30 grudnia 2020

Bezpieczeństwo w internecie. „Bank chce mi wysyłać kody… e-mailem” – skarży się czytelnik. Czy żale są słuszne? Jakie maile może wysłać bank i jak je odróżnić od oszustw?

Bezpieczeństwo w internecie. „Bank chce mi wysyłać kody… e-mailem” – skarży się czytelnik. Czy żale są słuszne? Jakie maile może wysłać bank i jak je odróżnić od oszustw?

Bank nigdy nie wysyła żadnych kodów, ani próśb mailem? To już nieaktualne. Napisał do nas oburzony czytelnik, któremu bank Citi będzie wysyłał e-mailem jednorazowy kod potrzebny do nadania nowego hasła. Ale e-mail jako sposób odzyskiwania hasła jest czymś tak powszechnym, jak kolejki do paczkomatów przed świętami. Jednak rodzi się pytanie: czy nowe unijne prawo rzeczywiście poprawia bezpieczeństwo, czy tylko utrudnia życie?

Dyrektywa PSD2 ciągle „atakuje” przyzwyczajenia polskich konsumentów związane z wygodnym bankowaniem. Niedawno opisaliśmy niezły pasztet, który zgotował sobie Citi Handlowy, który chciał przeprowadzić rewolucję w płatnościach internetowych.  Zacząć się miało od małego przewrotu i porzucenia SMS-ów jako metody autoryzacji niektórych transakcji internetowych. Przywiązanie klientów do staroświeckich SMS-ów okazało się silniejsze, niż technologiczne zapędy bankowców i bank musiał zawiesić wprowadzenie zmian.

Zobacz również:

Spór o to, która metoda jest lepsza, przypomina nierozwiązaną do tej pory kwestię wyższości świąt Bożego Narodzenia nad Wielkanocą – każda strona ma swoje argumenty, np. że aplikacje bankowe nas śledzą oraz że wykluczają tych, którzy wolą starą Nokię niż iPhone’a. Z drugiej strony SMS-y są jednak bardziej ryzykowne – mimo wszystko łatwiej przechwycić nasz numer telefonu i SMS-a, niż uzyskać dostęp do smartfona.

Ostatnio pojawił się nowy punkt zapalny – napisał do nas zbulwersowany czytelnik, który zauważył, że od połowy grudnia Citi chce mu wysyłać mu mailem jednorazowe kody do zmiany hasła w bankowości elektronicznej. Burza w szklance wody, czy powód by wszczynać alarm?

Czytaj też: Polskie banki wprowadzają hasła SMS przy logowaniu do kont, by „było bezpieczniej”. A niemieckie wyrzucają SMS-a do kosza. Bo… są niebezpieczne

W bankowości podałeś nieaktualnego maila „mario_1982”? Lepiej zmień adres na prawdziwy

Niech pierwszy rzuci kamieniem ten, kto nigdy nie zapomniał hasła do bankowości internetowej. Czasami zdarza się to nawet najlepszym. Rzecz w tym, że dopóki to się nie wydarzy, mało kto zastanawia się nad tym, jak wygląda procedura odzyskiwania i nadawania nowego hasła. A to przecież może być prosty sposób dla oszustów by nadać nowe, własne hasło – powiedzą, że zapomnieli i wybiorą nowe. Napisał do nas pan Jan, który mocno zdziwił się mailem od banku Citi.

„Informujemy, że zmienia się proces rejestracji oraz odzyskiwania hasła do bankowości elektronicznej Citibank® Online od 16 grudnia oraz bankowości mobilnej Citi Mobile® w nadchodzącej wersji aplikacji. Dla tych dwóch operacji, oprócz dotychczasowego potwierdzenia jednorazowym kodem z SMS, wymagane będzie dodatkowo potwierdzenie jednorazowym kodem przesłanym na adres e-mail”

Bank przypomina, że jeżeli niegdyś, przy zakładaniu konta, podaliśmy na odczepnego pierwszy lepszy adres mailowy, typu mario_1982, to lepiej podać takiego e-maila, na którego regularnie zaglądamy. A przynajmniej wiemy, jak się tam zalogować.

Po co ta zmiana? I czy spotkała się z uznaniem klientów? Zapytany przez nas Citi odpowiada, że nowy sposób uwierzytelnienia wynika z konieczności dostosowania procedur do dyrektywy PSD2. Chodzi o obowiązek wprowadzenia  SCA (Strong Customer Authentication). Docelowo ma to zwiększyć bezpieczeństwo klienta poprzez dodanie drugiego faktora uwierzytelniania. A co, jeśli jednak ktoś nie zaktualizował maila? Wtedy zostaje mu kontakt z infolinią (w przypadku Citi usługa może być płatna dla klientów bez odpowiednio salda na koncie).

Pan Jan punktuje, że to „przyzwyczajanie do złych praktyk”, a ma na myśli fakt, że bank chce mu teraz wysyłać ważne, autoryzacyjne informacje mailem. A przecież „od dziecka” powtarzano mu, że bank nigdy żadnych ważnych informacji mailem nie wysyła. I wbicie tego do głowy miało impregnować klientów na zakusy wyłudzaczy loginów i haseł, którzy właśnie za pomocą e-maila próbują podszywać się pod bank.

Czy jednak ten to stwierdzenie jest aktualne? A może trzeba odróżnić to, jakie informacje bank może wysyłać mailem, a jakie nie? Sprawdziliśmy, jak to robią inne banki i okazało się, że oburzenie pana Jana było chyba na wyrost, bo mail, jako metoda autoryzacyjna, jest też w innych instytucjach.

Czytaj więcej: Złodzieje ogołocili twoje konto? Bank powinien oddać pieniądze i to już następnego dnia. Jest jeden wyjątek, który w polskich bankach niestety stał sie regułą

Czytaj też: Pamiętacie kradzieże pieniędzy z naszych kont bankowych „na duplikat karty SIM”? Są dwie wiadomości: dobra i zła

Co bank to oczytaj, ale e-maile to nie weryfikacyjny biały kruk

Generalnie w każdym banku sposobów na odzyskanie hasła jest zwykle kilka, w zależności od tego jak bardzo zawiodła nas pamięć (czy pamiętamy identyfikator klienta) i czy mamy dostęp do aplikacji mobilnej, czy nie. Na przykład w mBanku, jeśli zapomnę hasła, bank wysyła mailem zaszyfrowany plik PDF z hasłem jednorazowym. Żeby je odczytać potrzebne jest jednak hasło, które bank dośle SMS-em.

Ale hasło mogę też odzyskać w aplikacji mobilnej z pomocą SMS-a autoryzacyjnego lub przez teleserwis. PKO BP wysyła tymczasowe hasło SMS-em, a do tego podczas logowania muszę potwierdzić swoją tożsamość dodatkowym sposobem autoryzacji: aplikacją, drugim SMS-em, albo kartą zdrapką.

Pekao podaję swoje dane identyfikacyjne, np. PESEL, numer dowodu, albo nazwisko panieńskie matki, które aktywuje wysłanie e-maila z kodem jednorazowym. Po wpisaniu tego kodu, otrzymuję SMS-a.

Maile z kodem jednorazowym również wysyła Santander, ale po wcześniejszej odpowiedzi na trzy pytania weryfikacyjne. Podobnie jest w ING i BNP Paribas – wpisuję dane weryfikacyjne, np. PESEL, a bank wysyła mi SMS-em jednorazowy kod potrzebny do ustanowienia nowego hasła. Jak widać, Citi nie jest pod tym względem żadnym wyjątkiem, choć maile są raczej w mniejszości. Możliwe, że po prostu nie wszystkie banki zdążyły wprowadzić tę dwuetapowa metodę weryfikacji.

Czytaj też: Dane z dowodów osobistych i smartfonów, dane osobowe, tożsamość – to dziś cel złodziei. Jak nie dać się okraść z „cyfrowego majątku”?

Czytaj też: Złodzieje ogołocili twoje konto? Bank musi ci oddać pieniądze następnego dnia. Jest jeden wyjątek, który niestety stał się regułą

Co bank wysyła, a czego nie wysyła pocztą elektroniczną?

