8 grudnia 2020

Dziwna autoryzacja transakcji w internecie: wymagany kod SMS i… nazwisko panieńskie matki. Bank chroni klienta, czy – paradoksalnie – naraża go na kłopoty?

Dziwna autoryzacja transakcji w internecie: wymagany kod SMS i… nazwisko panieńskie matki. Bank chroni klienta, czy – paradoksalnie – naraża go na kłopoty?

Bank BNP Paribas Polska od niedawna dodatkowo uwierzytelnia nasze transakcje kartą płatniczą w internecie. Trzeba podać nie tylko standardowo kod z SMS-a, ale i nazwisko panieńskie matki. Czy to nie jest aby przesada?

Dotarłem do informacji od kilku osób, z których wynika, że podczas płatności w sklepach internetowych kartą banku BNP Paribas wymagana jest dodatkowa autoryzacja transakcji: najpierw standardowo podaje się kod z SMS-a, a potem nazwisko panieńskie matki. Pierwsza myśl klienta po tym, gdy takie żądanie z banku przyjdzie to: „oszustwo, ktoś tu wyłudza dane osobowe”. O co tutaj chodzi, do licha?

Zobacz również:

Tak bank – jak twierdzi – „zwiększa nasze bezpieczeństwo”. Sprawdziłem i… sam stałem się „ofiarą” tej procedury. Nic nie wskazywało na uruchomienie jakiegoś specjalnego algorytmu zabezpieczającego w przypadku wyjątkowo „podejrzanych” transakcji. Niska kwota transakcji (57 zł), często używana karta do płatności w internecie (kilka razy w miesiącu), znany sklep (już kilka transakcji tą kartą w tym sklepie w ciągu ostatniego roku).

Na początku wszystko wyglądało standardowo – skompletowany koszyk, płatność kartą, podane dane karty, podany kod z SMS-a. Niespodzianką był dopiero kolejny ekran, na którym trzeba było podać właśnie nazwisko panieńskie matki. Zresztą zobaczcie sami:

Czytaj też: Będzie płacenie kartą w internecie „na jeden klik”? Visa Checkout poinformowała użytkowników o pewnej nowości

Chcemy Twojego bezpieczeństwa, a więc… podaj nam wszystkie dane

Wygląda na to, że obecnie bank weryfikuje w ten sposób każdą transakcję, która wymaga podania kodu z SMS-a. Czyli jeżeli mamy gdzieś zapamiętaną kartę (np. w Allegro), to nie jest wymagany ani kod z SMS-a, ani dodatkowa weryfikacja – chociaż tu też trzeba uważać, bo jak wydawałem kiedyś większą kwotę, to – mimo zapamiętanej karty – system poprosił mnie o SMS-a.

Sama idea pewnie jest szczytna – bank dodatkowo chroni nasze pieniądze. Nazwisko panieńskie matki to dosyć trudna do uzyskania informacja, a więc stosunkowo bezpieczna. Problem w tym, że bezpieczeństwo powinno być dopasowane do ryzyka. Szczególnie jeżeli chodzi o podawanie danych osobowych. Chcemy przelać gdzieś wszystkie środki z konta oszczędnościowego? Dodatkowa autoryzacja przez bank jest jak najbardziej wskazana. Przy płatności w internecie na 50 zł? Niekoniecznie, skoro w sklepach możemy płacić bez podawania PIN-u nawet do 100 zł!

Już teraz wiele banków podczas rozmowy telefonicznej (zwykła oferta marketingowa, np. propozycja kredytu) prosi o dodatkową weryfikację (często właśnie nazwiskiem panieńskim matki).

Moim zdaniem takie działania banku to działanie na korzyść internetowych złodziei lub wyłudzaczy danych. Dzięki takim procedurom pojawia się większa skłonność do udostępniania swoich danych osobowych przez klientów. Skoro podawanie danych osobowych przez telefon jest naturalne, to jeśli zadzwoni złodziej, to też je podamy.

Teraz szykuje nam się to samo z transakcjami internetowymi. Będziemy automatycznie podawać bardzo cenne dane osobowe, a tym samym będziemy bardziej narażeni na ich wypłynięcie. Dając się nabrać w fałszywej bramce płatności stracimy kolejny bezpiecznik. I to na zawsze, bo takiego nazwiska nie zmienimy w przyszłości.

