Įsivaizduokite, kad telefone programėlė „Smart-ID“ staiga paprašė įvesti PIN kodą – ką darote? Jei įvedėte, sukčiai jau jūsų banko paskyroje. Įvedėte dar kartą – pinigai iškeliavo. O sukčiai šitaip tikrino galbūt ir tūkstančių vartotojų budrumą.
15min jau rašė, kad taip per pastaruosius du mėnesius pinigų prarado maždaug 20 SEB banko klientų.
Kodėl sukčiams taip paprasta atspėti, koks vartotojo atpažinimo kodas, naudojamas internetinėje bankininkystėje?
„Vartotojų identifikaciniai numeriai – tai tėra skaičiai, yra 6 skaičiai. SEB bankas turi arti milijono internetinės bankininkystės naudotojų, tai nesunku suvesti, kad prie 6 skaičių, beveik bet kuris skaičius yra kažkieno identifikacinis numeris. Tad sukčiai gali tiesiog bandyti aklai“, – 15min studijoje pirmadienį sakė SEB banko Verslo plėtros departamento direktorius Linas Januševičius.
Atsiradus mobiliam parašui ar „Smart-ID“, sukčiams netgi nebereikia spėti jokio slaptažodžio – telefone iššoka prašymas įvesti PIN kodą, ir jei dėl neapdairumo žmogus įveda, jam gresia prastos naujienos.
„Absoliuti dauguma atmes tokias operacijas, nes jie tokios operacijos nedarė. Bet gali pasitaikyti kažkas mažiau budrus, kaip ir pasitaiko“, – atsidūsta L.Januševičius.
Pasak jo, sukčiai į „Smart-ID“ vartotojus nusitaikė dėl to, kad tai pats populiariausias identifikavimo būdas. Sukčių aukos dažnai palūžta tuomet, kai pirmąkart suvedus PIN1, jiems paskambina „banko tarnautojas“, „policininkas“ ar dar kokiu pareigūnu apsimetęs vagišius, ir pasakoja kokią nors istoriją, bandydamas auką paveikti įvesti dar ir PIN2.
Dažnas melas – „į jūsų paskyrą bandė įsilaužti sukčiai, todėl reikia, kad įvestumėte dar ir PIN2“.
Įžvelgia spragas
Kibernetinio saugumo analitikas D.Povilaitis teigia, kad spraga, palengvinanti sukčiams darbą, galėjo būti jau pačioje SEB internetinės bankininkystės sistemoje.
„Tai nėra kritinė saugumo spraga, tačiau tai jau yra spraga. Tas lengvumas, su kuriuo galima perrinkti 6 simbolių skaičių, robotui tai yra labai paprastas dalykas. Ir jeigu, tarkime, perbėgu per milijoną vartotojų, jeigu tai leidžia sistema, o galima ir IP adresą keisti, tai sukelia didelę grėsmę“, – vertina D.Povilaitis.
Jį stebina SEB pasirinkimas neprašyti asmens kodo ar slaptažodžio, o tik įvesti atpažinimo kodą. Po naujausių sukčiavimo atvejų ši praktika pasikeitė tik gruodžio pabaigoje. Dabar SEB bankas, pirmą kartą jungiantis iš naujo įrenginio, be lengvai atspėjamo numerio prašo ir asmens kodo.
„Neturiu detalių, kaip tai (sukčių ataka – 15min) buvo daryta, ar rankiniu, ar automatiniu būdu. Bet, mano vertinimu, tai yra didžiulė grėsmė. Iš principo, šiuo metu matau ir socialinę, ir techninę ataką, ir jeigu ji bus išvystyta, bet kokiu atveju tie principai turės būti pakeisti, ką, kiek suprantu, SEB bankas jau ir padaręs“, – kalba D.Povilaitis.
Slaptažodžių atsisakymas, D.Povilaičio nuomone, buvo didžiausia klaida, „kuri buvo padaryta dėl vartotojų patogumo“.
„Šiuo metu yra nemažai paslaugų tiekėjų, nebūtinai bankų, kurie prašo tik identifikatoriaus ar tik asmens kodo, ir tai yra grėsmė“, – kalba ekspertas.
Pasak jo, negalima tikėtis, kad visiems žmonėms bus suvokiama, kam skirti PIN1 ir PIN2 kodai.
„Žmonės, kurie nėra taip arti technologijų, jie maždaug suvokia, ką reikia daryti, bet pačios tų veiksmų prasmės nesupranta. Vienas parašas – prisijungiant, antras parašas – darant pavedimą. Jei tu pakankamai neišmanai technologijų, tie parašai tau nelabai skiriasi“, – sako D.Povilaitis.
Kritikuoja „Smart-ID“: galėjo daugiau reikalauti iš naudojančių įmonių
Pasak eksperto, pamatinė „Smart-ID“ technologija yra saugi, tačiau jis negaili ir kritikos technologiją valdančiai bendrovei.
„Pati „Smart-ID“ technologija, kriptografinės funkcijos, sertifikatai, privatūs ir viešieji raktai – viskas su jomis gerai, tai yra saugu“, – ramina D.Povilaitis.
Tačiau grėsmes sukelia tai, kaip šį identifikacijos būdą pritaiko įstaigos – jei identifikacijai panaudojami tik lengvai atspėjami skaičiai, yra įmanomos įvairiausios galimos atakos.
„Jei tu neturi kažkokio papildomo identifikatoriaus, pvz., asmens kodo, tai mechanizmas, kuris pakeitė plastikines korteles, mano akimis žiūrint, silpnesnis nei tos plastikinės (kodų – 15min) kortelės“, – vertina D.Povilaitis.
Pasak jo, pats tiekėjas (šiuo atveju „Smart-ID“), turėtų daugiau reikalauti iš savo klientų, bankų ar kitų įstaigų.
„Būtinas reikalavimas, kad pirmasis identifikatorius bent jau būtų sudėtas iš dviejų dalių – tai būtų iškart eliminavę visas tas atakas, kurias mes dabar turime“, – įsitikinęs saugumo ekspertas.
Dabar, anot jo, skirtingos įmonės „Smart-ID“ sistemą įsidiegė kiekviena savaip.
„Vieni klientai, turėdami daugiau žinių, įdiegę „Smart-ID“ iš karto numatė du identifikatorius, nekreipdami dėmesio į patogumą. Pas kitus gi paslaugos tiekėjus iki šiol yra lengvai perskaičiuojami tie identifikatoriai. Mano supratimu, neturėtų visa šita paslauga priklausyti nuo paslaugos vartotojų, turiu omenyje, kažkokių organizacijų. Turėtų būti reikalavimas iš autentifikacijos tiekėjo, „Smart-ID“ ar mobiliojo parašo, kurie turėtų iškelti reikalavimus – kad kitaip tu nepraeisi“, – kalba D.Povilaitis.
Panašios automatinės atakos, anot jo, šiuo metu įmanomos ir kitose Lietuvos institucijose ar organizacijose, kurios tenaudoja paprastus lengvai nuspėjamus identifikatorius – robotai lengvai gali perbėgti ir per milijoną tokių paskyrų.
SEB pasimokė – reikalauja asmens kodo
SEB banko Verslo plėtros departamento direktorius L.Januševičius paaiškina, kad dėl pastarųjų vagysčių bankas atliko pakeitimą – e.bankininkystėje, be atpažinimo kodo, pirmą kartą jungiantis iš naujo įrenginio, reikalaujama įvesti ir asmens kodą.
„Tai reiškia, kad galimybė pataikyti atsitiktinai be techninių priemonių visiškai sumažėja, čia jau būtų reikalinga sofistikuota techninė ataka. Šiuo atveju toks patobulinimas padarytas, bet kodėl jo nebuvo, tarkime, nuo pat pradžių, arba kodėl nėra dar daugiau saugumo priemonių, tarkime, paveikslėlių ar dar kažko? Visa tai galima padaryti, bet kiekvienas toks veiksmas yra klientų patirties aukojimas. Kuo bus sudėtingiau prisijungti sukčiams, kuo daugiau reikės veiksmų atlikti, tuo visada sudėtingiau prisijungti ir pačiam klientui“, – pasirinkimus aiškina L.Januševičius.
Anot jo, netgi jei pavedimai būtų atliekami tik į banko skyrių atėjus su pasu, vis tiek klaidų nebūtų išvengiama.
„Tai kompromisas tarp saugumo ir patogumo“, – sako L.Januševičius.
Jis įsitikinęs, kad kitokiu būdu sukčiai gauti prisijungimo duomenų neturėjo galimybės, o ir prasmės to daryti nebuvo – buvo pakankamai didelis atsitiktinio spėjimo „pataikymo procentas“.
Tačiau banko atstovas patikina, kad „Smart-ID“ priemonė užtikrina gerokai didesnį saugumą nei ribotą kodų skaičių turėjusios kortelės. Net ir sukčiams perėmus PIN kodus, jie nieko su jais negalėtų padaryti, nes reikėtų dar ir asmens telefono aparato.
„Šiuo atveju tai yra daug kartų saugiau tuo, kad kiekvienos nelegalios operacijos sukčiai negali padaryti patys – kiekvieną operaciją turi patvirtinti pats klientas“, – teigia SEB banko atstovas.
Jis įsitikinęs, kad pradėjus reikalauti asmens kodo, sukčių atakų turėtų pastebimai sumažėti – dviejų skaičių kombinaciją atspėti bus gerokai sunkiau.
„Tačiau vis tiek atkreipčiau dėmesį, net jei tai būtų ir du, ir trys skaičiai, su techninėmis priemonėmis galima padaryti. Sunkiau, bet galima. Kokie nors sofistikuotesni nusikaltėliai padarys ir tai. Paskutinė pralaužiama arba nepralaužiama siena yra pats vartotojas“, – sako L.Januševičius.
Ar jau pinigus praradę klientai gali tikėtis juos atgauti? Tai klausimas teisėsaugai, tikina SEB banko atstovas.
„Čia jau klausimas turėtų būti teisėsaugai, ar jie sugebės tai nustatyti. Jei pinigai jau iškeliavę iš sąskaitų, ar bus rasti nusikaltėliai, ar iš tų nusikaltėlių bus galima išsireikalauti pinigus. Ypač dabar, kai vyksta momentiniai mokėjimai, nusikaltėliai, jei veikia greitai, sugeba ir per kelias minutes ištuštinti sąskaitas. Tai atgavimas pinigų priklauso nuo teisėsaugos darbo“, – kalba L.Januševičius.
Primena saugumo ABC
Smart-ID“ prižiūrinčios bendrovės „SK ID Solutions AS“ Lietuvos filialo verslo vadovas Viktoras Kamarevcevas klientams priminė saugumo abėcėlę.
„Pirmiausia šitoje situacijoje akivaizdu – nesuvedinėti PIN kodo, jei transakcija nėra inicijuota jūsų pačių. Antras dalykas, visą laiką reikia pažiūrėti paslaugos teikėjo pavadinimą. Kiekvienoje transakcijoje matosi didelėmis raidėmis paslaugos tiekėjo, ar tai būtų banko, ar kito e.paslaugos tiekėjo, pavadinimas. Taip pat matosi ir ką tu su tuo darai. Jei bandoma prisijungti – rašo prisijungimas, čia jei PIN1 vestume. Taip pat ir su PIN2 – matosi paslaugos teikėjas, atliekamas veiksmas“, – vardija V.Kamarevcevas.
Trečias dalykas – prisijungiant bankininkystėje ar kitoje svetainėje parodomas keturių skaitmenų saugos kodas, kuris būtinai turi sutapti su saugos kodu „Smart-ID“ programėlėje. Jei kodas nesutampa – būtina atšaukti tokią operaciją.
„PIN1 yra skirtas atpažinčiai, kai sistema atpažįsta, kas aš esu. Tuo tarpu PIN2 reikalingas patvirtinti kažkokią operaciją, ar transakciją, ar pasirašyti dokumentą. Netgi jau įvedus PIN1, įsilaužėlis, apgavikas dar negali pervesti pinigų, nes vartotojui dar reikia įvesti PIN2“, – paaiškina skirtumus V.Kamarevcevas.
Jis paaiškina, kad PIN įvedimu vartotojas „išreiškia valią“ ir ji būna autentiška ir tikra.
„Klausimas, tik kokiais tikslais ta vartotojo valia buvo išreikšta – ar gerais, ar blogais, ar paveikta, ar nepaveikta, čia kitas klausimas. Bet technologija yra saugi“, – sako V.Kamarevcevas.
Diskusijoje dalyvavę ekspertai pripažino, kad dažniausiai aukos paveikiamos pasitelkus socialinės inžinerijos būdus – kai jiems paskambinama ir paprašoma įvesti PIN2 kodą.
„Smart-ID“ šiuo metu naudoja apie 1,2 milijono klientų Lietuvoje.