Faktem jest, że próby wyłudzenia informacji z wykorzystaniem poczty e-mail to prawdziwa plaga. Często złodzieje nie muszą włamywać się na nasze konto, tylko wchodzą na nie jak do siebie, bo uzyskują dostęp do danych logowania. Jak? Bardzo prosto – sami podajemy im nasze dane. Ciągle wiele osób daje się nabrać na e-maile, które sugerują, że wysłał je bank.

Bank Pocztowy opublikował wyniki badań, z których wynika, że na ataki cybernetyczne w Polsce narażona może być nawet co piąta osoba. Uwierzytelnianie dwuskładnikowe, czyli składające się z hasła i dodatkowej metody weryfikacji, generalnie uprzykrza życie złodziejom. Taka jest w dzisiejszych czasach cena bezpieczeństwa i to dotyczy nie tylko banków, ale też innych usług, w których podajemy nasze dane i dane do płatności (np. do aplikacji subskrypcyjnych).

Bank mógłby wysłać takie kody pocztą tradycyjną listem poleconym, ale przecież to trwałoby kilka dni. Mógłby też poprosić o kod z aplikacji mobilnej – w zależności od jej architektury kody są dostępne przed zalogowaniem albo po nim, więc teoretycznie nie musimy znać hasła – wystarczy, że mamy aplikację w smartfonie. Ale wracamy do tego, że użytkownicy nie za bardzo chcą korzystać ze smartfonowych aplikacji jako metody autoryzacji.

Dlatego chyba trzeba się pogodzić z tym, że banki niektóre wiadomości będą wysyłać na e-mail (pocztą elektroniczną). W tej sytuacji warto sobie przypomnieć, czego banki nie będą wysłać.

Po pierwsze: nie klikaj w żadne linki. Sam wiesz, gdzie się logować – jeśli korzystasz z e-banku, to zapewne masz zapisany adres logowania, który wpiszesz w przeglądarkę, albo skorzystasz z aplikacji mobilnej banku. Nie ma powodu, by klikać w jakiekolwiek linki, bardzo często są one przekierowaniem do stron przygotowanych przez złodziei, które mogą imitować prawdziwe strony banków. Przestępcy bez skrupułów wklejają w treść e-maila bankowe grafiki, logotypy, używają takiej samej czcionki, jaka jest na stronach bankowych, przekonują, że musisz kliknąć w linka, bo inaczej dostęp do środków zostanie zablokowany.

Po drugie: bank nigdy nie wysyła informacji o blokadzie konta przez e-mail. Informacja o tym, że dostęp jest zablokowany pojawia się tam, gdzie próbowaliśmy się zalogować, czyli na stronie logowania. Podobnie bank nie wysyła pocztą elektroniczną ani SMS-em linków do logowania do systemu transakcyjnego.

Po trzecie: bank nie prosi przez e-mail o aktualizację danych. Ostatnio na fali wdrażania dyrektywy PSD2 pojawiła się próba oszustwa, które polega na wysłaniu prośby o aktualizację danych karty. W ten sposób chciano niedawno podjeść klientów Santandera. E-mail miał taką mniej więcej treść: „Od 1 stycznia z powodu wejścia w życie dyrektywy PSD2 konieczne będzie zaktualizowanie danych karty. W przeciwnym razie, możliwość płatności zostanie zablokowana. Kliknij w celu aktualizacji”.

Czasami bank może informować, że masz nową wiadomość w serwisie transakcyjnym, ale nie umieszcza linków do logowania (wracamy do punktu pierwszego). Można podsumować, że e-maile od banków nie wymagają od nas klikania w cokolwiek, a jedynie służą do przekazywania informacji.

—————-

ZAPRASZAMY DO POSŁUCHANIA PODCASTU!

podcast foto samcik
Podcast „Finansowe sensacje tygodnia” 

W świątecznym odcinku podcastu „Finansowe sensacje tygodnia” Ekipa Samcika zabawiła się w Świętych Mikołajów, Gwiazdorów oraz Dziadków Mrozów i… przyznała przedstawicielom świata finansów – bankowcom, ubezpieczycielom, pośrednikom finansowym, fintechom, firmom inwestycyjnym, biurom maklerskim – prezenty oraz… rózgi, a nawet batogi (tak, tacy jesteśmy okrutni ;-)). Każdy z nas – Maciek Bednarek, Irek Sudak i Maciek Samcik – najpierw przyznał po trzy rózgi, a potem po kilka prezentów. Tylko Maciek Samcik miał więcej, niż trzy prezenty.

Zapraszamy do posłuchania! Żeby to zrobić, trzeba kliknąć ten link  albo znaleźć „Finansowe sensacje tygodnia” na Spotify, Google Podcast, Apple Podcast lub innej platformie podcastowej (nasze podcasty są dostępne na ośmiu platformach).

—————-

źródło zdjęcia: Unsplash/Avi Richards

Subscribe
Powiadom o
18 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Dominik
1 miesiąc temu

Super ! G- mail lub Outlook ma pakiet zabezpieczeń klucz U2F. Bezpieczniejsze nawet od mobilnej apki. Idealnie gdyby wpuszczało login + hasło + kod z maila. Ja jestem akurat za. 🙂 A hasło do maila musi być unikalne – pozwala na reset innych usług. Ale to proste 4 losowe słowa i mamy hasło. Układamy je w historie. np. Lubie batony mars i pić kawe Inke. I mamy hasło batonymarskawainka. Czasem uparciuchy wymagają znaku specialnego + cyfry + dużego to robimy : Batonymarskawainka1! I mamy piękne bezpieczne hasło 🙂 Jako 2 etap to jest klucz U2F np. yubikey około 140 pln… Czytaj więcej »

nakreche
1 miesiąc temu
Reply to  Dominik

opowiadasz bzdury rodem z niebezpiecznika (który promuje U2F bo trzepie na nich kasę)… klucz U2F wcale NIE JEST bezpieczniejszy niż apka w wielu scenariuszach… wyobraź sobie: nieuczciwą księgową, wspólnika, albo zazdrosnego męża… nie zauważysz jak na parę godzin z domowego lub firmowego sejfu zniknie Twój zapasowy klucz U2F. dodatkowo w warunkach domowo-firmowych znacznie łatwiej podejrzeć hasło jakie wpisujesz na komputerze. W tym scenariuszu – jesteś UGOTOWANY. Natomiast znacznie trudniej podejrzeć hasło do ajfona blokowanego biometrią, bo go zwyczajnie nie używasz (używasz twarzy/palca) – a co za tym idzie księgowa/wspólnik/mąż nie będą mieć dostępu ani do apki google auth, ani do… Czytaj więcej »

gosc
1 miesiąc temu
Reply to  nakreche

Nie tylko Niebezpiecznik uważa, że klucze U2F zapewniają większe bezpieczeństwo niż apki TOTP. Podobnie uważa Google i Tutanota: W Programie Ochrony Zaawansowanej dla kont Google możesz używać tylko kluczy U2F: https://landing.google.com/intl/pl/advancedprotection/ Dostawca bezpiecznej poczty tutanota.com: „We strongly recommend to use U2F (a hardware token such as Nitrokey / YubiKey) as this is the most secure option.” https://tutanota.com/blog/posts/email-security-guide-online Klucz U2F chroni przed fishingiem. Znacznie łatwiej jest przeciętnej osobie dopilnować bezpieczeństwo fizycznego klucza niż uchronić się przed cyberniebezpieczeństwem. Klucz U2F możesz trzymać go w sejfie z zabezpieczeniem biometrycznym a po wyjęciu nosić na smyczy: Sejfy z zamkiem biometrycznym Bezpieczeństwo na odcisk palca.… Czytaj więcej »

nakreche
1 miesiąc temu
Reply to  gosc

jesteś niespójny jak niebezpiecznik… (nie zdziwiłbym się gdybyś był jednym z jego redaktorów). 1. hasła do mojego ajfona nie podejrzysz w warunkach firmowo/domowych, bo go praktycznie nie używam (mam faceID). nie będziesz zatem miał dostępu do mojej apki google auth, choćbyś był moim najlepszym kumplem. 2. nigdy w życiu nie byłem tak pijany, by nie pamiętać, że ktoś przed twarzą machał mi moim telefonem w celu uzyskania dostępu do niego (ajfon nie odblokuje się jeśli na niego nie popatrzę) 3. mój ajfon z apple keychain nie wpisze hasła wielorazowego na złej stronie WWW (a co za tym idzie, nie dojdzie… Czytaj więcej »

