Bank nigdy nie wysyła żadnych kodów, ani próśb mailem? To już nieaktualne. Napisał do nas oburzony czytelnik, któremu bank Citi będzie wysyłał e-mailem jednorazowy kod potrzebny do nadania nowego hasła. Ale e-mail jako sposób odzyskiwania hasła jest czymś tak powszechnym, jak kolejki do paczkomatów przed świętami. Jednak rodzi się pytanie: czy nowe unijne prawo rzeczywiście poprawia bezpieczeństwo, czy tylko utrudnia życie?
Dyrektywa PSD2 ciągle „atakuje” przyzwyczajenia polskich konsumentów związane z wygodnym bankowaniem. Niedawno opisaliśmy niezły pasztet, który zgotował sobie Citi Handlowy, który chciał przeprowadzić rewolucję w płatnościach internetowych. Zacząć się miało od małego przewrotu i porzucenia SMS-ów jako metody autoryzacji niektórych transakcji internetowych. Przywiązanie klientów do staroświeckich SMS-ów okazało się silniejsze, niż technologiczne zapędy bankowców i bank musiał zawiesić wprowadzenie zmian.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Spór o to, która metoda jest lepsza, przypomina nierozwiązaną do tej pory kwestię wyższości świąt Bożego Narodzenia nad Wielkanocą – każda strona ma swoje argumenty, np. że aplikacje bankowe nas śledzą oraz że wykluczają tych, którzy wolą starą Nokię niż iPhone’a. Z drugiej strony SMS-y są jednak bardziej ryzykowne – mimo wszystko łatwiej przechwycić nasz numer telefonu i SMS-a, niż uzyskać dostęp do smartfona.
Ostatnio pojawił się nowy punkt zapalny – napisał do nas zbulwersowany czytelnik, który zauważył, że od połowy grudnia Citi chce mu wysyłać mu mailem jednorazowe kody do zmiany hasła w bankowości elektronicznej. Burza w szklance wody, czy powód by wszczynać alarm?
W bankowości podałeś nieaktualnego maila „mario_1982”? Lepiej zmień adres na prawdziwy
Niech pierwszy rzuci kamieniem ten, kto nigdy nie zapomniał hasła do bankowości internetowej. Czasami zdarza się to nawet najlepszym. Rzecz w tym, że dopóki to się nie wydarzy, mało kto zastanawia się nad tym, jak wygląda procedura odzyskiwania i nadawania nowego hasła. A to przecież może być prosty sposób dla oszustów by nadać nowe, własne hasło – powiedzą, że zapomnieli i wybiorą nowe. Napisał do nas pan Jan, który mocno zdziwił się mailem od banku Citi.
„Informujemy, że zmienia się proces rejestracji oraz odzyskiwania hasła do bankowości elektronicznej Citibank® Online od 16 grudnia oraz bankowości mobilnej Citi Mobile® w nadchodzącej wersji aplikacji. Dla tych dwóch operacji, oprócz dotychczasowego potwierdzenia jednorazowym kodem z SMS, wymagane będzie dodatkowo potwierdzenie jednorazowym kodem przesłanym na adres e-mail”
Bank przypomina, że jeżeli niegdyś, przy zakładaniu konta, podaliśmy na odczepnego pierwszy lepszy adres mailowy, typu mario_1982, to lepiej podać takiego e-maila, na którego regularnie zaglądamy. A przynajmniej wiemy, jak się tam zalogować.
Po co ta zmiana? I czy spotkała się z uznaniem klientów? Zapytany przez nas Citi odpowiada, że nowy sposób uwierzytelnienia wynika z konieczności dostosowania procedur do dyrektywy PSD2. Chodzi o obowiązek wprowadzenia SCA (Strong Customer Authentication). Docelowo ma to zwiększyć bezpieczeństwo klienta poprzez dodanie drugiego faktora uwierzytelniania. A co, jeśli jednak ktoś nie zaktualizował maila? Wtedy zostaje mu kontakt z infolinią (w przypadku Citi usługa może być płatna dla klientów bez odpowiednio salda na koncie).
