Varno e-bančništvo: Praktični napotki za domače uporabnike in mala podjetja

Vsebina je nadaljevanje rubrike Varno e-bančništvo iz aktualne revije Računalniške novice 12/XVIII, ki je že na voljo tukaj in v trafikah po Sloveniji.

Končni uporabnik in njegova oprema sta šibka točka, ki ju napadalci izkoristijo v veliki večin napadov na spletne banke.

Osnovna varnostna higiena

Naprava, na kateri uporabljate ebančništvo, naj bo zaščitena:

• Windows so razširjeni, zato napadalci najpogosteje ciljajo nanje. Vsak uporabnik naj ima zaščito pred zlonamernimi programi (antivirus), lokalno požarno pregrado (windows firewall), zaznavo phishing strani v brskalniku, vklopljeno samodejno posodabljanje. Zelo priporočljiva je pomoč sistema pri prepoznavanju nezaželene pošte (spam). K tem nastavitvam (z izjemo gesla in šifriranja) vas bo usmerjal že sam sistem s privzetimi in priporočenimi nastavitvami ter opozarjanjem.
• Android: Bančne zlorabe še niso zelo razširjene, a rasejo (enako sama uporaba mbančništa). Poznani so primeri bančnih trojancev. Priporočljiva je uporaba programa za zaznavanje zlonamernih programov, izogibanje root-ani napravi za mbančništvo in konzervativnost pri nameščanju aplikacij (samo iz zaupanja vrednih trgovin, samo neobhodne aplikacije na napravi za ebančništvo).
• Ostale platforme so manj na udaru, velja pa spremljati situacijo in upoštevati priporočila proizvajalca oz. odprtokodne skupnosti.

Dodatni varnostni ukrepi

V primeru naprednih zlorab to ni dovolj. Dodatni ukrepi:

• Kadar je kraja računalnika realna grožnja, imejte nastavljeno geslo za dostop in šifriranje diska (npr. Bitlocker ali Truecrypt) z dolgim geslom (20 znakov).
• Kjer uporabljate ebančništvo, ne berite e-pošte in ne brskajte po spletu. Vse poznane online zlorabe so se zgodile po okužbi z zlonamerno kodo ob odpiranju poštne priponke ali obisku strani (zlonamerne strani ali dobronamerne strani s podtaknjenim zlonamernim dodatkom). Ločevanje je lahko izvedeno na različne načine: najbolje poseben računalnik, alternative pa so npr. virtualni računalnik ali t.i. LiveOS medij iz katerega se zažene neodvisen OS.
• Na ebančnem okolju naj ne bo drugih programov, uporaba naj bo omejena izključno na zaupanja vredne uporabnike oz. družinske člane.

V dodatku za radovedne pišem še o Mac OS, Linuxu, mobilnih platformah, vtičnikih za brskalnike, UAC, podpisanih programih, hišnih usmerjevalnikih, odpiranju priponk, pravni zaščiti in zavarovanju.

Spletni dodatek za radovedne

Mac OS X

Mac OS X je v zednjem času pridobil precejšen tržni delež, zato je postal zanimiv tudi za zlonamrno programsko opremo. Da bi bili na varni strani, je vredno upoštevati priporočila za večjo varnost na ebančnih računalnikih: Help protect yourself from signed malware in OS X

>> Napotki za splošno utrjevanje varnosti na zadnji različici OS X.

Za tiste, ki so pripravljeni vložiti nekaj časa in truda za še večjo varnost svojega ebančništva, neodvisno od siceršnjih navad glede uporabe računalnika:

Linux

>> Recept za pripravo LiveOS medija za ebančništvo (Brian Krebs)

Sicer pa bo morda zgolj uporaba Linuxa v praksi še nekaj časa zadoščala za varno ebančništvo, saj ni širše poznanih zlorab na tej platformi.

Mobilne platforme

Tudi pri mobilnih platformah razen Androida je bančna zlonamerna programska oprema dokaj redka: ZitMo (Zeus in the Mobile za zloramo SMS OTP tehnologije je bil sicer zaznan na platformah Android, Blackberry, Windows Mobile, Symbian, tako da 100% gotovi ne moremo biti praktično nikoli. Zaradi možnosti izgube ali kraje naprave velja vklopiti šifriranje, ker proizvajalec to podpira.

