Tylko biometria jest w stanie nas uratować?

Z bankowości elektronicznej korzysta 34,6 mln osób, z mobilnej ponad 10,5 mln i użytkowników z roku na rok przybywa. Aplikacje mobilne są wygodne, ale trzeba pamiętać, że z ich używaniem wiąże się znacznie większe ryzyko ataku hakerskiego niż wtedy, gdy korzystamy z laptopów i komputerów stacjonarnych. Tymczasem bankujący za pośrednictwem smartfona znacznie mniej dbają o bezpieczeństwo niż użytkownicy komputerów. I niestety w razie kradzieży często sami są sobie winni.

Związek Banków Polskich podkreśla, że najbardziej zaawansowane systemy bezpieczeństwa nie będą efektywne, jeśli użytkownicy internetu i nowoczesnych usług bankowych nie będą przestrzegać podstawowych zasad. Największym błędem korzystających z bankowości internetowej i mobilnej jest tworzenie prostych haseł do kont i rzadkie ich zmienianie. Poza tym często nie instalujemy programów antywirusowych lub instalujemy takie, do których link dostaliśmy w SMS. Kolejne błędy to korzystanie z otwartych sieci Wi-Fi czy brak limitów na dzienne transakcje wykonane z urządzeń mobilnych. Niejednokrotnie wpadamy w pułapkę, dlatego że odpowiadamy na przygotowane przez oszustów komunikaty np. o konieczności zainstalowania nowej aplikacji, podania informacji na temat rachunku, sprawdzenia i potwierdzenia płatności; takie komunikaty udają bankowe.

Uwaga na płatności...

Banki wciąż apelują o czujność przy płatnościach. W grudniu ubiegłego roku mBank radził uważać podczas zakupów na portalach ogłoszeniowych lub w sklepach internetowych: „cyberprzestępcy mogą wysyłać fałszywy link do płatności za zakupy lub kuriera. W ten sposób mogą próbować przejąć twoje dane do logowania do serwisu transakcyjnego lub wyłudzić hasła SMS". Podobne ostrzeżenia wysłały również inne banki: Alior, Citi Handlowy i Raiffeisen Polbank.

Atakowani są nie tylko kupujący, ale i sprzedający. Zainteresowany zakupem chce zapłacić przelewem, dostaje więc numer rachunku. Złodziej, podszywając się pod bank, wysyła informację o zaksięgowaniu szybkiej płatności. Prosi o zalogowanie się do banku i potwierdzenie operacji. Dla wygody do e-maila dołącza link do rzekomego serwisu transakcyjnego. Gdy podamy login i hasło, dane te zostają przechwycone.

O masowo rozsyłanych tego typu e-mailach uprzedzał również PKO BP. W tym przypadku załącznik udający plik tekstowy był złośliwym oprogramowaniem. Jego otwarcie skutkowało kradzieżą danych. Do hakera trafiał login i hasło do rachunku bankowego. Z kolei Credit Agricole ostrzegał, że oszuści nakłaniają do otwarcia załącznika, grożąc, że w przeciwnym razie dojdzie do blokady konta.

ING Bank Śląski i Pekao wydały komunikaty z ostrzeżeniami dla osób zainteresowanych sprzedażą lub kupnem rzeczy wystawionych na aukcjach. Wykryto przypadki przekierowywania na fałszywe strony płatności internetowych, podobnych do stron PayU lub DotPay. Strona kierowała do fałszywych stron banków. W takiej sytuacji zalogowanie i autoryzacja płatności również może się zakończyć wyczyszczeniem konta. Pekao uprzedzał też, aby nie reagować na SMS od firm kurierskich informujący o konieczności dopłacenia 1 zł w celu realizacji zamówienia. W tym przypadku klient też był kierowany do fałszywej strony PayU lub DotPay.

Przestępcy potrafią również wykorzystywać przejściowe kłopoty banków. W grudniu doświadczył tego ING Bank Śląski, w którym przez kilka godzin nie można się było zalogować do konta. Bank ostrzegał klientów, aby nie reagować na e-maile z sugestią odblokowania strony poprzez podany link.

...i wyłudzenia

Pojawili się też oszuści, którzy wykorzystują do wyłudzeń sieć znajomych na Facebooku. Pierwszym sposobem jest poproszenie znajomego o pilną pożyczkę i o podanie kodu Blik do wypłaty tych pieniędzy w bankomacie. Pieniądze zostają wtedy przekazane złodziejowi za zgodą użytkownika aplikacji mobilnej. Żeby tego uniknąć, najlepiej zadzwonić do znajomego i zapytać, czy faktycznie zgłaszał się w sprawie pożyczki.

Inną metodą stosowaną przez oszustów jest oferowanie poprzez media społecznościowe produktów lub usług po atrakcyjnych cenach, ale pod warunkiem że poda się kod Blik. Po otrzymaniu SMS złodziej wprowadza kod do serwisu Skrill, który umożliwia transfer pieniędzy przez internet i doładowanie wirtualnego portfela. Do zainteresowanego zostaje natomiast przesłana prośba o akceptację transakcji. W ten sposób gotówka trafia do złodzieja. Oszukiwani są również klienci sklepów internetowych, ale jeśli płacą kartą, znajdują się w lepszej sytuacji dzięki usłudze chargeback. Można z niej skorzystać, jeśli kupione towary lub usługi są niezgodne z umową, lub gdy na wyciągu z karty są transakcje, których klient nie realizował. Wówczas można zażądać od banku zwrotu pieniędzy (chargeback).

