Wypłynęła na światło dzienne „afera” związana z nieodpowiednimi zabezpieczeniami brokera XTB. W wyniku „najprawdopodobniej” przeoczenia powiadomienia przez użytkownika albo „błędu” związanego z wysyłką masowych powiadomień od brokera, nie wszyscy klienci otrzymali na skrzynki pocztowe wiadomość z treścią o możliwości włączenia zabezpieczeń logowania 2FA. Z powodu braku prostego mechanizmu dwuskładnikowego uwierzytelnienia doszło do kradzieży 150 tysięcy złotych jednemu z klientów XTB. Dlatego w tym miejscu raz jeszcze warto przypomnieć podstawowe zasady zabezpieczenia wrażliwych kont online, a w szczególności tych, gdzie przechowywane są duże pieniądze: konta bankowe, giełdy krypto, usługi inwestycyjne, emerytalne.
Zacznijmy może od tego, iż typ zabezpieczenia kont uwarunkowany jest architekturą, nakładem inwestycyjnym właściciela usługi oraz przepisami prawa. Architektura systemu, na której działa usługa, ma ogromne znaczenie, ponieważ od tego zależy wybór metod uwierzytelniania, zarządzania tożsamościami i poziomem ochrony. Nakład inwestycyjny właściciela usługi również odgrywa kluczową rolę, ponieważ właściciel musi balansować pomiędzy kosztami wdrożenia zabezpieczeń i wydajności (uwierzytelnianie wieloskładnikowe, biometryka) a efektywnością ochrony. Przepisy prawne, zwłaszcza w kontekście ochrony danych osobowych (np. RODO), także wymuszają na dużych platformach odpowiednie zabezpieczenie kont użytkowników.
W bankowości elektronicznej mamy do czynienia z dyrektywą PSD2 (tylko w Unii) + ustawa o usługach płatniczych (Polska). PSD2 wymusza tzw. silne uwierzytelnianie klienta (Strong Customer Authentication). Przykład to logowanie do bankowości elektronicznej oraz potwierdzanie przelewów SMS-em lub w aplikacji mobilnej. Giełdy kryptowalut w Unii muszą stosować się do AMLD5 (dyrektywa o przeciwdziałaniu praniu pieniędzy) + polska implementacja ustawy w Polsce. Operatorzy są zobowiązani do wdrożenia 2FA, szyfrowania danych logowania, mechanizmów wykrywania podejrzanej aktywności (np. logowanie z innego kraju). Z kolei usługi inwestycyjne (domy maklerskie, platformy tradingowe) stosują się do MiFID II (unijna Markets in Financial Instruments Directive) + ustawa o obrocie instrumentami finansowymi (w Polsce) + weryfikacja tożsamości klienta przy otwieraniu konta, hasło + kod SMS, rejestry logowania, zapisywanie adresów IP.
Jak widać jest tego sporo. Jest co robić, aby spełniać wszystkie wytyczne dyrektyw, audytować tzw. Compilance (zgodność z regulacją). Teoria teorią, ale przejdźmy teraz do praktyki, bo dopiero niedawno XTB wprowadziło program pilotażowy obligatoryjnego stosowania 2FA przez klientów – dlaczego tak późno, skoro 2FA jest już bardzo starą technologią, w dodatku nie odporną na ataki phishngowe [1] i kradzież cookies [2]? Przy okazji rzućcie okiem na przegląd aplikacji 2FA.
Jak podejść do zabezpieczenia konta online?
1. Włączenie 2FA/U2F wszędzie.
Dla przykładu XTB oferuje jedynie 2FA bez blokowania podejrzanych aktywności na koncie, ale jeżeli dana usługa oferuje coś więcej, warto z tego korzystać np. biometria.
Czasami dodatkowym zabezpieczeniem jest włączenie opcji ograniczenia logowania wyłącznie do zaufanych adresów IP – jeżeli dany broker to wspiera. Minusem takiego rozwiązana będzie konieczność korzystania z usługi pod statycznym adresem IP lub własny VPN.
W kolejnym kroku włączamy powiadomienia o logowaniu, ponieważ każde zalogowanie to natychmiastowa reakcja systemu.
Co jakiś czas należy przeglądać zalogowane urządzenia w sesjach i usuwać te, które są już przestarzałe (np. nie korzystamy już z urządzenia, zostało sprzedane).
2. Dedykowane urządzenie do wrażliwych operacji.
Obracając setkami tysięcy złotych kupujemy laptopa, na którym stawiamy dystrybucję Linux np. openSUSE MicroOS, Fedora Silverblue, Qubes OS lub dowolnie inną. Do rozważenia stosowanie dystrybucji tzw. Immutable, czyli read-only – tylko do odczytu.
Ataki na systemy Linux są dużo rzadsze, trudniejsze i droższe w wykonaniu niż na Windows czy MacOS. Z tak przygotowanego, dedykowanego urządzenia, kradzież cookies do konta będzie praktycznie niemożliwa.
W takim systemie nie instalujemy niczego zbędnego: zero torrentów, facebooków. System + przeglądarka + klient poczty. Tyle.
Alternatywnie, zamiast dedykowanego laptopa, instalujemy wszystko na maszynie wirtualnej dzięki hyperwizora Vmware Workstation Pro (Windows, Linux, macOS [Vmware Fusion), Microsoft Hyper-V lub VirtualBox. Zauważ, iż Windows Sandbox dostępny w Windows 10/11 nie sprawdził się w naszych testach ochrony bankowości internetowej. Odradzamy.
Po dokonaniu czynności w usłudze online, wylogowujesz się. W zależności od dystrybucji Linux ciasteczka oraz cała pamięć zostaje wyczyszczona. Jest to bardzo bezpiecznie, ale mniej wygodnie niż korzystanie z głównego komputera.
3. Regularne aktualizacje.
System Linux także wymaga aktualizacji komponentów. choćby w przypadku awarii nie tracisz żadnych danych, ponieważ nie do tego służy ten system na dedykowanym urządzeniu. Aktualizacja przeglądarek, pakietów, komponentów systemu.
4. Dodatkowe zabezpieczenia.
Pomimo wdrożenia takich zabezpieczeń czasami i tak można przekazać komuś login i hasło. Staraj się nie wchodzić z linków w wyszukiwarce pod konkretne adresy bankowości, brokerów itp. ponieważ scamerzy wykupują reklamy w Google, które później są na pierwszych miejscach w wynikach wyszukiwania.
Dodatkowo rozważ doinstalowanie do przeglądarki polecane przez AVLab rozszerzenia do ochrony przed złośliwymi stronami, phishingiem, scamem:
- Avira Browser Safety,
- BrowserWall,
- Bitdefender TrafficLight,
- Malwarebytes Browser Guard,
- Microsoft Defender Browser Protection,
- uBlock Origin z listą CERT Polska.
Jeśli już logujesz się z różnych lokalizacji, to rozważ korzystanie z VPN. Nie jest to duże zabezpieczenie, ale czasem ogranicza fingerprinting oraz sprawdza się, jeżeli korzystasz z publicznych sieci WiFi.
Rozważ zaszyfrowanie dysku pod Linux, Windows, macOS – nasz poradnik.
5. Czy tryb Incognito jest jakimś zabezpieczeniem?
Nie w kontekście logowania. Przeglądarka nie chroni przed keyloggerem, trojanem, spyware, info-stealerem, kradzieżą sesji, ale może chronić przed zostawianiem śladów na dysku.
Pełna izolacja przeglądarki w postaci dedykowanego laptopa i bezpiecznego systemu ma większy sens.
