Verslas

2019.03.05 14:49

Atsisakoma kodų kortelių: kiti būdai – saugesni, bet sukčiams nėra neįveikiami

Vaida Kalinkaitė-Matuliauskienė, LRT.lt2019.03.05 14:49

Nors programišiai geba apeiti įvairias saugumo sistemas, silpniausia saugumo grandimi iki šiol išlieka vartotojas, sako LRT.lt kalbinti saugumo specialistai ir Lietuvoje veikiančių bankų atstovai. Dėl šios priežasties vis dažniau siekiama surasti būdų, kaip apsaugoti vartotoją nuo to, kad jis pats neatiduotų savo duomenų. Vis dėlto ekspertai pripažįsta – net ir specialios saugumo programėlės sukčiams nėra visiškai neįveikiamos.

Vilniaus universiteto Kauno fakulteto dekanas, kibernetinio saugumo žinovas doc. Kęstutis Driaunys paaiškina – prisijungimas, kai vartotojas privalo suvesti slaptažodį ir dar vieną kodą, kurį sugeneruoja specialios programėlės, kodų generatoriai, vadinamas dviejų faktorių ar veiksnių prisijungimu.

Toks prisijungimas leidžia patikrinti, ar vartotojas yra tas, kuo prisistato. Paprastai vartotojai gali būti autentifikuojami pagal tai, ką žino, pavyzdžiui, slaptažodį ar PIN kodą, pagal tai, ką turi, pavyzdžiui, įėjimo kortelę ar USB raktą, pagal tai, kas pats yra, kai patikrinami unikalūs vartotojo bruožai, ir pagal tai, kur yra – ar jis yra toje vietoje, iš kurios bandoma prisijungti.

„Paprastai autentifikuojama pagal vieną faktorių. Dviejų faktorių autentifikacija – kai mes galime kombinuoti ir naudoti keletą faktorių. Pavyzdžiui, paklausti slaptažodžio ir dar patikrinti, ar tu tikrai esi toje vietoje, kurioje bandai suvesti slaptažodį. Tavęs gali paklausti slaptažodžio ir paprašyti pateikti tai, ką tu turi. Tą patį savo išmanųjį įrenginį, kuriame dar kažką paspaudi“, – nurodo K. Driaunys.

Dviejų faktorių prisijungimu, kai panaudojama tai, ką žmogus žino, laikomas ir prisijungimas per išmanųjį telefoną, naudojant Lietuvos bankų naudojamą programėlę „Smart ID“, – žmogus kompiuteryje suveda savo žinomą slaptažodį ir kitą arba net du savo sugalvotus slaptažodžius programėlėje.

„Jeigu yra galimybė naudoti antrojo faktoriaus autentifikaciją, visada linkėčiau pasinaudoti šia galimybe. Šiai dienai dviejų faktorių autentifikacija nėra kažkokia panacėja, galinti mus apsaugoti nuo visų bėdų, bet tai iš tiesų labai rimta technologija, kuri leidžia sumažinti riziką“, – LRT.lt sako K. Driaunys.

Ekspertas sutinka – tiek „Smart ID“, tiek bet kuris dviejų faktorių prisijungimas nėra visiškai neįveikiamas programišiams, tačiau tokiu atveju, net ir norint įveikti saugos sistemas, jiems tenka labiau pasistengti.

Savaitraštis „The Economist“ anksčiau skelbė, kad įsilaužimų į dviejų faktorių autentifikacija saugomas paskyras vis daugėja. Bene lengviausias būdas tai padaryti – informuoti vartotoją, kad jam reikia atsinaujinti slaptažodį ir pridėti nuorodą į netikrą internetinę svetainę, kuri atrodo identiškai kaip tikroji.

Vartotojas, vesdamas duomenis netikroje svetainėje, juos atiduoda programišiams. Pastarieji tuo pat metu šiuos duomenis panaudoja tikrojoje paskyroje, todėl paprastai vartotojui nekyla dvejonių, kai jo programėlė ar kitas įrenginys paprašo patvirtinti antrąjį saugumo faktorių – jis mano, kad to prašoma, nes jis pats jungiasi prie sistemos.

K. Driaunys tvirtina – daugumai vartotojų dėl tokių įsilaužimų jaudintis nereikia tol, kol jie patys neatiduoda savo duomenų vagims: „Įsilaužti įmanoma, bet tam reikia daug didesnio pasiruošimo. [...] Šiandien natūralus ir saugiausias žingsnis, ką galima padaryti, tai naudoti dviejų faktorių autentifikaciją. Tai leidžia pašalinti pakankamai didelę dalį grėsmių. Visų jų pašalinti neleidžia, bet aš nežinau, ar šiandien įmanomos tokios technologijos.“

Kodėl kodų kortelės neužtikrina saugumo

Lietuvoje veikiantys bankai ragina klientus atsisakyti iki šiol daugelio naudotų kodų kortelių ir pasirinkti kitą prisijungimo prie elektroninės bankininkystės būdą. Jau prieš kurį laiką apie tai  klientams paskelbė „Swedbank“. Visai neseniai apie kodų kortelių galiojimo pabaigą savo klientus pradėjo informuoti ir SEB bankas. „Luminor“ apie tokią galimybę taip pat svarsto, tačiau konkrečios datos nepaskelbė.

Kaip tvirtina LRT.lt kalbinti bankų atstovai, specialistai apie galimą įsilaužimą ir sukčiavimą žino ir su tuo kovoja, bet pastebima, kad silpniausia saugumo grandimi iki šiol išlieka patys vartotojai.

„Swedbank“ atstovo spaudai Sauliaus Abraškevičiaus teigimu, bene pagrindinis kodų kortelės išskirtinumas, lyginant su kitais prisijungimo būdais, – visi kodai žinomi iš anksto ir yra aiškiai nurodyti. Būtent tai mažina šio prisijungimo būdo saugumą.

