Bezpieczeństwo w bankowości elektronicznej
W ostatnich latach polska bankowość elektroniczna dynamicznie się
rozwija i zbliża się wachlarzem oferowanych usług i ich jakością do Europy
zachodniej. Banki poczyniły znaczne postępy w sprawności i wydajności
świadczonych usług. Bardzo istotną kwestią dla dalszego rozwoju bankowości
elektronicznej i jej szerokiego zastosowania jest bezpieczeństwo realizacji
transakcji. Wymusza to ciągłe doskonalenie metod zabezpieczenia dokonywanych
transakcji, a coraz nowsze technologie są równocześnie zbawieniem jak i zagrożeniem
dla dzisiejszej bankowości.
Fakt, że
wiele nowych zagrożeń bezpieczeństwa powstało wraz z pojawieniem się
elektronicznych kanałów dystrybucji usług bankowych sprawia, że wielu klientów
jest nieufnych w stosunku do nowych technologii. System bankowości elektronicznej jest bezpieczny, kiedy podstawowe
czynniki bezpieczeństwa są spełnione zarówno przez bank, jak i przez jego
klientów.
Wawrzyniak wyróżnia następujące cechy
bezpieczeństwa bankowości elektronicznej [Wawrzyniak 2004]:
·
poufność –
dostęp do systemu tylko dla osób do tego uprawnionych,
·
integralność
– przesyłane dane nie mogą zostać zmodyfikowane w czasie dokonywania
transakcji,
·
autentyczność
– możliwość stwierdzenia prawdziwości
osób podpisanych pod dokonaną transakcją,
·
niezaprzeczalność
- brak możliwości zaprzeczenia odebrania lub nadania określonego komunikatu
drogą elektroniczną,
·
niezawodność
- poprawne działanie systemu,
·
dostępność
- ciągły dostęp do systemu bankowości elektronicznej.
W
bankowości elektronicznej występują różne rodzaje jej zagrożeń bezpieczeństwa
zależnie od danego kanału komunikacji. Poniżej zostaną przedstawione główne
zagrożenia kanałów dystrybucji bankowości elektronicznej, oraz sposoby ich
niwelowania według raportu Komisji Nadzoru Finansowego.
Bezpieczeństwo w
bankowości internetowej i dedykowanej bankowości komputerowej. Charakterystyczną
cechą transakcji internetowych jest proces ich autoryzacji. Przy operacjach
wykonywanych w oddziałach banku identyfikuje się tożsamość klienta zlecającego
transakcje natomiast w bankowości internetowej sprawdza się zgodność
wprowadzonych do systemu kodów autoryzacyjnych Poufność haseł dostępu i
bezpieczeństwo narzędzi służących do ich generowania jest zatem głównym
elementem bezpieczeństwa transakcji internetowych.
„Główne metody zapewniające
bezpieczeństwo transakcji internetowych to:
·
szyfrowana
transmisja danych - realizowana z wykorzystaniem protokołu SSL,
·
proste
uwierzytelnianie (identyfikator, hasło, PIN),
·
silne
uwierzytelnianie (np. token, certyfikat użytkownika, klucz prywatny),
·
kwalifikowany
podpis elektroniczny.” [Raport Bankowości Elektronicznej 2010]
Poniżej zostaną przedstawione główne zagrożenia, na
które narażony jest klient bankowości internetowej łącznie ze sposobami na ich
uniknięcie Zagrożenia wymienione są w kolejności od największego
prawdopodobieństwa ich wystąpienia i potencjalnych strat finansowych, które
mogą spowodować.
·
Kradzież
dokumentów tożsamości klienta. Dotyczy podszywanie się pod właściciela
rachunku za pomocą skradzionych lub podrobionych dokumentów tożsamości, a
następnie wyłudzenia od pracownika banku danych autoryzacyjnych pozwalających
na pełną kontrole rachunku bankowego. Zabezpieczenie się przed tego typu
działaniem przestępczym to szczególna ochrona swoich dokumentów tożsamości, a w
przypadku ich zaginięcia niezwłoczny kontakt z bankiem w celu ich zastrzeżenia.
