Asseco South Eastern Europe razvio je jedno od rješenje za mobilno bankarstvo na tržištu regije. Ono omogućava brz i siguran pristup financijskim uslugama i informacijama s mobilnih telefona, tvrdi Bajza-Ljubičić, objašnjavajući kako se tom uslugom mogu plaćati računi, vršiti konverziju valuta, kupovati prepaid bonove, poslovati s fondovima te imati dostupne podatke vezane uz stanja, promete, dospijeća, račune, plaćanja, kartično poslovanje, tečajeve, kontakte s bankama i ostale usluge.

S ciljem zaštite svoje m-banking usluge, komunikacija u usluzi ASEBA JiMBa vrši se preko zaštićenog kanala. Bajza-Ljubičić nam je rekla da nitko osim klijenata banka ne može pročitati podatke koje oni razmjenjuju s bankom. Za korištenje ASEBA JiMBa koristi se mobilni token koji je ugrađen u aplikaciju i radi automatski, a koristi se za autentifikaciju, odnosno identifikaciju klijenata i potpisivanje poruka koje se razmjenjuju s bankom. Usto nijedan podatak, osim predložaka za plaćanja, ne čuva se u mobilnom telefonu. Aplikacija radi samo ako klijent banke prilikom njezine aktivacije unese ispravan PIN, tako da, u slučaju da izgubi mobilni telefon ili mu ga netko ukrade, ne mora strahovati da će netko zloupotrijebiti podatke koji se nalaze u mobitelu.

U svijetu je prošle godine m-banking koristilo 55 milijuna ljudi, a prema procjenama Berg insighta, kompanije koja se bavi analizama u sektoru telekomunikacija, do 2015. ta brojka biće povećana za čak 1.525 posto, kada bi mobilno bankarstvo trebalo koristiti 849 milijuna ljudi.

UČESTALI HAKERSKI NAPADI

Međutim, u svijetu je m-banking postao jedan od najzastupljeniji načina nezakonitog upada na bankovne račune. Za savjet smo upitali certficiranog etichal hackera, certificiranog haking forensic investigatora Microsoft MVP-a za enterprise security iz učilišta Algebra Roberta Petrunića.

Kako nam je rekao, neki od mogućih napada na m-banking su: pogađanje PIN-a (kod te vrste plaćanja obično se koriste kratki PIN-ovi koje je lako pogoditi), 'gledanje preko ramena' (engl. Shoulder Surfing, može bilo kome tko je u blizini osobe koja ukucava PIN omogućiti da taj PIN zapamti), krađa odnosno gubitak mobilnog uređaja može omogućiti osobi koja takav uređaj ukrade ili pronađe pristup podacima ako je PIN pohranjen na samom uređaju te ako je u pitanju naprednija bankarska aplikacija koja zahtijeva i naprednije klijente (iPhone, Windows Mobile, Google Android i sl.) mogući su svi napadi koji se inače provode na nivou računala i računalnih mreža.

Takvi napadi mogu biti i preslušavanje (engl. sniffing) prometa kad je uređaj spojen preko bežične mreže (WLAN), pregledavanja međuspremnika (cache memorije) u kojem se mogu nalaziti zanimljive informacije za napadača, zapamćene zaporke, što omogućava direktan pristup aplikaciji bez znanja zaporke, MitM (Man in the Middle) napad u kojem se napadač korisniku predstavlja kao poslužitelj, a poslužitelju kao korisnik te sav promet ide preko njega, nesvjesna instalacija malicioznog softvera koji može automatizirati postupak (primjer trojanskog konja Zeusa koji je već nekoliko godina aktivan i čija je namjena upravo krađa novca s bankovnih računa) te primitak maliciozne poruke elektroničke pošte koja će napadaču omogućiti pristup računalu odnosno pametnom telefonu korisnika ako korisnik otvori poruku, privitak koji se nalazi u njoj ili otvori link, stavljen kao mamac.

Najčešći načini krađe podataka i upada na račune u banci su masovne akcije usmjerene na veliku količinu korisnika, i to na tri razine. Na najnižoj razini su direktne žrtve – osobe kojima se krade novac s bankovnih računa. Na srednjoj razini su tzv. mazge za prijenos novca (engl. Money Mule), tj. osobe koje na svoj račun primaju ukradeni novac i zatim dio usmjeravaju na prvu razinu, a dio zadrže za sebe. Na prvoj razini se nalaze organizatori akcija.