Czytaj też: Kupujesz w internecie? Idą zmiany. E-sklepy pomogą w sfinansowaniu zakupów, a pośrednicy od płatności… w wyborze e-sklepu

Pytam o co chodzi – bank wyjaśnia

Zapytałem w banku o powyższą sytuację. W szczególności o to, czym jest uzasadniona taka zmiana i dlaczego podawanie wrażliwej, bądź co bądź, danej jest wymagane nawet dla transakcji o niskiej kwocie. Postanowiłem też sprawdzić, czy zdaniem banku takie rozwiązanie nie popularyzuje udostępniania na prawo i lewo swoich danych osobowych, których bez powodu nie należy podawać. Odpowiedzi cytuję poniżej.

„Dodatkowy krok w autentykacji klienta podczas wykonywania transakcji w internecie został wdrożony jako realizacja postanowień dyrektywy PSD2 – obowiązek stosowania Strong Customer Authentication (SCA). Wszyscy uczestnicy rynku będą musieli dostosować się do tych wymogów PSD2 do końca 2020 r. Bank BNP Paribas już teraz wdrożył dwufaktorową identyfikację, a pozostałe elementy rozwiązania, w tym zwolnienia dopuszczone przepisami, wdroży sukcesywnie do końca tego roku. W ramach zwolnień od stosowania SCA będą m.in. transakcje niskokwotowe”

Przedstawicielka banku tłumaczy, że podstawową metodą autentykacji klienta podczas wykonywania transakcji w internecie jest autoryzacja mobilna w aplikacji mobilnej – to wygodna i szybka forma potwierdzania transakcji.

„Autentykacja klienta za pośrednictwem hasła SMS wysyłanego na telefon klienta oraz nazwiska panieńskiego matki jest wyłącznie metodą dla tych klientów, którzy nie posiadają aplikacji mobilnej i traktujemy ją jako przejściową, do momentu wdrożenia rozwiązania docelowego”

Czyli znowu wszystko to wina PSD2. Bank na razie poszedł na łatwiznę i zabezpieczył wszystkie transakcje tzw. drugim czynnikiem bezpieczeństwa. Mam nadzieję, że informatycy (i prawnicy) banku pracują nad wygodniejszymi sposobami. Nie ma dwóch zdań, że najbezpieczniejsze jest zatwierdzanie transakcji przez aplikację mobilną. Dzięki niej autoryzacja transakcji przebiega bez podawania dodatkowych danych.

W rozporządzeniu regulującym obowiązki banków dopuszczonych jest kilka wyjątków od dwuczynnikowego uwierzytelniania transakcji, chociażby dla zdalnych elektronicznych transakcji płatniczych, które dostawca usług płatniczych uzna za charakteryzujące się niskim poziomem ryzyka. Do tego bank musi jednak przeprowadzić między innymi analizę ryzyka w czasie rzeczywistym i nie stwierdzić:

– niestandardowych wydatków lub niestandardowego wzorca zachowań płatnika;
– nietypowych informacji na temat dostępu do urządzenia/oprogramowania płatnika;
– wystąpienia złośliwego oprogramowania w którejkolwiek sesji procesu uwierzytelniania;
– znanego scenariusza oszustwa w świadczeniu usług płatniczych;
– niestandardowej lokalizacji płatnika;
– lokalizacji odbiorcy wiążącej się z wysokim ryzykiem.

Czy systemy banków są do tego gotowe? To taka trochę idealna i utopijna sytuacja, w której algorytmy rozpoznają, że my płacimy kartą i wszystko przebiega gładko lub stwierdzają coś dziwnego i uruchamiają dodatkowe zabezpieczenia. Mogłoby to też uchronić od spontanicznych zakupów niektórych pijanych ludzi w środku nocy.

Czytaj też: BLIK pójdzie na wojnę z kartami płatniczymi nie tylko w internecie. Banki przygotowują się już do umożliwienia płatności zbliżeniowych BLIK w sklepach stacjonarnych

Czy można to zrobić lepiej?

Bank BNP obiecuje dalsze zmiany. W innych bankach osoby odpowiedzialne też mają pewnie ból głowy związany z silnym uwierzytelnianiem klienta, czego przykładem może być niedawny artykuł Maćka Samcika o kluczeniu z autoryzacją SMS w Citibanku. Jak to rozwiązać?

