Przeskocz do treści

#004: Zasady bezpieczeństwa przy korzystaniu z bankowości internetowej.


Na przeczytanie potrzebujesz
3 minut(y).

W drugim odcinku bezpiecznego podcastu skierowanym do "Seniorów" postaramy się przybliżyć aspekt bezpiecznego korzystania z bankowości internetowej.

Rozmawiamy z Marcinem Gromkiem o mechanizmach jakie warto włączyć podczas korzystania z bankowości mobilnej oraz www. Radzimy od czego zacząć, a także co zrobić, aby czuć się komfortowo podczas logowania i wykonywania przelewów.

Notatki do odcinka

Pamiętaj, że nie musisz korzystać ze wszystkich kanałów dostępu do swoich środków w banku. Ważne, żebyś czuł się pewnie i komfortowo. Chodzi przecież o bezpieczeństwo Twoich pieniędzy. Dlatego jeżeli nie planujesz wykorzystywać np. kanału telefonicznego do wykonywania przelewów to podczas połączenia z konsultantem poproś o zablokowanie możliwości wykonywania transferów podczas połączenia z call center. Jeżeli w przyszłości będziesz chciał odblokować tę funkcję, będziesz mógł to zrobić np. poprzez bankowość elektroniczną  lub wizytę w oddziale. Ta sama uwaga tyczy się korzystania z bankowości elektronicznej oraz mobilnej. 

Jeżeli jednak chcesz z nich korzystać, to zachęcamy Cię do zapoznania się i zastosowania poniższych rad.

Od czego zacząć:

Na stronie internetowej Twojego banku wykorzystaj dostępne materiały, aby zapoznać się z oferowanymi funkcjami oraz mechanizmami bezpieczeństwa. Banki oferują różne formy przyswajania wiedzy w przystępny sposób: możesz przeczytać przewodnik, przejść  samouczek lub obejrzeć filmy instruktażowe.

Na koniec nie zapoznij zapoznać się z sekcją bezpieczeństwa, dostępną w każdym banku:

Najważniejsze!

  1. Nie bój się korzystać z aplikacji mobilnej bankowości. Jest ona bezpieczna, wielokrotnie testowana przez bank oraz firmy zewnętrzne. W ramach pierwszego logowania użytkownik paruje aplikację bankową znajdującą się na jego telefonie ze swoim kontem (m.in. poprzez odpowiedzi na serię pytań oraz podanie otrzymywanych kodów). Aplikację bankową pobierz z oficjalnego sklepu Google Play lub App Store (linki do aplikacji znajdziesz również na oficjalnej stronie banku).
  2. Zawsze dokładnie czytaj wszystkie smsy lub wiadomości push, z kodami autoryzującymi transakcje bankowe lub kody służące do logowania do bankowości. Znajdziesz w nich szczegóły transakcji i operacji, które potwierdzasz. 
  3. Logując się do bankowości elektronicznej zawsze korzystaj z „zaufanego urządzenia” – tj. urządzenia, co do którego masz zaufanie (wiesz kto z niego korzystał, wiesz jakie programy są na nim zainstalowane i kto ma do niego dostęp).

Pozostałe rady, o których mówiliśmy w odcinku:

Bankowość www

  1. Do każdego konta bankowości internetowej wykorzystuj inne, niepowiązane z pozostałymi kontami hasło. O tym jak stworzyć bezpieczne hasło pisał Łukasz w artykule „Jak stworzyć bezpieczne hasło?".
  2. Włącz powiadomienia elektroniczne (email, push, sms) o zdarzeniach na Twoim koncie bankowym:
    1. Informacje o błędnym i udanym logowaniu.
    2. Wiadomości o transakcjach wykonanych kartą.
    3. Powiadomienia o wpłatach i wypłatach z Twojego konta.
  3. Ustaw limity płatności internetowych dla przelewów wykonywanych z bankowości www.
  4. Zwracaj uwagę na adres strony bankowości na której się znajdujesz.

Karty płatnicze

  1. Ustaw limit dla płatności internetowych kart debetowych i kredytowych.
  2. W przypadku zakupów w internecie płać w miarę możliwości:
    1. kartą kredytową – w przypadku przestępczej transakcji możesz ubiegać się o zwrot środków w ramach funkcji „charge back”.
    2. Z wykorzystaniem pośrednika płatności (np. PayPall) – w przypadku problemów to PayPall będzie procesował z klientem zgłoszoną przez Ciebie reklamację.
  3. Zrezygnuj z kart debetowych, z których nie korzystasz a są podpięte do Twoich kont oszczędnościowych lub debetowych.
  4. Nie bój się korzystać ze zwirtualizowanych kart na telefonie - techniczne mechanizmy, które stoją za ich wykorzystaniem sprawiają, że są one bezpieczne.
  5. Włącz usługę 3Dsecure dla kart, którymi płacisz w internecie (jeżeli nie przeszkadza Ci dodatkowy krok potwiedzenia płatności w trakcie zakupów).