gosc
1 miesiąc temu
Reply to  nakreche

Ludzie mają różne sytuacje życiowe. Jedni boją się żony a inni hakerów. Jedni korzystają z private bankingu i skrytki bankowej a inni mają podstawowy rachunek płatniczy. Jedni od dawna prowadzą bloga i kanał na YouTubie a inni dopiero co założyli pierwsze konto email itd.
Każdy powinien oszacować swoje ryzyko, sprawdzić jakie narzędzia/zabezpieczenia jest w stanie obsługiwać, na jakie go stać i na tej podstawie podjąć decyzję z czego będzie korzystał.

nakreche
1 miesiąc temu
Reply to  gosc

tylko, że nie brak scenariusza w którym haker shakuje moją apkę google auth z ajfona (zakładając, że wiem cokolwiek o bezpieczenstwie).
a istnieje wiele scenariuszy w których do banku/maila wejdzie niepowołana osoba z Twojego otoczenia jeśli używasz klucza U2F.

sarkazm o żonie jest niepotrzebny. niebezpiecznik powinien po prostu jasno napisać o wadach kluczy U2F, a tego nie robi, bo ważniejsze są ich hajsy, a nie uczciwa transparentna informacja. (by – jak piszesz – każdy mógł ocenić co jest dla niego lepsze)

gosc
1 miesiąc temu
Reply to  nakreche

Nie mam nic wspólnego z IT, ale interesuje się cyberbezpieczeństwem i kradzieżą tożsamości. Osoba, która dba o swoje finanse nie powinna ignorować tych dwóch zagadnień. Wybór odpowiedniej metody 2FA dla bankowości internetowej, konta email i innych usług powinna być dokonana świadomie. Dlatego proszę bardzo – artykuły o zaletach i wadach różnych metod 2FA: Weryfikacja dwuetapowa (2FA) https://jamano.pl/podwojnie-zabezpiecz-swoje-konto-na-czym-polega-weryfikacja-dwuetapowa/ sms, aplikacje TOTP, kod jednorazowy, klucze U2F Jak uniknąć problemów z uwierzytelnieniem dwuskładnikowym https://bulldogjob.pl/news/793-jak-uniknac-problemow-z-uwierzytelnieniem-dwuskladnikowym – klucze U2F, aplikacje TOTP, kody odzyskiwania dostępu (recovery codes), sms The Pros and Cons of Two-Factor Authentication Types and Methods https://www.makeuseof.com/tag/pros-cons-2fa-types-methods/ security quastions, kody wysyłane w sms/email, aplikacje… Czytaj więcej »

nakreche
1 miesiąc temu
Reply to  gosc

argumenty „z autorytetu” na mnie nie działają, szczególnie jeśli rozumiem dobrze zagrożenie…
apki na androidach były są i będą hakowane.
podaj mi JEDEN JEDYNY przykład shaczenia apki bankowej lub google auth na ajfonie…

a klucz U2F można ukraść. po prostu.

nakreche
1 miesiąc temu
Reply to  nakreche

tylko, że NIE MA scenariusza w którym haker shakuje moją apkę google auth z ajfona (zakładając, że wiem cokolwiek o bezpieczenstwie). Apka google auth jest BEZPIECZNA.
a istnieje wiele scenariuszy w których do banku/maila wejdzie niepowołana osoba z Twojego otoczenia jeśli używasz klucza U2F.

sarkazm o żonie jest niepotrzebny. niebezpiecznik powinien po prostu jasno napisać o wadach kluczy U2F, a tego nie robi, bo ważniejsze są ich hajsy, a nie uczciwa transparentna informacja. (by – jak piszesz – każdy mógł ocenić co jest dla niego lepsze)

BdB
1 miesiąc temu

Citibank w kwestii emaili jest pozbawiony rozumu, by nie rzec: głupi. Od nastu lat ostrzega się by uważać na podszywających się pod banki i nie klikać w zawarte w mailach linki. Tymczasem Citi robi dokładnie na odwrót: wysyła maile z linkami do niebankowej domeny kierującej do ekranu logowania. Oto fragment stopki słynnego maila dotyczącego autoryzacji płatności kartami w internecie. To zwykły usypiacz czujności klientów, wystarczy na miejscu phishingowego oszusta podmienić domenę na dowolną inną: „Uprzejmie informujemy, że w zakresie wysyłki komunikacji e-mailowej do Klientów, Citi Handlowy współpracuje również z firmą technologiczną SARE S.A. W przypadku wysłania wiadomości za pośrednictwem tej… Czytaj więcej »

BdB
1 miesiąc temu
Reply to  BdB

I żeby nie było: to nie jednorazowa akcja, tylko norma. Jednorazowo dali ten dopisek. Gdy jakieś 2 lata temu zwróciłem im uwagę, że ich mail wygląda jak phishing, usypia czujność i jest wbrew powszechnie (także i w tym artykule) promowanej zasadzie nieklikania w linki z maili (w dodatku link do niebankowej domeny), to… podziękowali za opinię i jak słali maile z linkami do logowania tak ślą po dziś dzień.

Dominik
1 miesiąc temu
Reply to  BdB

Dokumenty też prosi wysyłać mailem , nieszyfrowanym. do ich partera sprzedażowego.

Ale można wgrać bezpieczenie po odmowie poprzez ich cloud i dodać napis że dokument na potrzeby karty kredytowej.

Limtów na online też się nie da.

Bezpieczeństwo leży zgadzam się z panem u nich. 🙁

Ale za to są tłuste premie po 300,400 a nawet 500 złotych są za kartę kredytową, to na bezpieczeństwo nie ma 🙁

Last edited 1 miesiąc temu by Dominik
kjonca
1 miesiąc temu

O ile Citibanku nie lubię, to tam jest napisane że mail będzie *oprócz* SMS. Czyli jak rozumiem, dostaniemy DWA kody. Jeden na email, drugi na SMS. Mylę się?

gosc
1 miesiąc temu

Procedura odzyskiwania dostępu do bankowości internetowej jest często wykorzystywana przez przestępców, którzy okradają konta internetowe. Mam na myśli sim swap: Jak złodzieje od pół roku okradają klientów polskich banków na kwoty powyżej stu tysięcy złotych https://niebezpiecznik.pl/post/duplikat-karty-sim-kradziez-bank-mbank-bzwbk/ Pierwszy przypadek w tym artykule (mBank) – przestępcy jakimś sposobem przejęli login i hasło ofiary, zrobili sim swap i przejęli kontrolę nad sms’ami – mogli zlecić przelewy. Drugi przypadek (BZWBK) przestępcom nie udało się przejąć loginu i hasła, ale zrobili sim swap, uruchomili proces odzyskiwania dostępu – login i tymczasowe hasło zostało wysłane sms’em – mogli zlecić przelewy. Dobra procedura odzyskiwania dostępu powinna chronić… Czytaj więcej »

Admin
1 miesiąc temu
Reply to  gosc

A tak, chyba czas na pocztę z podwójnym uwierzytelnianiem

gosc
1 miesiąc temu
Reply to  Maciej Samcik

Dla Pana to najlepiej klucze bezpieczeństwa (U2F) bo z powodu prowadzonej działalności ma Pan za dużo do stracenia. Można je podpiąć do kanał YouTube/Konto Google, Facebook, Tweeter, email, menadżera haseł itd.

Admin
1 miesiąc temu
Reply to  gosc

Oj tak, a ostatnio ataki „celowane” do najpopularniejszy problem w sieci

nakreche
1 miesiąc temu
Reply to  gosc

czemu powtarzacie za niebezpiecznikiem te bzdury o U2F?!!!
to NIE JEST wcale bezpieczniejsze niż apka google auth… (mój komentarz powyżej wyjaśnia czemu)

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu