- _ W Polsce zabezpieczenia w bankowości internetowej należą do najlepszych na świecie. Bo od razu nasze banki startowały z dwustopniową autoryzacją. Przy logowaniu do serwisu i później przy potwierdzaniu transakcji _ - podkreśla Michał Macierzyński, dyrektor ds. innowacji w PKO BP
Najpopularniejszym i najstarszym sposobem autoryzacji są hasła jednorazowe, czyli tzw. tany (ang. Transaction Authorisation Number). Przy każdej transakcji klient jest proszony o podanie hasła z zawierającej z reguły kilkadziesiąt haseł karty, która może mieć np. formę zdrapki.
- _ Na rynku funkcjonują też karty typu macierz, gdzie kod buduje się z wartości umieszczonych w różnych polach. Teoretycznie są one bezpieczniejsze od kart z kodami wydrukowanymi po kolei, od nieświadomego użytkownika cyberprzestępca łatwo jednak może wyłudzić zarówno kilka następujących po sobie kodów, jak i całą macierz. Metoda ta nie jest również odporna na ataki man-in-the-middle i man-in-the-browser - _ czytamy w raporcie _ Dziennika Internautów _ na temat zabezpieczeń oferowanych przez polskie banki.
Rodzaje ataków cyberprzestępców
| W przypadku ataku man-in-the-middle przestępca posługuje się przechwyconymi danymi w czasie rzeczywistym. Gdy ofiara po zalogowaniu się na sfałszowanej stronie zleca wykonanie jakiejś operacji, oszust– korzystając z wprowadzonych przez nią danych – loguje się do prawdziwego serwisu transakcyjnego i przelewa jej środki na własny rachunek. Z atakiem man-in-the-browser mamy do czynienia, kiedy za podsłuch i podmianę danych odpowiedzialne jest złośliwe oprogramowanie, które cyberprzestępcy udało się zainstalować na komputerze ofiary. źródło: Dziennik Internautów |
| --- |
Od pewnego czasu dynamicznie rozwija się metoda weryfikacji za pomocą haseł SMS-owych. Takie rozwiązanie stosuje już kilkanaście banków. Hasła są generowane i wysyłane do klienta dopiero w momencie dokonywania transakcji. - _ Przed wpisaniem kodu, przy potwierdzeniu transakcji, użytkownik powinien sprawdzić, czy opis transakcji przysłany wraz z kodem SMS odpowiada wykonywanej transakcji _ - tłumaczy Wojciech Mikołajczyk z eurobanku.
Najsłabiej rozpowszechniona jest możliwość autoryzacji za pośrednictwem tokena. Niewielkie urządzenie elektroniczne generuje kody służące do uwierzytelniania transakcji. Czas ważności kodu wygenerowanego przez token jest zazwyczaj ograniczony. Np. do jednej minuty. Po jej upływie użytkownik musi wygenerować kolejne hasło.
Najnowsza generacja czyli token GSM to aplikacja telefoniczna, która generuje hasła jednorazowe na podstawie wprowadzanego ręcznie kodu transakcji. W swojej ofercie mają go: eurobank, Pekao SA i Inteligo.
Bezpieczeństwo zależy od nas samych
Który ze sposobów jest najbezpieczniejszy? _ - Nie da się tego jednoznacznie stwierdzić. Teoretycznie najbezpieczniejszy jest token. Karta kodów jednorazowych uważana jest za najmniej bezpieczną. Ale każde z tych zabezpieczeń jest skuteczne _- podkreśla Michał Sadrak z Open Finance.
- Każde zabezpieczenie da się obejść. Najsłabszym ogniwem łańcucha zabezpieczeń zawsze jest klient. Jego ostrożność jest gwarancją tego, że osoby niepowołane nie uzyskają dostępu do poufnych informacji - dodaje ekspert PKO BP.
Eksperci podkreślają, że wadą kart kodów jednorazowych jest to, że nie są one generowanie automatycznie. Przestępcy wykorzystywali to stosując tzw. phishing. Podszywali się pod banki i wysyłali e-maile - często przekierowujące na strony bliźniaczo podobne do witryn banków - z prośbą o podanie kilku kodów z karty.
Ostatnio okazało się, że także hasła SMS znalazły się na celowniku cyberprzestępców. Klienci kilku polskich banków otrzymywali prośbę o podanie danych dotyczących telefonu. Tłumaczono ją potrzebą zwiększenia bezpieczeństwa. Klient po podaniu danych otrzymuje SMS z linkiem do pobrania nowego certyfikatu bezpieczeństwa, który w rzeczywistości jest złośliwą aplikacją, która monitoruje przychodzące SMS-y i uruchamia tylne wejście (backdoor) pozwalające na zarządzanie telefonem klienta, poprzez SMS-y cyberprzestępcy.
Banki zareagowały jednak natychmiast i ostrzegały klientów o potencjalnie grożącym im niebezpieczeństwie. Bankierzy podkreślają, że m.in. dzięki temu nikt nie był poszkodowany i przypominają, by zawsze zachowywać wzmożoną ostrożność i pamiętać, że banki nigdy nie proszą o instalowanie żadnego oprogramowania na telefonach, przy pomocy których autoryzowane są transakcje.