22 kwietnia 2024

Banki wprowadzają nowe zabezpieczenia dla naszych smartfonów. Bardzo potrzebne, ale… czy będziemy potrafili im zaufać?

Banki wprowadzają nowe zabezpieczenia dla naszych smartfonów. Bardzo potrzebne, ale… czy będziemy potrafili im zaufać?

Najpierw posiadacze aplikacji mobilnej VeloBanku, a teraz klienci BNP Paribas korzystający z usług przez smartfony dostali intrygującą propozycję – bank może objąć ich bankowe aplikacje mobilne ochroną… biometrii behawioralnej. Na czym to polega? Czy istnieje ryzyko inwigilacji? I czy w ogóle warto się w to bawić?

Cały urok korzystania z różnych usług za pomocą smartfonu polega na tym, że firmy, które nam je dostarczają, mogą się z nami bezpośrednio skontaktować. Mogą też wiedzieć, gdzie aktualnie jesteśmy. Np. McDonald’s już testuje „ściąganie” klientów mających jego aplikację do swoich barów na podstawie geolokalizacji, za pomocą powiadomień push oraz z dopasowaniem promocji do profilów zakupowych klientów.

Zobacz również:

Może być groźniej. Kilka lat temu pisałem w „Subiektywnie o Finansach” o kontrowersyjnej praktyce biznesowej Ubera, który kalkulował cenę przejazdu m.in. na podstawie… sposobu, w jaki klient używał smartfonu przy zamawianiu przejazdu. Oczywiście był to tylko jeden z parametrów, ale jeśli aplikacja mobilna miała dostęp do danych z żyroskopu w smartfonie, to mogła wykorzystywać jego dane do ustalenia, czy klient nie jest przypadkiem nietrzeźwy. A jeśli jest, to pewnie jest też „znieczulony” na cenę kursu.

Banki do tej pory bardzo ostrożnie korzystały z możliwości, które daje im fakt, że klienci mają w smartfonach aplikacje mobilne. To raczej klient decyduje o tym, kiedy używa bankowej aplikacji mobilnej i do czego. Banki nie proponują więc za pomocą powiadomień push rat zero procent klientom znajdującym się przed sklepem ogrodniczym, sprofilowanym jako fani ogródków. Choć np. mój bank, gdy opuszczę stację paliw, wysyła mi powiadomienia push typu: „Zatankowane? Kup ubezpieczenie…”.

Bankowcy zaczynają natomiast proponować nam korzystanie z biometrii behawioralnej w aplikacjach bankowych na smartfonach. To podobna technologia do tej, którą kilka banków (m.in. mBank czy ING) proponują klientom korzystającym z bankowości elektronicznej. Na czym to polega w wersji desktopowej? Jeśli zgodzisz się na profilowanie (zbieranie informacji o sposobie korzystania z komputera), to bank może zareagować na sytuację, w której zlecenie płatnicze składa ktoś, kto trochę inaczej stuka w klawisze na komputerze. Maciek Bednarek pisał o tym w „Subiektywnie o Finansach” już w 2018 r.

Ma to sens, bo dziś złodzieje pieniędzy raczej nie włamują się do bankowych systemów, raczej starają się dopaść zwykłych klientów i włamać się na ich konta bankowe. W połączeniu z socjotechniką (gdy sami podajemy złodziejowi, zalogowanemu już na nasze konto, jednorazowe identyfikatory transakcji) jest to naprawdę groźne. Bankowe systemy antyfraudowe powinny w coraz większym stopniu pomagać nam i typować wszelkie niestandardowe zachowania.

Czytaj też: Marek Kondrat namawia do bezpiecznego bankowania, promując korzystanie z… biometrii behawioralnej. Czy to ma sens? Prześwietlam

Kłopot w tym, że te nowe możliwości nie zawsze są wykorzystywane. Banki dysponują ogromnymi ilościami danych na nasz temat, ale wciąż zdarza się, że nie reagują na sytuacje, gdy ktoś zrzuca wszystkie pieniądze z kont oszczędnościowych, powiększa debet w koncie osobistym, robi przelew z karty kredytowej na ROR, a potem całą tę kasę wyprowadza z konta jednym dużym przelewem. Tego nie uznają za transakcję nietypową. Ale zakupy w zagranicznym sklepie internetowym potrafią zablokować kartę ze względów bezpieczeństwa.

Biometria bahawioralna w smartfonie może być naprawdę warta grzechu. O ile banki będą umiały reagować szybko i prawidłowo. Zwłaszcza że jest już bardzo, bardzo powszechna. Z bankowości mobilnej korzysta już 20,5 mln Polaków, czyli prawie tyle, ile z bankowości internetowej. Mniej więcej 14 mln osób to tacy klienci banków, którzy logują się do banku przez smartfon i jednocześnie nie logują się już do bankowości internetowej.

