Fałszywe e-maile to dziś prawdziwa plaga. Oszuści i złodzieje podszywają się pod banki, w których mamy konta, pod firmy kurierskie, a nawet pod ZUS oraz ministerstwa. Wszystko po to, by wykraść nasze dane, a czasem w konsekwencji też pieniądze. Źli ludzie są coraz sprytniejsi i potrafią już wysyłać komunikaty w 100% „udające” np. e-maila z banku, łącznie z adresem nadawcy! Istnieją procedury pozwalające chronić nas przed najbardziej perfidnymi atakami, ale… większość polskich banków ich nie stosuje. Tak przynajmniej wynika z analizy speców od cyberbezpieczeństwa, do której dotarłem
Chyba nie ma w kraju klienta banku, który choć raz na kilka miesięcy nie jest „testowany” przez wyłudzaczy danych. Za pomocą coraz bardziej pomysłowych sposobów jesteśmy namawiani, żeby podawać loginy i hasła do naszych bankowych kont. „Weryfikacja danych”, „odblokowanie konta” i inne oszukańcze komunikaty zasypują nasze skrzynki pocztowe.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Z reguły takie próby – zwane przez speców od cyberbezpieczeństwa phishingiem – są dość łatwe do zidentyfikowania. Wystarczy rzut oka na adres e-mail, z którego przyszedł komunikat oraz na – zwykle podany w linku – adres strony, na której mamy podać poufne dane, by się zorientować, że to próba wyłudzenia. Z reguły w obu przypadkach adresy są tylko łudząco podobne do nazw banków, a nie identyczne. A jeśli jeszcze na stronie są błędy językowe lub jest ona po prostu niechlujną podróbką oryginału… takiego e-maila można z czystym sumieniem zrzucić do kosza.
Niestety, od czasu do czasu nawet na marny phishing klienci banków się nabierają, ale naprawdę niebezpieczna jest ta jego odmiana, która opiera się na przesłaniu informacji z adresu e-mail identycznego jak ten, z którego przychodzą prawdziwe wiadomości z banku. Jakiś czas temu opisywałem taki, wyjątkowo perfidny i dobrze przeprowadzony atak phishingowy – klienci mBanku dostali e-mail z adresu kontakt@mbank.pl.
Prośba zawarta w e-mailu, którzy klienci znaleźli w skrzynkach e-mailowych, mogła co prawda wzbudzić podejrzenia (żaden bank sam z siebie nie poprosi klienta o podanie loginu, ani hasła), ale sama „podróbka” e-maila byłą perfekcyjna. Mimo, że został wysłany przez złodziei – wyglądał na prawdziwy. W polu „nadawca” widniał prawdziwy adres mbank.pl – nie nbank.pl, ani żadna “podobnie” wyglądająca nazwa, tylko mBank.pl.
Czytaj więcej na temat tego ataku na „Subiektywnie o finansach”: Bardzo groźna akcja. E-mail wysłany z domeny @mbank.pl, a w środku… program wymuszający okup
Jak to możliwe, że cyberprzestępcy z taką łatwością wykorzystali domenę banku i że bank nic o tym nie wiedział? Cóż, wystarczyła niedoskonała konfiguracja serwera. Niedługo po tym ataku mBank „zalepił” tę dziurę, ale… wiele innych banków wciąż nic z nią nie zrobiło. A to oznacza, że ich klienci są wciąż narażeni na wyjątkowo niebezpieczny atak phishingowy – wysyłkę e-maila z adresu e-mail identycznego jak prawdziwy adres banku.
Piszę o mBanku, bo był jednym z wielu przykładów polskich banków, zaprezentowanych na tegorocznej konferencji poświęconej bezpieczeństwu—x33fcon w Gdyni. Przykład pouczający, z którego bank wyciągnął wnioski.
Czytaj też: Wyjątkowo podstępny wirus. Wymusi zmianę sposobu, w który banki dostarczają nam wyciągi z rachunków?
Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny lepiej nas chronić?
DMARC, czyli zabezpieczenie przed najbardziej perfidnym phishingiem
Dobrze zabezpieczony przed phishingiem bank powinien stosować tzw. politykę DMARC. Dzięki temu mechanizmowi serwer pocztowy odbiorcy e-maila (obsługujący pocztę klienta banku) „wie”, jak właściciel domeny banku każe traktować wiadomości, które nie pochodzą od niego, ale zostały „podpisane” tak, jakby od niego podchodziły. Może nakazać taki e-mail zwrócić do nadawcy, wrzucić do spamu albo natychmiast powiadomić bank. Albo… nie robić nic.
