Banki coraz intensywniej ostrzegają przez oszustami, którzy podszywają się pod ich pracowników, by wyłudzić dane, hasła albo po prostu dostęp do konta. Ostrzeganie ostrzeganiem, ale jest prosty sposób, żeby zweryfikować czy bankier to bankier, a klient to klient. Zaczął go właśnie stosować mBank. Zdziwiłem się, bo to była weryfikacja przez…
Podszywanie się przez telefon pod pracowników banków – jak również innych instytucji – to już prawdziwa plaga. Część z tych ataków na nasze dane i pieniądze odbywa się w połączeniu z wyciekiem adresów e-mail i numerów telefonów (kilka takich ostatnio było, po sieci „latały” całe bazy użytkowników Facebooka czy Linkedina).
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Jak bardzo niebezpieczny i przerażająco skuteczny może być taki atak – pisałem niedawno w felietonie na „Subiektywnie o Finansach”. Polecam lekturę, bo na taki numer – z fałszywą infolinią w roli głównej – może nabrać się prawie każdy.
Co zrobić, żeby się nie dać nabrać oszustowi? W niektórych bankach klient może utworzyć hasło (zdefiniować w bankowości elektronicznej), którym potem legitymuje się pracownik przy okazji podawania swojego imienia i nazwiska. Można też każdego pracownika banku zweryfikować, dzwoniąc na infolinię i pytając, czy rzeczywiście ktoś o takich danych chce z nami rozmawiać.
Pojawił się też pomysł, by każdy kontakt z klientem – nie tylko telefoniczny, ale też e-mailowy – opatrywać specjalną „pieczęcią”, tzw. eZnaczkiem. Ów znaczek nadawałby sam klient i mógłby go w każdej chwili zmienić. A pracownik np. banku, przy każdym kontakcie z klientem, miałby obowiązek się nim posłużyć.
Weryfikacja tożsamości rozmówcy. „Kliknij, że rozmawiasz ze mną”
Banki ostrzegają, ale po pierwsze nie są w stanie dotrzeć do każdego klienta, po drugie klienci nie zawsze zapoznają się z komunikatami z banku, a po trzecie ataki są coraz lepiej sprofilowane. Często atakujący znają sporo faktów z życia atakowanej osoby (bo np. wcześniej przejęli dostęp do jej skrzynki e-mail).
Kilkadziesiąt godzin temu zetknąłem się z nowością, którą wprowadził mBank. Być może w związku ze zjawiskiem podszywania się pod pracowników banku, a być może raczej dla własnej wygody, by móc potwierdzić tożsamość klienta bez wypytywania go o nazwisko panieńskie matki.
Patent jest następujący: w momencie, gdy odbieram telefon od bankowego doradcy, on informuje mnie jak się nazywa i prosi, żebym potwierdził fakt rozmowy w mojej bankowej aplikacji mobilnej. Potwierdzenie polega na tym, że loguję się (w moim przypadku biometrycznie) do bankowej aplikacji mobilnej, po czym zatwierdzam komunikat, iż właśnie rozmawiam z bankowcem. I to jest cała weryfikacja.
Zalety tego rozwiązania są dwa: po pierwsze człowiek z banku nie musi mi zadawać żadnych pytań, żeby potwierdzić, że ja to ja. A zatem mam pewność, że jeśli zadzwoni do mnie ktoś podając się za pracownika mBanku i będzie prosił o jakiekolwiek moje dane – jest to oszust.
Ale to działa też w drugą stronę. Jeśli dostaję w mojej aplikacji mobilnej komunikat potwierdzający, że właśnie rozmawiam z bankowym doradcą, to wykluczam ryzyko, iż ktoś próbuje się podszyć pod tego pracownika. O ile mi wiadomo, patent ten jest nowy, zaś jedyną jego słabą stroną jest fakt, iż trzeba jednocześnie obsługiwać połączenie telefoniczne oraz logowanie do aplikacji mobilnej za pomocą tego samego urządzenia (smartfona).
Tym niemniej mam wrażenie, że taka weryfikacja przez aplikację to spory krok do przodu, jeśli chodzi o zapewnienie bezpieczeństwa rozmów przez telefon. Szczerze pisząc, nie rozumiem, dlaczego nie można zrobić od razu kolejnego kroku – nie przeprowadzać rozmów z klientami wyłącznie „w środku” aplikacji mobilnej.
