Zmiany w bankach mające zwiększyć bezpieczeństwo okazją dla… hakerów

Zapisy unijnej dyrektywy, które mają zwiększyć konkurencję i bezpieczeństwo w bankowości mogą wykorzystać oszuści i hakerzy żerujący na niewiedzy użytkowników.

Rozwój bankowości internetowej przynosi klientom sporo korzyści, znacząco ułatwiając wykonywanie transakcji i zarządzanie finansami, które teraz możliwe są sprzed ekranu komputera lub nawet smartfona, bez konieczności ruszania się z domu. Jednak cyfrowy postęp oznacza też pojawienie się nowych cyfrowych zagrożeń.

Okazja dla hakerów

Zdalna bankowość jest już powszechna – w czerwcu klientów korzystających aktywnie z bankowości internetowej było w Polsce 18,1 mln, a mobilnej już 9,5 mln. To rekordowe poziomy – wynika z raportu NetBank opracowanego przez Związek Banków Polskich.

CZYTAJ TAKŻE: Największy wyciek danych w rosyjskiej bankowości. Ofiarą Sbierbank

Milowym krokiem na drodze do rozwoju bankowości internetowej może okazać się wdrożona w połowie września unijna dyrektywa PSD2, mająca otworzyć ten sektor na firmy inne niż banki (tzw. TPP), czyli głównie fintechy, zwiększając jednocześnie konkurencję w płatnościach i ofercie zarządzania finansami. Dyrektywa ma także zwiększyć bezpieczeństwo klientów, ale paradoksalnie jej wdrożenie może być początkowo okazją dla hakerów i oszustów.

Chodzi o nowe wymogi niesione przez PSD2 w zakresie tzw. silnego uwierzytelniania (SCA). To potwierdzenie tożsamości klienta przez zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik, np. hasło, PIN), posiadanie (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, co charakteryzuje wyłącznie użytkownika, odcisk palca, skan oka lub twarzy). Muszą być niezależne od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Teraz podajemy login oraz hasło i o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków SCA.

CZYTAJ TAKŻE: Koniec dyktatu banków. Zyskają groźnych konkurentów

Dlatego banki dodają kolejne zabezpieczenia i żądają np. dodatkowego potwierdzenia wysyłaniem SMS. Także metody autoryzacji dla transakcji elektronicznych powinny łączyć transakcję z określoną kwotą i odbiorcą, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy. Banki wysyłają klientom informacje o tych zmianach. Rzecznik finansowy i Komisja Nadzoru Finansowego ostrzegają, że to może być okazja dla przestępców podszywających się pod banki, którzy mogą żądać od klientów podania danych potrzebnych do logowania na specjalnie stworzonych fałszywych stronach przypominających serwisy bankowe.

w czerwcu klientów korzystających aktywnie z bankowości internetowej było w Polsce 18,1 mln, a mobilnej już 9,5 mln

– Należy zachować ostrożność i pod żadnym pozorem nie odpowiadać na mejle z takim żądaniem. Szczególnie jeśli jesteśmy w nich proszeni o zalogowanie się do naszego konta przy pomocy linku zamieszczonego w mejlu – przestrzega Izabela Dąbrowska-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w Biurze Rzecznika Finansowego. Podobne ostrzeżenie wydał PKO BP, największy bank w Polsce obsługujący ponad 10,2 mln klientów indywidualnych. Przestępcy dzwonili do użytkowników, udając pracowników banku, i sugerowali zainstalowanie specjalnego oprogramowania w związku z wejściem w życie dyrektywy PSD. Pozornie miało to służyć autoryzacji transakcji, a naprawdę mogło wyłudzać dane logowania i kody autoryzacyjne. W takiej sytuacji nie należy podawać żadnych danych czy zgadzać się na przesłanie oprogramowania.

Logowanie poza bankiem?

PSD2 otworzyło bankowość w ten sposób, że podmioty trzecie będą mogły świadczyć dodatkowe usługi dla klientów banków na innych witrynach niż bankowa. To pozornie stoi w sprzeczności z podtrzymywanym przez lata apelem bankowców, aby klienci nie logowali się na innych witrynach. Powoduje zamieszanie i okazję dla cyberprzestępców.

Jak to ma działać? – Aby podmiot trzeci mógł świadczyć swoją usługę, klient musi chcieć z tej usługi skorzystać. Nie jest tak, że podmioty te same, bez wiedzy klienta będą mogły inicjować dostęp, a następnie tylko pytać klienta o zgodę. Najpierw klient musi świadomie wybrać usługę AIS (chcieć skorzystać z przekazania mu informacji o jego rachunku płatniczym) lub PIS (chcieć skorzystać z tej formy płatności), a następnie wyrazić zgodę na jej świadczenie – w sposób przewidziany przez dostawcę – wyjaśnia Jacek Barszczewski, rzecznik KNF.

CZYTAJ TAKŻE: Zaskakujący wynik rankingu. Najszybsi i najskuteczniejsi hakerzy

Dodaje, że u zdecydowanej większości polskich dostawców usługi rachunku płatniczego (banków) wprowadzono rozwiązania wykluczające możliwość samodzielnego logowania się przez podmioty trzecie za pomocą danych dostępowych klienta.

– W ramach korzystania z usługi TPP klient będzie przekierowywany do tzw. bezpiecznego środowiska, w którym poda login i hasła dostępowe. Nie dojdzie więc do naruszenia zasady niedzielenia się z innymi podmiotami danymi dostępowymi – podkreśla Barszczewski.

Czym jest to „bezpieczne środowisko”? Chodzi o to, że klient nie będzie podawał swoich danych dostępowych za pośrednictwem strony TPP, czyli w sposób, poprzez który mogłyby one zostać ujawnione. Nastąpi przekierowanie do specjalnego, niezależnego od TPP interfejsu dostępowego wystawionego przez bank, za pośrednictwem którego TPP się uwierzytelni specjalnym certyfikatem, klient się zaloguje, a następnie TPP otrzyma dane od banku.