Ten artykuł czytasz w ramach bezpłatnego limitu
Rozmowa z Michałem Kurkiem specjalistą od zarządzania ryzykiem informatycznym w EY

Maciej Samcik: W większości banków klienci mają już możliwość korzystania z dostępu do konta nie tylko za pośrednictwem komputera i bankowości internetowej, lecz także przez smartfon, na którym każdy klient może zainstalować sobie specjalną aplikację. Umożliwia ona dostęp do konta, podglądanie salda, a niekiedy płacenie telefonem w sklepach albo wykonywanie przelewów. Dlaczego banki tak stawiają na bankowanie przez komórkę?

Michał Kurek: Bo chcą zwiększyć atrakcyjność swojej oferty i pozyskać młodych użytkowników, dla których smartfon jest już urządzeniem niemal niezbędnym do życia. Dlatego bankowcy coraz bardziej rozbudowują funkcjonalności dostępne w bankowości mobilnej. Jeszcze kilka lat temu nie byłoby możliwe wysłanie przelewu za pomocą bankowości mobilnej do użytkownika, który wcześniej nie został zdefiniowany w systemie internetowym. Teraz coraz więcej banków taką funkcję oferuje.

Tylko czy to jest bezpieczne? Im więcej funkcjonalności systemu bankowego jest dostępnych w smartfonie, tym większe jest ryzyko, że ktoś może się do niego dobrać i spróbować wyczyścić konto. Jak się przed tym uchronić?

- Głównym narzędziem zwiększającym bezpieczeństwo są limity kwotowe transakcji wykonywanych za pomocą bardziej ryzykownych kanałów dostępu. Czyli uniemożliwianie zawierania za pomocą np. smartfona transakcji o dużej wartości. Poza tym trzeba dobrze zabezpieczyć telefon i aplikację bankową. Podstawą bezpieczeństwa dla osoby korzystającej z bankowości mobilnej jest zdefiniowanie hasła do telefonu, tak aby nikt niepowołany nie mógł z niego skorzystać w przypadku, gdybyśmy zgubili urządzenie. Oprócz tego w telefonie, którego używamy do bankowości, instalujmy jak najmniej innych aplikacji. Unikajmy nieznanych stron internetowych i nie zgadzajmy się na zdalną instalację niepewnego oprogramowania. Niestety, spora część użytkowników telefonów nie aktualizuje na bieżąco systemów operacyjnych w swoich smartfonach. Wszystkie łatki zalepiające dziury bezpieczeństwa powinniśmy instalować na bieżąco.

Są już banki oferujące aplikacje na smartfony, które mają dokładnie te same funkcje, co bankowość internetowa. Innymi słowy: przez smartfon mogę zrobić z moimi pieniędzmi to samo, co zrobiłbym przez komputer. Np. - o czym pan przed chwilą wspomniał - przelać pieniądze na niezdefiniowane wcześniej konto. Czy tego rodzaju aplikacje mobilne wiążą się - poza większą wygodą dla użytkownika - również z wyższym ryzykiem kradzieży pieniędzy?

- Wszystko zależy od poziomu zabezpieczeń. Kluczem bezpieczeństwa bankowości mobilnej jest dobre uwierzytelnianie - czyli z użyciem minimum dwóch elementów autoryzujących. Idealna sytuacja to taka, w której musimy coś mieć (jakieś znane aplikacji urządzenie) i coś wiedzieć (znać jakieś hasło), żeby się dostać do aplikacji bankowości mobilnej. Jeśli możemy się do niej dostać, używając po prostu telefonu i wbijając PIN, to trudno mówić o silnym uwierzytelnianiu. Tak samo jeśli zatwierdzamy transakcję SMS-em przychodzącym na to samo urządzenie, z którego wykonujemy zlecenie. Jak mogłaby wyglądać taka dodatkowa autoryzacja? W niektórych bankach na Zachodzie do dodatkowego uwierzytelnienia wykorzystuje się np. dodatkową kartę przyznaną przez bank, którą trzeba przyłożyć do czytnika zbliżeniowego w telefonie.

Zwykle, aby zalogować się w aplikacji bankowej w smartfonie, wystarczy tylko PIN. Do autoryzacji transakcji zaś banki używają kodów SMS-owych wysyłanych na ten sam smartfon, z którego zlecamy płatność. Wygląda na to, że w tej sytuacji głównym zabezpieczeniem pozostają niskie limity transakcji przeprowadzanych za pomocą smartfona. A może szansę na bezpieczną bankowość mobilną przyniesie biometria? Mamy już w Polsce pierwsze bankomaty, które pozwalają wypłacać pieniądze po identyfikacji klientów na podstawie układu ich naczyń krwionośnych. Może podobne technologie da się zastosować w bankowości mobilnej?