Przecież ja, jako klient, mogę zalogować się do aplikacji mobilnej banku i zadzwonić do call-center z poziomu aplikacji. Wówczas od razu (zarówno przy połączeniu audio, jak i w ramach wideoczatu) jestem identyfikowany jako klient. Takie rozwiązanie funkcjonuje również np. w Alior Banku, gdzie można zadzwonić z aplikacji do banku
Czy taka weryfikacja mogłaby działać w drugą stronę? Pewnie tak, ale wymagałaby wysłania mi zaproszenia do rozmowy przez aplikację mobilną. A jaki miałbym interes, by takie zaproszenie kliknąć lub zaakceptować?
Aplikacje mobilne banków. Czy warto się opierać?
Aplikacje mobilne banków są coraz bardziej przydatne – także ze względów bezpieczeństwa. Ale jest jeden problem: tylko część klientów chce mieć bank w telefonie. Pozostali uważają, że to zbyt niebezpieczne, niepotrzebne albo narusza ich prywatność.
Jest faktem, że niektóre aplikacje mobilne banków proszą o sporo uprawnień, które nie są im potrzebne (choć czasem możemy tymi uprawnieniami zarządzać i nie na wszystkie się godzić). Ale jeśli logujemy się do aplikacji odciskiem palca, zaś bank ogranicza kwoty przelewów możliwych do zlecenia za pomocą smartfona do stosunkowo niewielkich wartości, to ryzyko, że zgubienie smartfona źle się skończy, jest minimalne.
O ile oczywiście jednocześnie ekran smartfona jest blokowany automatycznie po nieużywaniu przez dłużej niż 30 sekund. Wtedy zabezpieczenie jest podwójne: zły człowiek, żeby dostać się do naszej aplikacji bankowej musiałby znać hasło dostępowe odblokowujące ekran smartfona oraz umieć dostać się do naszej aplikacji bankowej. I nawet wtedy straty ograniczyłyby limity transakcji zlecanych mobilnie.
Możemy oczywiście namawiać do instalowania aplikacji mobilnych banków – odwołując się m.in. do kwestii bezpieczeństwa – ale jeśli już jakiś bank się zdecyduje „zmusić” klientów do posiadania takiej aplikacji, jest z tego duży dym. Ostatnio trenował to na sobie Citibank.
Na koniec cytuję ostatnie ostrzeżenie, które kilkadziesiąt godzin temu pojawiło się na stronie internetowej mBanku. Skoro się pojawiło, to znaczy, że na klientów tego banku – lub innych dużych banków – zaczęła się nowa fala ataków. Nie dajcie się nabrać, niezależnie od tego, czy korzystacie z aplikacji mobilnej czy nie.
Czytaj też: SMS autoryzacyjny jak na dłoni, duplikat karty SIM… tak nas okradają (homodigital.pl)
Ktoś dzwoni „z banku” i chce cię namówić na podanie danych lub zainstalowanie jakiegoś programu? To złodziej
Oszuści podają się za pracownika banku, Komisji Nadzoru Finansowego (KNF), Związku Banków Polskich (ZBP), Biura Informacji Kredytowej (BIK) lub policjanta, prokuratora czy funkcjonariusza np. CBA/CBŚP. Przestępcy umieją wykorzystać systemy telekomunikacyjne. Mogą podszyć się pod dowolny numer telefonu, np. infolinię banku, różnych instytucji państwowych lub podmiotów gospodarczych.
Oszuści dzwonią pod różnym pretekstem. Mówią np. o weryfikacji zmyślonej transakcji, zablokowanym rachunku, specjalnej akcji Policji/CBA lub ofercie inwestycji w kryptowaluty. Mogą nakłaniać Cię do podania danych osobowych, danych karty płatniczej, hasła i loginu do bankowości internetowej. Będą zachęcać Cię do instalacji dodatkowego oprogramowania, np. AnyDesk lub QuickSupport TeamViewer, które może zdalnie kontrolować Twój komputer lub smartfon.
