14 października 2021

Czy niektóre polskie banki niewystarczająco dobrze chronią klientów przy logowaniu? „Samo hasło maskowane to żart” – alarmuje czytelnik. Czy ma rację?

Czy niektóre polskie banki niewystarczająco dobrze chronią klientów przy logowaniu? „Samo hasło maskowane to żart” – alarmuje czytelnik. Czy ma rację?

Nasz czytelnik zauważył, że Bank Pekao i ING nie stosują silnego uwierzytelnienia podczas logowania do bankowości elektronicznej, przez co wystawiają klientów na niebezpieczeństwo cyberataków. Ale czy faktycznie banki łamią zasady PSD2, czyli unijnej dyrektywy o usługach płatniczych?

Co chwilę opisujemy historie naszych czytelników, którzy padli ofiarami internetowych oszustów. Choć w ostatnim czasie cyberataki na klientów banków stały się plagą, to złodzieje od zawsze próbowali sforsować bankowe zabezpieczenia i wykorzystać naszą naiwność i łatwowierność (ataki z wykorzystaniem socjotechniki).

Zobacz również:

Dlatego kilka lat temu w Unii Europejskiej stworzono regulacje, dzięki którym korzystanie z bankowości elektronicznej miało stać się bezpieczniejsze. Chodzi o dyrektywę PSD2 o usługach płatniczych, która zaczęła obowiązywać w drugiej połowie 2019 r.

Wprowadziła ona m.in. silne uwierzytelnienie, które w uproszczeniu polega na tym, że dostępu do naszych rachunków bankowych strzegą nie tylko login i hasło. Banki wymagają, by w procesie logowania do bankowości elektronicznej czy potwierdzania transakcji (np. przelewu) użyty został np. kod przesłany SMS-em lub potwierdzenie w bankowości mobilnej.

Dzięki PSD2 bezpieczniej powinniśmy czuć się też podczas zakupów. Płacąc kartą zbliżeniowo, nie trzeba podawać kodu PIN przy transakcjach do 100 zł. Ale system – przy co piątej „bezpinowej” transakcji – i tak wymusi wpisanie kodu.

Przeczytaj też: To się nazywa mieć pecha. Złodzieje trzy razy próbowali okraść panią Annę. Dwa cyberataki im się udały. Zawiniła tylko klientka czy trochę też jej bank?

Pan Hubert oskarża: Pekao i ING nie przestrzegają zasad PSD2

Czy wszystkie banki stosują zasady PSD2? Nasz czytelnik uważa, że nie. Korzysta z usług kilku banków, m.in. PKO BP, BNP Paribas, Getin Noble Bank, Citi Handlowego, które stawia za wzór.

„Przy logowaniu przez bankowość internetową te banki przesyłają na telefon, w formie powiadomienia push, prośbę o zaakceptowanie logowania w bankowości mobilnej – to tzw. autoryzacja mobilna. I tu nie mam uwag. Bezpieczeństwo na wysokim poziomie. Mam jednak produkty również w innych bankach, gdzie podejście jest zupełnie odmienne”

– pisze pan Hubert. Ma na myśli Bank Pekao i ING Bank.

„Jedynym zabezpieczeniem podczas logowania do bankowości elektronicznej jest maskowanie hasła i to koniec. Maskowanie nie jest żadnym zabezpieczeniem nawet dla średnio rozgarniętego złodzieja. Podwójne uwierzytelnienie potrzebne jest przy pierwszym logowaniu, co też zrobiłem, a potem tylko raz na trzy miesiące!”

Pan Hubert wylicza, na jakie zagrożenia narażony jest klient, którego konto chronione jest tylko hasłem. Po złamaniu tego zabezpieczenia złodziej może: sprawdzić historię rachunku, poznać miejsce pracy, zarobki, adres zamieszkania, co i gdzie kupujemy itd.

„Taki zbiór informacji może pozwolić na kradzież tożsamości czy pieniędzy. Banki mają za nic nasze bezpieczeństwo. A potem przy kradzieży pieniędzy wskazują palcem na nas, że to nasza wina”

Przeczytaj też: „Kredyt na klik”: dodatkowa pokusa dla cyberprzestępców. Masz go, choć być może o tym nie wiesz. Dlaczego banki nie pozwalają klientom go „wyłączyć”?

