Subiektywnie o finansach

Blog Macieja Samcika, długoletniego dziennikarza ekonomicznego Gazety Wyborczej . O finansach małych i dużych. Mnóstwo ciekawostek na temat pieniędzy. Wiadomości ważne dla domowego budżetu. Porady finansowe i recenzje reklam instytucji finansowych.

Wpis

wtorek, 06 grudnia 2016

Rewolucja? W mBanku wprowadzają nowy sposób autoryzowania przelewów. Ja już go używam i...

To ostatnio jeden z moich największych strachów przy korzystaniu z nowoczesnej bankowości: jak zabezpieczyć się przed przechwyceniem przez złodzieja SMS-a autoryzacyjnego? Do niedawna wystarczyło, że nikomu nie ujawniam loginu i hasła do bankowości internetowej oraz dokładnie przeczytam każdego SMS-a autoryzacyjnego, który przychodzi z banku, gdy zlecam przelew. Nawet jeśli złodziej jakimś cudem pozna mój login oraz hasło, dostanie się na moje konto i równolegle ze mną zleci "swój" przelew, to i tak polegnie jeśli uważnie czytam SMS-a autoryzacyjnego. Jeśli mam na komputerze wirusa, który podmienia "w locie" numer konta docelowego - bandzior też polegnie przy autoryzacji. Bank w SMS-ie autoryzacyjnym odeśle pierwsze i ostatnie cyfry numeru konta odbiorcy, który dotarł na jego serwery. Czytając uważnie owego SMS-a dowiem się o podstępie.

Niestety, święty spokój zniknął, gdy pojawiły się wirusy mobilne "podglądające" SMS-y autoryzacyjne i przesyłające je do złodziei. Jeśli zły człowiek dowie się jaki mam login i hasło do konta internetowego oraz na jaki numer telefonu przychodzą SMS-y autoryzacyjne, to zapewne spróbuje na ten telefon wprowadzić wirusa za pomocą jakiejś "lewej" aktualizacji albo tzw. malwertisingu. Wystarczy, że nieuważnie kliknę fałszywy komunikat wyświetlający się na smartfonie (np. "twój smartfon jest zagrożony, natychmiast zaktualizuj oprogramowanie antywirusowe!") i... już jest po mnie. Złodziej sam dostanie się na moje konto, sam zleci przelew na swoje konto i sam go sobie autoryzuje, przechwytując SMS-a z banku. Takie przypadki już się niestety dzieją. Wymagają co prawda pewnej nieostrożności ze strony ofiary - musi ona dać się nabrać na phishing i podać przez internet login, hasło oraz numer telefonu, a potem zgodzić się na wpuszczenie wirusa na ten telefon, klikając jakiś "lewy" link - ale naiwnych nie sieją.

Uwaga! Tak internetowi złodzieje kradną nam pieniądze. Sześć opowieści z morałem

Czytaj też: Kradną SMS-y autoryzacyjne, podmieniają numery kont. Oto triki e-złodziei!

Ważne: To wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy najmniej się spodziewasz

Ale być może nadchodzi rewolucja, która prawdopodobnie wprowadzi polską bankowość internetową na wyższy poziom bezpieczeństwa. To nowy sposób zatwierdzania transakcji, omijający w ogóle SMS-y autoryzacyjne! Jako pierwszy w Polsce - i jeden z pierwszych na świecie - wprowadzi tę nowinkę technologiczną mBank, który w przeszłości miał mnóstwo problemów ze złodziejami okradającymi jego klientów. Na czym ma polegać autoryzacja transakcji w nowym modelu? Otóż klientowi zlecającemu transakcję bank będzie wysyłał, zamiast SMS-a autoryzacyjnego, jedynie powiadomienie push, które pojawi się na ekranie jego smartfonu. A klient będzie autoryzował transakcję logując się do aplikacji mobilnej banku i podając PIN do niej. Różnica w bezpieczeństwie polega na tym, że aby ukraść komuś pieniądze złodziej musiałby nie tylko znać login i hasło internetowe klienta, ale też mieć w ręku jego telefon. Dziś wystarczy, że umie przejąć SMS-a autoryzacyjnego.