·
Bezpośrednia kradzież haseł i narzędzi
(telefon komórkowy, karta TAN, token itp.), które służą do autoryzacji dostępu
do rachunku bankowego i przeprowadzania na nim transakcji internetowych.
Podstawowy błąd użytkowników to zapisywanie w formie jawnej
loginów i haseł, które następnie wykorzystuje przestępca. Najlepszą ochroną jest w tym przypadku
bezpiecznie przechowywanie danych dostępu do rachunku, a w razie podejrzeń ich
przechwycenia jak najszybsza zmiana tych danych. Kiedy nośnik autoryzujący
transakcje (np. telefon komórkowy) zostanie skradziony powinno się o tym
powiadomić daną sieć komórkową o dezaktywację karty SIM jak i zablokować
rachunek w banku.
· Pishing
jest to zdalne wyłudzanie informacji autoryzacyjnych, które może przybierać
różne formy:
- listu elektronicznego wysłanego
rzekomo przez bank z prośbą o podanie danych,
- przekierowanie do fałszywej strony
banku, wyglądającej identycznie jak oryginalny serwis internetowy naszego
banku,
- telefonu do klienta banku od
podszywającej się osoby za pracownika tego banku.
Najlepszą
ochroną przed tego typu działaniami jest nieodpowiadanie na tego typu
zapytania, a wszelkie ich próby niezwłocznie zgłaszać bankowi. Korespondencje
elektroniczne banku powinny być prowadzone przez portal internetowy banku. Istnieją także bardziej specjalistycznych
metod hakerów np. metoda Man In the
Browser polegająca na złośliwym modyfikowaniu kodu przeglądarki WWW podczas
korzystania z internetowego systemu transakcyjnego banku. Najlepszym lekarstwem
na tego typu działania jest aktualne oprogramowanie antywirusowe naszego
komputera jak i bieżąca aktualizacja przeglądarki internetowej.
·
Pomyłki w zleceniach płatniczych
(wychodzących) popełnianych przez klientów bankowości internetowej. W przypadku
stwierdzenia błędnego wprowadzenia numeru rachunku kontrahenta, należy jak
najszybciej skontaktować się z bankiem w celu anulowania transakcji (jest to
tylko możliwe, jeśli transakcja nie została jeszcze zrealizowana).
Najłatwiejszym rozwiązaniem jest zdefiniowane najczęstszych odbiorców naszych
przelewów, a przy wpisywaniu ich numeru rachunku bankowego zachować szczególną
uwagę.
·
Zdalna kradzież kodów i haseł
jednorazowych dotyczy przestępstwa przechwycenia danych autoryzacji dostępu do
rachunku bankowego z dysku komputera klienta banku. Zazwyczaj są do tego
wykorzystywane programy hackerskie (wirusy i keyloggery), które pozwalają skopiować dane z dysku komputera lub
zarejestrować wystukiwane na klawiaturze sekwencje znaków wykorzystywane przy
logowaniu się do serwisu internetowego banku. Główną zasadą zabezpieczenia się
przed tego typu kradzieżą to nieprzechowywanie poufnych danych na dysku
komputera, a także: aktualna przeglądarka internetowa i oprogramowanie
antywirusowe, aktywny firewall (zaporę sieciową) oraz korzystanie z haseł
jednorazowych. [Usługi bankowości elektronicznej dla klientów detalicznych.
Charakterystyka i zagrożenia 2010]
Ciekawy raport na temat
bezpieczeństwa w bankowości internetowej przygotował portal finansowy
Bankier.pl. Raport sporządzony został pod koniec 2009 roku, a metodologia
wykorzystywana przy opracowaniu raportu wyglądała następująco:
·
„Pod uwagę zostały wzięte zabezpieczenia
wykorzystane wyłącznie przy kontach dla klientów indywidualnych.