Bankowcy odpowiadają: przestrzegamy zasad PSD2

Dodatkowe wymogi wynikające z dyrektywy PSD2 oznaczają, że klient więcej czasu niż wcześniej musi poświęcić np. na zlecenie przelewu. I nie każdemu to się podoba. Dlatego niektóre banki – chcąc być w zgodzie z przepisami, a z drugiej strony, żeby za bardzo nie utrudnić klientom życia – wykorzystują wymogi w wersji „minimum”.

Wywołałem do tablicy Bank Pekao i ING Bank, a więc banki, które podpadły panu Hubertowi. Jak tłumaczą fakt, że ich poziom zabezpieczeń jest niższy niż w innych bankach? A może wcale nie jest niższy, tylko inaczej zaprojektowany? ING Bank zapewnia, że jego zabezpieczenia są zgodne z wymaganiami dyrektywy PSD2. A dyrektywa zezwala na stosowanie odstępstw od użycia silnego uwierzytelnienia.

„Wymóg użycia silnego uwierzytelnienia przy logowaniu do bankowości elektronicznej dotyczy pierwszego użycia, a następnie musi być ono wykorzystane minimum co 90 dni. Natomiast przy autoryzacji transakcji finansowych oraz innych dyspozycji niosących ryzyko popełnienia oszustwa, stosujemy silne uwierzytelnienie zawsze, poza wyjątkami dopuszczonymi w PSD2”

– wyjaśnia Magdalena Ostrowska z biura prasowego ING Banku. Wyjątki dotyczą transakcji cyklicznych, zaufanych odbiorców, transakcji pomiędzy rachunkami własnymi klienta oraz niskokwotowych. Dodaje, że bank stosuje inne zabezpieczenia, o których klient może nie wiedzieć, bo działają one w tle.

„Silnik analizujący cechy transakcji, wychwytujący anomalie i podejrzane działania, może wydawać rekomendacje, celem zastosowania dodatkowego zabezpieczenia, zablokowania wykonania transakcji lub zablokowania dostępu do bankowości elektronicznej klienta. Ponadto reagujemy na bieżąco na pojawiające się na rynku zagrożenia ze strony cyberprzestępców. Dostosowujemy stosowane zabezpieczenia tak, aby blokować działania przestępców, stale zmieniających modus operandi”.

Bank Pekao stawia na monitoring anomalii

Jak na zarzuty postawione przez pana Huberta odpowiada Bank Pekao?

„Istnieją prawne oraz techniczne możliwości, aby tzw. silne uwierzytelnienie zastąpić rozwiązaniami, które są tak samo skuteczne, a równocześnie przyjazne dla klienta. Nie uprawnia to do twierdzenia, że taki dobór zabezpieczeń jest niezgodny z dyrektywą PSD2 czy też mniej bezpieczny”

– mówi Paweł Jurek, rzecznik prasowy banku. Wyjaśnia, że zgodnie z zasadami opisanymi w dyrektywie dostawca usług płatniczych nie ma obligatoryjnej konieczności stosowania każdorazowo logowania z silnym uwierzytelnieniem i Bank Pekao skorzystał z tego rozwiązania.

„Logowanie z silnym uwierzytelnieniem w Banku Pekao jest wymagane wyłącznie podczas pierwszego logowania do bankowości elektronicznej oraz nie rzadziej niż raz na 90 dni od ostatniego logowania z silnym uwierzytelnieniem”.

Żeby pogodzić wygodę z bezpieczeństwem klientów, Pekao postanowił m.in. na monitoring anomalii, np. wykrywanie logowania z innego urządzenia niż urządzenia dodane przez klienta do listy urządzeń zaufanych.

Paweł Jurek tłumaczy, że bank w sposób ciągły monitoruje bezpieczeństwo aplikacji, w tym logowania klientów w celu wykrywania wszystkich odstępstw, które mogą nieść negatywne skutki związane zarówno z dostępem do danych wrażliwych, jak i środków zgromadzonych przez klienta. W przypadku wykrycia odstępstw operacje mogą być kierowane do dodatkowej weryfikacji telefonicznej.

Przeczytaj też: Z powodu pandemii (ale nie tylko) staliśmy się bardziej aktywni w internecie. I kusimy cyberprzestępców. Jak technologie i my sami możemy się przed nimi chronić?

Bankowcy: klienci sami dają się okradać

Banki Pekao i ING zwracają uwagę na to, że nawet najlepsze zabezpieczenia przed cyberprzestępcami staną się bezwartościowe, jeśli klient nie będzie przestrzegał elementarnych zasad bezpieczeństwa.

„Zdecydowana większość ataków opiera się obecnie o działania socjotechniczne. Zmanipulowani z użyciem phishingu, smishing czy spoofingu klienci ujawniają dane autoryzujące niezależnie od kanału czy faktora silnego uwierzytelnienia. A przy fraudach inwestycyjnych pod wpływem sugestii przestępców często sami wykonują transakcje”

– mówi Magdalena Ostrowska z ING, a Paweł Jurek z Pekao dodaje, że większość przypadków związanych z działaniami przestępczymi w serwisach bankowości elektronicznej jest pokłosiem ataków socjotechnicznych, w wyniku których klienci sami podają dane do logowania i autoryzują dyspozycje.

Nie ma racji pan Hubert twierdząc, że banki nie przestrzegają zasad dyrektywy PSD2 dotyczących silnego uwierzytelnienia przy logowaniu do bankowości elektronicznej. Ale czy akurat ten aspekt związany z bezpieczeństwem jest najważniejszy? Bankowcy (i nie chodzi tylko o Pekao i ING) często podkreślają, że mają systemy, które potrafią wyłapać zachowania nietypowe dla danego klienta i zablokować lub wstrzymać do wyjaśnienia podejrzane transakcje.

Z analizowanych przeze mnie spraw naszych czytelników zwykle ten element zabezpieczeń nie działa. Niedawno pisała do mnie pani Anna, która w wyniku cyberataku straciła kilka tysięcy złotych. Z bankowości elektronicznej korzystała „od wielkiego dzwonu”, głównie po to, żeby sprawdzić stan konta. Choć podłożyła się oszustom, to ma żal do banku, że nie wykrył niepasujących do jej profilu transakcji, czyli zakupów w środku nocy w ukraińskim sklepie internetowym.

Mamy PSD2, ale cyberataków stale przybywa. Czy potrzebna nam jest kolejna odsłona przepisów o usługach płatniczych? A może jest tak, jak mówią bankowcy, że to klienci są sobie winni, bo dają się jak dzieci podpuszczać złodziejom?

Przeczytaj też: Bankowa infolinia wrotami do kradzieży pieniędzy. Uwaga na wyjątkowo perfidny trik cyberprzestępców! Jeśli mają twój e-mail i numer telefonu z wycieku…

——————–

Nowy podcast „Finansowe sensacje tygodnia”. Gość specjalny: Jan Grzegorz Prądzyński

W tym odcinku podcastu „Finansowe sensacje tygodnia” rozmawiamy o teraźniejszości i przyszłości ubezpieczeń. O co chodzi w konflikcie firm ubezpieczeniowych z częścią warsztatów w sprawie kosztów napraw naszych aut? Czy ceny polis samochodowych dotknie inflacja? Czy to dobrze, że za punkty karne będziemy płacili wyższe składki za samochodowe OC? Jak ubezpieczyciele mogą pomóc w poprawie jakości świadczonych przez państwo usług zdrowotnych? Czy cyfryzacja ubezpieczeń wytnie zawód agenta i brokera? Czy nadchodzi era ubezpieczeń „katastroficznych”? Co najbardziej uwiera dziś branżę ubezpieczeniową? O tym wszystkim dyskutujemy z Janem Grzegorzem Prądzyńskim, szefem Polskiej Izby UbezpieczeńZapraszam do posłuchania pod tym linkiem.

Podcast „Finansowe sensacje tygodnia” znalazł się ostatnio w zestawieniu 10 najpopularniejszych podcastów newsowych na platformie Spotify. A możecie go słuchać także na Google Podcast, Apple Podcast oraz na kilku innych, popularnych platformach podcastowych

Źródło zdjęcia: Pixabay

Subscribe
Powiadom o
21 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
ORRO
1 miesiąc temu

Akurat Citi też nie wymaga autoryzacji przy każdym logowaniu…
…i bardzo dobrze, bo oczywiście wymagane jest ono przy każdym *pierwszym* logowaniu na danym urządzeniu, a później właśnie co owe 90 dni.
(Bajdełej: PKO BP już kazał wyrzucić zdrapki? bo jeszcze rok temu ludzie robili z nimi przelewy.)