Pan Jan punktuje, że to „przyzwyczajanie do złych praktyk”, a ma na myśli fakt, że bank chce mu teraz wysyłać ważne, autoryzacyjne informacje mailem. A przecież „od dziecka” powtarzano mu, że bank nigdy żadnych ważnych informacji mailem nie wysyła. I wbicie tego do głowy miało impregnować klientów na zakusy wyłudzaczy loginów i haseł, którzy właśnie za pomocą e-maila próbują podszywać się pod bank.
Czy jednak ten to stwierdzenie jest aktualne? A może trzeba odróżnić to, jakie informacje bank może wysyłać mailem, a jakie nie? Sprawdziliśmy, jak to robią inne banki i okazało się, że oburzenie pana Jana było chyba na wyrost, bo mail, jako metoda autoryzacyjna, jest też w innych instytucjach.
Co bank to oczytaj, ale e-maile to nie weryfikacyjny biały kruk
Generalnie w każdym banku sposobów na odzyskanie hasła jest zwykle kilka, w zależności od tego jak bardzo zawiodła nas pamięć (czy pamiętamy identyfikator klienta) i czy mamy dostęp do aplikacji mobilnej, czy nie. Na przykład w mBanku, jeśli zapomnę hasła, bank wysyła mailem zaszyfrowany plik PDF z hasłem jednorazowym. Żeby je odczytać potrzebne jest jednak hasło, które bank dośle SMS-em.
Ale hasło mogę też odzyskać w aplikacji mobilnej z pomocą SMS-a autoryzacyjnego lub przez teleserwis. PKO BP wysyła tymczasowe hasło SMS-em, a do tego podczas logowania muszę potwierdzić swoją tożsamość dodatkowym sposobem autoryzacji: aplikacją, drugim SMS-em, albo kartą zdrapką.
W Pekao podaję swoje dane identyfikacyjne, np. PESEL, numer dowodu, albo nazwisko panieńskie matki, które aktywuje wysłanie e-maila z kodem jednorazowym. Po wpisaniu tego kodu, otrzymuję SMS-a.
Maile z kodem jednorazowym również wysyła Santander, ale po wcześniejszej odpowiedzi na trzy pytania weryfikacyjne. Podobnie jest w ING i BNP Paribas – wpisuję dane weryfikacyjne, np. PESEL, a bank wysyła mi SMS-em jednorazowy kod potrzebny do ustanowienia nowego hasła. Jak widać, Citi nie jest pod tym względem żadnym wyjątkiem, choć maile są raczej w mniejszości. Możliwe, że po prostu nie wszystkie banki zdążyły wprowadzić tę dwuetapowa metodę weryfikacji.
Co bank wysyła, a czego nie wysyła pocztą elektroniczną?
Faktem jest, że próby wyłudzenia informacji z wykorzystaniem poczty e-mail to prawdziwa plaga. Często złodzieje nie muszą włamywać się na nasze konto, tylko wchodzą na nie jak do siebie, bo uzyskują dostęp do danych logowania. Jak? Bardzo prosto – sami podajemy im nasze dane. Ciągle wiele osób daje się nabrać na e-maile, które sugerują, że wysłał je bank.
Bank Pocztowy opublikował wyniki badań, z których wynika, że na ataki cybernetyczne w Polsce narażona może być nawet co piąta osoba. Uwierzytelnianie dwuskładnikowe, czyli składające się z hasła i dodatkowej metody weryfikacji, generalnie uprzykrza życie złodziejom. Taka jest w dzisiejszych czasach cena bezpieczeństwa i to dotyczy nie tylko banków, ale też innych usług, w których podajemy nasze dane i dane do płatności (np. do aplikacji subskrypcyjnych).
