Uważne czytanie SMS-ów autoryzacyjnych to podstawowa sprawa jeśli chodzi o bezpieczeństwo naszych pieniędzy w bankach. Oczywiście, dostępu do oszczędności pilnują jeszcze login i hasło, ale trzeba przyjąć założenie, że są to identyfikatory, które dość łatwo wpadają w ręce złodziei (wystarczy otworzyć załącznik w mejlu od nieznanej osoby, albo ściągnąć film za darmo z serwisu streamingowego i już można zostać "poczęstowanym" wirusem, który wykrada hasła). Jasne, hasła można często zmieniać, warto też mieć dobry program antywirusowy, ale żadna z tych rzeczy nie daje 100% gwarancji, że login i hasło do banku będą sterylne. Ostatnią i najważniejszą zaporą w sytuacji, gdy ktoś już dostanie się na nasze konto, jest przesyłany z banku SMS z hasłem autoryzującym konkretną transakcję. Jeśli złodziej podstawi nam na ekranie komputera fałszywą stronę, na której poprosi o hasło SMS, żeby np. "odblokować dostęp do konta", to wielu pewnie by to hasło wpisało. Bo kto by nie chciał "odblokować konta"?
Czytaj też: Kradną SMS-y autoryzacyjne, podmieniają numery kont. Najnowsze triki e-złodziei
Kto poda hasło z SMSa, autoryzuje tak naprawdę przelew do złodzieja . Tyle, że bank w opisie SMSa, podając hasło do transakcji, zawsze podaje też jakiej transakcji dotyczy autoryzacja . Wystarczy tego SMSa dokładnie przeczytać, żeby wykryć ewentualną rozbieżność między tym, co wyświetla nam się na ekranie komputera, a tym, co przesyła bank w SMS-ie autoryzacyjnym . Jeśli np. klient widzi na ekranie prośbę "z banku", żeby podał hasło autoryzacyjne z SMSa w celu "odblokowania dostępu do konta", a w SMS-ie autoryzacyjnym obok hasła widnieje wyjaśnienie, że transakcja dotyczyć ma zdefiniowania nowego odbiorcy przelewów, to wiadomo, że ktoś chce nas okraść i że trzeba dzwonić do banku oraz na policję. Kłopot w tym, żeby te dane, które bank przesyła w SMS-ie, zawierały wszystkie potrzebne informacje, pozwalające klientowi wykryć, że ktoś mu chce ukraść pieniądze. Jeden z moich czytelników, klient Banku Smart, twierdzi, że niektóre z SMS-ów autoryzacyjnych tego warunku nie spełniają. Czy ma rację? Oceńcie sami.
"Moja historia dotyczy Banku Smart, którego klientem jestem o kilku lat i dodam, że do niedawna byłem klientem zadowolonym… W maju ubiegłego roku znalazłem drobną lukę bezpieczeństwa. Luka ta polega na tym, że przy tworzeniu zdefiniowanego i zaufanego odbiorcy przelewu (czyli takiego, do którego wysyłając przelew później nie trzeba będzie już za każdym razem potwierdzać SMS-em), bank wysyła SMS autoryzacyjny, który zawiera tylko fragment nazwy odbiorcy (tj. kilka pierwszych znaków), nie zawiera natomiast żadnych informacji o numerze rachunku bankowego - np. pierwszych dwóch i ostatnich czterech cyfr numeru rachunku (jak to ma miejsce w przypadku SMS-u autoryzacyjnego dla “zwykłego” przelewu w tym banku".
Czytelnik na potwierdzenie swoich słów załączył zrzut ekranu z telefonu (patrz niżej) - pierwszy to SMS autoryzacyjny dla "zwykłego" przelewu, a drugi to autoryzacja dla działania polegającego na zdefiniowaniu odbiorcy zaufanego. Klient uważa, że skoro system Elixir, za pomocą którego "chodzą" przelewy wysyłane przez klientów z banku do banku, sprawdza wyłącznie numer konta, zaś nazwa odbiorcy nie ma żadnego znaczenia (spróbujcie wysłać przelew do odbiorcy o nazwie "Dupa", powinien przejść bez zastrzeżeń :-)), to SMS autoryzacyjny transakcji np. "zdefiniowanie nowego odbiorcy" powinien podawać właśnie kluczowe fragmenty numeru rachunku.
