časovnem intervalu. Na nesrečo uporabnikov tovrstnih sistemov spletnega bančništva ti napadalcem ne preprečujejo tatvin denarja. Napadalci morajo namreč biti v teh napadih samo kanček dejavnejši. V prejšnjih napadih so lahko udobno sedeli v fotelju in čakali, da se nabere zbirka uporabniških imen in gesel, zdaj pa morajo enkratno geslo uporabiti, preden ga bo uporabila žrtev. To lahko napadalci dosežejo s prestrezanjem gesla in onemogočitvijo internetne povezave žrtve, tako da se ta ne more prijaviti v banko pred napadalcem. Že preprost ponoven zagon žrtvinega sistema bo napadalcu dal dovolj časa za prijavo v bančno aplikacijo namesto žrtve.
Zaradi tovrstnih napadov se v svetu vse več bank zateka k dvofaktorski avtentikaciji, ki vključuje digitalne certificate in enkratna gesla, posredovana prek SMS-sporočil.

Preživetje kraje identitete

Čeprav ste s tovrstnimi kaznivimi dejanji zdaj dobro seznanjeni, je še vedno možnost, da postanete žrtev. Zapomnite si zlasti naslednje: čeprav skrbite za varnost svojega računalnika in imate nameščena ustrezna orodja, so lahko vaše podatke ukradli iz katere izmed podatkovnih zbirk podjetij, vlad, zavarovalnic ali, še preprosteje, iz vaše denarnice ali torbice.
Poglejmo si nekaj praktičnih nasvetov:
• Vsako tatvino nemudoma prijavite policiji, banki in zavarovalnici. Če ugotovite, da je nekdo odprl bančni račun v vašem imenu, takoj zahtevajte zaprtje računa in ukrepanje organov pregona.
• Če nekdo uporablja bančno kartico v vašem imenu, to takoj sporočite izdajateljem, kot so: Visa, Maestro, MasterCard, Diners, American Express itd. Ko boste sporočilo posredovali enemu od naštetih, bo ta takoj opozoril druge izdajatelje. Tovrstna opozorila bodo preprečila odpiranje lažnih računov na vaše ime v prihodnje.
• Obrnite se na Urad za varstvo potrošnikov in informacijskega pooblaščenca, ki bo zoper podjetje, iz katerega so bili podatki ukradeni, ustrezno ukrepal. Varovanje podatkovnih zbirk je namreč zapovedano z zakonom o varstvu osebnih podatkov.
KONEC OKVIRJA

Nasveti za preprečevanje tatvine identitete

1. Vsako leto od svoje banke zahtevajte letno poročilo o aktivnostih na vašem bančnem računu. To lahko v večini primerov preverite sami prek programa za spletno bančništvo.
2. Redno preverjajte bančne izpiske, da boste lahko pravočasno zaznali sumljivo aktivnost.
3. Bodite pozorni na vse stike (telefon, elektronska pošta ...), ki od vas zahtevajo razkritje občutljivih podatkov.
4. Uporabljajte protivirusno in protivohunsko programsko opremo.
5. Uničite dokumente, ki jih ne potrebujete več in so na njih zaupni podatki.
6. Nikoli ne odgovarjajte na elektronska sporočila, ki od vas zahtevajo razkritje občutljivih podatkov.
7. Nikoli ne klikajte na spletne povezave v sporočilih elektronske pošte, ki trdijo, da prihajajo od banke ali podjetja za elektronsko trgovino.

Tomaž Bratuša

Išči