·
Analizie poddane zostały wszystkie banki
komercyjne oraz pięć największych banków spółdzielczych i system dostępny dla
klientów SKOK-ów.
·
Do rankingu brane były pełne,
występujące w danym banku metody zabezpieczeń, często stanowiące kompozycję
kilku mechanizmów np. hasło statyczne wsparte dodatkowym identyfikatorem lub
token sprzętowy wsparty PINem oraz hasłem statycznym.
·
Analizowano tylko najlepsze metody
zabezpieczeń dostępne w danym banku i możliwe do wykorzystania za-równo przy
logowaniu jak i potwierdzaniu transakcji.
·
Badano metody zabezpieczające proces
logowania oraz proces autoryzacji transakcji aktywnych.
·
Każda z metod uzyskała odpowiednią
liczbę punktów w skali od 1 do 10.
·
Punktacja zależała przede wszystkim od
ochrony przed najpopularniejszymi obecnie atakami.” [www.prnews.pl]
Tabela 1.
Ranking najbezpieczniejszych banków w Polsce oferujących bankowość internetową
|
Miejsce
|
Nazwa
banku
|
Suma
punktów
|
|
1
|
Euro Bank S.A.
|
33,5
|
|
2
|
BNP Paribas
Fortis S.A.
|
29
|
|
3
|
Raiffeisen Bank Polska S.A.
|
28,5
|
|
3
|
Bank Zachodni WBK S.A.
|
28,5
|
|
4
|
Alior Bank S.A.
|
26
|
|
5
|
Millennium Bank S.A.
|
25,5
|
|
5
|
Konto Xelion
|
25,5
|
|
5
|
Bank Pekao S.A.
|
25,5
|
|
6
|
MultiBank
(BRE Bank S.A.)
|
25
|
|
6
|
mBank (BRE Bank S.A.)
|
25
|
|
6
|
Krakowski Bank Spółdzielczy
|
25
|
|
6
|
ING Bank Śląski S.A.
|
25
|
|
6
|
Bank Ochrony Środowiska S.A.
|
25
|
|
6
|
Bank Handlowy w Warszawie S.A.
|
25
|
|
6
|
Allianz Bank S.A.
|
25
|
|
7
|
Nordea Bank Polska S.A.
|
24
|
|
8
|
Bank BPH S.A.
|
21
|
|
9
|
Bank Gospodarki Żywnościowej S.A.
|
20,5
|
|
10
|
Volkswagen Bank Polska S.A.
|
18
|
|
10
|
Toyota Bank Polska S.A.
|
18
|
|
10
|
Podkarpacki Bank Spółdzielczy w Sanoku
|
18
|
|
10
|
Lukas Bank S.A.
|
18
|
|
10
|
Gospodarczy Bank Wielkopolski
|
18
|
|
10
|
Bank Polskiej Spółdzielczości
|
18
|
|
11
|
HSBC Polska S.A.
|
17
|
|
12
|
Polbank EFG
(Euro Bank Ergasis S.A.)
|
16
|
|
12
|
Kredyt Bank S.A.
|
16
|
|
12
|
Invest-Bank S.A.
|
16
|
|
13
|
Mazowiecki Bank Regionalny w Warszawie
|
12
|
|
14
|
PKO BP S.A.
|
7
|
|
14
|
Inteligo (PKO Bank Polski S.A.)
|
7
|
|
14
|
Getin Bank S.A.
|
7
|
|
14
|
eskok.pl
|
7
|
|
14
|
DnB NORD Polska S.A.
|
7
|
|
14
|
Deutsche
Bank PBC S.A.
|
7
|
|
14
|
Bank Pocztowy S.A.
|
7
|
Źródło: Opracowanie własne na podstawie
raportu: Bezpieczeństwo w bankowości
internetowej,.
Bezpieczeństwo w bankowości
terminalowej. Pomimo
postępu technologicznego użytkowanie kart wciąż wiąże się z pewnymi
zagrożeniami, których nie da się całkowicie wyeliminować. Stan bezpieczeństwa
operacji dokonywanych kartami płatniczymi jest jednak poważnie zniekształcony
przez częste medialne doniesienia (np. o grupach przestępczych kopiujących
karty i wypłacających duże pieniądze). Kradzież karty płatniczej daje znacznie
większe szanse na odzyskanie pieniędzy niż utrata przy utracie gotówki.
Nieuprawnione użycie karty jest mniej ryzykowne także dlatego, że transakcje z
użyciem kart są monitorowane przez banki, co więcej w każdej chwili karta
płatnicza może zostać dezaktywowana.
·
Największym
zagrożeniem dla użytkowników kart z paskiem magnetycznym jest skimming. Przestępstwo to polega na
nieuprawnionym skopiowana danych z paska magnetycznego karty płatniczej, a
następnie wykorzystaniu ich do płacenia za towary i usługi bez wiedzy
właściciela karty. Skopiowana poprzez zeskanowanie karta zachowuje się dla
systemów banku jak oryginał, dlatego banki stale monitorują transakcje
wykonywane kartami płatniczymi swoich klientów poprzez specjalne algorytmy. W
razie nietypowych płatności pracownik banku zostaje o tym zasygnalizowany i
podejmuje odpowiednie kroki ku zweryfikowaniu tych operacji, najczęściej poprzez
kontakt telefoniczny z właścicielem karty. Najczęściej karty są skanowane
poprzez specjalne czytniki zainstalowane przez przestępców w bankomatach,
łącznie z mini kamerą rejestrującą wklepywany kod PIN. Bezpieczniejsze jest
używanie kart wyposażonych tylko w mikroprocesor, jednak jest to niepraktyczne
ze względu na małą ilość bankomatów obsługujących takie karty w Polsce.
·
Skopiowanie
danych z karty wypukłej, która pozwala na dokonywanie płatności na odległość.
Jej dużą wadą są wybite na na powierzchni karty dane, które często wystarczają
do przeprowadzenia transakcji przez Internet, dlatego już samo
nieuprawnione sfotografowanie jej może
skutkować jej użyciem bez wiedzy właściciela. W przypadku płacenia kartą przez
Internet należy zwrócić uwagę na zabezpieczenie komputera (oprogramowanie
antywirusowe, firewall), oraz szyfrowanie transmisji danych z kontrahentem.
·
Pishing, czyli zjawisko wyłudzania
poufnych danych osobistych, a w tym przypadku informacji o karcie płatniczej
klienta banku. Najczęściej poprzez podszywanie się za godną zaufania instytucję
lub osobę.
·
Utrata
karty bezstykowej (zbliżeniowej) paypass. Od roku 2009 na polskim rynku jest
dostępna usługa oferowana przez banki polegająca na płatności kartą płatniczą
do 50zł bez potrzeby wpisywania kodu PIN lub potwierdzania transakcji podpisem.
Jest to tzw. technologia bezstykowa, ponieważ jedyną czynność jaką musi wykonać
klient by zapłacić za towary lub usługi to przyłożenie karty do terminala. Ta
wygoda sprawia jednak, że w przypadku jej zgubienia osoba niepowołana może w
łatwy sposób dokonywać zakupów bez naszego uprawnienia (do kwoty wyznaczonego
limitu). Dodatkowym zmartwieniem są nowe technologie w posiadaniu przestępców,
które pozwalają odczytać z takich kart poufne dane (zjawisko to dotyczy USA).
Bezpieczeństwo w bankowości telefonicznej. Najważniejszą
zasadą bezpieczeństwa w bankowości telefonicznej jest używanie oficjalnych
numerów telefonów, które są dostępne m.in. na stronach internetowych banków
oraz na wizytówkach i ulotkach banku uzyskanych w jego placówce.
Najnowsza i najniebezpieczniejsza forma oszustwa w
bankowości telefonicznej to tzw. VISHING.
Pierwszy raz została ujawniona w USA w 2006 roku. Metoda ta polega na
kontakcie telefonicznym z klientem banku w którym lektor informuje o zmyślonych
nieprawidłowościach z autoryzacją transakcji, problemach z dostępem do rachunku
lub blokadą karty. Na koniec nagrany głos podaje fałszywy numer infolinii w
celu rozwiązania tych problemów, którą obsługuje przestępca wyłudzający od
klientów poufne dane (numer karty, PIN do karty, login i hasło do rachunku bankowego
itp.). Uzyskane dane pozwalają na pełny dostęp do środków oszukanego klienta.
Podstawową zasadą uchronienia się przed tego typu
oszustami to niepodawanie osobom trzecim naszego hasła (PINu, do strony
internetowej na którym mamy konto bankowe, do karty kredytowej i innych).
Należy pamiętać, że żaden doradca bankowy ani automatyczny serwis telefoniczny
nie może żądać od klienta takich danych. Jedynym wyjątkiem są hasła ustanowione
w obecności pracownika banku służące do bezpośredniego kontaktu telefonicznego
z bankiem.
W razie wątpliwości czy pracownik banku z którym
rozmawiamy nie jest oszustem, wystarczy poprosić o jego nazwisko oraz
ogólnodostępny numer pod którym można się z nim ponownie skontaktować.
Należy unikać rozmów z pracownikami banku w miejscach
publicznych, gdyż istnieje ryzyko podsłuchania informacji przez osoby
niepowołane (brak poufności przekazywania danych).
Bezpieczeństwo w
bankowości mobilnej. Wraz z postępem technologicznym mobilne urządzenia coraz bardziej
przypominają komputery w zminimalizowanej wersji. Łączy się to nie tylko z
wygodą i wieloma przydatnymi funkcjami, ale również z większą ilością zagrożeń
dla naszego rachunku bankowego.
„Krytycznym czynnikiem decydującym o bezpieczeństwie
korzystania z usług bankowości mobilnej jest spełnienie minimalnych wymagań
dotyczących zabezpieczenia wykorzystywanego telefonu komórkowego oraz praktyki
jego stosowania.” [www.moblinybank.pl (25.08.2011)]
Coraz większym problemem w
bankowości przenośnej, szczególnie dla użytkowników tzw. inteligentnych
telefonów (smart fonów) staje się złośliwe oprogramowanie (wirusy, programy
szpiegujące itp.). Zainstalowanie programów antymalware
(antywirus w wersji na telefon) jest już czynnością niezbędną dla bezpiecznego
korzystania z bankowości mobilnej.
Złośliwe oprogramowanie na telefony nie jest jeszcze
tak powszechne jak w przypadku komputerów. Niestety jednak, utrzymuje ono
tendencję wzrostową, a zagrożenie jakie za sobą niesie ma taki sam charakter
jak w przypadku wirusów komputerowych.
Najlepszym rozwiązaniem na uniknięcie styczności z tego typem
oprogramowania na własnym inteligentnym telefonie jest stosowanie sprawdzonego
oprogramowania podpisanego cyfrowo przez dostawcę. Pozwala to na sprawdzenie
wiarygodności programu jak i uzyskanie informacji na wszelkie zmiany
wprowadzone w programie od jego zakupu.
Podstawą sprawnego
działania sektora usług bankowych jest zaufanie klientów, że środkami
finansowymi, które powierzyli bankowi nie będzie mógł dysponować nikt
nieupoważniony. Bezpieczeństwo bankowości elektronicznej wiąże się z
koniecznością spełnienia przez banki wymogu wyeliminowania zagrożeń powstałych
wraz z pojawieniem się elektronicznych kanałów dystrybucji usług bankowych, ale
również poprzez stosowanie przez jej klientów podstawowych zasad bezpieczeństwa
i współprace z bankiem. [Lasowski 2008]