Bank mógłby wysłać takie kody pocztą tradycyjną listem poleconym, ale przecież to trwałoby kilka dni. Mógłby też poprosić o kod z aplikacji mobilnej – w zależności od jej architektury kody są dostępne przed zalogowaniem albo po nim, więc teoretycznie nie musimy znać hasła – wystarczy, że mamy aplikację w smartfonie. Ale wracamy do tego, że użytkownicy nie za bardzo chcą korzystać ze smartfonowych aplikacji jako metody autoryzacji.
Dlatego chyba trzeba się pogodzić z tym, że banki niektóre wiadomości będą wysyłać na e-mail (pocztą elektroniczną). W tej sytuacji warto sobie przypomnieć, czego banki nie będą wysłać.
Po pierwsze: nie klikaj w żadne linki. Sam wiesz, gdzie się logować – jeśli korzystasz z e-banku, to zapewne masz zapisany adres logowania, który wpiszesz w przeglądarkę, albo skorzystasz z aplikacji mobilnej banku. Nie ma powodu, by klikać w jakiekolwiek linki, bardzo często są one przekierowaniem do stron przygotowanych przez złodziei, które mogą imitować prawdziwe strony banków. Przestępcy bez skrupułów wklejają w treść e-maila bankowe grafiki, logotypy, używają takiej samej czcionki, jaka jest na stronach bankowych, przekonują, że musisz kliknąć w linka, bo inaczej dostęp do środków zostanie zablokowany.
Po drugie: bank nigdy nie wysyła informacji o blokadzie konta przez e-mail. Informacja o tym, że dostęp jest zablokowany pojawia się tam, gdzie próbowaliśmy się zalogować, czyli na stronie logowania. Podobnie bank nie wysyła pocztą elektroniczną ani SMS-em linków do logowania do systemu transakcyjnego.
Po trzecie: bank nie prosi przez e-mail o aktualizację danych. Ostatnio na fali wdrażania dyrektywy PSD2 pojawiła się próba oszustwa, które polega na wysłaniu prośby o aktualizację danych karty. W ten sposób chciano niedawno podjeść klientów Santandera. E-mail miał taką mniej więcej treść: „Od 1 stycznia z powodu wejścia w życie dyrektywy PSD2 konieczne będzie zaktualizowanie danych karty. W przeciwnym razie, możliwość płatności zostanie zablokowana. Kliknij w celu aktualizacji”.
Czasami bank może informować, że masz nową wiadomość w serwisie transakcyjnym, ale nie umieszcza linków do logowania (wracamy do punktu pierwszego). Można podsumować, że e-maile od banków nie wymagają od nas klikania w cokolwiek, a jedynie służą do przekazywania informacji.
—————-
ZAPRASZAMY DO POSŁUCHANIA PODCASTU!
W świątecznym odcinku podcastu „Finansowe sensacje tygodnia” Ekipa Samcika zabawiła się w Świętych Mikołajów, Gwiazdorów oraz Dziadków Mrozów i… przyznała przedstawicielom świata finansów – bankowcom, ubezpieczycielom, pośrednikom finansowym, fintechom, firmom inwestycyjnym, biurom maklerskim – prezenty oraz… rózgi, a nawet batogi (tak, tacy jesteśmy okrutni ;-)). Każdy z nas – Maciek Bednarek, Irek Sudak i Maciek Samcik – najpierw przyznał po trzy rózgi, a potem po kilka prezentów. Tylko Maciek Samcik miał więcej, niż trzy prezenty.
Zapraszamy do posłuchania! Żeby to zrobić, trzeba kliknąć ten link albo znaleźć „Finansowe sensacje tygodnia” na Spotify, Google Podcast, Apple Podcast lub innej platformie podcastowej (nasze podcasty są dostępne na ośmiu platformach).
—————-
źródło zdjęcia: Unsplash/Avi Richards