Cóż – najbezpieczniejsze są tokeny sprzętowe. Maciek już w połowie zeszłego roku zauważył, że niemieckie banki nie chcą opierać się na technologii autoryzacji smsowej i będą używać tokenów działających offline. Nie są one może najwygodniejsze, ale na pewno dobrze chronią naszą gotówkę.

Pytanie czy aż takie bezpieczeństwo jest nam niezbędne do drobnych płatności kartą w internecie. Może można ustalić z klientem na etapie otwierania rachunku jakieś indywidualne hasło do transakcji w internecie. Jeżeli takie wypłynie w świat, to zawsze będzie je można zmienić.

A jeżeli już musi być nazwisko panieńskie matki, to może chociaż wybrane litery? Szansa na to, że złodzieje trafią drugą i czwartą literę nazwiska panieńskiego matki jest przecież wystarczająco mała, a nie będziemy promować nawyku podawania danych osobowych gdzie popadnie.

Czytaj też: Zakupy, za które płacisz głosem i nie tylko. Oto trzy trendy w kupowaniu, które najbardziej nam zmienią życie. Czy polubimy takie zakupy?

Problem jest jeszcze jeden i pewnie znany bankowcom. Bezpieczne i wygodne rozwiązania nie są trudne do wymyślenia i wdrożenia. Można chociażby dodawać w kodzie z SMS-a znaną tylko sobie literę w ustalonym miejscu. Problem pojawia się w ich udostępnieniu i upowszechnieniu. Skoro jest wiele osób, które nawet nie rozumieją co znaczy RRSO lub karencja, a klienci Citibanku zrobili bunt, bo nie podobała im się autoryzacja transakcji w aplikacji mobilnej, to banki będą miały naprawdę ciężką przeprawę z tym w przyszłości.

Zdjęcie główne: pixabay / geralt

Subscribe
Powiadom o
17 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
gosc
7 miesięcy temu

Różne rozwiązania zastosowane przez banki w związku z wymogami PSD2 dotyczącymi transakcji kartami online (główne i alternatywne). Rozwiązanie SGB (alternatywne) przypomina BNP Paribas. ING – logowanie do aplikacji mobilnej – Jeśli użytkownik aplikacji mobilnej nie może za jej pomocą zalogować się na konto (jest np. za granicą i nie posiada dostępu do Internetu w smartfonie) wówczas na ekranie ze szczegółami transakcji powinien wybrać opcję potwierdzenia kodem SMS – będzie musiał zalogować się przez przeglądarkę na rachunek i wybrać potwierdzenie kodem, który zostanie wysłany na komórkę. Podobnie płatności kartami online będą zatwierdzać posiadacze kart ING niekorzystający z aplikacji mobilnej. Alior Bank… Czytaj więcej »

mKlient
7 miesięcy temu

Moim zdaniem metoda autoryzacji „SMS + hasło” jest ok. Problemem jest fakt, że BNP Paribas chce używać jako hasło nazwisko panieńskie matki. Również inne banki (np. mBank) w niektórych sytuacjach używają nazwisko panieńskie matki jako hasło. Niestety nazwisko panieńskie matki to informacja, którą często można w łatwy sposób zdobyć. Jej źródłem mogą być serwisy społecznościowe (nazwiska członków rodziny), w przypadku znanych osób doniesienia medialne, podwójne nazwisko, wyciek danych osobowych z innego banku itp. Moim zdaniem używanie nazwiska panieńskiego matki jako hasło powinno być zakazane, ewentualnie klient w każdym banku powinien mieć możliwość zastąpienia nazwiska panieńskiego hasłem. Przypuszczam, że klienci często… Czytaj więcej »

mKlient
7 miesięcy temu

PS Ostatnio czytałem, że coraz częściej się zdarza, iż dzieci wykradają rodzicom karty aby kupić gadżety do gier online. Nazwisko panieńskie matki nie pomoże w zapobieganiu takim sytuacjom.

Mss
7 miesięcy temu
Reply to  mKlient

Solidne lanie i odcięcie od sieci w nagrodę z pewnością zapobieże powtórce.

Fabian
7 miesięcy temu

Nazwisko panieńskie matki to od wielu lat standardowe pytanie banków podczas identyfikacji klienta. Standard tak powszechny, że dziwić się należy iż przestępcy nie wykorzystują tej informacji podszywając się pod klienta. A może wykorzystują?