Jestem w gronie szczęśliwców, którzy już mogą testować nowe rozwiązanie w ramach pilotażu, ale wiem, że pewna część z Was również dostała taką propozycję. Ja aktywowałem możliwość mobilnej autoryzacji przelewów klikając przesłany z banku link - prowadził on do specjalnego miejsca w serwisie wnioskowym - a potem aktualizując aplikację mobilną mBanku w swoim w smartfonie do najnowszej wersji. Podobno na początku przyszłego roku nie trzeba będzie w ogóle nic aktywować, a mobilne autoryzowanie przelewów będzie jedną z pełnoprawnych opcji dla użytkowników aplikacji mobilnej mBanku. To dobra wiadomość, bo wygląda na to, że nowe rozwiązanie rzeczywiście zmniejszy ryzyko kradzieży pieniędzy z konta w dobie wszechogarniającej nas fali wirusów na smartfony. Spoglądając nieco w przyszłość widzę, że autoryzację trzeba będzie przeprowadzić nie tylko z określonego urządzenia-smartfona (zarejestrowanego w banku), ale jeszcze zapewne zacznie ona funkcjonować w oparciu o biometrię, a nie o PIN.

Na razie - to wniosek na podstawie krótkich testów, które wykonałem - nowy sposób autoryzowania transakcji nie wykorzystuje możliwości biometrii. A szkoda. Mimo, że mam smartfona, do którego loguję się odciskiem palca, jak również w ten sam sposób wchodzę do aplikacji mobilnej mBanku, to samą transakcję w nowym modelu mogę autoryzować wyłącznie PIN-em, nie zaś odciskiem palca. Być może to kwestia fazy testowej, a być może braku zaufania programistów mBanku do biometrii (choć nie bardzo rozumiem dlaczego mają większe zaufanie do statycznego PIN-u ;-)). Zakładam, że docelowo nie będzie przeszkód, by potwierdzenie przelewu zleconego przez internet następowało poprzez zwykłe przyłożenie mojego palca do czytnika w smartfonie, odczytanie cech mojego głosu, albo poprzez weryfikację mojej sylwetki lub rysów twarzy (w każdym smartfonie jest przecież kamera wysokiej rozdzielczości).

Czytaj też: Bank pomaga klientom w walce z e-złodziejami. Instaluje im... to!

Zobacz również: Przełom w sprawie kradzieży naszych pieniędzy? Sąd bezlitosny dla banku. "Powinniście zabezpieczyć klienta...."

Horror! Wchodzisz do banku przez smartfona? Oni to przetestowali. Dziura na dziurze!

Wady tego rozwiązania? Widzę trzy. Pierwsza dotyczy konieczności posiadania aplikacji mobilnej banku. Być może duża część klientów mBanku i tak ma ją w swoich smartfonach, ale przecież nie każdy musi być miłośnikiem "noszenia banku w kieszeni". Owszem, bankowość mobilna jest wygodna i nie musi służyć już tylko do oglądania salda rachunku - coraz więcej jest sposobów, dzięki którym możemy płacić telefonem za zakupy i wypłacać nim pieniądze z bankomatu - ale ma też dziury. Znam mnóstwo osób, które odgrażają się, że banku w smartfonie mieć nie chcą, bo "plusy ujemne" tego sposobu bankowania są zbyt duże. Jeśli logowanie do aplikacji mobilnej następuje za pomocą statycznego, krótkiego PIN-u, zaś paleta transakcji (i ich limity kwotowe), których można dokonać przez smartfona jest niewiele mniejsza, niż to, co mogę w banku zrobić przez internet (podając długi login i skomplikowane hasło), to smartfonowy dostęp do konta rzeczywiście może przynieść więcej strat, niż korzyści.

Nowy model autoryzowania transakcji - wykorzystujący aplikację mobilną - z definicji wyklucza osoby nie używające tego sposobu bankowania. A jest ich całkiem sporo. Może się też nie przydać w sytuacji, gdy z internetu korzystam poprzez kabel, zaś "w powietrzu" nie ma sieci. Wtedy powiadomienie push na mój smartfon nie dotrze, nie odpalę też aplikacji mobilnej, choć przecież przelew z komputera - przez bankowość internetową - wypuściłem. Jest też kwestia wspomnianego wyżej krótkiego i statycznego PIN-u, którym zatwierdza się transakcję w smartfonie (zamiast wklepywać do komputera otrzymany na ten smartfon SMS). Z jednej strony i tak jest bezpiecznie, bo żeby potwierdzić przelew trzeba mieć w ręku smartfona, a z drugiej strony nie da się ukryć, że... hasło do wszystkich transakcji jest takie samo - jest nim PIN do aplikacji mobilnej (a w przypadku SMS-ów autoryzacyjnych jest inaczej - każdy jest inny).

Czytaj też: mBank na głodzie, czyli wielkie kuszenie małolata

Czytaj też: Masz konto w mBanku? Smartfon przypomni ci o rachunkach!

Bardzo jestem ciekaw jak oceniacie nowy sposób zatwierdzania transakcji proponowany przez mBank. I czy też nie możecie się doczekać biometrycznego zatwierdzania przelewów, czy też raczej uważacie biometrię za przereklamowaną? Jedno jest pewne: mBank startuje do pozycji jednego z liderów jeśli chodzi o budowanie poczucia bezpieczeństwa swoich klientów. Jeszcze rok-dwa lata temu to był bank, którego klientów atakowano najczęściej. Faktem jest, że na tle zabezpieczeń w innych bankach mBank nie jawi się twierdzą nie do zdobycia. W takim np. Raiffeisenie nie mogę się nawet zalogować nie podając kodu SMS-owego. A w Banku Millennium muszę podać nie tylko login i część hasła maskowanego, ale i PESEL. Tymczasem w mBanku jest tylko stare, poczciwe statyczne hasło i w dodatku nie ma żadnych zabezpieczeń do wysokokwotowych transakcji między kontami jednego klienta.

Potencjalny złodziej może więc - nie niepokojony przez nikogo - "zsypywać" pieniądze z kont depozytowych, limitów kart kredytowych, kont oszczędnościowych na ROR, a nawet zaciągnąć w imieniu Bogu ducha winnego klienta kredyt online, by potem jednym przelewem tę kasę klientowi wytransferować (o ile oczywiście ów klient będzie na tyle nieostrożny, że da sobie wyłudzić login i hasło do konta i numer telefonu, a potem da się "poczęstować" wirusem mobilnym). W takich przypadkach powinny się włączać alerty systemowe i bank powinien telefonicznie potwierdzać duże transakcje "wyprowadzające" jego pieniądze na zewnętrzne konto. Niestety, było w przeszłości trochę przypadków, w których ten system alertów też zawodził. Jeśli mBank - jako pierwszy w Polsce - wprowadzi dostępną dla każdego chętnego możliwość autoryzowania transakcji smartfonem, to zrobi wielki krok naprzód w dziele poprawiania bezpieczeństwa klientów.

UWAGA, WEBINARIUM! Już w najbliższy wtorek, 6 grudnia, o godz. 19.00 organizuję wspólnie z blogiem Longterm.pl webinarium online. Opowiemy na nim dlaczego - naszym zdaniem - warto przynajmniej część swoich oszczędności lokować w spółki dywidendowe i jak się do tego zabrać. Żeby posłuchać i zadawać pytania trzeba się zarejestrować pod tym linkiem. Warto się pospieszyć, bo liczba miejsc ograniczona! Jest to część akcji "Dywidenda jak w banku". W jej ramach ukazało się do tej pory około dwudziestu tekstów, pięć klipów wideo, odbyły się też trzy webinaria. Wszystkie te rzeczy są zebrane na stronie www.dywidendajakwbanku.pl. Znajdziecie tam również e-booka, którego można uzyskać zapisując się na nasz newsletter.

