Na co uważać przy przelewach przez telefon?
Hakerzy jeszcze nie atakują bankujących przez telefon. Jeszcze. Trzeba zatem mieć się na baczności.
Dynamiczny rozwój bankowości mobilnej niesie ze sobą takie same zagrożenia, jak rozwój całej bankowości elektronicznej: narażenie na ataki cyberprzestępców. Komisja Nadzoru Finansowego ostrzegała w kwietniu przed atakami hakerskimi na bazy bankowe. W listopadzie natomiast wydała "Rekomendację dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo - kredytowe.
W ubiegłym roku firma IO Active Labs przeprowadziła test aplikacji 60 największych na świecie banków. I cóż się okazało? 40 proc. gigantów nie sprawdzała autentyczności certyfikatów SSL, a 20 proc. w ogóle nie raczyła używać szyfrowania!
Pocieszeniem może być fakt, że aplikacje mobilne nie są na razie głównym celem działań cyberprzestępców. Ba, nie są nawet celem ubocznym. W Polsce nie stwierdzono jak dotychczas żadnego takiego ataku. Nie zmienia to faktu, ze należy być ostrożnym.
Instytucje finansowe, używające kanałów bankowości mobilnej, polegają zazwyczaj na prostych hasłach statycznych lub na weryfikacji out-of-band, bazującej na jednorazowych hasłach OTP (one-time-password), przesyłanych na telefony klientów w wiadomościach SMS. Cyberprzestępcy, którzy zaatakowali przeglądarkę internetową użytkownika lub zainstalowali złośliwe oprogramowanie za pomocą wiadomości SMS, mogą przejąć jego konto i przeprowadzać nieautoryzowane transakcje. Do przeprowadzenia takich ataków wykorzystuje się metody phishingu, vishingu, SMS malware, techniki man-in-the-middle i man-in-the-browser.
O czym zatem pamiętać? Zasady są takie same, jak w przypadku serwisów internetowych. Czyli:
- nie podawać nikomu haseł i innych danych, którymi posługujemy się w bankowości mobilnej;
- pobierać służące do korzystania z usług bankowych aplikacje wyłącznie z wiarygodnych źródeł - stron banków czy sklepów dostawców usług;
- korzystać z aplikacji odpowiedzialnie: mieć program antywirusowy, uważać na niezabezpieczone sieci wifi, a własną zabezpieczyć hasłem, stosować hasło do blokowania telefonu (w razie kradzieży da to czas na jej zgłoszenie), wyłączać bluetooth, gdy z niego nie korzystamy;
- na bieżąco sprawdzać informacje związane z bezpieczeństwem - np. na stronie https://zbp.pl/dla-konsumentow/bezpieczny-bank/aktualnosci
- w przypadku zagubienia lub kradzieży smartfona natychmiast informować o tym bank.
Pamiętać też trzeba, że bank nie prosi o instalowanie dodatkowych aplikacji zwiększających bezpieczeństwo korzystania z aplikacji mobilnej, np. pozwalających na pobranie "certyfikatów bezpieczeństwa" oraz "programów do usuwania zagrożeń bezpieczeństwa". Takie prośby należny natychmiast zgłaszać do banku.
Te zasady można uzupełnić dodatkowymi zabezpieczeniami. Na rynku pojawiła się np. oferta "Phone-as-a-Token" ("telefon jako token"). Wykorzystuje ona podpis transakcji oparty o kryptografię klucza publicznego, realizowany poprzez zaufany i bezpieczny kanał elektroniczny. Cała komunikacja jest szyfrowana z wzajemnym uwierzytelnieniem między urządzeniem mobilnym wykorzystywanym przez użytkownika, a aplikacją banku. Niezaprzeczalność transakcji jest zapewniona dzięki generowaniu prywatnego klucza użytkownika poza systemem banku, a następnie jego ochronie przed ujawnieniem, sklonowaniem lub dostępem z poziomu innej aplikacji.
O bezpieczeństwo klientów dbają również same banki. Poczynając od zaleceń na stronach internetowych, przypomnieniach przy logowaniu się do systemu, poprzez limity ilościowe i kwotowe na operacje wykonywane poprzez aplikacje mobilne czy automatyczne wylogowywanie w przypadku braku aktywności aplikacji powyżej określonego czasu. Co również ważne, dane rachunku nie są przechowywane w pamięci telefonu. Zabezpieczeniem jest wreszcie możliwość wysyłania przelewów tylko do zdefiniowanych odbiorców.
Przemysław Szubański