Pripremite mobitel za plaćanje računa

Naslovnica Gospodarstvo Novac Poslovni vodič Tečajna lista Fondovi Burze
M-BANKARSTVO
Pripremite mobitel za plaćanje računa
Datum objave:
28.10.2010 07:00
Autor: Gorden Knezović
Povećaj veličinu slova
Smanji veličinu slova
Pošalji prijatelju
Ispiši stranicu
Mobilno bankarstvo, zbog toga što omogućuje veliku fleksibilnost u radu jer
bankarske usluge čini dostupnima u bilo koje vrijeme i s bilo kojeg mjesta, u
sljedećim će godinama postati primarni bankarski kanal, rekla nam je Maja
Bajza-Ljubičić iz Asseco South Eastern Europe, navodeći da su atraktivnost
mobilnog telefona kao dodatnog kanala za komunikaciju s klijentima
prepoznale i hrvatske banke koje su prije nekoliko godina krenule s
implementacijama rješenja za mobilno bankarstvo
Asseco South Eastern Europe razvio je jedno od rješenje za mobilno bankarstvo na tržištu regije.
Ono omogućava brz i siguran pristup financijskim uslugama i informacijama s mobilnih telefona,
tvrdi Bajza-Ljubičić, objašnjavajući kako se tom uslugom mogu plaćati računi, vršiti konverziju
valuta, kupovati prepaid bonove, poslovati s fondovima te imati dostupne podatke vezane uz
stanja, promete, dospijeća, račune, plaćanja, kartično poslovanje, tečajeve, kontakte s bankama i
ostale usluge.
S ciljem zaštite svoje m-banking usluge, komunikacija u usluzi ASEBA JiMBa vrši se preko
zaštićenog kanala. Bajza-Ljubičić nam je rekla da nitko osim klijenata banka ne može pročitati
podatke koje oni razmjenjuju s bankom. Za korištenje ASEBA JiMBa koristi se mobilni token
koji je ugrađen u aplikaciju i radi automatski, a koristi se za autentifikaciju, odnosno identifikaciju
klijenata i potpisivanje poruka koje se razmjenjuju s bankom. Usto nijedan podatak, osim
predložaka za plaćanja, ne čuva se u mobilnom telefonu. Aplikacija radi samo ako klijent banke
prilikom njezine aktivacije unese ispravan PIN, tako da, u slučaju da izgubi mobilni telefon ili mu ga
netko ukrade, ne mora strahovati da će netko zloupotrijebiti podatke koji se nalaze u mobitelu.
U svijetu je prošle godine m-banking koristilo 55 milijuna ljudi, a prema procjenama Berg insighta,
kompanije koja se bavi analizama u sektoru telekomunikacija, do 2015. ta brojka biće povećana za
čak 1.525 posto, kada bi mobilno bankarstvo trebalo koristiti 849 milijuna ljudi.
UČESTALI HAKERSKI NAPADI
Međutim, u svijetu je m-banking postao jedan od najzastupljeniji načina nezakonitog upada na
bankovne račune. Za savjet smo upitali certficiranog etichal hackera, certificiranog haking forensic
investigatora i Microsoft MVP-a za enterprise security iz učilišta Algebra Roberta Petrunića.
Kako nam je rekao, neki od mogućih napada na m-banking su: pogađanje PIN-a (kod te vrste
plaćanja obično se koriste kratki PIN-ovi koje je lako pogoditi), 'gledanje preko ramena' (engl.
Shoulder Surfing, može bilo kome tko je u blizini osobe koja ukucava PIN omogućiti da taj PIN
zapamti), krađa odnosno gubitak mobilnog uređaja može omogućiti osobi koja takav uređaj ukrade
ili pronađe pristup podacima ako je PIN pohranjen na samom uređaju te ako je u pitanju
naprednija bankarska aplikacija koja zahtijeva i naprednije klijente (iPhone, Windows Mobile,
Google Android i sl.) mogući su svi napadi koji se inače provode na nivou računala i računalnih
mreža.
Takvi napadi mogu biti i preslušavanje (engl. sniffing) prometa kad je uređaj spojen preko bežične
mreže (WLAN), pregledavanja međuspremnika (cache memorije) u kojem se mogu nalaziti
zanimljive informacije za napadača, zapamćene zaporke, što omogućava direktan pristup aplikaciji
bez znanja zaporke, MitM (Man in the Middle) napad u kojem se napadač korisniku predstavlja kao
poslužitelj, a poslužitelju kao korisnik te sav promet ide preko njega, nesvjesna instalacija
malicioznog softvera koji može automatizirati postupak (primjer trojanskog konja Zeusa koji je već
nekoliko godina aktivan i čija je namjena upravo krađa novca s bankovnih računa) te primitak
maliciozne poruke elektroničke pošte koja će napadaču omogućiti pristup računalu odnosno
pametnom telefonu korisnika ako korisnik otvori poruku, privitak koji se nalazi u njoj ili otvori link,
stavljen kao mamac.