ebinariumdywidenda

OBEJRZYJ KOLEJNY ODCINEK "KASOWNIKA SAMCIKA"! W dzisiejszym wydaniu mojego cotygodniowego wideocyklu głównym tematem jest pytanie czy i na jakich warunkach warto kupić polisę od raka. Wiadomo, że już jedna czwarta opuszczających ten padół łez opuszcza go z powodu nowotworu. Być może część z nich udałoby się wykaraskać z problemów, gdyby odpowiednio wcześnie badziewie zostało wykryte, zdiagnozowane i leczone według najlepszych światowych standardów, niekoniecznie w ramach państwowej służby zdrowia. Jaką polisę od raka warto rozważyć, a jaka będzie tylko wyrzucaniem pieniędzy w błoto? O tym dziś w "Kasowniku". A jeśli chcesz prześwietlenia konkretnych ofert antyrakowych, to zapraszam do wpisów blogowych. Poza tym tematem w programie rozkminiam też polisy ze zwrotem składki oraz sprawdzam na ile trzeba się ubezpieczyć, żeby zapewnić naszym bliskim bycie rentierami.

 

Szczegóły wpisu

Tagi:
brak
Kategoria:
Autor(ka):
maciek.samcik
Czas publikacji:
wtorek, 06 grudnia 2016 08:28

Polecane wpisy

Trackback

Komentarze

Dodaj komentarz

  • marcinek-m napisał(a) komentarz datowany na 2016/12/06 11:48:26:

    Ależ mi rewolucja. Przecież o wiele prościej przepisać kod z SMS-a niż uruchamiać odpowiednią aplikację w telefonie i logować się na niej!

    Przede wszystkim mBąk chce ciąć koszty i zamiast płacić operatorom za wysyłkę SMS, koszty transmisji danych przerzuca na klienta. :)

  • arekmx napisał(a) komentarz datowany na 2016/12/06 13:22:18:

    Co gdy nie mamy dostępu do internetu w telefonie? Jest jakiś fallback do sms?

    Ogólnie nie wiem co sądzić - czy lepsza to metoda od smsów czy nie. Za mało danych by ocenić.

    @marcinek-m: na iOSie to klikasz aplikację mbanku, odcisk palca i już jesteś zalogowany - dużo szybciej niż coś przepisywać czy przeklejać

  • kot_na_plocie napisał(a) komentarz datowany na 2016/12/06 13:26:06:

    I to ma być niby bezpieczniejsze? Logowanie się do apki STAŁYM, NIEZMIENNYM kodem? I co tam w tej apce czy powiadomieniu push jest? Jest numer konta na które chcę wysłać przelew? Bo jak nie, to jest niebezpieczniej niż było - na ekranie komputera wyświetla mi się konto A a przelew idzie tak naprawdę na konto B a ja o tym nie wiem.
    Czegoś nie rozumiem - wiadomości są wysyłane na numer telefonu czy są wyświetlane przez aplikacje? Żeby zatwierdzić przelew trzeba mieć w ręku smartfona, ale złodziej też może mieć smartfona z zainstalowaną aplikacją mBanku. I co? Wystarczy, że pozna nasz login i PIN i sam zacznie dostawać wiadomości autoryzacyjne? Czy potrzebuje mieć do tego nasz numer telefonu?

  • samsamsamsam napisał(a) komentarz datowany na 2016/12/06 14:35:13:

    "Ja aktywowałem możliwość mobilnej autoryzacji przelewów klikając przesłany z banku link - prowadził on do specjalnego miejsca w serwisie wnioskowym - a potem aktualizując aplikację mobilną mBanku w swoim w smartfonie do najnowszej wersji."
    Tak właśnie łapie się wirusy. Otrzymujesz maila wyglądającego na maila z banku, zawiera link który prowadzi do specjalnego miejsca, a potem wprowadza się dane potrzebne bankowi (tu włamywaczowi) i aktualizuje się coś w telefonie. :-)

    Skoro aplikacje wirusowe mogą odczytywać treści SMSów, to czemu nie nauczą się odczytywać wiadomości PUSH albo robić zrzut z ekranu z kodem push, który nastepnie wyślą włamywaczowi lub same metodą OCR sczytają sobie kod.

