Na co uważać przy przelewach przez telefon?

Hakerzy jeszcze nie atakują bankujących przez telefon. Jeszcze. Trzeba zatem mieć się na baczności.

Dynamiczny rozwój bankowości mobilnej niesie ze sobą takie same zagrożenia, jak rozwój całej bankowości elektronicznej: narażenie na ataki cyberprzestępców. Komisja Nadzoru Finansowego ostrzegała w kwietniu przed atakami hakerskimi na bazy bankowe. W listopadzie natomiast wydała „Rekomendację dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo – kredytowe.
W ubiegłym roku firma IO Active Labs przeprowadziła test aplikacji 60 największych na świecie banków. I cóż się okazało? 40 proc. gigantów nie sprawdzała autentyczności certyfikatów SSL, a 20 proc. w ogóle nie raczyła używać szyfrowania!

Pocieszeniem może być fakt, że aplikacje mobilne nie są na razie głównym celem działań cyberprzestępców. Ba, nie są nawet celem ubocznym. W Polsce nie stwierdzono jak dotychczas żadnego takiego ataku. Nie zmienia to faktu, ze należy być ostrożnym.

Instytucje finansowe, używające kanałów bankowości mobilnej, polegają zazwyczaj na prostych hasłach statycznych lub na weryfikacji out-of-band, bazującej na jednorazowych hasłach OTP (one-time-password), przesyłanych na telefony klientów w wiadomościach SMS. Cyberprzestępcy, którzy zaatakowali przeglądarkę internetową użytkownika lub zainstalowali złośliwe oprogramowanie za pomocą wiadomości SMS, mogą przejąć jego konto i przeprowadzać nieautoryzowane transakcje. Do przeprowadzenia takich ataków wykorzystuje się metody phishingu, vishingu, SMS malware, techniki man-in-the-middle i man-in-the-browser.

O czym zatem pamiętać? Zasady są takie same, jak w przypadku serwisów internetowych. Czyli:

– nie podawać nikomu haseł i innych danych, którymi posługujemy się w bankowości mobilnej;

– pobierać służące do korzystania z usług bankowych aplikacje wyłącznie z wiarygodnych źródeł – stron banków czy sklepów dostawców usług;

– korzystać z aplikacji odpowiedzialnie: mieć program antywirusowy, uważać na niezabezpieczone sieci wifi, a własną zabezpieczyć hasłem, stosować hasło do blokowania telefonu (w razie kradzieży da to czas na jej zgłoszenie), wyłączać bluetooth, gdy z niego nie korzystamy;

– na bieżąco sprawdzać informacje związane z bezpieczeństwem – np. na stronie https://zbp.pl/dla-konsumentow/bezpieczny-bank/aktualnosci

– w przypadku zagubienia lub kradzieży smartfona natychmiast informować o tym bank.

Pamiętać też trzeba, że bank nie prosi o instalowanie dodatkowych aplikacji zwiększających bezpieczeństwo korzystania z aplikacji mobilnej, np. pozwalających na pobranie „certyfikatów bezpieczeństwa” oraz „programów do usuwania zagrożeń bezpieczeństwa”. Takie prośby należny natychmiast zgłaszać do banku.

Te zasady można uzupełnić dodatkowymi zabezpieczeniami. Na rynku pojawiła się np. oferta „Phone-as-a-Token” („telefon jako token”). Wykorzystuje ona podpis transakcji oparty o kryptografię klucza publicznego, realizowany poprzez zaufany i bezpieczny kanał elektroniczny. Cała komunikacja jest szyfrowana z wzajemnym uwierzytelnieniem między urządzeniem mobilnym wykorzystywanym przez użytkownika, a aplikacją banku. Niezaprzeczalność transakcji jest zapewniona dzięki generowaniu prywatnego klucza użytkownika poza systemem banku, a następnie jego ochronie przed ujawnieniem, sklonowaniem lub dostępem z poziomu innej aplikacji.

O bezpieczeństwo klientów dbają również same banki. Poczynając od zaleceń na stronach internetowych, przypomnieniach przy logowaniu się do systemu, poprzez limity ilościowe i kwotowe na operacje wykonywane poprzez aplikacje mobilne czy automatyczne wylogowywanie w przypadku braku aktywności aplikacji powyżej określonego czasu. Co również ważne, dane rachunku nie są przechowywane w pamięci telefonu. Zabezpieczeniem jest wreszcie możliwość wysyłania przelewów tylko do zdefiniowanych odbiorców.

Przemysław Szubański

Sławomira Szymańska, ekspert bankowości mobilnej i internetowej BZ WBK: – Dzięki aplikacji BZWBK24 mobile klienci Banku Zachodniego WBK S.A. mają łatwy dostęp do konta i wykonywania przelewów, mogą płacić zbliżeniowo telefonem i wypłacać gotówkę z bankomatu za pomocą telefonu mogą także wygodnie kupować bilety komunikacji miejskiej, czy opłacać parkingi w strefach płatnego parkowania.

Z rozwojem bankowości mobilnej ważnym elementem naszej strategii jest dbałość o zapewnienie odpowiednich mechanizmów bezpieczeństwa, które odpowiadają specyfice obecnych i przyszłych zagrożeń występujących w sieci internetowej. Stale doskonalimy standardy bezpieczeństwa w trosce o finanse naszych klientów.

Wiemy, że użytkownik bankowości mobilnej ma znaczący wpływ na bezpieczeństwo swoich finansów, dlatego budowanie świadomości w tym zakresie jest dla nasz szczególnie ważne. Prowadzimy projekty edukacyjne skierowane do różnych grup odbiorców, aby użytkownicy bezpiecznie korzystali z telefonu i Internetu w telefonie. Dbamy także o odpowiedni poziom wiedzy wśród naszych pracowników.

Oto kilka zasad, których przestrzeganie sprawi, że bankowość mobilna będzie nie tylko bardzo wygodna, ale i bezpieczna:

1. Pobieraj aplikacje tylko z autoryzowanych sklepów.

Nie pobieraj aplikacji z niezaufanych źródeł, z linków, wiadomości mailowych. Zawsze korzystaj z autoryzowanych sklepów z aplikacjami.

2. Chroń swoje dane do logowania.

Stwórz unikalne hasła dla różnych serwisów, zmieniaj je regularnie i nie przekazuj ich nikomu.

3. Zadbaj o to, aby na Twoim telefonie był zainstalowany program antywirusowy.

Zainstaluj program antywirusowy i dbaj o jego systematyczną aktualizację.

4. Korzystaj z aplikacji mobilnej w telefonie poprzez zaufaną sieć.

Łącząc się z niezabezpieczoną siecią publiczną możesz narazić się na utratę cennych danych. Korzystaj z bankowej aplikacji mobilnej tylko poprzez zaufaną, zabezpieczoną hasłem sieć prywatną.

5. Sprawdź numer rachunku odbiorcy przed potwierdzeniem transakcji.

Złośliwe oprogramowanie na Twoim telefonie nie może sprawić, że w oknie przelewu pojawi się numer rachunku przestępcy. Dlatego zawsze sprawdzaj numer rachunku przed akceptacją transakcji.

6. Po zmianie lub utracie telefonu zablokuj go w banku.

W razie zagubienia lub kradzieży aparatu telefonicznego zablokuj go w banku. Zmień również hasła służące do logowania się do aplikacji.

Udostępnij Artykuł