Aplikacja mobilna bankowości

  1. Ćwicz! Nie przezwyciężysz lęku przed korzystaniem z bankowości mobilnej i internetowej, jeżeli nie będziesz jej używać. Poproś rodzinę lub znajomych o codzienne wykonywanie przelewów na małe kwoty – pozwoli Ci to zaprzyjaźnić się z funkcją logowania do aplikacji mobilnej Twojej bankowości oraz funkcją przelewów.
  2. Ustaw limit dla płatności wykonywanych z aplikacji mobilnej banku.
  3. Jeżeli zgubiłeś telefon ze sparowaną bankową aplikacją mobilną rozparuj ją z wykorzystaniem bankowości www.
  4. Jeżeli możesz korzystaj z funkcji Przelew BLIK na telefon. Będziesz miał pewność, że nie pomyliłeś się w numerze konta, na które chciałeś przelać środki, a pieniądze dojdą do adresata chwilę po wykonaniu przelewu.

Inne przydatne funkcje:

  1. Śledź profile swojego banku w mediach społecznościowych. Znajdują się tam najnowsze zagrożenia czyhające na klientów bankowości internetowej.
  2. Przy logowaniu do bankowości internetowej zwróć uwagę na komunikaty bezpieczeństwa znajdujące się obok formularza logowania.
  3. Przejdź kurs ochrony przed phishigniem, bądź gotowy na zbliżające się zagrożenia. O tym jak to zrobić pisaliśmy w:
    1. Zadanie na weekend #3: Przejdź kurs samoobrony przed phishingiem „PhisingStop”
    2. Zadanie na weekend #4: Przejdź kurs samoobrony przed phishingiem od Google

Montaż: Marcin Gromek

#polskipodcast

Jest nam niezwykle miło, że dotarłeś aż tutaj! Jeżeli uważasz, że powyższy tekst jest wartościowy, będziemy wdzięczni za udostępnienie go dalej, bo być może dzięki temu trafi do innej osoby, która również potrzebuje go przeczytać.

7 myśli na “#004: Zasady bezpieczeństwa przy korzystaniu z bankowości internetowej.

  1. nowy

    Najbardziej ryzykownym sposobem korzystania z bankowości jest w kolejności: bankowość mobilna, bankowość internetowa, bankowość telefoniczna, bankowość tradycyjna. Co do tego są zgodne wszystkie banki - świadczą o tym dzienne limity przelewów, które są wprowadzane dla poszczególnych kanałów dostępu. Najniższe limity obowiązują dla bankowości mobilnej, potem dla internetowej i telefonicznej, a w oddziale nie ma limitów. Limity te mają zniwelować ryzyko związane z danym kanałem dostępu do usług bankowych.
    Jeśli dla kogoś bezpieczeństwo jego środków jest najważniejsze to powinien korzystać tylko z tradycyjnej bankowości (bez uruchomionego dostępu przez tel, internet czy aplikację). Odręczny podpis jest najbezpieczniejszym sposobem autoryzacji transakcji. W przypadku oszustwa wystarczy analiza grafologa i wszystko jest jasne.
    Jeśli klient zostanie okradziony przez internet lub kanał mobilny to czeka go długa walka w sądzie o odzyskanie pieniędzy:
    Nieautoryzowane transakcje płatnicze – analiza Rzecznika Finansowego
    https://rf.gov.pl/sprawy-biezace/Nieautoryzowane_transakcje_platnicze_____analiza_Rzecznika_Finansowego__23018
    Ustanowienie zaufanego odbiorcy — konta należącego do hakera — oznacza, że klient banku dopuścił się rażącego niedbalstwa?
    https://czasopismo.legeartis.org/2018/12/nieautoryzowany-przelew-konto-hakera.html
    Czy bank odpowiada za przelewy z rachunku klienta — „autoryzowane” przez oszusta, który wykradł dane do logowania?
    https://czasopismo.legeartis.org/2017/09/odpowiedzialnosc-banku-nieautoryzowane-transakcje.html
    - na tym serwisie jest więcej opisów podobnych spraw sądowych

    Jeśli ktoś chce korzystać z bankowości internetowej, mobilnej lub telefonicznej to:
    1) nie powinien trzymać na takim koncie dużych pieniędzy,
    2) powinien skorzystać z wszystkich dodatkowych metod zabezpieczeń oferowanych przez bank (hasło maskowane, obrazek, dzienne limity przelewów, które najlepiej gdy można podnieść tylko w oddziale lub przez telefon, powiadomienia o udanym logowaniu itd),
    3) powinien starać logować się tylko w swoim domu.

    Odpowiedz
  2. nowy

    Moim zdaniem najbezpieczniejszym sposobem autoryzacji transakcji jest token sprzętowy typu challenge-response. Token taki pod nazwą card reader jest stosowany przez kilka banków w Wielkiej Brytanii, Irlandii i Szwajcarii:
    How to use a Card Reader (NatWest - UK)
    https://www.youtube.com/watch?time_continue=62&v=-KFOMqCohQM&feature=emb_logo
    Log in to e-finance (PostFinance - Szwajcaria)
    https://www.youtube.com/watch?v=u83EHiIeOLo

    Aby wygenerować kod do autoryzacji transakcji trzeba przygotować:
    1) token + karta płatnicza + PIN do tej karty,
    2) przepisać kilka cyfr z systemu transakcyjnego,
    3) w przypadku przelewu jednorazowego trzeba przepisać kwotę przelewu oraz kilka ostatnich cyfr z numeru rachunku odbiorcy.
    Dzięki temu mechanizmowi (challenge-response) klient świadomie autoryzuje każdą transakcję.
    Token jest wykorzystywany do autoryzacji transakcji/zmian zlecanych przez telefon co dodatkowo zwiększa bezpieczeństwo.
    Dzięki temu, że token nie jest podłączony do internetu hackerzy nie maja do niego dostępu.
    Token challenge-response zapewnia wyższy poziom bezpieczeństwa niż hasła jednorazowe, SMS kody, autoryzacja mobilna, zwykłe tokeny.
    Jedyny udany atak na klienta posługującego się takim tokenem o jakim słyszałem polegał na tym, że oszust zadzwonił do klienta i zmanipulował go do wygenerowania kodu potrzebnego do autoryzacji transakcji.

    Banki, które stosują takie tokeny nie mają problemu z nieautoryzowanymi przelewami - nie ma więc reklamacji klientów, sporów sądowych i ryzyka utraty wizerunku.
    Szkoda, że żaden polski bank nie stosuje takiego rozwiązania.

    Odpowiedz
    1. Łukasz

      Dzięki za komentarz. Taki token ma jedną podstawową wadę - nie wiesz co autoryzujesz. W SMS poza kodem jednorazowym masz szczegóły transakcji która podpisujesz. W tokenie sprzętowym wpisujesz challenge ze strony internetowej i nie wiesz, czy nie został podmieniony przez malware na Twoim komputerze.

      Odpowiedz
  3. nowy

    @ Łukasz
    "W tokenie sprzętowym wpisujesz challenge ze strony internetowej i nie wiesz, czy nie został podmieniony przez malware na Twoim komputerze."
    Jeśli challenge na stronie internetowej zostanie podmieniony przez malware to po wpisaniu go na tokenie zostanie wygenerowany błędny kod - tym kodem nie można zautoryzować transakcji (typu ustanowienie stałego odbiorcy, zmiana adresu itp).
    Jeśli autoryzuje się przelew jednorazowy to na challenge składają się dwa elementy 1) kwota przelewu 2) kilka ostatnich cyfr z rachunku odbiorcy. Jeśli któraś z tych wartości będzie błędna to kod, który wygeneruje token będzie błędny i nie pozwoli zautoryzować tego przelewu.
    Dzięki takiemu tokenowi klient bardzo dokładnie wie co autoryzuje - nie jest w stanie tego przeoczyć lub popełnić błąd. Przeoczenie lub błąd skutkuje wygenerowaniem błędnego kodu = brak autoryzacji.

    Kody SMS często nie są czytane i można je przechwycić na kilka sposobów.

    Odpowiedz
    1. Łukasz

      To inaczej. Klient ma malware na komputerze. Złośliwe oprogramowanie np. z rodziny Nymaim pozwala na modyfikację tego co klientowi jest prezentowane na ekranie. Wyobraźmy sobie scenariusz w którym klient myśli ze wykonuje przelew, a tak naprawdę przestępca zleca założenie szablonu zaufanego. Do systemu bankowości elektronicznej przychodzi żądanie założenia szablonu i taki challenge zostanie wygenerowany. Klientowi natomiast na ekranie zostanie zaprezentowany komunikat ze robi przelew. Wygeneruje response dla tego żądania i wpisze w okienko. Zatwierdzi transakcję założenia szablonu, choć tak naprawdę myśli ze robi przelew.
      Banki z tokenów nie chcą korzystać świadomie - ponieważ nie potrafią one wyświetlić dokładnych szczegółów operacji które zatwierdzasz. W SMS lub aplikacji mobilnej taka informację będziesz posiadał.

