Banki mają problem z naszym bezpieczeństwem. Bo oddały jego część… telekomom. I co teraz?

Banki mają problem z… naszym bezpieczeństwem. Bo dla własnej wygody część tego bezpieczeństwa de facto scedowały na firmy telekomunikacyjne. A tam procedury są dużo bardziej dziurawe, kontrola dużo mniejsza, systemy dużo mniej hermetyczne. Efekt? Ludzie są okradani, a bankowcy bezradnie rozkładają ręce, mówiąc klientom: „cóż, trzeba było bardziej uważać”. Nie zgadzam się na takie postawienie sprawy. „Zdekonspirowany” SMS autoryzacyjny, fałszywy telefon z numeru call center, duplikat karty SIM wydany złodziejowi… Takie numery nie są winą klientów banków!

Kiedyś bankowość była branżą relatywnie łatwą do systemowego zabezpieczenia. Pieniądze klientów leżały w skarbcach, skarbce były zamknięte, a dostęp do kasy był za pośrednictwem sieci placówek. A tam klienci pojawiali się osobiście i wydawali stosowne zlecenia, legitymując się dowodem tożsamości.

Głównymi ryzykami były napady na skarbce oraz podstawianie fałszywych dowodów tożsamości przez przestępców, którzy chcieli dobrać się do nie swojego konta.

Przeczytaj na rozgrzewkę: Top 5 sposobów złodziei, żeby cię okraść przez internet

Jak ukraść komuś pieniądze? SMS autoryzacyjny marzeniem każdego złodzieja

Ale przyszła era bankowości zdalnej: internetowej oraz mobilnej. Trzeba było pomyśleć o tym, jak zdalnie potwierdzać klientowskie dyspozycje. Niektórzy mówią, że największym błędem branży bankowej było oparcie autoryzacji transakcji o zewnętrzne narzędzie. Takie, jakim de facto są kody SMS wysyłane przez bank.

Piszę, że kody SMS to narzędzie „zewnętrzne”, bo choć wiadomości SMS są nadawane przez bank i odbierany przez klienta, to przeniesienie SMS-a z punktu A do punktu B jest rolą zewnętrznego partnera, czyli firmy telekomunikacyjnej.

Ani bank, ani klient nie mają możliwości kontrolowania, czy tego SMS-a ktoś po drodze nie modyfikuje albo nie podgląda. A to w XXI wieku rodzi ryzyka.

To właśnie dlatego niemiecki odpowiednik Komisji Nadzoru Finansowego uznał kilka lat temu kody SMS za niedobrą formę logowania się do banku i autoryzowania transakcji. Po prostu: autoryzacja za pomocą kodów SMS jest już zbyt mało bezpieczna.

W Polsce kilka banków podjęło próbę zlikwidowania SMS-a jako formy autoryzacji transakcji. I zastosowania mobilnej autoryzacji transakcji na rachunku za pomocą aplikacji w smartfonie.

Tylko Toyota Bank – bank mały, niszowy i mający nowoczesnych klientów – zrobił to z sukcesem, choć przy dużym hałasie. Ale już Citibank musiał się wycofać z autoryzacji mobilnej, bo klienci powiedzieli: „żądamy SMS-ów autoryzacyjnych”.

Inne banki nawet nie podchodzą do tematu zmian w autoryzacji. Po co denerwować klientów? Autoryzacja mobilna jest fajna, ale ludzie muszą do niej dojrzeć. Tak, jak dojrzeli do porzucenia autoryzacji za pomocą kodów SMS.

Kody SMS : hit nowoczesności i siła przyzwyczajenia

Kiedy wprowadzano SMS-y autoryzacyjne jako narzędzie do zdalnego bankowania, to był hit nowoczesności. Można było zastąpić drogie i niewygodne tokeny sprzętowe (takie małe urządzenia wyświetlające kody) zwykłym telefonem komórkowym.

W dodatku na tokenie nie dało się wyświetlić nic poza kodem. A na ekranie telefonu dało się zawrzeć jakieś podstawowe informacje o parametrach zatwierdzanych transakcji w bankowości internetowej.

Kody SMS i tak stanowiły bezpieczniejszą metodę autoryzacji, niż karty kodów typu zdrapka. Pamiętacie jak ludzie protestowali przeciwko wycofywania karty kodów jako metody autoryzacji niebezpiecznej i przestarzałej?

Dziś jednak banki mają możliwość komunikowania się z nami za pomocą aplikacji mobilnych w naszych smartfonach (które zastępują powoli zwykłe telefony komórkowe).

Po zalogowaniu – najczęściej biometrycznym – do aplikacji bankowej możemy poprosić o czat lub wideorozmowę z konsultantem, zobaczyć salda na kontach, nadać przelew albo autoryzować transakcję za pomocą tzw. mobilnej autoryzacji.

Możliwość „włożenia” klientom aplikacji mobilnej do smartfona zwiększa bezpieczeństwo, ale i daje bankom narzędzie inwigilowania klientów. O ile oczywiście ci zgodzą się, by aplikacja mobilna rejestrowała ich lokalizację ze względów bezpieczeństwa. To przydaje się przy spersonalizowanych, opartych na powiadomieniach push programach lojalnościowych.

Minusem tej metody autoryzacji transakcji – i w ogóle kontaktu z bankiem – jest konieczność posiadania względnie nowoczesnego telefonu (smart). I elementarnych kompetencji cyfrowych.

Wciąż więc modne są – ku uciesze cyberprzestępców – kody SMS autoryzacyjne, które można przejąć „w drodze”. I zrealizować z ich pomocą zupełnie inną transakcję niż ta, o której myśli klient.

Duplikat karty SIM: każdy może go dostać. Ale nie każdy powinien

Ale nie tylko kod SMS (ten autoryzacyjny, uznawany dziś przez wielu za szczytową w historii świata metodę autoryzacji) jest przejawem oddania telekomom części kontroli nad bezpieczeństwem naszych, klientowskich pieniędzy.

Narzędziem, które potwierdza, że to my chcemy złożyć dyspozycję np. przelewu całego salda konta, jest smartfon o określonym numerze, przyporządkowanym do karty SIM.

Zakładając konto internetowe w banku przypisujemy dany numer telefonu do tego konta. A potem ten telefon (jako urządzenie z kartą SIM) jest de facto naszym „wirtualnym podpisem”. Bank wysyła na ten telefon wspomniane wyżej SMS-y autoryzacyjne, albo powiadomienia push, które możemy otworzyć przez aplikację mobilną.

Kłopot polega na tym, że centrum zarządzania tego całego ustrojstwa, czyli kartę SIM do smartfona, wydaje… telekom. I – co gorsza – może go wydać w więcej, niż jednym egzemplarzu.

Ani bank, ani klient nie są w stanie (i nawet nie mają prawa) kontrolować tego, czy do jednego z tysięcy punktów sprzedaży nie przyjdzie ktoś z podrobionym dowodem osobistym i nie poprosi o duplikat karty SIM. Bo np. poprzednią zgubił. Zdarza się, prawda?

Ów duplikat – po wykonaniu kilku dodatkowych czynności – pozwala złodziejowi zarządzać nie swoim kontem bankowym. Zdarzały się przypadki, że klienci banków tracili w ten sposób ponad milion złotych.

Oczywiście: telekom mógłby informować banki za każdym razem, gdy wydaje komuś duplikat karty SIM. Wtedy banki mogłyby monitorować uważnie takiego klienta i sprawdzać, czy za pomocą SMS-a autoryzacyjnego wysłanego na „zduplikowany” numer ktoś nie podmieni także urządzenia sparowanego z kontem bankowym i nie wyprowadzi pieniędzy z rachunków.

Tyle, że takich duplikatów wydawanych są tysiące, a telekomy nie mają ochoty informować o tym banków. A banki nie mają prawa tego od nich żądać. To nie problem telekomów, że potem w oparciu o te duplikaty ludziom giną pieniądze z rachunku w banku.

Trefne call-center, czyli jak zadzwonić do klienta „z banku” i ukraść mu pieniądze?

Mamy wreszcie całą bankowość telefoniczną. Przez telefon – zwłaszcza w czasie pandemii – można zmienić w niektórych bankach konfigurację rachunku, więc złodzieje właśnie przez telefon okradają teraz ludzi.

Ostatnio opisałem na „Subiektywnie o finansach” pomysł na okradanie ludzi za pomocą „trefnego” call center. Do klienta dzwoni rzekomy pracownik banku i informuje go, że ten jest w niebezpieczeństwie i trzeba sprawdzić saldo rachunku logując się do bankowości elektronicznej swojego banku.

Podejrzane? W zasadzie tak, ale nie wtedy, gdy do klienta ów „pracownik” dzwoni z numeru telefonu tego samego, z którego zwykle dzwonią do niego z banku.

Tak, jest możliwość sprawienia, że widoczny dla klienta numer telefonu jest taki sam, jak ten, z którego przychodzi połączenie z banku. Dzwoni złodziej, ale klient żyje w przekonaniu, że to bankowiec, bo numer przecież się zgadza. Loguje się do bankowości internetowej pod presją czasu, nie sprawdza co zawiera kod SMS, który zatwierdza.

Do tego można dodać inne „drobiazgi” w wykorzystywaniu luk bezpieczeństwa w infrastrukturze telekomunikacyjnej. Takie, jak podsłuchiwanie rozmów klientów banku z prawdziwymi call centers.

A w tych rozmowach klienci są pytani przez bankowców o szczegóły, których poznanie ułatwia „wjazd” na nie swoje konto w bankowości elektronicznej. Chodzi np. o nazwisko panieńskie matki, które jest typowym pytaniem przy weryfikacji klienta dzwoniącego do banku. Albo weryfikacji klienta wtedy, gdy to bank do niego dzwoni.

Wszystko to powoduje, że jesteśmy dziś w następującym bagnie: wiele elementów systemu łączącego nas z bankiem, to infrastruktura kontrolowana przez niezależne od tego banku firmy telekomunikacyjne.

Nad nimi zaś bank nie ma żadnej jurysdykcji, ani wpływu. Luki z tych systemach są wykorzystywane do okradania ludzi. Coraz większa liczba kradzieży pieniędzy przez internet dzieje się właśnie z wykorzystaniem dziur w zabezpieczeniach telekomunikacyjnych.

Możliwość używania aplikacji mobilnej, mobilna autoryzacja zamiast kodów SMS, dostęp do bankowości internetowej za pomocą biometrii (np. przez odcisk palca) – to krok w dobrym kierunku, nawet jeśli tych nowoczesnych metod autoryzacji większość klientów jeszcze nie używa.

Kod SMS powinien odejść w przeszłość, tak jak nie używamy dziś już karty kodów jednorazowych (tzw. zdrapek).

Przeczytaj przy okazji: Dlaczego nasze smartfony są tak słabo zabezpieczone? I jak możemy zabezpieczyć je bardziej?

Co banki mogą zrobić, żeby złodzieje nas nie okradali za pomocą kodu SMS?

Co z tym zrobić? Banki muszą znaleźć nowe metody autoryzacji i sposób komunikowania się z klientami bez telekomunikacyjnych pośredników (trudne, choć możliwe – być może w przyszłości będziemy chodzili z urządzeniami „bankowymi”, wyposażonymi w wielopoziomową biometrię, hasła czy piny i z ich pomocą komunikowali się z bankami) albo podwoić krycie. Metod autoryzacji operacji na rachunku bankowym jest sporo.

Czyli częściej „zawieszać” większy przelew i kontaktować się z klientem w celu ich potwierdzenia, bardziej podkręcić systemy antyfraudowe wychwytujące nietypowe transakcje, stosować dodatkowe zabezpieczenia i odzwyczaić klientów od tego, że wiadomości SMS to jedyna akceptowana forma zatwierdzania transakcji.

Oraz niezmiennie rozwijać aplikacje mobilne, bo – nawet jeśli ich działanie wymaga pośrednictwa telekomu – to znacznie łatwiej dbać o bezpieczeństwo, gdy klient znajduje się w bezpiecznym, kontrolowanym przez bankowe systemy aplikacji mobilnej.

I kiedy klient zalogował się – najczęściej biometrycznie, czyli odciskiem palca- i wiadomo, gdzie mniej więcej się znajduje (i czy geolokalizacja nie jest sprzeczna z miejscem dokonywania płatności). Dane identyfikacyjne lub weryfikacyjne może podawać w aplikacji, co nie znosi ryzyka fraudu, ale je ogranicza.

Bankowcy często mają do klientów pretensje, że ci nie są wystarczająco ostrożni. Ale to banki nie były wystarczająco ostrożne, oddając – częściowo dla własnej wygody – stery nad częścią procesów rzutujących na bezpieczeństwo pieniędzy klientów – firmom telekomunikacyjnym.

I teraz niech banki to szybko odkręcą, zanim my tutaj, na Homodigital.pl, przestaniemy być mili. Choć i my nie jesteśmy bez winy, wielbiąc SMS autoryzacyjny z siłą przyzwyczajenia godną lepszej sprawy.

A teraz przeczytaj jeszcze to: Menedżer haseł pozwoli ci zabezpieczyć dane i pieniądze. Jak go zainstalować i używać? Dlaczego dzięki niemu jest bezpieczniej? Poradnik Homodigital!

Czytaj też: Włamanie na konto Allegro. Tu nie pomoże ani SMS autoryzacyjny, ani token w aplikacji, ani 3D Secure. Przeczytaj, zanim skończysz jak pan Piotr

———————————

Jak być bezpiecznym? Ekipa Samcika poleca najlepsze rozwiązania:

>>> Sprawdź hosting od Zenbox: Masz stronę internetową, e-sklep, prowadzisz bloga? Szukasz najlepszego na rynku hostingu? Sprawdź Zenbox, czyli hosting, któremu zaufało „Subiektywnie o finansach”. Po szczegóły zapraszam tutaj! A tutaj przeczytaj czym różni się porządny hosting od kiepskiego.

>>> Chcesz chronić swoją prywatność podczas przeglądania stron internetowych? Skorzystaj z VPN od firmy Surfshark. Bezpieczeństwo i dyskrecja w sieci level hard za rozsądną cenę. Przetestowane przez ekipę „Subiektywnie o finansach” i Homodigital, czyli subiektywnie o technologii. Sprawdź przed jakimi niebezpieczeństwami chroni cię VPN. Potrzebujesz więcej prywatności i bezpieczeństwa? Kliknij tutaj

zdjęcie tytułowe: Sigmund/Unsplash