- Oczywiście, można sobie wyobrazić, że dodatkowym sposobem autoryzowania transakcji będą układ naczyń krwionośnych czy inne dane biometryczne. Ale to nie znosi ryzyka, że ktoś przejmie kontrolę nad naszym komputerem i smartfonem, a potem skłoni nas do zautoryzowania fałszywej transakcji. Poza tym trzeba pamiętać, że linie papilarne czy układ naczyń krwionośnych to identyfikatory, których nie da się zmienić. Wyciek takich danych z bazy za każdym razem oznacza więc nieodwracalne szkody.

Wspomniał pan o kradzieżach związanych z przechwyceniem przez złodziei danych do logowania. Mając login i hasło do bankowości internetowej, złodziej zleca przelewy na zewnętrzne konta i "podstawia" nam fałszywy SMS autoryzacyjny. Albo przechwytuje go i wykorzystuje, zanim się zorientujemy. Jak nie stać się ofiarą takiej kradzieży?

- Musimy sobie uświadomić, że dziś smartfony są dość złożonymi komputerami, na których działa mnóstwo aplikacji. Im więcej ich działa, tym większe ryzyko, że razem z którąś z nich do smartfona przedostał się jakiś złośliwy kod i będzie nas śledził albo przekazywał komuś wszystkie informacje, np. SMS-y przychodzące na naszą komórkę. A jeśli będą to SMS-y autoryzacyjne z banku dotyczące transakcji zainicjowanych przez złodzieja, których ten zdąży użyć szybciej, niż my się zorientujemy, że to nie jest nasza transakcja, to robi się niebezpiecznie.

Czy korzystanie wyłącznie z legalnych sklepów z oprogramowaniem wyklucza ryzyko, że ktoś zinwigiluje nasz smartfon?

- W pewnym stopniu tak, ale nie do końca. Jakiś czas temu był taki głośny przypadek, że w legalnej aplikacji z grą Angry Birds został "zaszyty" złośliwy wirus, tzw. malware.

Mamy takiego wirusa na smartfonie i co? On nas śledzi przez całą dobę i przekazuje informacje przestępcom, korzystając z naszego transferu danych albo z sieci wi-fi, do której jest podłączony nasz smartfon?

- Owszem, malware ma większe pole manewru, jeśli przez całą dobę mamy włączony telefon. Dla hakera, który chce przejąć kontrolę nad telefonem, to jest raj, bo ma non stop dostęp do wszystkich informacji - a słyszałem już o złośliwym oprogramowaniu, które m.in. samo włącza kamerę i przekazuje obraz do przestępcy, nagrywa dźwięk... Dostęp do SMS-ów i kontaktów w telefonie to już nie jest jedyne zagrożenie.

W jaki sposób złodziej może zidentyfikować nasz smarfton?

- Jest na to kilka sposobów. Jeśli mamy na komputerze malware, który czyta i przekazuje złodziejowi to, co wpisujemy na klawiaturze - i tą drogą pozna nasze login i hasło - to prędzej czy później znajdzie też nasz numer telefonu. Albo wyczyta go z naszych danych kontaktowych do banku, znajdujących się w profilu konta, albo określi go na podstawie wysyłanych przez nas e-maili, albo po prostu wyłudzi na zasadzie phishingu. Mając login, hasło i numer telefonu, złodziej musi jeszcze nas nakłonić do instalacji na tym smartfonie złośliwego kodu, który pozwoli mu przejąć kontrolę również nad tym urządzeniem. A potem wystarczy już tylko zlecić w naszym imieniu przelew i przejąć hasło autoryzacyjne przesłane przez bank na nasz numer telefonu.

Czy zachowując się rozsądnie i nie udostępniając nikomu danych do logowania oraz dostępu do aplikacji mobilnej, można paść ofiarą kradzieży?

- Niestety, sądzę, że jest to niewykluczone, choć oczywiście bardzo rzadko się zdarza, że okradziony klient w żaden sposób nie "pomógł" złodziejowi swoją nieostrożnością. Ale nie możemy znać wszystkich dziur bezpieczeństwa systemów operacyjnych, przez które przeciskają się złodzieje internetowi. Oczywiście, producenci sprzętu i oprogramowania starają się je wszystkie wykryć i zalepić, zanim skorzysta z nich złodziej, ale nie zawsze im się udaje. Zdarzają się przypadki, że bank nie zabezpiecza aplikacji mobilnej przed użyciem jej na telefonie pozbawionym zabezpieczeń. Niektórzy użytkownicy, aby móc np. ściągać aplikacje poza oficjalnymi sklepami, zmieniają konfigurację sprzętu w taki sposób, że każda aplikacja może sięgać do danych innych aplikacji. Z punktu widzenia bezpieczeństwa najlepiej byłoby, gdyby aplikacja bankowa, widząc zmianę konfiguracji telefonu, informowała użytkownika, że nie będzie działała ze względu na zagrożenie bezpieczeństwa jego pieniędzy. Nie wszystkie banki się godzą, by stawiać klientom takie ograniczenia.

Na początku tego roku było kilka głośnych kradzieży pieniędzy z kont klientów banków. Wszystko wskazuje na to, że przeprowadzonych właśnie w taki sposób, który pan opisał - wirus na komputerze wyczytał login i hasło oraz numer telefonu klienta, a inny wirus - z pomocą klienta, który zgodził się na fałszywą "aktualizację aplikacji" - przejął kontrolę nad smartfonem i z kont poznikały ogromne kwoty, po kilkadziesiąt, kilkaset tysięcy złotych. Oczywiście, można powiedzieć, że to klient jest sam sobie winien, bo nie był wystarczająco ostrożny. Ale z drugiej strony, to bank zaoferował mu podatne na wirusy usługi i nie zauważył podejrzanych transakcji. Może czas poprawić metody autoryzacji transakcji, np. odejść od SMS-ów na rzecz tokenów?

- Jeśli chodzi o metody autoryzacji, to zawsze będzie zabawa w policjantów i złodziei. Dziś należy się skupić na minimalizacji skutków zrealizowanych ataków. Przykładowo banki powinny na bieżąco analizować listę kont i wykrywać konta tzw. słupów, które mogą być użyte do przestępstw. Jeśli bank się dowiaduje, że zlecono przelew na taki podejrzany rachunek, zamiast go automatycznie wykonać, powinien go zawiesić i potwierdzić, że zlecenie wyszło rzeczywiście od klienta. Na Zachodzie dużo bardziej niż w Polsce rozwinięta jest analiza działań, które prowadzą klienci na swoich kontach przez internet. Banki budują modele zachowań konsumentów, zbierając informacje, z jakich urządzeń klienci łączą się z bankiem (o jakich numerach IP), kiedy robią to najczęściej, o której godzinie zlecają przelewy.

To pozytywna strona Big Data, czyli zbierania i analizowania jak największej ilości danych o klientach...

- Można zbierać bardzo dużo takich informacji i sprząc je z systemem, który wychwytuje wszelkie nietypowe zachowania klienta. Wówczas możliwa jest odpowiednia reakcja, np. wyświetlenie informacji "strona w budowie" i telefon z call center banku potwierdzający daną operację. Nawet już przy logowaniu da się sprawdzić, czy klient nie próbuje się dostać do konta z urządzenia znajdującego się na drugim końcu kontynentu, i ewentualnie potwierdzić innym kanałem kontaktu, że rzeczywiście tam przebywa. Na Zachodzie banki często oferują klientom za darmo specjalne oprogramowanie zwiększające bezpieczeństwo sesji. Taki program na podstawie analizy sposobu funkcjonowania procesów na komputerze klienta potrafi wykryć znane oraz nieznane zagrożenia, blokując ich szkodliwe działanie.

Ostatnio sporo się mówi o sojuszach banków i firm telekomunikacyjnych. Orange tworzy wspólny bank z mBankiem, a T-Mobile z Aliorem, Plus też ma swój bank. Na ile tego rodzaju sojusze, powodujące lepszy przepływ informacji między stronami zaangażowanymi w realizację transakcji klienta, mogą utrudnić życie złodziejom naszych pieniędzy?

- Jeśli bank jest ściśle powiązany z operatorem, to obie organizacje mogą lepiej kontrolować przepływ informacji, a to dobrze wpływa na bezpieczeństwo klienta. Przykład? Operator nie tylko ma dostęp do informacji o tym, jakie SMS-y przychodzą do klienta, lecz także może automatycznie monitorować SMS-y autoryzacyjne ze swojego banku. I blokować ich automatyczne przekierowanie do przestępcy. Jeśli operator stwierdzi, że do klienta doszedł jakiś podejrzany SMS - w sensie miejsca pochodzenia, a nie treści - operator może go filtrować. Może też zainstalować na karcie SIM np. automatyczne zabezpieczenie przed przekierowywaniem SMS-ów określonego typu.

Chcesz porozmawiać z autorem, poinformować go o czymś? Napisz: ekipasamcika@wyborcza.biz



Jak mądrze inwestować? Jak oszczędzać, by rzeczywiście zyskiwać? Jak nie dać się oszukać bankom i pośrednikom? Odpowiedzi szukaj w każdy czwartek, w nowym magazynie o codziennych finansach "Pieniądze Ekstra ". W tym numerze:

Czy opłaca się przenieść bankowość do telefonu?

Wysoko oprocentowane konto. Bank ukrył jednak jeden szczegół

Lokata ze smartfona? Banki kuszą oprocentowaniem

Jesienne zmiany w cenach biletów. Jak jeździć taniej?

Bank w komórce to raj dla złodziei?




Artykuł otwarty w ramach bezpłatnego limitu

Wypróbuj prenumeratę cyfrową Wyborczej

Nieograniczony dostęp do serwisów informacyjnych, biznesowych,
lokalnych i wszystkich magazynów Wyborczej.