Łukasz
1 miesiąc temu
Reply to  ORRO

Ostatnio widziałem jak kolega w city autoryzował transakcję. Nie wiem , może ma coś źle skonfigurowane ale i tak to pod prokuraturę się nadaje;) Hasło, a w haśle link do www pod którym wpisujemy dane do logowania do banku i tam zatwierdzamy transakcję. Nie wiem czemu nie było to powiadomienie push. Kolega taki rozgarnięty że sam nie wie co i jak używa a ja już nie drążyłem tematu tylko przekazałem żeby tak nie autoryzował a jak się nie da to zmienić bank.

Przemek
1 miesiąc temu

Niestety banki albo blokują konta nie tym co potrzeba (np. handlującym krytowalutami), albo nie blokują nic. Tak to niestety wygląda z perspektywy zwykłego człowieka.

Aaa
1 miesiąc temu

Podwójne uwierzytelnienie potrzebne jest przy pierwszym logowaniu, co też zrobiłem, a potem tylko raz na trzy miesiące!” ale tylko na tym jednym, zapamiętanym urządzeniu tak? Zmieniamy urządzenie i od razu mamy silne? Najprościej sprawdzić wchodząc do serwisu banku z trybu incognito. Jak wyskoczy silne to jest jak piszę.

Stef
1 miesiąc temu
Reply to  Aaa

No właśnie. Jak się loguje z tego samego kompa to przez 270 dni też nie ma prośby o podanie kodu z sms-a.

kjonca
1 miesiąc temu

„Z analizowanych przeze mnie spraw naszych czytelników zwykle ten element zabezpieczeń nie działa.”
Pan redaktor jest doś pewny siebie. Skąd pan redaktor wie, ile takie systemy WYKRYŁY i zablokowały podejrzanych działań? Jak wiadomo to są heurystyki więc będą miały pewien margines błędu. niech on będzie 0,1 promila. Wtedy na 10000 prób nie wychwyci jednej. Ale to ta jedna osoba się panu redaktorowi pożali. Te 10000 może nawet nie być świadomych, że byli przeskanowani przez system antyfraudowy. To samo dotyczy oczywiście alarmów w drugą stronę.

Michał
1 miesiąc temu
Reply to  kjonca

Załóż konto w ING i loguj się z różnych urządzeń, IP itp nic się nie stanie. Zaloguj się tylko z VPN i obserwuj 🙂
0.1 promila błędu to bardzo dużo. Byle system od rozpoznawania tablic rejestracyjnych ma błąd na poziomie 1/1000000

kjonca
1 miesiąc temu
Reply to  Michał
  1. Mam konto w ING , ze 2 razy byłem poproszony o hasło SMS (bez związku z tym skąd sie logowałem – zwykle loguję się z 2 miejsc). Zdarzyło mi się logować przez dziwne proxy (jakieś vps w Bangalore) – i nic. Co właściwie chciałeś pokazać?
  2. ta liczba 0.1 promila to (jakby niektórzy nie zrozumieli) był tylko (trudne słowo) PRZYKŁAD. Chodziło o pokazanie, jakby to ująć, pobieżnego potraktowania tematu przez pana redaktora. Który bez wiedzy o tym ile faktycznie systemy antyfraudowe miały fałszywych wskazań radośnie napisał,  że „nie działają”.
Stef
1 miesiąc temu

Millenium też nie wymaga albo losowo jak się loguje z innego komputera.

ING to się nie powinno tym swoim algorytmem chwalić bo jest do…
Można się zalogować z nowego urządzenia, zerwać lokaty i zlecić 3x przelew na górna kwotę limitu.
Ps
W ing system bez względu na czas nie zarzadał sms do logowania nawet po upływie 360 dni.

Don Q.
1 miesiąc temu

Niedawno pisała do mnie pani Anna, która w wyniku cyberataku straciła kilka tysięcy złotych. Z bankowości elektronicznej korzystała „od wielkiego dzwonu”, głównie po to, żeby sprawdzić stan konta. Choć podłożyła się oszustom, to ma żal do banku, że nie wykrył niepasujących do jej profilu transakcji, czyli zakupów w środku nocy w ukraińskim sklepie internetowym.

Czyżby? A może jednak chodzi to tę panią Annę, która straciła 2000 zł, bo podała złodziejom login, hasło i kod z sms z telefonu, który posiadała (czyli zgodnie z PSD2)?

Last edited 1 miesiąc temu by Don Q.
gosc
1 miesiąc temu

„Bankowcy (i nie chodzi tylko o Pekao i ING) często podkreślają, że mają systemy, które potrafią wyłapać zachowania nietypowe dla danego klienta i zablokować lub wstrzymać do wyjaśnienia podejrzane transakcje. Z analizowanych przeze mnie spraw naszych czytelników zwykle ten element zabezpieczeń nie działa.” Systemy do wykrywania nieautoryzowanych transakcji w czasie rzeczywistym analizują codziennie miliony transakcji i wykrywają wiele oszustw. Przeanalizowanie kilku czy kilkunastu transakcji nie pozwala na stwierdzenie „ten element zabezpieczeń nie działa.” Nie mamy danych aby ocenić skuteczność takich systemów w bankach – to wiedzą tylko ludzie z działów bezpieczeństwa banków. W każdym razie żadne zabezpieczenie nie jest skuteczne… Czytaj więcej »

Enrico Pallazzo
1 miesiąc temu

„Żeby pogodzić wygodę z bezpieczeństwem klientów, Pekao postanowił m.in. na monitoring anomalii, np. wykrywanie logowania z innego urządzenia niż urządzenia dodane przez klienta do listy urządzeń zaufanych.”

Jeśli chodzi o Pekao SA, to chyba działa to średnio. Często loguję się przez przeglądarkę, do tego mam zmienne ip. Robię różne przelewy. Ani razu nie było problemu z zalogowaniem się i zrobieniem przelewu. A przecież różne ip to anomalią, jeśli chodzi o logowanie. Nikt do mnie nie dzwonił.

gosc
1 miesiąc temu

Jeśli ktoś ma dostawcę Internetu, który stosuje zmienne IP to wtedy logowanie się za każdym razem z innego IP (ale z sieci tego samego dostawcy) jest normą a nie anomalią.

batonik
1 miesiąc temu
Reply to  gosc

Ale ISP ten sam i system może to rozpoznawać.

gosc
1 miesiąc temu

Jeszcze jedno. Podejrzewam, że banki aby identyfikować urządzenia zaufane, nie ograniczają się do adresu IP, ale stosują device fingerprint (w tym browser fingerprint). Z kolei cyberprzestępcy aby oszukać systemy bankowe mogą stosować device fingerprint spoofing. 
Jeśli zmieni się adres IP, a pozostałe parametry urządzenia (device fingerprint) są takie jak zawsze … 

Polecam:
IP spoofing
https://pl.wikipedia.org/wiki/IP_spoofing
Device fingerprint
https://en.wikipedia.org/wiki/Device_fingerprint
Device Fingerprinting
https://www.ipqualityscore.com/device-fingerprinting

Edek
1 miesiąc temu

Słowo klucz, ciasteczka.

batonik
1 miesiąc temu

Mam konto w Millennium i tam jeszcze ani razu nie trafiłem na silne uwierzytelnienie.

Don Q.
1 miesiąc temu
Reply to  batonik

Nie wierzę Ci. Tzn. możliwe, że nie trafiłeś, bo bankowości internetowej w ogóle nie używasz. Ja nie chciałbym tu wyjść na osobę broniącą tego banku, bo pod wieloma względami to najgorszy bank w Polsce, szczerze korzystanie z niego odradzam, jak kogoś to interesuje, to jak się uspokoję, to opiszę moje ostatnie przeżycia. Ale akurat silne uwierzytelnienie ten bank stosuje. Zresztą to też była rzecz, która mnie kiedyś wkurzyła: zapewne zmieniło mi się IP i ich system bankowości internetowej uznał, że muszę się silnie uwierzytelnić. Rzecz w tym, że miałem tam ustawione kody jednorazowe sms, ale miałem też zainstalowaną apkę w… Czytaj więcej »

Last edited 1 miesiąc temu by Don Q.
Tom
1 miesiąc temu

Toyota Bank ma bardzo dobrą aplikację do logowania.

Nerkofil
23 dni temu

Dwa przyklady: 1. „Bankując lokalnie” wiele lat, puściłem ok.23:30 1000$ na konto w Singapurze.Co na to mBank? Nico. 2. 10 transakcji na niecałe 3zł – zakupy „coinów” Pokemon w sklepie w Indonezji = blokada kontai telefon od konsultanta z ING.

Admin
23 dni temu
Reply to  Nerkofil

ING ostatnio jest bardzo wyczulony antyfraudowo. Ale jego wyczulenie jest wybiórcze

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!