Dlatego zachowaj szczególną ostrożność. Nigdy nie podawaj danych i niczego nie instaluj! Pracownik banku, funkcjonariusz Policji lub doradca inwestycyjny nie może się tego domagać. Jeśli to zrobisz, oszuści będą mieć dostęp do Twojego rachunku bankowego, a Ty możesz stracić pieniądze.
Nie daj się na to nabrać! Zwróć uwagę, kto naprawdę do Ciebie dzwoni. Pamiętaj, że pracownik banku, policjant, prokurator, funkcjonariusz CBA/CBŚP lub doradca inwestycyjny nigdy nie może żądać od Ciebie takich działań jak: zainstalowania aplikacji do zdalnego pulpitu, np. AnyDesk lub QuickSupport TeamViewer, na Twoim komputerze lub smartfonie, loginu i hasła do logowania do serwisu bankowości internetowej lub danych do połączenia aplikacji bankowej z Twoim rachunkiem, pełnych danych karty płatniczej, jej daty ważności oraz kodu CVV2/CVC2, wykonania jakiegokolwiek przelewu.
Nie podawaj nikomu przez telefon swoich danych osobowych. Nie wierz w opowieści o rzekomej akcji specjalnej funkcjonariuszy Policji lub CBA, która ma ochronić Twoje pieniądze. Jeśli otrzymasz przelew od nieznajomego nadawcy, pod żadnym pozorem nie przekazuj pieniędzy dalej. Nieświadomie możesz brać udział w przestępstwie. Jeśli masz jakiekolwiek wątpliwości co do intencji osoby dzwoniącej, przerwij rozmowę i nie wykonuj żadnych czynności, do których Cię nakłania.
POSŁUCHAJ NOWEGO ODCINKA PODCASTU „FINANSOWE SENSACJE TYGODNIA”
W tym odcinku podcastu „Finansowe sensacje tygodnia” dziwimy się niepomiernie opowieściom wiceministra finansów o tym, kto to niby jest w Polsce klasą średnią, a kto nią nie jest. Gość się chyba urwał z choinki, ale może nie? Sprawdzamy też, skąd się biorą wysokie ceny paliwa i ile w tym winy pazernych koncernów paliwowych z Orlenem na czele, a ile okoliczności niezależnych od nas wszystkich. A na koniec prześwietlamy nadmorskie „paragony grozy”. Okazuje się, że znaleźliśmy je wcale nie tam, gdzie wszyscy szukają. Zapraszamy do posłuchania pod tym linkiem oraz w Google Podcast, Apple Podcast i na kilku innych platformach podcastowych.———————
APLIKACJE NA WAKACJE:
Jeśli wyjeżdżasz tego lata za granicę, to nie zapomnij wziąć ze sobą aplikacji mobilnej do wymiany walut i karty, którą możesz płacić bez ponoszenia kosztów spreadu walutowego. Tutaj pisaliśmy jak bardzo spread uderza po kieszeni. Wśród wielu tego typu aplikacji i kart polecam m.in. kartę wielowalutową Cinkciarz.pl (jej recenzja jest tutaj), jak również aplikację ZEN z kartą, którą można łatwo doładować kasą i włożyć do Apple Pay i Google Pay. Zakupy z ZEN są objęte specjalnym ubezpieczeniem oraz natychmiastowym cashbackiem (tutaj opisywałem szczegóły tej aplikacji). Przy wyprawach ze znajomymi przyda się też funkcja ZEN Buddies. Polecam obie aplikacje. Są partnerami „Subiektywnie o Finansach”, ale jestem ich fanem już od dawna
NA WAKACJACH NIE DAJ SIĘ INWIGILOWAĆ
Na wakacje jedź z VPN-em. Chcesz chronić swoją prywatność podczas przeglądania stron internetowych? Bezpieczeństwo i dyskrecję w sieci level hard za rozsądną cenę znajdziesz z usługą VPN od Surfshark. Przetestowałem to rozwiązanie na sobie i polecam. Zobacz, przed jakimi niebezpieczeństwami chroni Ccię VPN. Zapraszam też do poczytania, jak chronić swoją prywatność przed złodziejami, hakerami, szpiegami i… rządem.