    To już lepiej do autoryzacji przelewów używać dedykowanego numeru telefonu na jakimś starym telefonie bez Androida i iOS.

  • nerkofil napisał(a) komentarz datowany na 2016/12/06 14:44:39:

    Może się wymądrzę, ale są nawet strony WWW przez które można wysyłać "pushe", zamiast SMS.

    Ale tokeny są dla banków zbyt drogie ;-) Podobno. w moim banku za unlimiterd SMS miesięcznie płacił bym 2zł 60gr.
    Za token abonament miesięczny to 3zł.
    W tokenie nie da się niczego przechwycić ani niczego złamać. Ta technologia tam ma. Dziekuję za uwagę.

  • maciek_lepton napisał(a) komentarz datowany na 2016/12/06 16:33:42:

    To już lepiej do autoryzacji przelewów używać dedykowanego numeru telefonu na jakimś starym telefonie bez Androida i iOS

    Właśnie. I dodatkowy bonus: spamerzy mBanku nie zawracają dupy. Zrobiłem tak z racji na ilość spamu ale przy okazji uznałem, że bezpieczeństwo jest również dobrym argumentem.

  • l_s_w napisał(a) komentarz datowany na 2016/12/06 18:43:37:

    Panie Macieju,

    może rozwinie Pan temat bezpieczeństwa?

    Podobnie jak inne osoby wspomniały nie wiem na czym miałoby polegać zwiększenie bezpieczeństwa. Oprócz wymienionych wcześniej zagadnień zastanawiam się czy kod przesłany w powiadomieniu PUSH jest w jakiś sposób zaszyfrowany, żeby nikt nie był w stanie go podsłuchać? W jaki sposób kod autoryzacyjny trzymany w pamięci urządzenia będzie zabezpieczony przed wykradnięciem go przez wirusa?

    Osobiście stosuję rozwiązanie jak maciek_lepton: osobny stary telefon na który w ciągu dnia dzwonią telemarketerzy i na którym nie mam żadnych aplikacji i wirusów.

  • adds01 napisał(a) komentarz datowany na 2016/12/06 19:01:31:

    Markowanie bezpieczeństwa a w rzeczywistości cięcie kosztów i uniezależnianie się od usług operatorów GSM. W ogólnym bilansie ruch na niekorzyść klienta. Żadna metoda autoryzacji z tego samego smartfona nie zalicza się do bezpiecznych. To może być wygodniejsze, tańsze ale niczego nie gwarantuje. Apki są dziurawe i sam system też. Jeżeli ktoś obraca małymi kwotami to i tak wszystko jedno (target tej nowinki) ale przy 6-cyfrowych i grubszych operacjach trzeba się trzymać żelaznych zasad autoryzacji.

  • ivo_naii napisał(a) komentarz datowany na 2016/12/06 20:32:28:

    Zgadzam się z którymś przedmówcą... jak się chce być bezpiecznym, to do potwierdzania przelewów wystarczy stary telefon nie żadne smartfony. Żeby spać spokojnie trzeba panować nad własną głową.....

  • z17 napisał(a) komentarz datowany na 2016/12/07 00:16:54:

    Panie Macieju, popłynął Pan... przedmówcy już napisali co i jak. Absolutnie nie jest to bezpieczniejsze od kodów sms, wręcz przeciwnie, a do tego mega absorbujące.

Dodaj komentarz

Wyszukiwarka

Kanał informacyjny

Maciej Samcik

Od 1997 r. dziennikarz ekonomiczny „Gazety Wyborczej”. Specjalizuje się w tematyce finansowej. Pisze o bankach, giełdzie, funduszach inwestycyjnych oraz finansach osobistych. Autor i współautor poradników o oszczędzaniu, rankingów i konkursów giełdowych.
Laureat prestiżowych nagród dziennikarskich, w tym nagrody „Grand Press”.
Pochodzi z Poznania. Z wykształcenia ekonomista, absolwent Uniwersytetu Ekonomicznego w Poznaniu.


użytkowników on-line