Ten artykuł czytasz w ramach bezpłatnego limitu
Nie ma znaczenia, czy tak jak 3 mln Polaków masz w telefonie aplikację umożliwiającą przelewanie pieniędzy i sprawdzanie salda za pomocą smartfona czy też używasz swojego telefonu tylko do odbierania SMS-ów autoryzacyjnych z banku. Odkąd tym drugim urządzeniem, którego używasz do zdalnego załatwiania spraw w banku, stał się "inteligentny" minikomputer, non stop podłączony do internetu i ściągający najróżniejsze dane, dla złodziei twoich pieniędzy otworzyła się nowa, atrakcyjna furtka.

Jak to się robi w Polsce A.D. 2014? Złodziej instaluje ci na komputerze złośliwe oprogramowanie, tzw. key-loggera, i zdobywa twój login oraz hasło do banku. Może też spróbować wyłudzić te dane poprzez podszywanie się pod bank za pomocą fałszywego e-maila (ostatnio mamy prawdziwą plagę takich ataków, zwanych phishingiem). Mając login i hasło, złodziej wyświetla ci na ekranie żądanie podania kodu jednorazowego, wymyślając jakieś bzdurne uzasadnienie. Ten kod jednorazowy daje możliwość np. zdefiniowania złodziejskiego konta jako zaufanego i wyprowadzenia pieniędzy. Ale może też przejąć kontrolę nad twoim smartfonem i zainstalować wirusa, który będzie przechwytywał kody jednorazowe wysyłane przez bank.

A jeśli w takim szpiegowanym smartfonie mamy aplikację bankową, która pozwala wysyłać przelewy do niezdefiniowanych wcześniej odbiorców? I jeśli jest to ten sam smartfon, na który przychodzą SMS-y autoryzacyjne?

Chyba nadchodzi czas, w którym banki powinny pomyśleć o wzmocnieniu zabezpieczeń transakcji bankowych. Statyczny login i hasło, szeroki katalog transakcji niewymagających hasła jednorazowego (np. zmiana numeru konta odbiorcy zdefiniowanego) oraz autoryzowanie transakcji za pomocą łatwych do hakowania smartfonów to już mieszanka wybuchowa. Możliwość nieograniczonego korzystania z konta przez smartfony, których jedynym zabezpieczeniem bywa kilkucyfrowy PIN, nie poprawia bezpieczeństwa naszych pieniędzy. Na szczęście są w Europie i USA pomysły na bezpieczniejsze bankowanie przez smartfona.

Mam nadzieję, że nasze banki pracują już nad ich wdrożeniem.



Główne grzechy bankowców według Maćka Samcika

Statyczny login i hasło, brak dodatkowego uwierzytelniania

Spece od bezpieczeństwa pewnie mnie wyśmieją, ale jakoś bezpieczniej czuję się, kiedy login i hasło do konta nie są jedynymi identyfikatorami wymaganymi przez bank, bym wszedł na konto. Jeszcze lepiej się czuję, gdy nie muszę podawać hasła w całości, lecz jest ono maskowane. Oczywiście: to nie gwarantuje, że złodziej monitorujący mój komputer i tak w końcu nie skompletuje wszystkich haseł, ale jeśli nie wchodzę na konto codziennie, to jest pewna szansa, że w końcu się zniechęci. W jednym z banków, chcąc wejść na konto, muszę podać numer klienta, kilka znaków z hasła maskowanego, a poza tym kilka znaków z dodatkowego hasła, którym jest mój numer dowodu osobistego lub numer paszportu (sam wybieram dokument, z któego cyfry lub litery podaję). Jest to denerwujące i upierdliwe, ale podnosi w pewnym stopniu poziom bezpieczeństwa.