Za sigurno korištenje m-bankinga, mobitel treba zaštititi od zlouporaba
Najčešći načini krađe podataka i upada na račune u banci su masovne akcije usmjerene na
veliku količinu korisnika, i to na tri razine. Na najnižoj razini su direktne žrtve – osobe kojima se
krade novac s bankovnih računa. Na srednjoj razini su tzv. mazge za prijenos novca (engl. Money
Mule), tj. osobe koje na svoj račun primaju ukradeni novac i zatim dio usmjeravaju na prvu razinu,
a dio zadrže za sebe. Na prvoj razini se nalaze organizatori akcija.
ZAŠTITA OD ZLOUPORABA
Na pitanje na koji se način zaštititi kada koristimo m-banking, Petrunić je ustvrdio da se zaštita
mora provoditi na više razina. 'Ako su u pitanju pametni telefon – treba postupiti identično kao i
kod računala: redovito instalirati zakrpe (firmware u ovom slučaju), imati instaliran vatrozid
(firewall), antivirusni program i slično. 'Nažalost, iz prakse mogu reći da kod većine pametnih
telefona ovo nije slučaj', rekao je te dodao da je neophodno voditi računa o tome gdje i kako je
uređaj spojen na internet jer, ako je spojen na neku javnu WiFi mrežu, bilo tko može vidjeti i
mijenjati promet koji se razmjenjuje.
Od ostalih neophodnih savjeta Petrunić je naglasio da je važno, ako uređaj to dozvoljava, imati
dozvoljenu opciju udaljenog uništavanja podataka na uređaju ako je uređaj izgubljen i uvijek
koristiti enkripciju podataka koji se nalaze na uređaju. Korisnik uvijek treba biti svjestan da je
mobilni uređaj lakše izgubiti nego prijenosno računalo i shodno tome na njemu ne držati podatke
koji bi osobi koja pronađe ili ukrade takav uređaj bili od koristi. Isto tako, korisnik uvijek mora biti
svjestan opasnosti kako bi se prilagodio situaciji u kojoj se nalazi – nikako ne plaćati račune u
javnom prijevozu u kojem je gužva i druge osobe imaju uvid u ekran vašeg telefona. Kad je riječ o
pametnim mobilnim uređajima, opasnosti i napadi su identični kao i na računalima.
Petrunić je naglasio da je sustav plaćanja putem SMS poruka znatno sigurniji nego u mbankingu, zbog samog načina razmjene podataka između mobilnog uređaja i ćelije na odašiljaču,
ali i u toj varijanti postoji mogućnost kompromitiranja.
Na kraju je istaknuo da hrvatske banke koriste siguran način pristupa bankarskom poslovanju kroz
sustav jednokratnih zaporki, što otežava napade, ali ih ne onemogućava u potpunosti jer onog
trena kad korisnikovo računalo bude zaraženo, i sustav je kompromitiran.
U SAD-u i Velikoj Britaniji uhićeno je stotinjak ljudi uključenih u veliki niz krađa, uz primjedbu da je
najveći broj organizatora najvjerojatnije još uvijek na slobodi jer su većinom pohvatane osobe koje
su služile kao tzv. mazge za prijenos novca. Kod nas je, rekao je Petrunić, trojanski konj Zeus bio
detektiran kao potencijalno opasan čak i za hrvatske banke, bez obzira na najviši stupanj sigurnosti
provjere korisnika u regiji i šire.
PRIMJER ZARAZE MOBILNOG TELEFONA
Naveo je primjer moguće najlakše zaraze mobilnog telefona ili smart telefona tako da
korisnik posjetom internetske stranice za razbijanje zaštite nove igrice (crack) nesvjesno instalira i
trojanskog konja Zeusa, bez svog znanja. Igrica radi nakon tog postupka i korisnik je sretan. Zeus
radi u pozadini, što korisnici računala, naravno, ne primjećuju. Kasnije korisnik odlazi na
internetske stranice svoje banke i plaća račune za struju. Prilikom prijave u sustav ukucava
jednokratnu zaporku, što Zeus propušta dalje bez intervencija. Nakon toga, korisnik ispunjava
obrazac uplate i potvrđuje naplatu. Zeus presreće tu transakciju i mijenja je na način da se
sredstva, koja mogu biti i veća od unesenog iznosa, prenese na račun 'mazge za prijenos novca'
(Money Mule).
Tako modificirani zahtjev odlazi na naplatu u bankovni sustav – dakle, ne zahtjev za plaćanje
struje, već transfer novca 'mazgi'. Aplikacija, kao i većina internet banking aplikacija, generira tzv.
izazov broj – dakle, broj na koji korisnik mora odgovoriti na način da ga ukuca u svoj token i
odgovori brojem koji je token generirao. Zahtjev dolazi do korisnikovog računala, ali Zeus ga
mijenja da izgleda kao onaj koji je korisnik generirao. Korisnik ukucava broj misleći da plaća svoj
račun, a ustvari je omogućio Zeusu prijenos novca na proizvoljni račun. Takav scenarij moguć je na
pametnim telefonima, ali ne i na običnim mobilnim uređajima i pri plaćanju SMS porukama.