Z jednej strony wydaje się, że smartfon jest bezpieczniejszym narzędziem do bankowania niż komputer. Przeważnie smartfon jest zablokowany, zaś aplikacja bankowa w tym smartfonie wymaga zalogowania. Oba te poziomy zabezpieczeń są zabezpieczane biometrycznie – przeważnie logujemy się do smartfonu i aplikacji bankowej twarzą albo odciskiem palca. Wydaje się więc, że bezpieczniej być nie może.

Ale jest dokładnie odwrotnie. Po pierwsze dlatego, że biometria w niektórych okolicznościach może być niczym otwarte drzwi do konta. Swego czasu opisywałem w „Subiektywnie o Finansach” przygody nieostrożnych mężczyzn w klubach nocnych, których smartfony dostawały się w ręce szajek złożonych z tancerek i ich menedżerów. Facet był usypiany poprzez dosypanie mu do napoju jakichś proszków, a potem wystarczyło się zalogować do konta jego twarzą albo palcem i gotowe. Z kontra znikały kwoty liczone w setkach tysięcy złotych.

Jeśli muszę podać PIN na stronie internetowej banku, to – z wyjątkiem sytuacji, gdy ktoś mnie sterroryzuje lub utracę ten PIN – muszę być świadomy. W przypadku biometrii niekoniecznie. Używając smartfonu, nie jestem w stanie zastosować tej zasady bezpieczeństwa, która mówi, żeby używać innego urządzenia do logowania się do banku, a innego do zatwierdzania transakcji (czyli żeby coś wiedzieć i coś mieć – znać PIN i mieć dodatkowe urządzenie do zatwierdzenia przelewu). No i wreszcie: PIN można zmienić, a odcisku palca – nie.

Krótko pisząc: jeśli myślisz, że używając bankowości mobilnej, jesteś bezpieczny lub bezpieczna, bo wszystko jest „na palec” lub „na twarz”, to nie masz racji. Dlatego tak ważne jest, by bank miał narzędzie pozwalające zareagować, gdyby smartfon dostał się w niepowołane ręce. Na przykład w takiej sytuacji jak ta z klubu nocnego. Albo gdy tracę świadomość w tramwaju – upadam, smarfon wypada mi z ręki i ktoś się do niego loguje w moim imieniu.

Klienci BNP Paribas Bank Polska, którzy korzystają z aplikacji mobilnej GoMobile, żeby korzystać z dodatkowej ochrony, muszą tylko zgodzić się na aktywowanie nowej funkcji.

„Ochrona behawioralna w aplikacji bankowej polega na stworzeniu niepowtarzalnego modelu zachowania użytkownika w oparciu o sposób, w jaki korzysta z telefonu. System bada i analizuje np. sposób klikania, przewijania ekranu, wpisywania danych, a nawet trzymania smartfonu. W sytuacji, gdy aktywność w GOmobile będzie znacząco różnić się od modelu, (np. gdy ktoś inny zaloguje się do aplikacji), bank może skontaktować się z klientem w celu weryfikacji wykonywanej operacji”

– czytam w komunikacie „polskiego” BNP Paribas na temat biometrii behawioralnej dla klientowskich smartfonów. Usługę można włączyć w aplikacji GOmobile, wybierając kolejno: menu Profil, a następnie Bezpieczeństwo i menu Ochrona behawioralna (a jeśli ktoś woli – może ją włączyć w bankowości elektronicznej GOonline).

Bank informuje, że charakterystyczny dla każdego klienta model behawioralny jest na bieżąco uaktualniany. Z wiekiem czy z upływem czasu ludzkie zachowanie może się zmieniać i model też będzie się zmieniał. System – jak zapewniają bankowcy – nie bada tego, co użytkownik wpisuje na klawiaturze, lecz to jak się nią posługuje. Nie ma też zbierania danych wrażliwych. Pytanie brzmi, czy te zapewnienia wystarczą, by klienci gromadnie aktywowali nowe usługi.

Obiektywnie patrząc na problem, trzeba zachęcać do korzystania z biometrii behawioralnej. O mankamentach biometrii pisałem wyżej, ale przecież są i inne problemy – na smartfonach znacznie rzadziej mamy zainstalowane oprogramowanie antywirusowe niż na komputerach. Choćby z tego powodu każdą pomoc w zabezpieczeniu tego smartfonu warto przyjąć.

