„Afera” z nową stroną logowania do mBanku. Klienci pytają czy bank nie chce wiedzieć o ich komputerach zbyt wiele. Niestety, banki będą chciały wiedzieć więcej i powinniśmy się do tego zacząć przyzwyczajać. A może nawet to polubić? Przed nimi pozwy sądowe, w których będą musiały udowadniać, że zrobiły wszystko, co możliwe, żeby klient nie pozwolił się okraść
Kilka dni temu mBank zmienił ekran logowania. I oczywiście nie umknęło to uwadze klientów, których ten bank ma ponad cztery miliony. Tym bardziej, że niektórym klientom zaczął przy logowaniu wyświetlać się komunikat, iż bank próbuje nawiązać połączenie typu Websocket (czyli otwierającego dwukierunkowe połączenie przeglądarki na komputerze z serwerem bankowym).
- Ważny dylemat: która waluta będzie w przyszłości odpowiednikiem złota w świecie tradycyjnych pieniędzy, skoro nie „zielony”? Szukamy! [POWERED BY WALUTOMAT]
- Jak ubezpieczyć przedszkolaka i ucznia? Jak sprawdzić, czy oferowana w szkole polisa sprosta coraz bardziej złożonej rzeczywistości? [POWERED BY PZU]
- Jak przygotować swój biznes na burzliwy czas? Oto lista największych wyzwań. Jak nimi zarządzać jeśli prowadzisz małą lub średnią firmę? [POWERED BY E-FAKTOR]
Co mBank sprawdza, gdy jestem na stronie logowania?
Oczywiście wzbudziło to kontrowersje, bo klienci zaczęli zastanawiać się: co bank sprawdza na ich komputerze, gdy chcą się zalogować do konta? Przedstawiciele banku tłumaczą, że chodzi o zwykłe sprawdzenie czy klient nie ma zainstalowanego na swoim komputerze oprogramowania do zdalnego kontrolowania pulpitu (takich jak TeamViewer, czy AnyDesk).
Tego typu programy bywają wykorzystywane m.in. do zdalnego naprawiania usterek w komputerze. Zamiast zawozić sprzęt do informatyka po prostu udostępniam mu ekran mojego komputera i on może zdalnie sprawdzić dlaczego jakieś programy nie działają, coś się źle wyświetla, a nawet przeinstalować część oprogramowania „strategicznego” na moim komputerze. Ale tego typu programy wykorzystują też złodzieje pieniędzy.
Przestępstw opartych na socjologicznych trikach, wyłudzaniu loginów i haseł, przejmowaniu kontroli nad komputerem ofiary (a czasem i nad jego telefonem) i wyprowadzaniu pieniędzy z kont bankowych jest multum. Banki ostrzegają, żeby nie odbierać telefonów od typów podających się za pracowników banków (bank nigdy sam nie zadzwoni do klienta), by nie wierzyć z SMS-y „z banku” z linkami do kliknięcia i żeby weryfikować bezpośrednio w banku informacje dotyczące naszych pieniędzy, które dostajemy przez SMS-y, komunikatory internetowe, czy e-maile. Przestępcy potrafią „podstawić” prawdziwy, bankowy numer telefonu infolinii i przekierować na stronę łudząco przypominającą prawdziwą stronę banku.
Bankowcy ostrzegają, ale ludzie i tak tracą dziesiątki milionów złotych w skali roku (dokładnych liczb nie ma, bo banki nie „chwalą” się takimi informacjami). I nierzadko domagają się od banków zwrotu tych pieniędzy. Podstawowe uzasadnienie takich roszczeń: „bo bank nic nie zrobił, żeby zapobiec przekrętowi”. Klient czasem nie ma wystarczających kompetencji cyfrowych, żeby wykryć próbę bardzo wysublimowanego oszustwa, a bank próbuje przekierować wszystkich klientów do kanałów zdalnych, a więc wystawia ich na ryzyko.
Rzeczywiście, czasem banki nie blokują złodziejskich przelewów mimo tego, że są to bardzo nietypowe operacje – np. wyprowadzenie pieniędzy z konta klienta poprzedza seryjne zrywanie jego lokat, przelewanie pieniędzy z karty kredytowej na konto osobiste, zaciąganie lub podwyższanie kredytów odnawialnych lub gotówkowych. Ale jeśli klient udostępnia komuś login i hasło, czy zatwierdza SMS-em dyspozycję wyprowadzenia pieniędzy ze swojego konta – czasem dochodzi do kradzieży.
Są już wyroki sądów, z których wynika, że nawet w takim przypadku klient ma odzyskać pieniądze, o ile bank mógł wykryć przekręt, a nie zdołał mu zapobiec. Stąd pomysł – stosowany nie tylko przez mBank – by przy okazji logowania sprawdzać czy klient ma zainstalowany na komputerze program do zdalnego udostępniania ekranu. Nie musi to nic oznaczać, ale być może taki klient jest flagowany i nietypowe przelewy są monitorowane.
Obejrzyj wideofelieton o pani, która dała sobie ukraść pieniądze, a sąd uznał, że to nie jej wina:
Zobacz czy bank ma prawo skanować lub kserować Twój dowód osobisty:
Banki będą coraz bardziej ciekawe. To nieuniknione
Niektórzy klienci mBanku obawiają się, że przy logowaniu mBank nie tylko sprawdza kwestię zdalnego ekranu, ale też pobiera z przeglądarki jakieś inne dane. Np. takie, które mogłyby być wykorzystane do profilowania klienta. Szczerze pisząc – bank by tego nie potrzebował, bo ma znacznie cenniejsze dane o klientach, niż to, co można wyciągnąć z przeglądarki. To dane o rzeczywistych transakcjach: co, gdzie i kiedy kupujemy.
