Ten artykuł czytasz w ramach bezpłatnego limitu
Jak nie dać sobie ukraść pieniędzy przez internet? Do niedawna wystarczyło, że nikomu nie ujawniam loginu i hasła do bankowości internetowej oraz dokładnie przeczytam każdego SMS-a autoryzacyjnego, który przychodzi z banku, gdy zlecam przelew. Nawet jeśli złodziej jakimś cudem pozna dane, dostanie się na moje konto i równolegle ze mną zleci "swój" przelew, to i tak polegnie, jeśli uważnie czytam SMS-a. A jeśli mam na komputerze wirusa, który podmienia "w locie" numer konta docelowego? Czytając uważnie SMS-a, też dowiem się o podstępie.

Niestety, święty spokój zniknął, gdy pojawiły się wirusy mobilne "podglądające" SMS-y autoryzacyjne i przesyłające je do złodziei. Wystarczy, że nieuważnie kliknę fałszywy komunikat wyświetlający się na smartfonie (np. "twój smartfon jest zagrożony, natychmiast zaktualizuj oprogramowanie antywirusowe!") i... już jest po mnie. Złodziej sam dostanie się na moje konto, sam zleci przelew na swoje konto i go autoryzuje, przechwytując SMS-a z banku.

Takie przypadki już się zdarzają. Wymagają pewnej nieostrożności ze strony ofiary - musi ona dać się nabrać na phishing i podać przez internet login, hasło oraz numer telefonu, a potem zgodzić się na wpuszczenie wirusa na telefon pod pozorem aktualizacji.

Dlatego bankowcy wymyślili nowy sposób zatwierdzania transakcji omijający SMS-y autoryzacyjne! Jako pierwszy w Polsce - i jeden z pierwszych na świecie - wprowadzi tę nowinkę technologiczną mBank. Klientowi zlecającemu transakcję bank będzie wysyłał zamiast SMS-a autoryzacyjnego, jedynie powiadomienie push, które pojawi się na ekranie jego smartfonu. A klient będzie autoryzował transakcję, logując się do aplikacji mobilnej banku zainstalowanej na jego smartfonie. Różnica w bezpieczeństwie polega na tym, że aby ukraść pieniądze, złodziej musiałby nie tylko znać login i hasło klienta, ale też mieć w ręku jego telefon. Dziś wystarczy, że umie przejąć SMS-a autoryzacyjnego.

Jestem w gronie szczęśliwców, którzy już mogą testować nowe rozwiązanie w ramach pilotażu (podobnie jak pewna grupa klientów). Dla wszystkich ma być dostępne na początku przyszłego roku.

Na razie jeszcze nowy sposób autoryzowania transakcji nie wykorzystuje możliwości biometrii. Mimo że mam smartfona, do którego loguję się odciskiem palca - i w ten sam sposób wchodzę również do aplikacji mobilnej mBanku - to samą transakcję mogę autoryzować tylko PIN-em. Ale kiedyś potwierdzenie przelewu internetowego będzie następowało poprzez przyłożenie palca do czytnika w smartfonie, odczytanie cech głosu albo poprzez weryfikację sylwetki lub rysów twarzy klienta.

Wady tego rozwiązania? Widzę dwie. Pierwsza dotyczy konieczności posiadania aplikacji mobilnej banku. Być może duża część klientów mBanku i tak ma ją w smartfonach, ale przecież nie każdy musi być miłośnikiem noszenia banku w kieszeni. Znam mnóstwo osób, które odgrażają się, że tego mieć nie chcą.

Jest też kwestia PIN-u, którym zatwierdza się transakcję w smartfonie. Z jednej strony i tak jest bezpiecznie, bo żeby potwierdzić przelew, trzeba mieć w ręku smartfona, a z drugiej - w tym rozwiązaniu hasło do wszystkich transakcji jest takie samo - jest nim PIN do aplikacji mobilnej.

Artykuł otwarty w ramach bezpłatnego limitu

Wypróbuj prenumeratę cyfrową Wyborczej

Nieograniczony dostęp do serwisów informacyjnych, biznesowych,
lokalnych i wszystkich magazynów Wyborczej.