ZAŠTITA OD ZLOUPORABA

Na pitanje na koji se način zaštititi kada koristimo m-banking, Petrunić je ustvrdio da se zaštita mora provoditi na više razina. 'Ako su u pitanju pametni telefon – treba postupiti identično kao i kod računala: redovito instalirati zakrpe (firmware u ovom slučaju), imati instaliran vatrozid (firewall), antivirusni program i slično. 'Nažalost, iz prakse mogu reći da kod većine pametnih telefona ovo nije slučaj', rekao je te dodao da je neophodno voditi računa o tome gdje i kako je uređaj spojen na internet jer, ako je spojen na neku javnu WiFi mrežu, bilo tko može vidjeti i mijenjati promet koji se razmjenjuje.

Od ostalih neophodnih savjeta Petrunić je naglasio da je važno, ako uređaj to dozvoljava, imati dozvoljenu opciju udaljenog uništavanja podataka na uređaju ako je uređaj izgubljen i uvijek koristiti enkripciju podataka koji se nalaze na uređaju. Korisnik uvijek treba biti svjestan da je mobilni uređaj lakše izgubiti nego prijenosno računalo i shodno tome na njemu ne držati podatke koji bi osobi koja pronađe ili ukrade takav uređaj bili od koristi. Isto tako, korisnik uvijek mora biti svjestan opasnosti kako bi se prilagodio situaciji u kojoj se nalazi – nikako ne plaćati račune u javnom prijevozu u kojem je gužva i druge osobe imaju uvid u ekran vašeg telefona. Kad je riječ o pametnim mobilnim uređajima, opasnosti i napadi su identični kao i na računalima.

Petrunić je naglasio da je sustav plaćanja putem SMS poruka znatno sigurniji nego u m-bankingu, zbog samog načina razmjene podataka između mobilnog uređaja i ćelije na odašiljaču, ali i u toj varijanti postoji mogućnost kompromitiranja.

Na kraju je istaknuo da hrvatske banke koriste siguran način pristupa bankarskom poslovanju kroz sustav jednokratnih zaporki, što otežava napade, ali ih ne onemogućava u potpunosti jer onog trena kad korisnikovo računalo bude zaraženo, i sustav je kompromitiran.

U SAD-u i Velikoj Britaniji uhićeno je stotinjak ljudi uključenih u veliki niz krađa, uz primjedbu da je najveći broj organizatora najvjerojatnije još uvijek na slobodi jer su većinom pohvatane osobe koje su služile kao tzv. mazge za prijenos novca. Kod nas je, rekao je Petrunić, trojanski konj Zeus bio detektiran kao potencijalno opasan čak i za hrvatske banke, bez obzira na najviši stupanj sigurnosti provjere korisnika u regiji i šire.

PRIMJER ZARAZE MOBILNOG TELEFONA

Naveo je primjer moguće najlakše zaraze mobilnog telefona ili smart telefona tako da korisnik posjetom internetske stranice za razbijanje zaštite nove igrice (crack) nesvjesno instalira i trojanskog konja Zeusa, bez svog znanja. Igrica radi nakon tog postupka i korisnik je sretan. Zeus radi u pozadini, što korisnici računala, naravno, ne primjećuju. Kasnije korisnik odlazi na internetske stranice svoje banke i plaća račune za struju. Prilikom prijave u sustav ukucava jednokratnu zaporku, što Zeus propušta dalje bez intervencija. Nakon toga, korisnik ispunjava obrazac uplate i potvrđuje naplatu. Zeus presreće tu transakciju i mijenja je na način da se sredstva, koja mogu biti i veća od unesenog iznosa, prenese na račun 'mazge za prijenos novca' (Money Mule).

Tako modificirani zahtjev odlazi na naplatu u bankovni sustav – dakle, ne zahtjev za plaćanje struje, već transfer novca 'mazgi'. Aplikacija, kao i većina internet banking aplikacija, generira tzv. izazov broj – dakle, broj na koji korisnik mora odgovoriti na način da ga ukuca u svoj token i odgovori brojem koji je token generirao. Zahtjev dolazi do korisnikovog računala, ali Zeus ga mijenja da izgleda kao onaj koji je korisnik generirao. Korisnik ukucava broj misleći da plaća svoj račun, a ustvari je omogućio Zeusu prijenos novca na proizvoljni račun. Takav scenarij moguć je na pametnim telefonima, ali ne i na običnim mobilnim uređajima i pri plaćanju SMS porukama.