Moim zdaniem ryzyko jest gdzie indziej: jeśli banki będą sprawdzały nasze przeglądarki pod kątem potencjalnie niebezpiecznych usług, które mamy na komputerach, a – jak się rozpędzą – to także różnych „automatów”, czy „robaków”, to pojawi się więcej przypadków blokowania kont lub przelewów Bogu ducha winnym klientom. Bo jeśli bank wie, że klient ma na komputerze np. TeamViewer, to może nie tylko klienta oflagować, ale też podjąć jakieś działania.
To może być cena – wysoka, bo ograniczająca komfort korzystania z usług – współodpowiedzialności banku za nasze cyfrowe bezpieczeństwo. W tym konkretnym przypadku bank tłumaczy jednak, że mechanizm ma po prostu wspierać wykrywanie sytuacji, w których klient jest manipulowany przez kogoś. Połączenie wiedzy o zainstalowanym oprogramowaniu z podejrzanymi ruchami na koncie ma – jak rozumiem – pomagać w wykrywaniu przestępstw. Stanowisko banku w oficjalnych słowach wygląda tak:
„Na stronie banku działa mechanizm, który sprawdza czy na urządzeniu klienta jest używany program do zdalnego pulpitu (np. Team Viewer, Any Desk). Nie wysyła żadnych danych poza urządzenie klienta, służy jedynie jako wskaźnik potencjalnego ryzyka przejęcia jego sesji. Jest częścią systemu wspomagającego detekcje podejrzanych transakcji i nie wpływa na funkcjonalność strony. Tego typu mechanizmy stosują inne banki w Polsce i na świecie”
Cała ta burza irytuje mnie z dwóch powodów. Po pierwsze: ci sami ludzie, którzy podejrzewają mBank o zbyt dużą ciekawość i pobieranie jakichś danych z przeglądarek, zapewne mają konta na platformach społecznościowych, a to oznacza, że bez żadnej kontroli oddają swoją prywatność portalom społecznościowym, które też ich profilują. Te platformy są pełne przekrętów finansowych. Ba, biorą pieniądze od oszustów za reklamy tych przekrętów. I to jest dużo większy problem, niż ciekawość banków.
Drugi powód mojej irytacji jest taki, że jest coraz więcej klientów, którzy nie mają wystarczającej wiedzy i świadomości, żeby samodzielnie się obronić przed przestępcami internetowymi. A skoro tak: potrzebna jest pomoc banków. Już kilka lat temu kilka banków oferowało klientom programy antywirusowe, które instalowały się na komputerach klientów. Zainteresowania nie było. Teraz banki proponują też dobrowolną biometrię behawioralną (sprawdzanie czy nie zmienił się sposób wpisywania literek na klawiaturze lub klikania na telefonie). Zainteresowanie jest niewielkie. Z drugiej strony – gdy ktoś da się okraść, to zwykle ma pretensje, że bank nie próbował go ochronić.
Od logowania do klienta sprawdzania
Jeśli bankowcy mają pomóc nas chronić, to będą coraz bardziej ciekawscy. Będą zadawali coraz więcej pytań, czasami zatrzymają jakiś przelew (wkurzając niejednego klienta, który rzeczywiście potrzebuje przelać duże pieniądze), będą sprawdzali zachowanie klienta w serwisie bankowym (nie tylko w momencie logowania), będą „macali” przeglądarkę klienta na jego komputerze w poszukiwaniu podejrzanych elementów.
Oczywiście, istnieje ryzyko, że bankowcy będą czasem posuwali się o krok za daleko. Raczej nie jeśli chodzi o sprawdzanie co mamy na komputerach, lecz o wstrzymywanie potencjalnie podejrzanych transakcji lub ich dodatkowe potwierdzanie. Przy okazji różnych sytuacji związanych z AML przekonaliśmy się, że banki mogą być nadgorliwe. Banki wiedzą o nas tak wiele, że wyłudzanie dodatkowych informacji przy okazji stosowania biometrii behawioralnej czy „macania” przeglądarki chyba nie jest im potrzebne.
Z dobrych wiadomości: jeśli banki poczują się współodpowiedzialne za nasze bezpieczeństwo, to będziemy mogli egzekwować od nich współodpowiedzialność także wtedy, jeśli coś złego stanie się z naszymi pieniędzmi.
Czytaj więcej o procedurach AML w bankach: Podejrzana transakcja na koncie? Jeśli masz za dużo kont, bank przyjrzy się… przelewom wewnętrznym i płatnościom zagranicznym
Czytaj też: Bank wychwycił podejrzaną transakcję, po czym… normalnie ją zrealizował. Nasza czytelniczka padła ofiarą kradzieży. A bank, choć wiedział, że transakcja jest podejrzana, to pieniądze i tak z systemu wypuścił…
Czytaj o obojętności banku: Nigeryjski przekręt, ostrzeżenie klienta i… zaskakująca obojętność banków. „Jak mam teraz uwierzyć, że to całe KYC i AML jest coś warte?”
———————————
POSŁUCHAJ PODCASTÓW O CYBERBEZPIECZEŃSTWIE:
——————————-
CZYTAJ O CYBERBEZPIECZEŃSTWIE:
———————————-
ZOBACZ CIEKAWE ROZMOWY:
„Subiektywnie o Finansach” jest też na Youtubie. Rozmowy z ciekawymi ludźmi o Waszych (i ich) pieniądzach, a poza tym komentarze i wideofelietony poświęcone finansom oraz poradniki i zapisy edukacyjnych webinarów. Koniecznie subskrybuj kanał „Subiektywnie o Finansach” na platformie Youtube
zdjęcie tytułowe: Pixabay, mBank, Canva