Czytaj też: Wrocławski fintech uruchamia system pozwalający płacić przez… skanowanie tęczówki oka! Ja już zapłaciłem tak za sushi. Gadżet czy rewolucja w płatnościach?

zdjęcie tytułowe: Onur Binay/Unsplash

Subscribe
Powiadom o
13 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Sebastian
29 dni temu

Ja od zawsze używam do bankowości internetowej dwóch urządzeń.Loguję się na smartfonie,a kody odczytuję na telefonie.Nie korzystam z weryfikacji behawioralnej w żadnym banku.Tak mi dobrze,tak lubię 🙂

Thomas
29 dni temu

U mnie to wyglada tak że loguje się tylko przez internet w laptopie, nie mam aplikacji, kod do autoryzacji przychodzi na inny numer tel ktory nie jest nigdzie podany, dodatkowo mam zabezpieczenie behawioralne i mam manie sprawdzania certyfikatu

Karol
28 dni temu
Reply to  Thomas

Czyli przez większość czasu nie masz pojęcia co sie dzieje z twoim kontem? Słabo, na telefonie mam powiadomienia push, jakby coś się działo to od razu bym wiedział. No i używanie kodów z SMS to proszenie się o kłopoty, choć jak większość obywateli możesz liczyć że jesteś na tyle nikim że nikt sobie tych twoich smsów które latają plaintextem nie podsłucha. Akceptacja tylko w apce, telefon ma się zawsze przy sobie.

Thomas Shelby
27 dni temu
Reply to  Karol

Tylko że w tel można kliknąć w zainfekowany link, ściągnąć zainfekowana aplikacje itp i podać złodziejom wszystko jak na tacy….

Karol
26 dni temu
Reply to  Thomas Shelby

No wiadomo bo każdy pierwszy lepszy Zbychu ma w swoim złodziejskim zapleczy napisanego w domu Pegasusa. Kliknąć w link to jedno a zainfekować się to drugie (zwłaszcza na telefonie, gdzie system jest budowany tak, że jeden proces nie może łatwo naruszyć innego procesu). Weźmy na warsztat choćby aplikacje automate, która służy do automatyzacji zadań na telefonie. Zobacz jak wiele opcji jest niedostępnych gdy telefon nie jest zrootowany (a na tym etapie zakładam, że telefon z którego chcesz korzystać z bankowości nie jest zrootowant albo wiesz co robisz i wtedy linki i podejrzane aplikacje nie są problemem) a na pozostałe musisz… Czytaj więcej »

Karol
26 dni temu
Reply to  Thomas Shelby

A na komputerze się nie da kliknąć w zainfekowany link?

Wiadomo na miasto też nie wyjdę od dzisiaj bo wystarczy chwila i jesteś poprawny dla okupu, przecież to wystarczy człowieka do samochodu wciągnąć i gotowe.

Karol
26 dni temu
Reply to  Thomas Shelby

Podsumowując wciąż bardziej obawialbym się tego, że mój sąsiad bez drogiego sprzętu może sobie czytać smsy które do ciebie przychodzą od banku (pushy z apki już nie przeczyta tak tanio), niż tego że ktoś wyda kilka milionów i spali 0daya żeby ukraść mi kilka tysięcy z apki bankowej.
Bo oczywiście też mam w sobie trochę filiarza i do telefonu mam podpięte bieżące konto z którego na codzien płacę, a nie to na którym trzymam oszczednosci (choć to akurat choroba psychiczna, bo strach jest nieuzasadniony i nieracjonalny).

Karol
26 dni temu
Reply to  Thomas

Jak sprawdzasz certyfikat, bo certyfikat to można w dowolnym sklepie z certyfikatami kupić, dlatego banki przestały sugerować że sprawdzanie certyfikatu coś daje?

Radek
29 dni temu

Dobra, dobra, jakby chcieli zabezpieczyć a nie szpiegować to by dodali normalnie obsługę kluczy u2f, które można i wpiąć do PC i odczytać smartfonem z NFC.

koko
28 dni temu
Reply to  Radek

…. ale tylko kluczem deszyfrujacym zmienianym dobowo i trzymanym w sejfie…. ale i tak czuję się mało bezpiecznie…..

Karol
28 dni temu
Reply to  koko

Wystarczy zwykły U2F, nic nie trzeba zmieniać dobowo, ktoś cię oszukał albo nie zrozumiałeś materii.

Nerkofil
18 dni temu

Podstawowa i niezbędna zasada dostępu do naszych kluczowych zasobów: „to co masz PLUS to co wiesz” – sam pin LUB biometria nie zabezpieczają skutecznie. Z drugiej strony: Skoro już można na własnym desktopie odpalić wstępnie przygotowane samouczace się AI z Darknetu, to jeśli już mamy dostęp (zdalny) do czyjegoś desktopa, niech taka AI się na coś przyda i nauczy twojego stylu ruszania myszką, czy zastanowień we wpisywaniu hasła bankowego;-) Kilka sekund animacji zdjecia Twojej twarzy dziś też AI nie przerasta. Zabezpieczenie biometryczne da nam jedynie chwilę na znalezienie czegoś odpornego na AI.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu