To ostatnio jeden z moich największych strachów przy korzystaniu z nowoczesnej bankowości: jak zabezpieczyć się przed przechwyceniem przez złodzieja SMS-a autoryzacyjnego? Do niedawna wystarczyło, że nikomu nie ujawniam loginu i hasła do bankowości internetowej oraz dokładnie przeczytam każdego SMS-a autoryzacyjnego, który przychodzi z banku, gdy zlecam przelew. Nawet jeśli złodziej jakimś cudem pozna mój login oraz hasło, dostanie się na moje konto i równolegle ze mną zleci "swój" przelew, to i tak polegnie jeśli uważnie czytam SMS-a autoryzacyjnego. Jeśli mam na komputerze wirusa, który podmienia "w locie" numer konta docelowego - bandzior też polegnie przy autoryzacji. Bank w SMS-ie autoryzacyjnym odeśle pierwsze i ostatnie cyfry numeru konta odbiorcy, który dotarł na jego serwery. Czytając uważnie owego SMS-a dowiem się o podstępie.
Niestety, święty spokój zniknął, gdy pojawiły się wirusy mobilne "podglądające" SMS-y autoryzacyjne i przesyłające je do złodziei. Jeśli zły człowiek dowie się jaki mam login i hasło do konta internetowego oraz na jaki numer telefonu przychodzą SMS-y autoryzacyjne, to zapewne spróbuje na ten telefon wprowadzić wirusa za pomocą jakiejś "lewej" aktualizacji albo tzw. malwertisingu. Wystarczy, że nieuważnie kliknę fałszywy komunikat wyświetlający się na smartfonie (np. "twój smartfon jest zagrożony, natychmiast zaktualizuj oprogramowanie antywirusowe!") i... już jest po mnie. Złodziej sam dostanie się na moje konto, sam zleci przelew na swoje konto i sam go sobie autoryzuje, przechwytując SMS-a z banku. Takie przypadki już się niestety dzieją. Wymagają co prawda pewnej nieostrożności ze strony ofiary - musi ona dać się nabrać na phishing i podać przez internet login, hasło oraz numer telefonu, a potem zgodzić się na wpuszczenie wirusa na ten telefon, klikając jakiś "lewy" link - ale naiwnych nie sieją.
Uwaga! Tak internetowi złodzieje kradną nam pieniądze. Sześć opowieści z morałem
Czytaj też: Kradną SMS-y autoryzacyjne, podmieniają numery kont. Oto triki e-złodziei!
Ważne: To wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy najmniej się spodziewasz
Ale być może nadchodzi rewolucja, która prawdopodobnie wprowadzi polską bankowość internetową na wyższy poziom bezpieczeństwa . To nowy sposób zatwierdzania transakcji, omijający w ogóle SMS-y autoryzacyjne! Jako pierwszy w Polsce - i jeden z pierwszych na świecie - wprowadzi tę nowinkę technologiczną mBank , który w przeszłości miał mnóstwo problemów ze złodziejami okradającymi jego klientów. Na czym ma polegać autoryzacja transakcji w nowym modelu? Otóż klientowi zlecającemu transakcję bank będzie wysyłał, zamiast SMS-a autoryzacyjnego, jedynie powiadomienie push, które pojawi się na ekranie jego smartfonu. A klient będzie autoryzował transakcję logując się do aplikacji mobilnej banku i podając PIN do niej. Różnica w bezpieczeństwie polega na tym, że aby ukraść komuś pieniądze złodziej musiałby nie tylko znać login i hasło internetowe klienta, ale też mieć w ręku jego telefon. Dziś wystarczy, że umie przejąć SMS-a autoryzacyjnego.
Jestem w gronie szczęśliwców, którzy już mogą testować nowe rozwiązanie w ramach pilotażu, ale wiem, że pewna część z Was również dostała taką propozycję. Ja aktywowałem możliwość mobilnej autoryzacji przelewów klikając przesłany z banku link - prowadził on do specjalnego miejsca w serwisie wnioskowym - a potem aktualizując aplikację mobilną mBanku w swoim w smartfonie do najnowszej wersji. Podobno na początku przyszłego roku nie trzeba będzie w ogóle nic aktywować, a mobilne autoryzowanie przelewów będzie jedną z pełnoprawnych opcji dla użytkowników aplikacji mobilnej mBanku. To dobra wiadomość, bo wygląda na to, że nowe rozwiązanie rzeczywiście zmniejszy ryzyko kradzieży pieniędzy z konta w dobie wszechogarniającej nas fali wirusów na smartfony. Spoglądając nieco w przyszłość widzę, że autoryzację trzeba będzie przeprowadzić nie tylko z określonego urządzenia-smartfona (zarejestrowanego w banku), ale jeszcze zapewne zacznie ona funkcjonować w oparciu o biometrię, a nie o PIN.
Na razie - to wniosek na podstawie krótkich testów, które wykonałem - nowy sposób autoryzowania transakcji nie wykorzystuje możliwości biometrii. A szkoda. Mimo, że mam smartfona, do którego loguję się odciskiem palca, jak również w ten sam sposób wchodzę do aplikacji mobilnej mBanku, to samą transakcję w nowym modelu mogę autoryzować wyłącznie PIN-em, nie zaś odciskiem palca. Być może to kwestia fazy testowej, a być może braku zaufania programistów mBanku do biometrii (choć nie bardzo rozumiem dlaczego mają większe zaufanie do statycznego PIN-u ;-)). Zakładam, że docelowo nie będzie przeszkód, by potwierdzenie przelewu zleconego przez internet następowało poprzez zwykłe przyłożenie mojego palca do czytnika w smartfonie, odczytanie cech mojego głosu, albo poprzez weryfikację mojej sylwetki lub rysów twarzy (w każdym smartfonie jest przecież kamera wysokiej rozdzielczości).
Czytaj też: Bank pomaga klientom w walce z e-złodziejami. Instaluje im... to!
Zobacz również: Przełom w sprawie kradzieży naszych pieniędzy? Sąd bezlitosny dla banku. "Powinniście zabezpieczyć klienta...."
Horror! Wchodzisz do banku przez smartfona? Oni to przetestowali. Dziura na dziurze!
Wady tego rozwiązania? Widzę trzy. Pierwsza dotyczy konieczności posiadania aplikacji mobilnej banku. Być może duża część klientów mBanku i tak ma ją w swoich smartfonach, ale przecież nie każdy musi być miłośnikiem "noszenia banku w kieszeni". Owszem, bankowość mobilna jest wygodna i nie musi służyć już tylko do oglądania salda rachunku - coraz więcej jest sposobów, dzięki którym możemy płacić telefonem za zakupy i wypłacać nim pieniądze z bankomatu - ale ma też dziury. Znam mnóstwo osób, które odgrażają się, że banku w smartfonie mieć nie chcą, bo "plusy ujemne" tego sposobu bankowania są zbyt duże. Jeśli logowanie do aplikacji mobilnej następuje za pomocą statycznego, krótkiego PIN-u, zaś paleta transakcji (i ich limity kwotowe), których można dokonać przez smartfona jest niewiele mniejsza, niż to, co mogę w banku zrobić przez internet (podając długi login i skomplikowane hasło), to smartfonowy dostęp do konta rzeczywiście może przynieść więcej strat, niż korzyści.
Nowy model autoryzowania transakcji - wykorzystujący aplikację mobilną - z definicji wyklucza osoby nie używające tego sposobu bankowania . A jest ich całkiem sporo. Może się też nie przydać w sytuacji, gdy z internetu korzystam poprzez kabel, zaś "w powietrzu" nie ma sieci. Wtedy powiadomienie push na mój smartfon nie dotrze, nie odpalę też aplikacji mobilnej, choć przecież przelew z komputera - przez bankowość internetową - wypuściłem. Jest też kwestia wspomnianego wyżej krótkiego i statycznego PIN-u, którym zatwierdza się transakcję w smartfonie (zamiast wklepywać do komputera otrzymany na ten smartfon SMS). Z jednej strony i tak jest bezpiecznie, bo żeby potwierdzić przelew trzeba mieć w ręku smartfona, a z drugiej strony nie da się ukryć, że... hasło do wszystkich transakcji jest takie samo - jest nim PIN do aplikacji mobilnej (a w przypadku SMS-ów autoryzacyjnych jest inaczej - każdy jest inny).
Czytaj też: mBank na głodzie, czyli wielkie kuszenie małolata
Czytaj też: Masz konto w mBanku? Smartfon przypomni ci o rachunkach!
Bardzo jestem ciekaw jak oceniacie nowy sposób zatwierdzania transakcji proponowany przez mBank. I czy też nie możecie się doczekać biometrycznego zatwierdzania przelewów, czy też raczej uważacie biometrię za przereklamowaną? Jedno jest pewne: mBank startuje do pozycji jednego z liderów jeśli chodzi o budowanie poczucia bezpieczeństwa swoich klientów. Jeszcze rok-dwa lata temu to był bank, którego klientów atakowano najczęściej. Faktem jest, że na tle zabezpieczeń w innych bankach mBank nie jawi się twierdzą nie do zdobycia. W takim np. Raiffeisenie nie mogę się nawet zalogować nie podając kodu SMS-owego. A w Banku Millennium muszę podać nie tylko login i część hasła maskowanego, ale i PESEL. Tymczasem w mBanku jest tylko stare, poczciwe statyczne hasło i w dodatku nie ma żadnych zabezpieczeń do wysokokwotowych transakcji między kontami jednego klienta.
Potencjalny złodziej może więc - nie niepokojony przez nikogo - "zsypywać" pieniądze z kont depozytowych, limitów kart kredytowych, kont oszczędnościowych na ROR, a nawet zaciągnąć w imieniu Bogu ducha winnego klienta kredyt online, by potem jednym przelewem tę kasę klientowi wytransferować (o ile oczywiście ów klient będzie na tyle nieostrożny, że da sobie wyłudzić login i hasło do konta i numer telefonu, a potem da się "poczęstować" wirusem mobilnym). W takich przypadkach powinny się włączać alerty systemowe i bank powinien telefonicznie potwierdzać duże transakcje "wyprowadzające" jego pieniądze na zewnętrzne konto. Niestety, było w przeszłości trochę przypadków, w których ten system alertów też zawodził. Jeśli mBank - jako pierwszy w Polsce - wprowadzi dostępną dla każdego chętnego możliwość autoryzowania transakcji smartfonem, to zrobi wielki krok naprzód w dziele poprawiania bezpieczeństwa klientów.
UWAGA, WEBINARIUM! Już w najbliższy wtorek, 6 grudnia, o godz. 19.00 organizuję wspólnie z blogiem Longterm.pl webinarium online. Opowiemy na nim dlaczego - naszym zdaniem - warto przynajmniej część swoich oszczędności lokować w spółki dywidendowe i jak się do tego zabrać. Żeby posłuchać i zadawać pytania trzeba się zarejestrować pod tym linkiem . Warto się pospieszyć, bo liczba miejsc ograniczona! Jest to część akcji "Dywidenda jak w banku". W jej ramach ukazało się do tej pory około dwudziestu tekstów, pięć klipów wideo, odbyły się też trzy webinaria . Wszystkie te rzeczy są zebrane na stronie www.dywidendajakwbanku.pl . Znajdziecie tam również e-booka, którego można uzyskać zapisując się na nasz newsletter.
OBEJRZYJ KOLEJNY ODCINEK "KASOWNIKA SAMCIKA"! W dzisiejszym wydaniu mojego cotygodniowego wideocyklu głównym tematem jest pytanie czy i na jakich warunkach warto kupić polisę od raka . Wiadomo, że już jedna czwarta opuszczających ten padół łez opuszcza go z powodu nowotworu. Być może część z nich udałoby się wykaraskać z problemów, gdyby odpowiednio wcześnie badziewie zostało wykryte, zdiagnozowane i leczone według najlepszych światowych standardów, niekoniecznie w ramach państwowej służby zdrowia. Jaką polisę od raka warto rozważyć, a jaka będzie tylko wyrzucaniem pieniędzy w błoto? O tym dziś w "Kasowniku". A jeśli chcesz prześwietlenia konkretnych ofert antyrakowych, to zapraszam do wpisów blogowych. Poza tym tematem w programie rozkminiam też polisy ze zwrotem składki oraz sprawdzam na ile trzeba się ubezpieczyć, żeby zapewnić naszym bliskim bycie rentierami.