Stosowanie tego samego, niezmiennego hasła przy logowaniu

Lubię, gdy bank co jakiś czas wymusza na mnie zmianę jednego z haseł. Jeśli jest to hasło maskowane, to złodziej internetowy ma podwójnie utrudnione zadanie - nie dość, że potrzebuje czasu na skompletowanie wszystkich składników hasła, to jeszcze w każdej chwili to hasło może się zmienić i szpiegowską robotę trzeba będzie zaczynać od nowa. Ale mam też konta w bankach, w których po prostu podaje się login i hasło, a bank ma w nosie czy hasło zmieniam co jakiś czas, czy też mam stale to samo od 10 lat. Oczywiście: można powiedzieć, że klient powinien sam dbać o zmiany haseł ze względów higienicznych, a bank nie jest jego niańką. Można też powiedzieć, że zmiany hasła oznaczają większą możliwość jego zapomnienia i kłopoty (odzyskanie hasła przeważnie musi się odbyć w placówce). Tym niemniej w czasach, kiedy każdy może mieć na komputerze key-loggera, nawet pomimo działającego i zainstalowanego programu antywirusowego, cenię banki, które starają się wymusić na mnie wyższy poziom bezpieczeństwa przy logowaniu.

Brak konieczności podawania haseł jednorazowych przy przelewach wewnętrznych

Znam kilku okradzionych klientów banków, którzy o to właśnie mają największe pretensje. Niezależnie od tego w jakim stopniu sami się przyczynili do kradzieży (w jakiś sposób musieli podać złodziejowi kod jednorazowy lub dali go sobie ukraść przez podglądanego smartfona), mogą mieć uzasadnione pretensje o to, że bank ułatwił złodziejowi "zgarnięcie" pieniędzy ze wszystkich kont klienta, np. zerwanie lokat, przeksięgowanie kasy z kont oszczędnościowych, walutowych itp. Jeśli przelewy wewnętrzne nie wymagają autoryzacji, to złodziej na jednym wyłudzonym haśle może wyczyścić wiele kont klienta, a nie tylko jedno. Oczywiście: wymaganie autoryzacji przy przelewach wewnętrznych może być wkurzające i dlatego większość banków nie stosuje takich "szykan" wobec klientów, ale z pewnością byłoby to korzystne ze względów bezpieczeństwa.

Możliwość zmiany danych przelewu zdefiniowanego bez podania hasła jednorazowego

Jeszcze do niedawna otrzymywałem od Was sygnały o tej poważnej luce bezpieczeństwa w bankach. Istniały takie m.in. w PKO BP, czy w Credit Agricole. Ale ostatnio donieśliście mi, że zostały zalepione. Sytuacja, w której można zmienić numer konta na przelewie zdefiniowanym powoduje, że złodziejowi wystarczy tylko login i hasło do konta i trochę cierpliwości, by doczekać się przelewu od klienta, który myśli, że np. spłaca jakiś dług przyjacielowi, a w rzeczywistości przelewa pieniądze na konto złodzieja. Niestety, wiem, że wciąż są na rynku banki, które mają tę lukę bezpieczeństwa i nie zazdroszczę ich klientom. Sprawdźcie czy w Waszym banku można zmienić numer konta w przelewie zdefiniowanym bez podania hasła jednorazowego. Jeśli tak, to każdy przelew powinniście oglądać ze wszystkich stron - szczególnie sprawdzając czy numer konta na formatce przelewu zgadza się z numerem konta, na które wcześniej przelewaliście pieniądze.

Możliwość wklejania numeru konta np. ze "schowka"

W ten sposób też złodzieje kradną nasze pieniądze. Są wirusy, które dostają się do tzw. "schowka" w komputerze, czyli do miejsca, do którego trafia tekst potraktowany klawiszami Ctrl+C (czyli "kopiuj") i jeśli zobaczą, że w tym miejscu pamięci komputera znajduje się numer konta, to podmieniają go na inny - by pieniądze popłynęły na rachunek złodzieja, bądź "słupa", który przekaże je nieświadomie dalej.

. Oczywiście ten patent zadziała tylko wtedy, kiedy po drugiej stronie komputera znajdzie się klient-leniuszek, który nie wpisuje w formatce przelewu numeru konta "z ręki", tylko przekleja go np. z e-faktury. Tylko przyznajcie się, tak z ręką na sercu: nigdy nie zdarzyło się Wam skopiować numeru konta i wkleić "gotowca" do formatki przelewu? No właśnie. A są banki, które blokują taką możliwość w interesie klienta. Większość z tych klientów pewnie psioczy, ale mimo wszystko lepiej, jak bank jest nadwrażliwy, niż kiedy ma w nosie bezpieczeństwo klienta i nie "podwaja krycia".