Maciek
7 miesięcy temu

Jak wchodziło RODO, to był to jakiś fetysz, wielkie wow! Nasłuchaliśmy się jak to nasze dane będą bezpieczne itd itd… Efekt jest dziś taki że nikt tym się nie przejmuje i mam wrażenie ze spamu jest więcej niż było i dodatkowo dedykowanego stricte mnie, często z imienia, nazwiska. Teraz słyszymy PSD2 i znów mamy fetysz na który najprościej się powołać tłumacząc każdą głupotę i brak własnych kompetencji.

gosc
7 miesięcy temu
Reply to  Maciek

Na brak uczciwości obywateli nie pomoże ani RODO, ani PSD2, ani żadne inne przepisy.

Paweł Jarczyk
7 miesięcy temu
Reply to  Maciek

A najlepsze jest to że jak dzwonią że spam ofertami podają ze dane mają od firmy słup od o której nic nie słyszałem

BdB
7 miesięcy temu
Reply to  Paweł Jarczyk

To samo jest ze spamem mailowym. Spam rozsyłają firmy-krzaki zarejestrowane w garażach itp. na zlecenie największych firm afiliacyjnych, a te działają dla wielkich korporacji.

Kamil
7 miesięcy temu

BNP Paribas to bank ogólnie upośledzony: nie dalej niż miesiąc temu nie byli w stanie wykonać zapłonowego z wyprzedzeniem przelewu. Zero informacji, zero przeprosin. Po prostu przelew nie wyszedł (środki oczywiście były i to w nadmiarze). Dzisiaj loguję się po zmianie ich logo i widzę, że wszystkie przelewy zaplanowane na grudzień zostały anulowane. Znów zero informacji, zero przeprosin. Bank dziadowski i nie polecam.

eax
7 miesięcy temu
Reply to  Kamil

Potwierdzam. A jak ktos ma kredyt hipoteczny to polecam sprawdzic czy przypadkiem nie zgubili Wam kilku miesiecy rozliczajac ubezpieczenie pomostowe. Albo czy po rozliczeniu nie „zapomnieli” obnizyc oprocentowania…

BdB
7 miesięcy temu

Dwuaspektowe uwierzytlenienie: mam (telefon, na który odbieramy sms) i wiem (tu nazwisko matki) choć bezpieczniej byłoby pytać o coś innego jak wyrywkowe pytania w call center.

Karol
2 miesięcy temu
Reply to  BdB

tylko, że to „wiem” to nie trudno ustalić komukolwiek z Facebooka. W przypadku niektórych osób to na wikipedii mozna zobaczyć jakie jest nazwisko panieńskie matki. PESELe za to są publikowane w księgach wieczystych, bazach KRS, informacjach o przetargach.

zeneusz
7 miesięcy temu

nie ma takiego wyrazu jak „Autentykacja”. po angielsku jest „authentication”, ale mamy na to polskie, ładne tłumaczenie wyrazem „uwierzytelnianie”. pamiętam, że w szkole na lekcji języka rosyjskiego gdy nie znało się jakiegoś rosyjskiego słowa to dodawało się do polskiego rosyjską końcówkę i używało takiego wymyślonego wyrazu z nadzieją, że może będzie dobrze. teraz dożyliśmy czasów, że osoby nawet na wysokich stanowiskach tworzą dziwne formy językowe z angielskich wyrazów i używają ich jako polskie.

BdB
7 miesięcy temu
Reply to  zeneusz

Dobrze mówisz. Autentykacja, destynacja, spacja, kolacja…

Karol
2 miesięcy temu
Reply to  BdB

akurat „spacja” to już szeroko przyjęte spolszczenie. Kolacja też (co więcej po włosku oryginał tego słowa oznacza coś zupełnie innego).

Karol
2 miesięcy temu

Nazwisko panieńskie matki to dosyć trudna do uzyskania informacja” – nazwisko panieńskie matki = aktualne nazwisko wujka. Na wsiach każdy wie kto z której rodziny pochodzi. A w przypadku „miastowych” często wystarczy sprawdzić nazwiska ze znajomych facebooka owej matki – jak jakieś nazwisko się powtarza to spora szansa, że właśnie to nazwisko.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!