Professional Documents
Culture Documents
www.cert-ro.eu/ecsm.php
Pagin alb
Pagin 2 din 19
CUPRINS
1.
2.
3.
4.
4.1.
4.2.
5.
5.1.
5.2.
6. BIBLIOGRAFIE. 19
Pagin 3 din 19
Pagin alb
Pagin 4 din 19
2. Scopul ghidului
Prezentul ghid ofer o nfiare a ntregului complex de msuri pe care se bazeaz
securitatea serviciilor Internet Banking i online shopping. Necesitatea acestui ghid a
rezultat din nevoia de informare i contientizare a publicului privind sigurana acestor
servicii i ca atare, documentul surprinde cele mai rspndite practici i masuri de
securitate specifice agenilor economici din Romnia i se adreseaz n special utilizatorilor
acestor servicii pentru a le face mai bine nelese. Totodat, prin abordarea aplicat se
dorete contientizarea acestora privind rolurile ce revin fiecrei pri implicate n
realizarea unei tranzacii n condiii de securitate.
3. Internet Banking
3.1. Descrierea serviciului
Internet Banking, sau online banking, este un termen folosit pentru sistemele de pli cu
acces la distan utilizate pentru efectuarea de tranzacii bancare prin intermediul
Internetului. Acestea sunt sisteme bancare care permit accesul electronic de la distan, la
conturile bancare, n vederea operrii de tranzacii i obinerii de situaii referitoare la
propriile conturi. Astfel de sisteme sunt reprezentate de:
Pagin 5 din 19
Furnizorul de servicii Internet Banking reprezint acea instituie de credit sau instituie
financiar nebancar care emite i pune la dispoziia deintorului un instrument de plat
electronic, pe baza unui contract ncheiat cu acesta, iar anual are obligaia de a supune
aceste sisteme unui proces strict de avizare/reavizare conform normelor legale.
Utilizarea Internet Banking-ului a devenit o soluie tot mai rspndit i acceptat de
publicul larg ca alternativ la metoda clasic prin prezentarea ntr-o sucursal bancar
pentru realizarea operaiunilor uzuale. Avantajele precum mobilitatea i disponibilitatea
24/7 au fost permanent suplimentate prin extinderea gamei de operaiuni care pot fi
derulate n condiii de siguran, oferind n ziua de astzi posibilitatea executrii facile de la
distan a mai multor tipuri de operaii, spre exemplu:
deschidere de conturi;
transferuri ntre conturi;
pli n lei sau valut;
constituire/lichidare depozite;
schimb valutar;
ordine de plat intrabancare i interbancare;
vizualizare extrase bancare;
actualizare rapid a datelor personale.
Pentru a beneficia de aceste servicii trebuie ndeplinite cteva cerine minime n raport cu
banca emitent, precum:
persoana s dein cel puin un cont curent activ;
persoana s aib ncheiat un contract de furnizare de servicii electronice bancare.
Aceste condiii pot fi suplimentate de ctre orice instituie bancar din motive ce in de
propriul proces de lucru, iar ulterior beneficiarul primete numele de utilizator i codul
personal de identificare/parola i/sau orice alt dovad similar (ex: token) a identitii
necesar autentificrii.
3.2. Mecanisme de securitate
Cnd este adus n discuie securitatea serviciilor de Internet Banking, primele lucruri la
care ne gndim de regul sunt calculatoarele i conexiunea ntre client i banc. De cele mai
multe ori ns, securitatea acestor servicii nu se rezum doar la calculatoare i conexiuni,
dei acestea rmn extrem de importante i sensibile. Msurile de securitate sunt gndite
i aplicate ca un pachet integrat i complet cu rolul de a permite maximum de beneficiu
utilizatorilor n condiii minime de risc.
Dei ponderea masurilor de natur tehnic este net superioar vom aduce n discuie toate
categoriile de msuri pentru a avea o imagine de ansamblu, astfel:
Pagin 6 din 19
Aplicaii dedicate mobile banking - Pentru dispozitivele de tip mobile au fost puse la
dispoziia clienilor aplicaii specifice care ofer pe lng o interfa uor de utilizat i
siguran sporit datorit ncorporrii mecanismelor enumerate anterior (nume de
utilizator, parol/PIN i/sau token ncorporat).
Autentificarea n doi pai - Aceast metod asigur faptul ca persoana care acceseaz
contul sa fie chiar utilizatorul legitim al acestuia. Astfel, atunci cnd este implementat
aceast metod de ctre furnizorul de servicii de Internet Banking, clienii sunt obligai
s se autentifice dup dou criterii de identificare: ceva pe care utilizatorul l cunoate
(un nume de utilizator i o parol) i ceva care este foarte probabil s dein (un token
fizic, un telefon mobil etc).
Pagin 7 din 19
Limitarea orar privind efectuarea tranzaciilor cu nivel de risc ridicat Dei acest
serviciu este disponibil n permanen (24/7), unele bnci pot prestabili o serie de
ordine cu execuie imediat, iar pentru celelalte se realizeaz doar nregistrarea
acestora urmnd a fi operate n intervalul orar de lucru.
Indiferent de metoda prin care sunt cerute aceste date nu trebuie dat curs solicitrilor.
Bncile nu apeleaz la clienii si pentru a-i fi transmise date precum: numrul cardului,
data expirrii, PIN-ul, parola, ID-ul de logare, codul token sau orice alte date personale.
Pagin 8 din 19
Suplimentar, dac sunt constatate astfel de ncercri de furt de date ar trebui semnalat
inclusiv furnizorul n numele cruia a fost formulat solicitarea.
Nimeni nu are dreptul de a solicita unui client conectarea pe propriul cont de Internet
Banking sau transmiterea datelor personale
Acest tip de neltorie este cunoscut sub numele de phishing. De obicei apare ca un
presupus mesaj de la banc n care clienilor li se spune c trebuie s comunice sau s
introduc
ntr-un
formular
informaii
personale/confideniale
n
vederea
validrii/actualizrii i astfel ele sunt capturate n mod fraudulos de ctre necunoscui sau
ru-voitori (parol de acces, numr card, etc.).
Pentru a fi mai convingtori, acetia recurg la motivaii false precum mesaje de alertare
privind posibilitatea de a fi victima unei fraude, motiv pentru care s-ar impune verificarea
de urgent a propriilor conturi, oferind de asemenea un link pentru accesarea serviciului,
dar care n realitate redirecioneaz spre un site clonat.
Atacurile de tip phishing se folosesc de canale electronice de comunicaie (e-mail, telefon)
sau de programe ru intenionate, care exploateaz vulnerabilitile sistemului pentru a
fura date. n situaia n care se primesc mesaje de acest gen este cel mai indicat ca acestea
sa fie terse direct, fr a fi accesate, mai ales daca au inserate link-uri sau ataamente i
provin de la adrese de e-mail necunoscute.
Alternativ, dac se ncearc astfel de neltorii prin telefon este recomandat s se refuze
comunicarea datelor solicitate i contactarea furnizorului de servicii n baza datelor de
contact postate pe site-ul oficial, pentru a verifica veridicitatea solicitrii.
Un indiciu pentru a v feri dumneavoastr de astfel de fraude, l reprezint faptul c de cele
mai multe ori iniiatorii unui atac nu tiu cu ce banc lucreaz destinatarul mesajului. De
aceea, mesajele sunt transmise la ntmplare ctre liste de adrese n sperana c vor gsi
clieni cu cont la banca al crei site a fost duplicat i care nu realizeaz pericolul cruia se
expun.
Atunci cnd site-ul de Internet Banking funcioneaz cu erori sau apar solicitri
suplimentare nejustificate de reautentificare
n multe dintre situaii, erorile poteniale ar putea avea ca surs incompatibilitatea unor
aplicaii, dar uneori sunt generate de inserarea maliioas n calculatorul clientului, de ctre
persoane ru-intenionate, a unor aplicaii sau troieni (ex. Zeus, SpyEye, Citadel etc) cu rolul
de a fura datele de conectare sau de a-i redireciona ctre site-uri clonate.
Dac apar mesaje nejustificate prin care este solicitata reautentificarea unui utilizator, dei
sesiunea pe care este conectat este n continuare valid sau a fost nchis prin apsarea
butonului Logout, este cel mai probabil s fie o tentativ de furt de date. Dac se observ
erori evidente de funcionare a site-ului bncii sau al serviciului de Internet Banking (ex:
unele link-uri din meniu nu conduc spre paginile care ar fi trebuit s fie disponibile) este
foarte posibil ca utilizatorul vizat de atacator sa fi fost redirecionat ctre unul din acele
site-uri falsificate.
Pagin 9 din 19
Se recomand evitarea conectrii la Internet Banking prin intermediul unui link pus la
dispoziie n corpul unui e-mail (inserat doar pentru a facilita accesul la acest serviciu).
Dei, simpla divulgare a datelor de autentificare nu este suficient pentru a produce efecte
negative semnificative asupra unui utilizator, ele trebuie sa rmn confideniale deoarece
ar elimina poate chiar i jumtate din rolul msurilor de securitate. Similar oricror alte
credenele, fiecare utilizator nu trebuie s le divulge sau s i le noteze pe diverse medii de
stocare.
Fiecare utilizator trebuie s se asigure c token-ul care i-a fost pus la dispoziie nu rmne
nesupravegheat, iar atunci cnd securitatea acestuia este sporit prin intermediul unui cod
PIN nu-l va divulga niciunei persoane. Daca a fost constatat pierderea dispozitivului se
impune anunarea imediat a furnizorului n vederea blocrii acestuia.
Pagin 10 din 19
Indiferent dac este exist suspiciuni privind eventuale tentative de fraudare sau exist
nelmuriri privind utilizarea uneia dintre opiunile serviciului accesat, se recomand
utilizarea facilitilor de suport puse la dispoziie de furnizorul de servicii de Internet
Banking. Pentru contactarea furnizorului recomandm a se utiliza doar datele de contact
fcute publice pe site-ul oficial.
Toate browserele de Internet ofer facilitai pentru salvarea username-ului i a parolei din
aplicaiile accesate, oricare ar fi acestea. Pentru sigurana dumneavoastr, se recomand
verificare strii acestor faciliti sau optarea pentru a nu salva aceste date atunci cnd sunt
afiate aceste ntrebri.
Pagin 11 din 19
Cu o anumit regularitate, sau mai ales atunci cnd exist bnuieli privind cunoaterea
credenialelor de acces de ctre o alt persoan, se recomand schimbarea acestor date n
msur n care sistemul pus la dispoziie de furnizorul de Internet Banking o permite.
Totodat, pentru definirea unei parole noi se recomand evitarea cuvintelor uzuale i
alegerea combinaiilor de litere mici, litere mari, cifre si/sau caractere speciale. De
asemenea, nu se recomand stabilirea parolelor de acces sau a codurilor PIN n funcie de
datele personale: ziua de natere, vrsta, etc.
Pentru a evita situaiile n care clienii ar putea fi pclii s utilizeze aplicaii pentru mobilebanking cu cod maliios inserat, toi furnizorii acestui serviciu i-au definit clar lista de siteuri specializate prin care se poate intra n posesia aplicaiei oficiale. Ca atare, se recomand
verificarea site-ului furnizorului pentru a identifica aceste site-uri nainte de a iniia
descrcarea aplicaiei.
4. Cumprturile online
Dei nu reprezint o practic foarte rspndita n Romnia, cumprturile online ncep s
ctige din ce n ce mai muli adepi.
Cumprturile online prezint o serie de particulariti i avantaje fa de cumprturile
clasice, cel mai important fiind preul mai redus al produselor, fa de cel din magazinele
clasice, avnd n vedere ca clientul nu trebuie sa suporte si costurile aferente unui magazin
clasic concomitent cu reducerea cheltuielilor de deplasare la sediul magazinului.
Un alt avantaj este reprezentat de faptul c pe Internet exist o varietate mult mai mare de
produse, iar preurile acestora pot fi comparate foarte uor cu cele de pe alte site-uri,
oferind posibilitatea de a alege cel mai bun pre.
4.1. Cum se efectueaz o achiziie online
Este extrem de uor s se realizeze cumprturi
de pe un site web. Este nevoie doar de un card de
debit sau credit (este recomandat cel de debit,
pentru a nu risca dect suma din cont). Dei
majoritatea cardurilor emise n Romnia, n lei,
sunt n prezent acceptate i de magazine
internaionale, cel mai bine este s se verifice
acest lucru la banca respectiv. ns, dac este
vorba despre un card Visa sau MasterCard, nu ar
trebui s existe probleme.
Pagin 12 din 19
nainte de a se face achiziia, trebuie s se creeze un cont pe site-ul respectiv (se va cere
acest lucru o singur dat). De obicei, se cere numele (uneori aa cum apare pe cardul
bancar), adresa complet, adresa de e-mail, telefon i numrul cardului (att cele 16 de pe
faa cardului, cat i ultimele trei de pe spate).
Dup aceea, tot ce trebuie fcut este s se aleag produsele i s se urmeze instruciunile
pentru plat.
Ca s nu existe probleme privind produsele achiziionate, trebuie citite cu atenie condiiile
de vnzare, pentru a se ti sigur ct timp este la dispoziie pentru returnare, dac produsul
ajunge la destinaie stricat sau nu se mai dorete achiziionarea acestuia.
Chiar i n condiiile n care se utilizeaz cel mai recent i mai sigur browser, un calculator
echipat cu firewall, program antivirus i anti-spyware, este important sa se pstreze
vigilena atunci cnd se realizeaz cumprturi on-line, iar pentru aceasta trebuie urmate
cteva reguli elementare, astfel:
Nu se vor furniza mai multe informaii dect este necesar i normal. n general,
magazinele online nu cer CNP-ul, sau data naterii, pentru a perfecta o tranzacie.
Pe de alt parte, dac rufctorii obin asemenea detalii, mpreun cu numrul
cardului de credit folosit la cumprturi, pot comite mult mai multe ilegalitati. Cu
ct afla mai multe detalii, cu att le este mai uor s fure identiti, fie pentru a goli
conturile, fie pentru alte acte ilegale mult mai grave.
Trebuie verificate cat se poate de des operaiunile din contul bancar pentru a
vedea daca exist tranzacii suspecte sau ctre alte conturi fa de cele tiute;
Pagin 14 din 19
licenei, dar dac acest lucru nu este posibil recomandm folosirea unei variante gratuite n
locul uneia nefuncional.
Pentru a evita accesarea neautorizat a propriului sistem de calcul sau dispozitiv mobil, att
fizic ct i de la distan, se recomand protejarea printr-o parol de acces. Protecia oferit
de aceasta este proporional cu lungimea, complexitatea i frecvena de schimbare. Mai
mult, nu se recomand utilizarea aceleiai parole pentru accesarea mai multor resurse
informatice diferite (ex: sistem de operare, e-mail, Internet Banking etc).
Simultan, este necesar dezactivarea tuturor conturilor neutilizate ale sistemului de
operare, mai ales pe acelea care nu solicita parol de acces (de exemplu, conturile
Guest), i configurarea screensaver-ului astfel nct s solicite reautentificarea prin parol
la deblocarea ecranului. Acest lucru va preveni utilizarea calculatorului personal de ctre o
persoan neautorizat atunci cnd nu este supravegheat, mai ales daca este utilizat un
sistem informatic la care pot avea acces i alte persoane.
Pagin 16 din 19
n cazul dispozitivelor mobile, care sunt mai frecvent supuse riscurilor de pierdere sau furt,
se recomand utilizarea opiunii de tergere de la distan a datelor de pe acestea daca o
persoan neautorizat ncearc s obin acces la datele stocate.
Din punct de vedere al securitii datelor, aplicaiile software utilizate fr a licen pot
prezenta o serie de vulnerabiliti sau bree de securitate semnificative. Din acest motiv, se
recomand utilizarea doar a aplicaiilor liceniate si procurate din surse sigure pentru a nu
deveni victima unor persoane ru-intenionate.
Pagin 18 din 19
Pe site-urile multor comerciani exist opiunea salvrii datelor personale astfel nct s fie
disponibile i mai trziu pentru cazurile n care se dorete realizarea altor tranzacii.
Comercianii permit de obicei stocarea datelor referitoare la nume, adres de livrare i
facturare, preferine de plat i detalii financiare cum ar fi numrul cardului de credit sau
informaii legate de contul bancar. Stocnd astfel de informaii pe site-urile comercianilor
apar riscuri suplimentare deoarece:
Prin creterea numrului locurilor n care sunt stocate informaii personale crete
proporional numrul posibilitilor ca acestea sa fie compromise.
Prin stocarea datelor pe o perioada nedeterminat de ctre comerciani se extinde
perioada n care poate apare posibilitatea compromiterii acestora. Chiar i prin
implementarea unei politici de securitate destul de sofisticat, n timp acetia pot
deveni intele unor atacuri, iar datele clienilor vor fi supuse riscurilor.
6. BIBLIOGRAFIE
1. Regulament nr. 6 din 11.oct.2006, publicat n Monitorul Oficial Partea I 927
15.noi.2006, privind emiterea i utilizarea instrumentelor de plat electronic i
relaiile dintre participanii la tranzaciile cu aceste instrumente.
2. www.enisa.europa.eu
3. www.financiarul.ro
Pagin 19 din 19