Hasła SMS-owe zamiast tokenów nowej generacji

Aby ukraść nam pieniądze złodziej przeważnie musi wyłudzić od nas - i odpowiednio szybko użyć - przynajmniej jednego hasła jednorazowego. Większość z nas otrzymuje te hasła na smartfona. Kiedyś były to papierowe kody z hasłami-zdrapkami, albo tokeny. Banki, w trosce o wygodę klientów, zrezygnowały z nich na rzecz SMS-ów autoryzacyjnych. Mają one tę dobrą stronę, że klient zawsze wie jaką transakcję autoryzuje (są więc bezpieczniejsze od haseł-zdrapek lub tych podawanych przez token). Wystarczy czytać dokładnie SMS-y z banku, by wiedzieć jaką transakcję autoryzujemy i przemyśleć czy naprawdę chcemy ją zatwierdzić. Ale z drugiej strony smartfon to urządzenie łatwe do inwigilowania i nigdy nie możemy mieć pewności, że ktoś nie podpatruje zdalnie naszych SMS-ów, także tych autoryzacyjnych. Rozwiązaniem mogłyby być tokeny nowej generacji, z wystarczająco dużymi ekranami, by pomieścić nie tylko hasło jednorazowe, ale i opis transakcji. Banki ich nie stosują, bo to drogie maszynki i niewygodne. Ich namiastką może być stary telefon komórkowy, taki z klawiaturką i zmurszałym już systemem operacyjnym, np. Symbian. Na takie telefony nie ma wirusów, więc i ryzyko, że ktoś przejmie kontrolę nad telefonem i przechwyci SMS-y z banku jest śladowe.

Brak sprawnego monitoringu nietypowych transakcji

Tego nie jestem w stanie pojąć: jak to jest, że w XXI wieku, kiedy banki wiedzą do jakiego przedszkola chodzą nasze dzieci i ile wydajemy w aptece na leki, w wielu instytucjach nie działają proste alerty. Jeśli system monitorujący transakcje "widzi", że na koncie klienta zaczyna dziać się coś dziwnego, np. są likwidowane wszystkie lokaty, a potem następuje przelew na inne konto, to przecież nie zawadzi zadzwonić do klienta i zapytać czy to on wykonuje te transakcje.

Taki "podejrzany" przelew bez problemu można na kilka chwil przytrzymać, żeby mieć pewność, że to nie jest próba wyprowadzenia pieniędzy z konta. Jasne, można powiedzieć, że to ryzykowne reputacyjnie, bo klient poczuje się śledzony; Ale lepiej, żeby dziesięciu poczuło się śledzonymi, niż dwóch by miało stracić pieniądze. W większości przypadków kradzieży sprawnie działający system monitoringu powinien wychwycić nienaturalne ruchy na koncie klienta. Poza tym banki powinny mieć bazy rachunków "martwych", na których od dawna nic się nie dzieje. Jeśli system antyfraudowy z jednej strony widzi nerwowe ruchy dużej gotówki na koncie, a z drugiej widzi zlecenie przelewu tej kasy na konto, które od dawna jest martwe, to jest tu potencjał, by zapaliła się żółta lampka.



Chcesz porozmawiać z autorem, poinformować go o czymś? Napisz: ekipasamcika@wyborcza.biz



Jak mądrze inwestować? Jak oszczędzać, by rzeczywiście zyskiwać? Jak nie dać się oszukać bankom i pośrednikom? Odpowiedzi szukaj w każdy czwartek, w nowym magazynie o codziennych finansach "Pieniądze Ekstra ". W tym numerze:

Czy opłaca się przenieść bankowość do telefonu?

Wysoko oprocentowane konto. Bank ukrył jednak jeden szczegół

Smartfon może pomóc złodziejom?

Lokata ze smartfona? Banki kuszą oprocentowaniem

Jesienne zmiany w cenach biletów. Jak jeździć taniej?




Czytaj ten tekst i setki innych dzięki prenumeracie

Wybierz prenumeratę, by czytać to, co Cię ciekawi

Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich. Zrezygnować możesz w każdej chwili.