„DMARC opiera się na dwóch mechanizmach: SPF (tutaj sprawdzane jest czy serwer, z którego została wysłana wiadomość znajduje się na liście serwerów „autoryzowanych” jako wysyłające wiadomości (o ile właściciel domeny skonfiguruje tę informację i opublikuje go w systemie wszystkich domen DNS) oraz DKIM, gdzie sprawdzane jest czy wiadomość została dobrze „podpisana” (o ile w ogóle jest „podpisana”)”
— wyjaśniła mi ekspertka specjalizująca się w wykrywaniu luk w bezpieczeństwie informatycznym, kryjąca się pod pseudonimem Moneypenny (w tej „branży” – tak samo, jak w służbach specjalnych – podobno bycie znaną twarzą nie pomaga, tutaj jest jej profil na Linkedin).
Jeśli więc z serwera, który nie należy do banku, wyjdzie do klienta e-mail „udający”, że został wysłany z banku to „prawdziwy” serwer bankowy – o ile bank stosuje politykę DMARC – może zasygnalizować serwerowi odbiorcy e-maila: „nie pozwalam, żeby moi użytkownicy wysyłali wiadomości, które nie przejdą weryfikacji —jeśli takie do ciebie dotrą, odrzuć je”.
Właściciel domeny (nie tylko bankowej, choć dziś troszczymy się głównie o nich) ma też możliwość otrzymywania raportów o każdej sytuacji, w której z „jego” adresu zostaje skierowany do kogoś e-mail, który wyszedł z cudzego serwera. Wtedy np. bank może w porę zareagować jeżeli dowie się, że ktoś wykorzystuje nazwę legalnej domeny do niejasnych celów.
I tak zrobił mBank po tym wyjątkowo podłym phishingu — ustanowiono politykę DMARC polegającą na włączeniu mechanizmu raportowania („dostarczaj e-maile z identycznych adresów, jak moje, ale raportuj mi każdy taki przypadek”). Dzięki temu bank w ciągu pięciu sekund może ostrzec klientów, że dostali fałszywego e-maila i żeby na niego nie odpowiadali. A przede wszystkim – spróbować „unieszkodliwić” serwer, z którego wysyłane są podejrzane wiadomości.
Ale moja ekspertka od cyberbezpieczeństwa twierdzi, że niektóre banki w Polsce wciąż nie stosują tego typu zabezpieczeń, narażając tym samym swoich klientów na działania oszustów podszywających się pod „e-mail z banku”. Dlaczego tego nie robią? Chodzi zapewne o wygodę. W bankach działa mnóstwo serwerów, z których są wysyłane np. mailingi do klientów.
Stosowanie restrykcyjnej polityki DMARC powoduje, że gdy jakiś dział banku wysłałby do klientów mailing z serwera spoza listy „autoryzowanych” serwerów, e-maile mogłyby zostać odrzucone przez serwery klientów albo wrzucone do spamu. Albo powstałaby ogromna góra fałszywych raportów i szum informacyjny w działach odpowiedzialnych za bezpieczeństwo. Łatwiej po prostu powiedzieć klientom: „nie odpowiadajcie na żadne prośby o loginy i hasła, żaden bank nigdy Wam nie wyśle takiej prośby, nawet z najbardziej wiarygodnego adresu e-mail”
Czytaj też: Wirus zaatakuje cię na smartfonie! Podszyje się pod aplikację mobilną twojego banku i…
Czytaj też: Jak nie dać się okraść z pieniędzy na koncie przez Facebooka metodą “na wnuczka”? Ostrzegam!
Te banki mówią do swoich klientów: „obywatelu, zrób sobie dobrze sam”
Dlatego niektóre banki nie mają polityki DMARC i nawet nie wiedzą, że źli ludzie rozsyłają do ich klientów fałszywe e-maile z adresów pocztowych identycznych jak bankowe. Listę tych nieostrożnych (a może tylko pokładających wielkie zaufanie w ostrożność swych klientów?) udostępniła nam wspomniana wyżej specjalistka od cyberbezpieczeństwa kryjąca się pod pseudonimem Moneypenny. Podobno w środowisku „bezpieczników” lista ta jest już znana, bo zaprezentowano ją na konferencji dotyczącej bezpieczeństwa x33fcon w Gdyni.
„Odpowiedzialny właściciel domeny nigdy nie powinien rezygnować z opcji otrzymywania raportów DMARC, dzięki którym może monitorować wykorzystanie domeny. Kiedy kilka dni temu szef bezpieczeństwa IT w Banku Millennium dowiedział się na x33fcon o tym, że domeny jego banku nie mają polityk DMARC, zadziałał ekspresowo. I spowodował, że serwery Banku Millennium informują odbiorców wiadomości pochodzących z domeny banku (bankmillennium.pl), iż jeśli ktoś się pod nie podszywa, wiadomość należy skierować do skrzynki „spam”. Miejmy nadzieję, że Millennium nie zapomni o swoich pozostałych domenach”
—mówi Moneypenny. Jak jest z innymi bankami? Ekspertka przetestowała domeny największych banków zaczynając od samej góry – czyli od Narodowego Banku Polskiego. Okazuje się, że NBP nie ma polityki DMARC.
„To znaczy, że NBP nie jest zainteresowany informacjami statystycznymi o oszukańczym wykorzystaniu brandu NBP do działalności o charakterze phishingu”
Największy bank komercyjny w Polsce, PKO BP, według Moneypenny też nie ma polityki DMARC, czyli również nawet nie monitoruje czy domena pkobp.pl nie jest wykorzystywana w oszukańczy sposób przy rozsyłaniu oszukańczych e-maili. Bank Pekao (pekao.com.pl), BOŚ (bosbank.pl), Alior (aliorbank.pl) — tak samo. Bank ING — w domenie ing.pl nie ma polityki DMARC, na ingbank.pl — ma. Getin na domenie getin.pl ma DMARC w konfiguracji nakazującej raportowanie, a na getinbank.pl nie ma żadnej polityki. Związek Banków Polskich też nie sprawdza, czy ktoś nie rozsyła fałszywego mailingu „w imieniu” ZBP.
„Wdrażając mechanizmy silnego uwierzytelnienia w usługach bankowości elektronicznej, banki zapominają o podstawowych mechanizmach uwierzytelniania poczty, ułatwiając zadanie oszustom i złodziejom i zarazem utrudniając życie klientom, którzy nie mogą liczyć na pomoc lub informację z banku, że doszło do próby oszustwa via e-mail”
– mówi Moneypenny. Było niedawno na „Subiektywnie o finansach” o tym, że banki nie sprawdzają żadnych parametrów poza numerem rachunków przy przelewach, co kończy się tym, że bywają głuche i ślepe, gdy przestępcy wprowadzają w błąd ich własnych klientów. Bywa, że pieniądze trafiają na konta złodziei, bo bankowców nie obchodzi to, czy np. nazwa odbiorcy przelewu zgadza się z numerem rachunku. Brak polityki dotyczącej e-maili wysyłanych z identycznych adresów e-mail jak te bankowe również nie świadczy dobrze o podejściu banków do ochrony klientów przed oszustami.
Czytaj też: Perwersja? Ten wirus zaatakuje twoje pieniądze wtedy, kiedy czujesz, że są najbezpieczniejsze
Czytaj też: Top 5 sposobów cyberzłodziei, by nas okraść. Na który dasz się nabrać? Oby na żaden…
Czytaj również: Prawie okradłem znajomego ze wszystkich pieniędzy. Nowy patent niestety zadziałał jak złoto
Bo w tym cały jest ambaras, żeby dwoje chciało naraz
Kolejnym problemem jest ustanowienie polityki DMARC przez odbiorców poczty, czyli przez nas. Bo to, że w systemie obsługującym wszystkie domeny DNS umieszczona jest polityka DMARC dla danej domeny (np. bankowej), wcale nie oznacza, że odbiorca (serwer pocztowy klienta banku) będzie ją respektował.
Oczywiście: my, jako konsumenci, nie mamy wiele do powiedzenia. Korzystamy z najróżniejszych dostawców poczty elektronicznej. Niektóre z serwerów pocztowych są zdolne do odbierania informacji zwrotnych chroniących przed fałszywymi nadawcami e-maili (mają tzw. politykę DMARC) a inne nie. Możemy co najwyżej zapytać o to administratora naszego serwera pocztowego lub zmienić dostawcę e-mail na innego, jeśli jakimś cudem dowiemy się, że dostawca usług e-mail nie dba o nasze bezpieczeństwo.
„Nawet jeśli dana wiadomość nie przeszła uwierzytelnienia — czyli sprawdzenia czy nadawca jest rzeczywiście tym, za kogo się podaje – osoba odczytująca wiadomość niekoniecznie jest o tym informowana. Np. Gmail ostrzega o tym komunikatem nawet wtedy, gdy wiadomość trafi do skrzynki głównej odbiorcy, a nie do spamu. Jeżeli odbieramy pocztę przez przeglądarkę zobaczymy taki komunikat, ale jeżeli robimy to przez tzw. klienta poczty (np. program do obsługi maili z różnych naszych skrzynek) albo na telefonie — takiego komunikatu już nie będzie widać. Dlatego tak ważna jest poprawna konfiguracja na poziomie domen: serwerów nadawców, odbiorców i klientów pocztowych – i odrzucanie oszukańczych wiadomości na możliwie jak najwcześniejszym etapie”
– mówi Moneypenny. To wszystko jest bardzo trudne dla przeciętnego użytkownika e-maila i e-bankowości, ale jedno nie budzi wątpliwości – bankowcy powinni zmienić podejście do tematu fałszywych e-maili i wykorzystywać wszystkie możliwości aby nas lepiej chronić. Najłatwiej powiedzieć klientom: „nie otwieraj podejrzanych e-maili” i mieć w nosie co się dalej wydarzy („jeśli klient mimo wszystko da się nabrać, to najwyżej straci pieniądze, za głupotę i naiwność trzeba płacić, bank to nie niańka”) – ale odpowiedzialny bank powinien pójść o krok dalej.
Czytaj też: Uwaga, oszukują nas przez telefon! Jak się zachować, gdy dostaniemy telefon „z banku”?
Jeśli właściciele domen bankowych (czyli po prostu działy IT banków) i pocztowych zaczną współpracować (stosować politykę DMARC), to wspólnie mogą znacznie utrudnić prowadzenie oszukańczych akcji z wykorzystaniem najmocniejszych marek bankowych w Polsce.
Problemów z tym związanych jest wiele: od oszukańczych e-maili, kampanii phishingowych (a w konsekwencji pieniędzy kradzionych klientom), aż do rozpowszechniania nieprawdziwych informacji przez osoby podszywające się pod spółki giełdowe (ciekawe ile kosztowałaby inwestorów nieprawdziwa informacja wysłana przez inwestora chcącego zarobić na manipulacji kursem z domeny jednej z największych polskich spółek giełdowych?).
Niezależnie od wszystkiego pamiętajcie – jeśli chcecie podać na jakiejś stronie login lub hasło do banku, albo np. hasło SMS, czy kod BLIK, to róbcie to wyłącznie z własnej inicjatywy, samodzielnie wchodząc na stronę internetową banku. Nie klikajcie w tym celu żadnych linków z wyszukiwarek (sami wpisujcie adres banku) i nie odpowiadajcie na e-maile z tego typu prośbami – nawet na te wysyłane z „prawdziwego” adresu bankowego – ani tym bardziej na prośby kolegów z Facebooka lub też ludzi z portali aukcyjnych, którzy ściemniają, że w ten sposób „przyspieszycie płatność”.
Czytaj więcej: Kupowała na OLX, a straciła wszystkie pieniądze z konta. Wszystko przez „link do płatności”
Pod poniższym linkiem fachowcy od bezpieczeństwa znajdą wyniki analizy stosowania DMARC w poszczególnych instytucjach bankowych oraz największych firmach w Polsce. Ja oczywiście z tego nic nie rozumiem, ale podobno spece od cyberbezpieczeństwa będą się dobrze bawili (lub rwali sobie włosy z głowy) przy lekturze tych papierów. Powodzenia w szukaniu swoich domen na liście ;-)).
Zobacz raport-wyniki testów: Polityki DMARC w polskich firmach i instytucjach finansowych
To też ciekawe: W Polsce bez problemu można podszyć się pod premiera, prezydenta i służby
Więcej o tym: Polskie samorządy słabo zabezpieczone przed podszywaniem się pod nie
Zapisz się na mój newsletter! Kliknij ten link, podaj adres e-mail, a raz w tygodniu prześlę Ci coś ciekawego. Bez obaw, nie będzie spamu, ani żadnych komercyjnych e-maili. Będę dostarczał Ci tylko to, co najciekawsze na „Subiektywnie o finansach”, ekskluzywne propozycje spotkań, webinariów itp.
źródło zdjęcia: Pixabay.com
