Twoje hasło i login do bankowości internetowej wyciekły? A może zostały ujawnione oszustowi przy próbie logowania na fałszywej stronie? O dziwo nie
musisz panikować, jeśli masz wdrożoną dwustopniową weryfikację z użyciem klucza
zabezpieczającego. Takie rozwiązanie nie jest jednak jeszcze popularne w
bankach.
Dostęp do konta osobistego (i
innych produktów finansowych) przez internet to niewątpliwie duża wygoda. Jednocześnie
jest to również szansa dla oszustów, którzy nie ustępują w próbach kradzieży
danych. Po przejęciu loginu i hasła zmieniają numer telefonu do autoryzacji
transakcji, a prawdziwemu właścicielowi konta nie pozostaje nic innego jak
kontrakt z bankiem na infolinii lub w placówce. Inną metodą jest przejęcie
numeru karty płatniczej oraz numeru CVC. Również i w tym scenariuszu konieczne
będzie zastąpienie numeru telefonu właściciela na inny – ten w posiadaniu oszustów.
Skala oszustw nie słabnie
Na czyhających na nasze oszczędności
natrafić nie jest trudno. Czasami wysyłają SMS-y z prośbą o dopłatę do paczki,
podszywają się pod pracowników banków lub udają zainteresowanych sprzedawanym
przedmiotem na jednym z serwisów ogłoszeniowych bądź aukcyjnych. O nowych metodach
informują często same banki na swoich stronach internetowych. Jednym z przykładów
jest np. PKO
Bank Polski, który ostatnio ostrzegał przed plikami dołączanymi do e-maili z
potwierdzeniem wykonania przelewu.
Dzięki takim ostrzeżeniom klienci
mają szansę nauczyć się jak walczyć z popularnymi metodami oszustw w sieci.
Przestępcy stosują jednak coraz bardziej wyrafinowane „sztuczki” i bezwzględnie
drenują konta swoich ofiar. Zgodnie
z danymi Narodowego Banku Polskiego w ciągu pierwszych trzech kwartałów ubiegłego
roku oszuści wyprowadzili z kont blisko 300 mln zł. Według statystyk przytaczanych
przez prawników na stronie Stowarzyszenia Stop Bankowemu Bezprawiu w
całym 2024 roku straty klientów sięgały prawie 500 mln zł.
Jak chronić się przed utratą pieniędzy?
Łatwo powiedzieć, że należy być czujnym,
aby nie stracić swoich oszczędności. Jest w tym trochę prawdy, bo często sami
potwierdzamy transakcję zainicjowaną przez przestępców, oczekując, że jest to np.
potwierdzenie zleconej przez nas płatności. Może się okazać, że właśnie w tym
momencie zgodziliśmy się na zmianę numeru telefonu do autoryzacji.
Często wystarczy się tylko zastanowić,
czy faktycznie powinniśmy wpisywać takie dane jak np. login i hasło, jeśli
czekamy na przelew od kogoś innego. Szybkie tempo życia i wykonywanie czynności
„na pamięć” grają tutaj niestety na korzyść oszustów.
Jedną z podstawowych metod
zabezpieczenia konta jest zastosowanie weryfikacji dwuetapowej. Banki wysyłają
zazwyczaj SMS-a z kodem potwierdzającym, aby upewnić się, czy to faktycznie
właściciel konta chce się na nie zalogować lub wysłać pieniądze na inny rachunek. Inną opcją jest także wysyłanie
powiadomień w aplikacji mobilnej, w której konieczne jest wpisanie numeru PIN.
Do relatywnie nowych metod należy
również zastosowanie klucza zabezpieczającego.
Taką alternatywę oferują, póki co tylko trzy banki.
Klucz – fizyczne zabezpieczenie
Czym jest klucz zabezpieczeń?
To fizyczne urządzenie przypominające wyglądem pendrive’a. Można go zastosować
jako dodatkowe zabezpieczenie konta w banku, ale nie tylko. W zależności od obsługiwanych
protokołów uwierzytelniania, można nim autoryzować logowanie w banku, ale też
ochronić skrzynkę mailową, sejfy haseł czy nawet logowanie na swoje konto na
giełdach kryptowalut.
W największym skrócie – po
wpisaniu loginu i hasła bank wysyła prośbę o zatwierdzenie logowania kluczem
zabezpieczeń. W zależności od wyboru interfejsu (tj. USB-A, USB-C, złącza Lightning)
podpinamy się fizycznie lub przez NFC bądź Bluetooth do komputera, lub telefonu
i w ten sposób autoryzujemy transakcję. Brzmi to dość prosto, ale w rzeczywistości
wykorzystana jest tutaj kryptografia asymetryczna.
Dzięki zastosowaniu fizycznego
klucza przejęcie loginu i hasła do bankowości internetowej przez oszustów nie wystarczy
im do grabieży. Bez klucza nie jest możliwe zalogowanie się na rachunek, ponieważ
wymóg dwuetapowej weryfikacji nie zostanie spełniony. Jest to lepsze rozwiązanie
niż potwierdzenie SMS-em, ponieważ w przypadku kodu wysyłanego na numer
telefonu dane mogą zostać przejęte przez przestępców. W przypadku fizycznego
klucza nie jest to możliwe. Co więcej, klucz może udaremnić zalogowanie się
przez fałszywą stronę logowania, bowiem nie wykryje z nią połączenia, co
zaalarmuje użytkownika. Jest to dobre zabezpieczenie przed phishingiem.
Z uwagi na brak możliwości
zalogowania się na swoje konto po zgubieniu klucza z reguły poleca się posiadać
co najmniej dwie aktywne sztuki przechowywane w różnych miejscach.
Klucz zabezpieczeń w trzech bankach
Obecnie tylko trzy banki oferują
taką formę dwuskładnikowego uwierzytelnienia: Bank Pekao, ING Bank Śląski oraz
PKO Bank Polski.
Jako pierwszy z nich taką metodę
weryfikacji zastosował ING Bank Śląski
w lipcu 2023 r., a pierwsze
zapowiedzi pojawiły się w marcu 2023 r. Klucz można dodać do konta w bankowości
elektronicznej, ale aby go aktywować konieczna będzie wizyta w oddziale banku. Kolejne
klucze można dodawać już samodzielne po zalogowaniu się już z aktywnym kluczem.
Klucz można zastosować zarówno do logowania w serwisie internetowym (desktop), jak i aplikacji mobilnej. Klucze muszą być zgodne ze standardem FIDO2 z dowolnym
interfejsem, choć bank może w niektórych przypadkach dopuścić do wykorzystania
konkretnego rodzaju klucza z uwagi na bezpieczeństwo. Bank nie wymaga
posiadania dwóch kluczy, choć jest to rekomendowane. W przypadku zgubienia klucza
dostęp do konta można odzyskać na infolinii.
Klucz sprzętowy jest
wykorzystywany w PKO Banku Polskim od października 2024
r. W przeciwieństwie do ING Banku
Śląskiego klucz można samodzielnie dodać w bankowości elektronicznej i jest on
od razy aktywny. Obecnie rozwiązanie obejmuje serwis internetowy iPKO dostępny na
komputerach, smartfonach czy tabletach. Bank nie wyklucza jednak rozszerzenia o
aplikację mobilną w przyszłości. PKO Bank Polski obsługuje klucze od największego
producenta tego typu zabezpieczeń, czyli Yubico. Lista wspieranych urządzeń
jest dostępna na stronie internetowej banku. Nie ma wymogu posiadania dwóch
kluczy. W przyszłości bank będzie oferował wsparcie kilku kluczy bezpieczeństwa.
W przypadku utraty jedynego klucza można zmienić narzędzie weryfikacji
dwustopniowej na infolinii oraz usunąć klucz.
Niedługo później, bo w
listopadzie 2024 r. takie rozwiązanie pojawiło się Banku Pekao. Aby
klucz sprzętowy był aktywny, wystarczy dodać go w bankowości elektronicznej. Zabezpieczenie
obejmuje serwis internetowy banku. Nie ma wymogu posiadania dwóch sztuk, jednak
jest to rekomendowane. Jeśli klient utraci dostęp do konta przez zgubienie
klucza, należy udać się do placówki banku, aby wyłączyć logowanie
dwuskładnikowe. W przypadku posiadania dwóch kluczy, wystarczy zalogować się na
konto i usunąć utracony egzemplarz.
Aby otworzyć konto w Banku Pekao kliknij tutaj »
Klucze zabezpieczeń w bankach – podstawowe informacje | |||
|---|---|---|---|
Szczegóły | Bank Pekao | ING Bank Śląski | PKO Bank Polski |
zabezpieczenie serwisu internetowego | TAK | TAK | TAK |
zabezpieczenie aplikacji mobilnej | NIE | TAK | NIE |
wymagany standard kluczy | FIDO2 | FIDO2 | FIDO U2F/FIDO2 Klucze od Yubico |
wymóg posiadania dwóch kluczy | NIE | NIE | NIE |
odblokowanie dostępu po utracie jedynego klucza | oddział | infolinia | infolinia |
Źródło: Opracowanie własne na podstawie otrzymanych odpowiedzi od banków | |||
Plany na przyszłość
Powyższe informacje uzyskałam bezpośrednio
od banków, które wdrożyły już taką metodę zabezpieczeń. Pozostałe banki zapytałam
o to, czy mają w planach zaproponowanie klientom takiej alternatywy. Odpowiedzi na maila
otrzymałam łącznie od 10 instytucji. Spośród tych, którzy nie stosują kluczy
sprzętowych, tylko nieliczni potwierdzili, że wzięli taką możliwość na tapet.
Credit Agricole rozważa wprowadzenie tego rozwiązania w 2026 r.
Decyzja co do terminu nie została jeszcze podjęta. Bank przypomina jednak, że
jako jeden z nielicznych ma możliwość autoryzacji w serwisie internetowym tokenem
sprzętowym. Plany co do wprowadzenia tej metody autoryzacji ma również SGB-Bank. Uruchomienie tego rozwiązania
w bankowości elektronicznej powinno mieć miejsce w pierwszej połowie 2026 r.
Kolejnym bankiem, który bierze pod uwagę takie wdrożenie, jest Toyota Bank.
Publikacja zawiera linki afiliacyjne.
0 komentarzy