O ostrożność apelują nie tyko banki, ale również Bankowe Centrum Cyberbezpieczeństwa. W ubiegłym roku głośno było o aplikacji „Bankowość uniwersalna Polska" dostępnej w sklepie Google Play. Wykorzystywała ona formularze logowania do serwisów transakcyjnych banków. Aplikacja wprawdzie szybko przestała być dostępna, ale Związek Banków Polskich przestrzegał, że mogą pojawić się następne w sklepach Google Play lub Apple Store. Niestety, zdarzają się aplikacje podszywające się pod znane programy.

BCC z Polską Izbą Informatyki i Telekomunikacji przestrzegały użytkowników smartfonów przed skanowaniem kodów QR umieszczanych na bankomatach. Mogło to uruchomić aplikację wysyłającą SMS Premium, co powodowało duże koszty dla posiadacza smartfona.

Trzeba uważać również na aplikacje, które nie są dostępne w Google Play, ale linki do nich są rozsyłane e-mailami. Banki ostrzegały przed aplikacją QRecorder na smartfony z systemem operacyjnym Android. Służy ona do nagrywania rozmów, ale może być do niej dołączony trojan Spy Banker wykradający loginy i hasła do kont oraz przejmujący SMS do autoryzacji przelewów internetowych.

Ministerstwo Cyfryzacji ostrzegało natomiast przed SMS od nadawcy „ProfilZaufa" z powiadomieniem o akceptacji wniosku o pożyczkę i o wypłacie pieniędzy. Do wiadomości załączony był link prowadzący do fałszywej strony. Warto pamiętać, że w Profilu Zaufanym nie można składać wniosku o uzyskanie pożyczki. Profil ten służy wyłącznie do załatwiania spraw urzędowych. Cyberprzestępcy sięgają więc po nowe metody.

Bankowe zabezpieczenia

Banki nie tylko ostrzegają, ale i wprowadzają coraz więcej rozwiązań mających zapewnić klientom jak największe bezpieczeństwo. Wymaga tego również unijna dyrektywa PSD II, która wymusza stosowanie tzw. silnych uwierzytelnień.

Zgodnie z dyrektywą do autoryzacji płatności niezbędne jest wykorzystanie co najmniej dwóch z trzech możliwych zabezpieczeń. Pierwszym jest coś, co tylko użytkownik wie, np. hasło i PIN, drugim – coś, co użytkownik ma, czyli karta z kodami, telefon, na który przysyłane są kody, token, a trzecim – unikalna cecha człowieka. Stąd rozwój biometrii, która ma zapewnić znacznie większe bezpieczeństwo. Może to być odcisk linii papilarnych, skan tęczówki lub rozpoznawanie głosu. W Banku Millennium transakcje zabezpieczone 3D Secure, które dotąd były akceptowane za pomocą haseł SMS lub kodem PIN, mogą być teraz zatwierdzane odciskiem palca. Mastercard ogłosił natomiast, że rozwiązania biometryczne będą dostępne od kwietnia we wszystkich bankach współpracujących z tą organizacją.

Biometria jest postrzegana jako bezpieczne i skuteczne zabezpieczenie operacji bankowych, ale specjaliści zajmujący się bezpieczeństwem w sieci zauważają, że odcisk palca, podobnie jak login i PIN, też można wykraść. Banki skłaniają się więc do wideoweryfikacji i bardziej nowoczesnej biometrii Finger Vein, który umożliwia skanowanie przepływu krwi w układzie naczyń krwionośnych. ?Przyszłością będzie natomiast biometria behawioralna, która polega na analizowaniu zachowania użytkownika danego urządzenia. Badana będzie siła nacisku na klawiaturę komputera, sposób korzystania z ekranu dotykowego, podpis, a nawet chód. W przypadku kradzieży podstawowych danych, złodziej i tak nie będzie miał szans na zalogowanie się. ¶

_sposoby chronienia się przed cyberatakiem

1. Używanie skomplikowanych haseł do rachunków bankowych, które powinny się składać z małych i wielkich liter, znaków specjalnych i cyfr w niestandardowych ciągach, czyli niesugerujących np. dat.

2. Częste zmienianie haseł do kont osobistych.

3. Nieprzechowywanie haseł bankowych w postaci elektronicznej.

4. Zainstalowanie programu antywirusowego i firewalla z wiarygodnego źródła.

5. Aktualizowanie systemu operacyjnego, przeglądarki internetowej i programu antywirusowego.

6. Nieotwieranie podejrzanych stron internetowych, na które zostaliśmy przekierowani.

7. Nieotwieranie załączników znajdujących się w e-mailach od nieznanych nadawców.

8. Niepodawanie haseł do autoryzacji osobom, które podają się za znajomych na portalach społecznościowych; niezbędna jest weryfikacja, np. telefoniczna.

9. Sprawdzanie aktualności i poprawności certyfikatu. Korzystanie wyłącznie z połączeń szyfrowanych (w adresie internetowym powinno być https, a nie http).

10. Sprawdzanie, czy wprowadzony numer konta bankowego odbiorcy przelewu jest poprawny.

11. Nieinstalowanie wtyczek i aplikacji pobieranych z przesłanych linków; dotyczy to również korespondencji od banków.

12. Niekorzystanie z otwartych sieci wi-fi.

13. Śledzenie informacji od banku na temat zagrożeń.

14. Niepozostawianie włączonego komputera lub smartfona bez nadzoru.

15. Niewłączanie automatycznego zapamiętywania haseł w przeglądarce internetowej.