To zestaw rad dla tych z Was, którzy mają w telefonie zainstalowaną aplikację bankową, a nie tylko używają smartfona do autoryzowania transakcji jednorazowymi kodami SMS. Po pierwsze: wprowadzamy hasło do telefonu (niezależnie, że jest też oddzielny PIN do aplikacji bankowej). Po drugie:sprawdzamy w serwisie bankowości elektronicznej limity kwotowe transakcji wykonywanych za pomocą smartfona. Powinny być niskie. Przy okazji sprawdzamy, że da się je zmienić za pomocą smartfona. Lepiej jest jeśli się nie da.
Po trzecie: w telefonie, którego używamy do bankowania instalujemy jak najmniej innych aplikacji. Unikamy nieznanych stron internetowych i nie zgadzajmy się na zdalną instalację niepewnego oprogramowania. Po czwarte: aktualizujemy na bieżąco systemy operacyjne w swoim smartfonie. Wszystkie łatki, zalepiające dziury bezpieczeństwa, powinniśmy instalować na bieżąco. Po piąte: odłączamy od internetu telefon, gdy nie jest nam potrzebny.
- Zastanawialiście się kiedyś, ile śladu węglowego generuje Wasza firma? Warto wiedzieć, bo coraz częściej mogą Was o to pytać. Jak policzyć swój ślad? [POWERED BY BANK PEKAO]
- Na jaki procent założyć lokatę, żeby ochronić swoje pieniądze przed inflacją? Trzy kroki [POWERED BY RAISIN]
- Polska na ścieżce inwestycji, Europa na ścieżce konfrontacji. Dr Ernest Pytlarczyk o deglobalizacji [POWERED BY BANK PEKAO]
Malware ma większe pole manewru, jeśli przez całą dobę mamy włączony telefon. Dla hakera, który chce przejąć kontrolę nad telefonem, to jest raj, bo ma non-stop dostęp do wszystkich informacji – a słyszałem już o złośliwym oprogramowaniu, które m.in. samo włącza kamerę i przekazuje obraz do przestępcy, nagrywa dźwięk… Dostęp do SMS-ów i kontaktów w telefonie to już nie jest jedyne zagrożenie.
GDZIE JEST PIĘTA ACHILLESOWA APLIKACJI MOBILNYCH?
Kluczem bezpieczeństwa bankowości mobilnej jest silne uwierzytelnianie – czyli z użyciem minimum dwóch elementów autoryzujących. Idealna sytuacja to taka, w której musimy mieć coś (jakieś znane aplikacji urządzenie) i coś wiedzieć (znać jakieś hasło), żeby się dostać do aplikacji bankowości mobilnej. Jeśli możemy się do niej dostać używając po prostu telefonu i wbijając PIN, to trudno mówić o silnym uwierzytelnianiu. Tak samo jeśli zatwierdzamy transakcję SMS-em, który przychodzi na to samo urządzenie, z którego wykonujemy zlecenie.
Krótko pisząc – kłopot z bankowaniem przez telefon polega na tym, że nie występuje tutaj połączenia danych pochodzących z dwóch niezależnych urządzeń przy wykonaniu transakcji – np. hasło i login z komputera i hasło jednorazowe przesyłane via smartfon. Jak mogłaby wyglądać taka dodatkowa autoryzacja? W niektórych bankach na Zachodzie do dodatkowego uwierzytelnienia wykorzystuje się np. dodatkową kartę przyznaną przez bank, którą trzeba przyłożyć do czytnika zbliżeniowego w telefonie. U nas niestety jest tylko PIN do aplikacji bankowej w smartfonie i SMS autoryzacyjny przychodzący na ten sam smartfon.
JAK WIRUS W KOMPUTERZE MOŻE ZARAZIĆ SMARTFONA
Używanie smartfona tylko do autoryzacji transakcji na podstawie SMS-ów z banku (czyli nie używanie aplikacji mobilnej, którą można przez telefon robić przelewy) jest tylko połowicznym zabezpieczeniem. Bo coraz więcej fraudów odbywa się w taki sposób, że ktoś przesyła nam wirusa do komputera, poznaje nasz login i hasło, a potem próbuje „znaleźć” smartfona, by także go zainfekować i przejąć hasło jednorazowe. Jeśli mamy na komputerze mallware, który czyta i przekazuje złodziejowi to, co wpisujemy na klawiaturze – i tą drogą pozna nasz login i hasło – to prędzej czy później znajdzie też nasz numer telefonu.
Albo wyczyta go z naszych danych kontaktowych do banku, znajdujących się w profilu konta, albo określi go na podstawie wysyłanych przez nas e-maili, albo po prostu wyłudzi na zasadzie phishingu. Mając login, hasło i numer telefonu złodziej musi jeszcze nakłonić nas do instalacji na tym smartfonie złośliwego kodu, który pozwoli mu przejąć kontrolę również nad tym urządzeniem. A potem wystarczy już tylko zlecić w naszym imieniu przelew i przejąć hasło autoryzacyjne, przesłane przez bank na nasz numer telefonu.
BANK PLUS TELEKOM? MOŻE BYĆ BEZPIECZNIEJ
Internetowi złodzieje łowią dziś w mętnej wodzie, bazując na ograniczonym przepływie informacji między zainteresowanymi stronami. Czy zawiązywanie sojuszów między bankami, a telekomami, może rozwiązać ten problem? Orange tworzy wspólny bank z mBankiem, a T-Mobile z Aliorem, Plus też ma swój bank. Na ile tego rodzaju sojusze, powodujące lepszy przepływ informacji między stronami zaangażowanymi w realizację transakcji klienta, mogą utrudnić życie złodziejom naszych pieniędzy? jeśli bank jest ściśle powiązany z operatorem, to obie organizacje są w stanie lepiej kontrolować przepływ informacji, a to dobrze wpływa na bezpieczeństwo klienta.
Przykład? Operator ma nie tylko dostęp do informacji o tym, jakie SMS-y przychodzą do klienta, ale może też automatycznie monitorować SMS-y autoryzacyjne ze „swojego” banku. I blokować ich automatyczne forwardowanie do przestępcy. Jeśli operator stwierdzi, że do klienta doszedł jakiś „podejrzany” SMS – w sensie miejsca pochodzenia, a nie treści – operator może go filtrować. Może zainstalować na karcie SIM, np. automatyczne zabezpieczenie przed forwardowaniem SMS-ów określonego typu.