"Nie otrzymując w SMS-ie kluczowych danych do zatwierdzanej transakcji, w postaci numeru konta, nie mamy żadnej pewności co tak naprawdę potwierdzamy. Oczywiście samo w sobie, nie stanowi to jeszcze żadnego zagrożenia, ale daje przestępcom furtkę, by po infekcji naszego komputera złośliwym oprogramowaniem, wykonać atak polegający na podstawieniu fałszywego komunikatu"
Rzeczywiście, można sobie wyobrazić sytuację, w której złodziej - mając już login i hasło do konta klienta - spróbuje wykorzystać wiedzę pozyskaną z analizy tego, co dzieje się na rachunku tegoż klienta, znajdzie jakiegoś "Zdzisia" wśród odbiorców przelewów i wyświetli klientowi komunikat np. "System wymaga powtórnego zatwierdzenia Zdzisia jako odbiorcy przelewów zdefiniowanych". Klient dostanie SMS autoryzacyjny z informacją, że transakcja dotyczy zatwierdzenia Zdzisia, lecz nie dowie się, że numer rachunku, który na podstawie tej autoryzacji będzie zdefiniowany, nie ma nic wspólnego z numerem konta prawdziwego Zdzisia, lecz jest numerem rachunku złodzieja. Po przeprowadzeniu takiej mistyfikacji złodziej mógłby już bez żadnej autoryzacji, będą stałym odbiorcą przelewów klienta, ukraść wszystkie pieniądze. Oczywiście: przeprowadzenie takiego ataku wymagałoby od klienta dużej naiwności, bo cały czas warto pamiętać, że żaden bank nigdy sam nie poprosi o autoryzację żadnej transakcji . Jeśli więc na ekranie Waszego komputera, po zalogowaniu się do banku, pokazuje się prośba o zatwierdzenie jakiejś operacji - dzwonicie od razu do banku i na policję. Tym niemniej klient Banku Smart ma rację - w SMS-ie zatwierdzającym nowego odbiorcę przelewów powinny być zawarte dwie pierwsze i cztery ostatnie cyfry jego rachunku. Sama nazwa to za mało.
"Jak przystało na praworządnego obywatela i świadomego klienta niezwłocznie poinformowałem e-mailowo bank o moim odkryciu. Minął miesiąc i nie otrzymałem żadnej odpowiedzi. Co ciekawe w międzyczasie zmieniła się kilkakrotnie wersja systemu bankowości internetowej (bank prezentuje informację o wersji systemu w dolnej części ekranu), postanowiłem więc sprawdzić czy problem nie został po cichu naprawiony. Niestety moje nadzieje okazały się daremne. Postanowiłem sięgnąć po (chyba) najcięższe oręże i opisałem sprawę na oficjalnym Facebook'owym profilu Banku. Wtedy przyszła również odpowiedź na maila, z przeprosinami, podziękowaniem i obietnicą poprawy. Sprawa wydała mi się wówczas zamknięta. Jakież było moje zdziwienie, gdy wczoraj stwierdziłem (po ponad pół roku od zgłoszenia), że luka wciąż istnieje..."
Nawet jeśli nie jest to jakaś ogromna wyrwa w bezpieczeństwie, lecz stosunkowo niewielkie niedopatrzenie, to przecież wystarczy jeden przypadek okradzionego klienta, by wiarygodność Banku Smart legła w gruzach. Bank ten startuje przecież ze stosunkowo niskiego poziomu. Nie ma znanej od lat marki, jak np. PKO BP, a w dodatku jest bankiem, który ma być pierwszym typowo mobilnym, smartfonowym, z którego najwygodniej będzie się korzystało w tablecie i smartfonie. Jak powszechnie wiadomo, Polacy mają duże wątpliwości co do bezpieczeństwa bankowania przez smartfona, więc Bank Smart powinien mieć standardy bezpieczeństwa powyżej średniej rynkowej.
"Przyznam się, że pisząc do banku byłem pewien, że ten potraktuje sprawę poważnie i szybko poprawi błąd; przy okazji liczyłem również na jakiś dowód wdzięczności np. preferencyjną stawkę lokaty… Nigdy natomiast nie przypuszczałem, że Bank zupełnie zignoruje moje uwagi - w końcu bezpieczeństwo systemu transakcyjnego leży również w jego interesie. Martwi mnie trochę taka postawa Banku, bo trzymam w nim część swoich oszczędności. Z drugiej jednak strony, może te obawy są jednak zupełnie nie na miejscu? Gdyby (odpukać) któryś z klientów banku padł teraz ofiarą kradzieży przy wykorzystaniu opisywanej luki, to bank jako winny zaniedbań, musiałby chyba pokryć stratę klienta bez mrugnięcia okiem. Czy nie mam racji Panie Macieju?"
- kończy swoją opowieść pan Arkadiusz. Mam nadzieję, że teraz już w Banku Smart nie będą chować głowy w piasek, tylko szybciutko zrobią modyfikację systemu autoryzacji i wrzucą do SMS-ów autoryzujących zdefiniowanie nowego odbiorcy numer konta tego odbiorcy - czyli jedyną daną, którą przed wysłaniem przelewu sprawdza międzybankowy system Elixir. Do czasu kiedy to nie nastąpi klientów Banku Smart proszę o wzmożoną czujność dotyczącą transakcji typu "definiowanie nowego odbiorcy przelewu". Nigdy nie podajemy haseł SMS-owych w sytuacji, gdy to rzekomy bank inicjuje kontakt (wiadomo, że nie jest to bank, tylko złodziej). A jeśli definiujemy z własnej inicjatywy zaufanego odbiorcę przelewu, to zaraz po zatwierdzeniu transakcji sprawdzamy czy numer konta na liście odbiorców się zgadza. Skoro SMS autoryzacyjny nie zawiera takiej informacji, to warto natychmiast sprawdzić to "z ręki".