Aplikacije

Pogosti vektorji napada zlonamerne programske opreme so preko brskalniških vtičnikov (browser plugins) Java, Adobe Reader in Adobe Flash Player. Če so vtičniki med brskanjem po spletu onemogočeni, na ta način ne boste okužili računalnika (a bo vaša uporabniška izkušnja na spletu precej okrnjena). Ne pomaga pa izklapljanje vtičnikov med samo uporabo ebančne strani, saj okužba običajno pride od drugod. Zato je bolj priporočljivo ločiti okolje za ebančništvo in v njem izklopiti vtičnike, ki niso nujno potrebni.

>> How do I disable Java in my web browser?

Java vtičnik od verzije 7u21 naprej od uporabnika zahteva potrditev zagona Java aplikacije. Osveščen uporabnik lahko tako še naprej uporablja Java aplikacije v brskalniku. Če pa se poskus zagona Java aplikacije pojavi med brskanjem po spletu, je to sumljivo in uporabnik naj zagon zavrne.

Flash Player se praktično uporablja edino kot vtičnik, zato ga v celoti odstranimo.

>> Adobe Reader XI – Onemogočanje vtičnika za brskalnike

User Acount Control v Windows

Nazdor uporabniških računov (user Account Control – UAC) na ebančnem računalniku naj ostane vklopljen, priporočljivo celo postavljen na najvišji nivo. Okna, ki se odpirajo ob posegih v sistem (inštalacije, spremembe sistemskih datotek…) s strani uporabnika in posodobitvenih programov, so na prvi pogled morda nadležna, lahko pa preprečijo marsikatero zero-day okužbo (zero-day – zlonamerna programska oprema, ki je zaščita še ne prepozna po vzorcu).

Avtentičnost programske opreme

Kadar instaliramo programsko opremo, bodimo pozorni na to, da je digitalno podpisana. To zagotavlja:

• da prihaja od pravega avtorja (če niso bili zlorabljeni njegovi podpisni ključi)
• da ni bila nepooblaščeno spremenjena (npr. z zlonamernim dodatkom)

Digitalni podpis lahko preverimo v zavihku »Digital signature/Digitalni podpis« v Lastnnostih/Properties (instalacijske) datoteke, Windows pa nas tudi opozori v primeru, da želimo instalirati nepodpisano opremo, da prihaja iz neznanega izvora.

Alternativa pri nepodpisanih instalacijah je preverjanje na https://www.virustotal.com/.

Hišni Usmerjevalnik

Usmerjevalnik, preko katerega dostopate v internet, ima običajno možnost administracije prek spletnega vmesnika iz vašega domačega omrežja, ki je zaščitena z geslom. Geslo je na začetku nastavljeno na privzeto vrednost. Geslo spremenite in si ga zapomnite/zapišite, da bi preprečili zlonamerni programski opremi dostop do nastavitev usmerjevalnika prek tega vektorja. Ena pomembnejših funkcij usmerjevalnika je v običajnih konfiguracijah namreč DNS strežba, ki preslikuje imena spletnih strani v IP številke. Če vam napadalec z zlonamerno prekonfiguracijo usmerjevalnika ugrabi DNS, vas zlahka preusmerja na svoje, okužene verzije spletnih mest, ali proxyje ki avtentičnim spletnim mestom dodajo okužbo.

Varnejše odpiranje priponk

Za znižanje možnosti okužbe prek priponke e-pošte, jo najprej shranite na disk. Na računalniku obvezno spremenite nastavitev »Hide extensions for known file types«, tako da bodo končnice prikazane. Pri shranjeni datoteki preverite končnico, in jo odprite če je pričakovanega tipa glede na kontekst. To ne ščiti pred morebitnimi ranljivostmi v programu, ki odpre določen tip, lahko pa zaznamo napadalca, ki bi nas poskusil prepričati, da je .EXE PDF datoteka.

Tak način pa je uporabniku neprijazen in se ga boste stežka strogo držali, zato zopet priporočam ločevanje okolja za ebančništvo in branje pošte.

Pravna zaščita in zavarovanja

Med malimi podjetji so e-bančnim zlorabam posebej izpostavljeni računovodski servisi. Poleg tehničnih in postopkovnih ukrepov se lahko tudi zavarujejo za odškodninsko odgovornost, ki pokriva primer ebančne zlorabe. Pri ponudnikih zavarovanja povprašajte za tovrstne ponudbe in pozorno preberite ves drobni tisk.

Vsa podjetja naj pri izbiri banke upoštevajo tudi to, ali in do kakšne mere se banka obvezuje pokriti škodo iz zlorab. 120. člen Zakona o plačilnih storitvah in sistemih (ZPlaSS) banki nalaga to obveznost za škodo nad 150 €, a ji hkrati omogoča, da se s podjetji dogovori (beri: v splošne pogoje zapiše) drugače. Torej ponovno pozorno preberite ves drobni tisk.