      Odpowiedz
  4. nowy

    Bezpieczeństwo aplikacji mobilnych:
    1) How I hacked 30 mobile banking apps & the future of API Security, Alissa Knight, Aite Group
    https://www.youtube.com/watch?v=dRaTXF4LQr8
    Researchers ( Alissa Knight) uncover 180 vulnerabilities in 30 financial services apps
    https://www.teiss.co.uk/financial-services-apps-vulnerabilities/

    2) Security PWNing - Stan bezpieczeństwa aplikacji mobilnych polskich banków
    https://www.youtube.com/watch?v=HqA4uy_eG6g
    State of security of Android banking apps in Poland (by Tomasz Zieliński)
    https://www.youtube.com/watch?v=uOY5MQkIGsE
    - polecam końcówkę, która się nie zmieściła w polskiej prezentacji po 53:44

    3) Trend Micro przedstawiła swoje prognozy na 2020 rok.
    https://blog.trendmicro.pl/2019/12/18/poznaj-prognoze-cyberzagrozen-na-2020-rok/
    „Okazuje się, że aż 10 na 52 analizowanych przez Trend Micro aplikacji bankowych w dalszym ciągu przesyła dane wrażliwe w URL. „

    Efekty błędów w aplikacjach mobilnych:
    4) Hakerzy zaatakowali rosyjskie banki. Skradziono ponad 800 tys. dolarów - android
    https://www.forbes.pl/wiadomosci/hakerzy-okradli-klientow-rosyjskich-bankow-sbierbanku-i-alfa-banku/y6cqql0
    „Atak przeprowadzono za pomocą złośliwego oprogramowania zaprojektowanego na urządzenia z systemem operacyjnym Android.”

    5) Hakerzy atakują aplikacje mobilne banków - mBank ostrzega klientów przed kradzieżą pieniędzy
    https://www.wirtualnemedia.pl/artykul/kradziez-pieniedzy-poprzez-cyberatak-na-aplikacje-mobilna-mbank-ostrzega-klientow

    6) [AKTUALIZACJA #3] Jak przestępcy przekierowali mu telefon i okradli konto w banku?
    https://niebezpiecznik.pl/post/przestepcy-przekierowali-mu-telefon-i-okradli-konto-w-banku/
    „Wiemy z całą pewnością, że przestępca na tym etapie zainstalował aplikację mobilną mBanku, którą ktoś może aktywować w imieniu innej osoby bez konieczności znajomości loginu i hasła tej osoby do jej konta bankowego, … „

    7) W tym przypadku brytyjski bank NatWest zapewniał, że jego aplikacja mobilna jest bezpieczna i odrzucał reklamacje okradzionych klientów. Dopiero kiedy dziennikarze BBC przeprowadzili eksperyment bank uznał, że aplikacja nie jest bezpieczna i trzeba ją poprawić:
    Online break-in forces bank to tighten security
    https://www.bbc.com/news/business-35716872

    Odpowiedz
  5. nowy

    @ Łukasz 3 lutego 2020 o 20:55
    Nie jestem specjalistą IT, ale próbuję to ogarnąć.
    1) Wydaje mi się, że scenariusz, o którym piszesz nie zadziała w przypadku kiedy klient zleca przelew jednorazowy np 200 PLN na rachunek 1234 5678. Wtedy challenge będzie 200 oraz 345678 i token wygeneruje kod na podstawie wartości 200 oraz 345678, więc wydaje mi się, że w systemie bankowym nie da się tym kodem zautoryzować innej operacji niż ten przelew? Jeśli malware wyśle w tle, do systemu bankowego kwotę 1000 PLN i rachunek 3333 4444 to wtedy kod do autoryzacji takiej transakcji będzie inny niż ten wygenerowany przez klienta?
    2) Załóżmy, że klient chce ustanowić stałego odbiorcę, którego rachunek to
    1234 5678. Wpisuje w systemie transakcyjnym wszystkie dane. W tym samym czasie malware podmienia numer rachunku na 3333 4444. Klientowi pojawia się challenge np 98765432 wpisuje go do tokenu i uzyskuje kod. Klient wpisuje kod z tokenu - autoryzując rachunek 3333 4444, pomimo, że widzi 1234 5678. Czy dobrze kombinuje?
    Jeśli klient będzie od razu zlecał przelew to malware może w tle 200 PLN podmienić na całe saldo - 1000 PLN.

    ps nie mogłem odpowiedzieć bezpośrednio na /Twój post - opcja "Odpowiedz ↓" u mnie nie działa

    Odpowiedz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *