Zaradi kritične napake v varnostnem sistemu PayPala so evropske banke, vključno z nemškimi hranilnicami, ustavile plačila v vrednosti več kot 10 milijard evrov. Sočasno krožijo govorice o ukradeni bazi 15,8 milijona uporabniških računov.
PayPal je za večino uporabnikov spleta sinonim za preprosta in varna plačila. Z nekaj kliki lahko kupimo izdelek na drugem koncu sveta ali prijatelju nakažemo denar za kosilo. A kaj se zgodi, ko ta fasada udobja razpade in razkrije resno tehnično ranljivost? V zadnjih dneh se je zgodilo prav to. Evropske banke so bile prisiljene blokirati plačila v vrednosti več milijard evrov, kar je sprožilo alarm po vsej celini in izpostavilo krhkost digitalnih financ.
Kaj se je v resnici zgodilo?
Da bi razumeli resnost situacije, moramo najprej razumeti, kako delujejo plačila prek PayPala, ko je ta povezan z vašim bančnim računom. Ne gre za klasično kartično plačilo, temveč za mehanizem, znan kot SEPA neposredna bremenitev (SEPA Direct Debit).
Predstavljajte si, da ste PayPalu dali “mandat” oziroma trajno dovoljenje, da po potrebi seže na vaš bančni račun in vzame denar za vaše nakupe. To je izjemno priročno, saj vam ni treba vsakič vpisovati podatkov o kartici. Vendar pa ta proces ni prepuščen samemu sebi. Med PayPalom in vašo banko stoji kompleksen sistem za preverjanje in preprečevanje goljufij. Njegova naloga je, da vsako zahtevo za bremenitev analizira in preveri, ali je legitimna. Preverja vzorce, zneske, lokacije in druge dejavnike, da bi zaznal sumljive aktivnosti.
Po poročanju nemškega časopisa Süddeutsche Zeitung je konec prejšnjega tedna ta ključni varnostni sistem pri PayPalu v veliki meri odpovedal.
To pomeni, da je “varnostni čuvaj” zaspal. PayPal je bankam pošiljal zahteve za neposredne bremenitve, ne da bi jih njegov lastni sistem preveril. Banke so se nenadoma znašle pred plazom milijonov potencialno nepreverjenih in sumljivih transakcij. Njihova reakcija je bila edina mogoča: ustavitev vseh tovrstnih plačil in s tem zaščita denarja svojih komitentov. Nemško združenje hranilnic je potrdilo, da je napaka “znatno vplivala” na plačilni promet, kar kaže na sistemsko naravo težave.
Dvojna grožnja: Sistemska napaka in domnevno ukradeni podatki
Situacija postane še bolj skrb vzbujajoča, ko jo postavimo ob bok drugi novici, na katero je opozorilo Združenje bank Slovenije. Na spletnih forumih, kjer se trguje z ukradenimi podatki, se je pojavila trditev o prodaji baze s kar 15,8 milijona podatkov o uporabniških računih PayPal. Najbolj alarmanten del trditve je, da naj bi bili podatki, vključno z gesli, shranjeni v čitljivi, nekriptirani obliki.
PayPal te navedbe uradno zanika. Vendar pa moramo kot uporabniki delovati po načelu previdnosti. Če bi se trditve izkazale za resnične, bi to predstavljalo popolno nevihto za kibernetsko varnost:
- Potencialni napadalci imajo dostop do vašega e-maila in gesla za PayPal (domnevna kraja podatkov).
- Varnostni sistem, ki bi moral preprečiti zlorabo teh podatkov, ne deluje (potrjena tehnična napaka).
Kombinacija teh dveh dejavnikov bi goljufom omogočila, da z ukradenimi poverilnicami vstopijo v račune in sprožijo neposredne bremenitve, ki jih nihče ne bi preverjal, dokler ne bi bilo prepozno.
Poleg tega mnogi enak email in geslo uporabljajo za prijavo na več storitvah. Ukradeni podatki za prijavo se pogosto skušajo uporabiti za vstop v vrsto različnih storitev. V kolikor uporabljate enake prijavne podatke še kje, ste izpostavljeni še dodatno. Dobra praksa: za vsako storitev imejte svoje geslo, po možnosti pa še vključeno dvofaktorsko avtentikacijo!
Konkretne rešitve: Kaj morate storiti TAKOJ za zaščito svojega računa?
Ne glede na to, ali PayPalove trditve držijo ali ne, je odgovornost za zaščito vaših financ zdaj v vaših rokah. Združenje bank Slovenije svetuje naslednje nujne ukrepe, ki jih morate izvesti takoj:
1. Takojšnja menjava gesla za PayPal
To je absolutno prvi in najpomembnejši korak.
- Ključno priporočilo: Če ste geslo, ki ste ga uporabljali za PayPal, ponovno uporabili tudi za katerokoli drugo spletno storitev (e-pošta, družbena omrežja, spletne trgovine), ga zamenjajte tudi tam! Uporabite močno in unikatno geslo za vsako storitev posebej.
2. Vklopite dvofaktorsko avtentikacijo (2FA)
Dvofaktorska avtentikacija je dodatna varnostna plast, ki drastično zmanjša tveganje zlorabe. Tudi če goljuf ukrade vaše geslo, ne bo mogel dostopiti do vašega računa brez drugega faktorja – kode, ki jo prejmete na vaš telefon.
- Kako to storiti: V nastavitvah svojega PayPal računa poiščite razdelek “Varnost” (Security) in aktivirajte “2-step verification”.
3. Podrobno preglejte transakcije
Ne zanašajte se le na obvestila. Ročno preverite vse transakcije v zadnjih nekaj tednih.
- Preverite na dveh mestih: Prijavite se v svoj PayPal račun in preglejte seznam aktivnosti. Hkrati pa odprite svojo spletno banko in preverite promet na bančnem računu, če je ta povezan s PayPalom. Primerjajte postavke in bodite pozorni na morebitna odstopanja ali neznane transakcije.
4. Bodite izjemno pozorni na “phishing” napade
Kriminalci bodo to situacijo zagotovo izkoristili. V prihodnjih dneh in tednih lahko pričakujete povečano število lažnih e-sporočil in SMS-ov, ki bodo videti, kot da jih pošilja PayPal ali vaša banka.
- Zlato pravilo: Nikoli ne klikajte na povezave v sumljivih sporočilih in nikoli ne vpisujte svojih gesel ali osebnih podatkov na spletnih straneh, do katerih ste prišli preko takšnih povezav. PayPal od vas nikoli ne bo zahteval gesla preko e-pošte.
- Pred vnosom osebnih ali plačilnih podatkov vedno preverite, da se povezava začne s “https://” in ima ikono ključavnice – to pomeni, da so podatki varno šifrirani.
- Pri nakupovanju ali prenosu pomembnih podatkov se izogibajte javnim brezžičnim omrežjem (Wi-Fi). Če lahko, uporabite zaupanja vreden VPN, ki ščiti vašo povezavo.
Zaupanje je dobro, preverjanje (in zaščita) pa nujno
Dogodek z PayPalom je boleč opomin, da v digitalnem svetu nobena storitev ni stoodstotno varna. Tudi največji igralci na trgu niso imuni na kritične tehnične napake. Medtem ko PayPal in banke rešujejo sistemsko težavo, je breme zaščite posameznega računa na nas, uporabnikih.
Ta incident ne pomeni, da je PayPal postal neuporaben, pomeni pa, da moramo biti bolj ozaveščeni in proaktivni glede svoje digitalne varnosti. Izvedite priporočene korake še danes. Ne odlašajte. V igri ni le udobje, temveč varnost vašega težko prisluženega denarja.