„Pametus kodų kortelę – atskleidžiami visi kliento saugumo kodai, todėl sukčiams jais gali būti lengviau pasinaudoti“, – komentuoja S. Abraškevičius.

LRT.lt pašnekovas atkreipia dėmesį – neretai klientai savo kodų korteles nešiojasi piniginėje, kišenėje, yra nusifotografavę ir išsisaugoję mobiliajame telefone. Tai irgi gali palengvinti darbą vagims, jeigu pamesite mobilųjį telefoną ar pačią kortelę.

Banko „Luminor“ informacinio saugumo vadovas Baltijos šalims Tomas Martinkėnas taip pat tvirtina, kad dviejų veiksnių autentifikavimas dažniausiai naudojamas kaip papildoma saugumo priemonė, nes tokiu atveju nusikaltėliui sunkiau sužinoti ar atspėti slaptažodį, kurį sugeneruoja specialios programėlės ar kitos priemonės.

Kaip teigia pašnekovas, siekiant didesnio saugumo, geriausia naudoti tokius slaptažodžius, prisijungimo duomenis, kurių vartotojas paprasčiausiai negali išduoti: „Pats saugiausias slaptažodis yra tas, kurio vartotojas nežino – tai paplitęs posakis tarp saugumo specialistų. Silpniausioji grandis vis dar lieka žmogiškasis faktorius ir technologija nesugeba to eliminuoti. Įsilaužėliai pasinaudodami socialine inžinerija stengiasi išvilioti prisijungimo duomenis, nes kompromituoti sistemą daug sudėtingiau ir tai reikalauja specifinių žinių.“

SEB banko Prevencijos departamento vadovas Audrius Šapola atkreipia dėmesį, kad pastaruoju metu apie dviejų veiksnių prisijungimą jau kalba ne tik bankai, bet ir socialiniai tinklai ar įvairias elektronines paslaugas teikiančios internetinės svetainės.

A. Šapolos vertinimu, vis plečiantis informacinių technologijų galimybėms, įvairiose paskyrose, išmaniuosiuose prietaisuose žmonės saugo itin daug jautrios informacijos, todėl apie stipresnę apsaugą turi galvoti ne tik bankai. Ekspertas, kaip ir kiti pašnekovai, pabrėžia, kad vartotojas išlieka labiausiai pažeidžiama saugumo dalimi.

„Ką pastebi bankai ir kitos įstaigos, vartotojas yra tas, į kurį yra nusitaikę nusikaltėliai. Kad ir telefoninio sukčiavimo pavyzdžiai, kai paskambinę sukčiai prisistato policijos pareigūnais, prašo, kad žmonės jiems atskleistų prisijungimo duomenis ar kad kodų generatoriumi ar „Smart ID“ programėlėje vis tvirtintų atliekamas transakcijas. Yra tokių atvejų, kai žmonės suklaidinti tai daro. Vartotojas ir toliau išlieka pažeidžiamas“, – pabrėžia A. Šapola.

Ramina: dėl programišių atakų daugeliui jaudintis nereikėtų

K. Driaunys atkreipia dėmesį – kiekvienas vartotojas patiria kitokią riziką tapti sukčių auga. Dažniausiai daugeliui žmonių nereikia rūpintis dėl to, kad į jų paskyras įsilauš programišiai, kuriuos paprastai domina aukštas pareigas užimantys, turtingi ar žinomi žmonės. Nuo telefoninių ar kitų sukčių apsisaugoti vis dėlto privalo pats vartotojas, neatskleisdamas prisijungimo informacijos.

„Visada reikia tuos sprendimus subalansuoti. Jeigu išleidžiame 1000 eurų apsaugoti paskyrą, kurioje yra 100 eurų, tai natūralu, kad tai bus neefektyvu. Turbūt turėtume kalbėti apie atitinkamas investicijas, kad pašalintume ar proporcingomis priemonėmis sumažintume riziką“, – sako K. Driaunys.

Jo tvirtinimu, šiandien geriausia būtų naudoti slaptažodį ir antro faktoriaus autentifikaciją, kuri leistų įrenginyje patvirtinti savo tapatybę: programėles, mobilųjį ar elektroninį parašą, kodų generatorių.

Kitu atveju, pastebi K. Driaunys, išgauti duomenis gana nesudėtinga: „Mūsų statistika rodo, kad apie 80 proc. žmonių iš karto atiduoda savo prisijungimų duomenis. [...] Parašai suklastotą laišką, kad prašome pasikeisti savo slaptažodį, nes jūsų slaptažodžio galiojimo laikas pasibaigė. Padarius panašią svetainę, žmonės tiesiog atiduoda savo slaptažodžius.“

Ekspertas sutinka – sukūrus identiškos išvaizdos svetainę, įmanoma išgauti ir dviejų faktorių prisijungimo duomenis. Tačiau, tvirtina K. Driaunys, toks prisijungimas, kai naudojami vadinamieji du veiksniai, gerokai sumažina riziką. Be to, tokią saugumo spragą vėl nulemia ne pats prisijungimo būdas, o vartotojų neapdairumas.

„Yra priemonės, kurios leidžia sumažinti riziką, bet reikia pasigilinti, ką tu darai, laikytis bendrų kibernetinio saugumo higienos taisyklių. Tiesiog reikėtų pasirūpinti, kad kompiuteryje nebūtų kenkėjiško kodo. Jeigu kenkėjiškas kodas karaliauja, kažkas yra įdiegta, tos technologijos arba investicijos į antrą faktorių tikrai bus bevaisės“, – LRT.lt sako VU docentas, kibernetinio saugumo žinovas K. Driaunys.

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt