30 czerwca 2021

Koniec SMS-ów. Nie masz aplikacji CitiMobile? Musisz się przyzwyczaić do nowych zasad autoryzowania transakcji internetowych. Niektórych to boli, ale…

Koniec SMS-ów. Nie masz aplikacji CitiMobile? Musisz się przyzwyczaić do nowych zasad autoryzowania transakcji internetowych. Niektórych to boli, ale…

Citi Handlowy podjął drugą próbę likwidacji usługi SMS-ów autoryzacyjnych jako sposobu zatwierdzania transakcji w internecie. Kto nie ma aplikacji mobilnej CitiMobile jest skazany na kilkuetapową weryfikację z udziałem danych do logowania do bankowości internetowej Citi Online. I – co jeszcze bardziej kontrowersyjne – do klikania podesłanych przez bank linków. „Czy to bezpieczne?” – dopytują klienci

Pamiętacie jak kilka miesięcy temu Citi Handlowy zaskoczył klientów wiadomością o likwidacji SMS-ów jako formy potwierdzania zakupów internetowych? Zrobił się rumor, a wściekli klienci zaczęli awanturować się na infolinii twierdząc, że bank zmusza ich do posiadania aplikacji mobilnej.

Zobacz również:

Jakkolwiek jej ściągnięcie ze sklepu mobilnego nie boli, a sparowanie z kontem bankowym nie nastręcza trudności, to spore grono Polaków wciąż uważa posiadanie aplikacji mobilnej banku za dopust Boży. Aplikacja zajmuje miejsce w pamięci smartfona, naraża na niepokój w przypadku zgubienia lub kradzieży tego telefonu, a poza tym może śledzić, inwigilować i wysyłać powiadomienia push. A nie wszyscy to lubią.

PSD2 wraca do Citi Handlowego. Nowe zasady autoryzowania transakcji internetowych

Bank po kilku dniach wycofał się z kontrowersyjnej zmiany, która przecież miała dotyczyć tylko niektórych transakcji internetowych (bank nie powiedział jednak, których konkretnie, więc „zagrożenie” było poważne i całościowe), lecz nie odpuścił. Dyrektywa PSD2 zobowiązuje bankowców do silnego uwierzytelniania klientów robiących zakupy przez internet. A w Citi wzięli ją sobie bardzo do serca (w odróżnieniu od niektórych innych banków działających w Polsce).

Od kilku dni – a dokładniej od 16 czerwca – znów dla większości (o ile nie dla wszystkich) transakcji wyłączona jest możliwość autoryzowania zakupów internetowych wyłącznie SMS-em autoryzacyjnym.

„Informujemy, że dotychczasowa metoda autoryzacji kodem SMS będzie stopniowo wycofywana dla płatności kartą w sklepach internetowych. Kody SMS zostaną całkowicie wycofane do 30.06.2021 r. Zmiana wynika z dostosowania do europejskiej Dyrektywy PSD2”

– napisał do klientów bank. Znów bardziej „opłaca się” mieć w Citi Handlowym aplikację mobilną CitiMobile, bo stała się ona domyślnym sposobem potwierdzania zakupów internetowych. Po wybraniu karty Citi jako sposobu zapłaty aplikacja się „odzywa” i prosi o potwierdzenie w smartfonie chęci zapłacenia. Trzeba w tym momencie wpisać Citi Mobile Token PIN (o ile mnie pamięć nie myli, jest to kod logowania do aplikacji mobilnej).

To bezpieczne, bo ewentualny złodziej danych karty nie będzie w stanie ich użyć, nie posiadając naszego telefonu z aplikacją mobilną (i to odblokowanego). Tym razem jednak bank nie zostawił „na lodzie” tych klientów, którzy do aplikacji mobilnej nie pałają przesadną sympatią. Jest i drugi sposób zatwierdzania transakcji internetowych. Mogą go używać ci klienci Citi, którzy wolą żyć bez apki CitiMobile.

Czytaj też: Co może dostać klient za zmianę banku? 4200 zł w prezencie, coś a la lokata na 5%… Najwięcej płaci Citi. Ale są warunki

Autoryzacja internetowa dla tych, którzy nie mają aplikacji CitiMobile. To boli

Jak to wygląda? Rzecz nazywa się Autoryzacja Internetowa i nie jest niestety tak banalnie prosta jak SMS autoryzacyjny, który bank wysyła na telefon i każe wpisać na ekranie komputera (tutaj przewodnik krok po kroku, który udostępnia klientom bank).

Będzie potrzebny bowiem komplet danych do logowania do serwisu bankowości elektronicznej Citibank Online. Podczas wykonywania transakcji kartą w internecie klient otrzymuje SMS z linkiem do strony uwierzytelniającej. Musi kliknąć w ten link, a na podstawionej stronie wprowadza dane logowania do banku. W link można kliknąć tylko raz – próba jego ponownego użycia jest niemożliwa.

Po potwierdzeniu, że klient zna dane logowania do swojego konta internetowego w Citi, na ekranie smartfona pojawia się pole do wpisania jednorazowego kodu, który przybywa w kolejnej wiadomości SMS. Trzeba wpisać ostatnie sześć cyfr z tego kodu i kliknąć „autoryzuj”, a potem system przerzuca delikwenta na stronę sklepu internetowego, gdzie trzeba jeszcze kliknąć „zakończ transakcję”.

Generalnie więc bank zrobił klientom trochę pod górkę. Próba zatwierdzenia transakcji internetowej bez posiadania aplikacji mobilnej może przypominać teraz drogę przez mękę. Nie zdziwię się, jeśli klienci nieposiadający apki CitiMobile, będą teraz chcieli przerzucić się na płatność BLIKiem.

Niektórzy czytelnicy pytają mnie: po jaką cholerę bank wyrzucił na śmietnik SMS-y autoryzacyjne, skoro w tym nowym sposobie też trzeba podać kod z SMS-a? Niby racja, ale tym razem ten kod jest „wzbogacony” o konieczność podania danych logowania. Złodziej musiałby mieć dane karty, dane logowania jego właściciela na konto bankowe (czyli do Citibank Online) oraz smartfona, żeby kliknąć z niego w podany link.

To trudniejsze zadanie niż przejęcie „w locie” SMS-a wysłanego przez bank (co jest możliwe, gdy wcześniej uda się zainstalować na smartfonie ofiary specjalne oprogramowanie – oczywiście też zdalnie, pod płaszczykiem jakiejś lewej „aktualizacji”, też wysłanej SMS-em).

Użytkownicy mają jednak wątpliwości związane nie tylko z faktem, że jeśli nie ma się aplikacji CitiMobile, to płatność staje się wielostopniową mordęgą. Pojawiają się też pytania o to, czy bank przypadkiem nie promuje złych nawyków.

Czytaj też: Bezpieczeństwo w internecie? „Bank chce mi wysyłać kody… e-mailem” – skarży się czytelnik. Czy to bezpieczne? Odpowiedź, wbrew pozorom, nie jest oczywista 

Klikanie w link, czyli bezpieczeństwo budowane przez złe nawyki?

Klikanie w przesłane z zewnątrz linki to nie jest zbyt bezpieczna rzecz w świecie, w którym nigdy nie możemy mieć pewności, kto nam tego linka wysłał. Czy to przyjaciel czy wróg, złodziej, internetowy przestępca. A tutaj właśnie trzeba kliknąć w przysłany link. Jaką mamy pewność, że kiedyś podobnego linka (z wirusem) nie prześle nam złodziej podszywający się pod Citi Handlowy, pod pozorem jakiejś płatności, dopłaty, konkursu czy czego tam jeszcze?

I to już jest zarzut poważniejszy. Rzeczywiście, zasady higieny w internecie stanowią, żeby nic nie klikać i nie podawać żadnych danych na podstawionych przez kogoś stronach. A Citi Handlowy o to właśnie prosi. Niby jest więc bezpieczniej i lepiej, ale z drugiej strony – nie wiadomo, czy kiedyś za to klikanie linków nie zapłacimy najwyższej w świecie finansów ceny – wyczyszczenia konta.

Czytaj też: Na podwójne uwierzytelnianie transakcji w internecie banki mają różne sposoby. Niektóre są bardzo dziwne. Ten bank wymaga kodu SMS i… nazwiska panieńskiego matki. Bank chroni klienta czy – paradoksalnie – naraża go na kłopoty?

Kiedyś nosiliśmy przy sobie tokeny sprzętowe i one w zasadzie rozwiązywały problem podwójnego uwierzytelniania. Ale to nie było ultrawygodne rozwiązanie ani nie było tanie. Ani tak do końca bezpieczne, bo tokeny nie miały dużych wyświetlaczy, na których można pokazać szczegóły transakcji.

Teraz tokenami są smartfony, ale z kolei technologia SMS-owa przestała być bezpieczna. I jesteśmy w kropce. Z jednej strony wydaje się, że aplikacja mobilna banku to dziś nie jest żaden potwór i każdy mógłby dzięki niej bezpiecznie zatwierdzać transakcje. Z drugiej strony nie każdy chce mieć aplikację mobilną banku w smartfonie i banki muszą wymyślać jakieś obejścia. A niektóre obejścia rozwiązują problem autoryzacji, lecz tworzą nowe, w postaci złych nawyków użytkowników.

Subscribe
Powiadom o
19 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
fhfcgdc
3 miesięcy temu

W innym banku trzeba podać PIN do party 😀

msw
3 miesięcy temu

Citi (nadal) nie ma BLIKa, sugeruję korektę artykułu.

Amazon również wysyła sms linki do potwierdzenia logowania. Czyli chcąc nie chcąc trzeba korzystać ze smalcofona, bo taki sms z linkiem wysłany na dumbphone jest bezużyteczny. Link jest długi, nim się go przepisze na desktop sesja logowania wygaśnie.

Zastanawiam się, jak w przyszłości będą wyglądały metody autoracji dla tych, a są tacy, którzy praktykują cyfrowy minimalizm i/lub nie wydają min. 1000 zł na smalcofon.

Zawiedziony
3 miesięcy temu
Reply to  Maciej Samcik

Idealny przyklad banku jak nie powinien dzialac. Autoryzacja platnosci karta graniczy z cudem, no ale wystarczy wejsc na sklep play i poczytac opinie o aplikacji. Ocena aplikacji spadla ponizej 2 i aktualnie wiekszosc opini jest negatywna. Bank jedynie co odpisuje to zaleca reinstalacje aplikacji i odsyla do instrukcji (SIC!) Kuriozalna sytuacja, bo negatywy i problemy sa conajmniej od czerwca, ale jak widac nikt sie tym nie przejmuje. Patrzac na komentarze to sporo osob pozegna sie z karta citka – no ale moze na tym bankowi zalezy. Szkoda, bo jeden z lepszych niegdys bankow szoruje po dnie i pokazuje jak tego… Czytaj więcej »

kjonca
3 miesięcy temu
Reply to  msw

„Amazon również wysyła sms linki do potwierdzenia logowania. ”
Możesz naświetlić kontekst? Używam amazonu, zarówno sklepu jak i AWS i nie miałem nigdy „linków do logowania”. W obu przypadkach moglem sobie ustawić OTP, w AWS chyba też yubikey

msw
3 miesięcy temu
Reply to  kjonca

Amazon-sklep. Po wpisaniu loginu i hasła dostaję komunikat „Ze względów bezpieczeństwa, aby kontynuować, zatwierdź powiadomienie wysłane na adres:
Numer telefonu komórkowego***-***-**50” oraz smsa z linkiem. Dopiero po kliknięciu w link z smsa przechodzę dalej do sklepu.

kjonca
3 miesięcy temu
Reply to  msw

Interesujące. (Nie, żebym nie wierzył)
EDIT:Teraz sobie przypominam, że chyba coś podobnego dostawałem na maila (nie mam podanego telefonu w Amazonie). Jeśli mogę coś zasugerować to 2FA 🙂

Last edited 3 miesięcy temu by kjonca
gosc
3 miesięcy temu

Dla klientów nie korzystających z aplikacji mobilnych większość banków stworzyła jakąś alternatywę (była o tym mowa w artykule SoF). Wszystkie te alternatywne rozwiązania wydają się rozsądne.
Za rozsądne nie można jednak uznać tego co zaproponował Citi Handlowy: sms z linkiem, dane logowania i kod sms – to jakiś absurd. Procedura jest skomplikowana i nie jest bezpieczna. Oszuści internetowi już się cieszą.

Banki z których usług korzystam jako alternatywną (do aplikacji mobilnej, której nie używam) metodę autoryzacji transakcji kartowych udostępniają zwykłe kody sms i jakoś nikt się ich nie czepia. Uważam, że jest to bezpieczna metoda.

krzysztof
3 miesięcy temu

glupi sposob, bo jakos inne banki wcielaja dyrektywe psd2 w normalny sposob tylko citi po raz kolejny kombinuje jak kon pod gore…coz najlepiej zaglosowac nogami i olac te ich radosna tworczosc

tom
3 miesięcy temu
Reply to  krzysztof

A propos PSD2: PlusBank wreszcie dorobił się dwuetapowego logowania na niezaufanym sprzęcie? Bo jakoś trzy miesiące temu, gdy zamykałem konta, mieli to w pompie i NIGDY nie chcieli nic poza loginem/hasłem, a miałem pod sobą konta 4 osób 🙂

BdB
3 miesięcy temu
Reply to  tom

Taki duży Millennium 1,5 roku po wprowadzeniu PSD2 nadal nie ma silnego uwierzytelnienia.

Tomasz
3 miesięcy temu

Mam aplikację Citi i nawet pròbuję zniej korzystać, ale problem w tym że jest wyjątkowo zła. Żeby powiadomienie w ogòle przyszło z Citi na smartfon muszę wyłączyć oszczędzanie baterii i uruchomić aplikację w tle i dopiero kupować. Nawet jak powiadomienie przychodzi to jego kliknięcie przeważnie nic nie daje, albo otwiera się aplikacja, albo po kliknięciu zatwierdzenia nie dzieje się nic. Nie ma płatności, nie ma obciążenia karty.

Manveru21
3 miesięcy temu
Reply to  Tomasz

Dokładnie. Powiadomienie przychodzi po kilku a nawet po kilkunastu minutach, często zbyt późno, żeby potwierdzić płatność w necie, bo na to z reguy jest krótki czas ze względów bezpieczeństwa. Żeby mieć kk za darmo muszę nią wydać 4000 zł miesięcznie, wcześniej przy sms nie było z tym problemu, obecnie problem jest duży, bo dopiero za którymś razem uda się autoryzować płatność w necie. W międzyczasie cena np. biletów może ulec zmianie. Jak tak dalej będzie to ewakuuję się z Citi.

Danek
3 miesięcy temu
Reply to  Tomasz

I raczej nic sie nie poprawi, bo przypominam, ze Citi wycofuje sie z detalu, wiec po co inwestowac w cos, co i tak na dluzsza mete nie bedzie uzywane.

Sylwester
3 miesięcy temu
Reply to  Danek

Czyli w efekcie obecne zmiany mają na celu zniechęcenie obecnych klientów detalicznych do korzystania z usług Citi. A później się powie, że „przecież my zrobiliśmy wszystko, a to źli klienci się nie znają”. No i premia dla dyrekcji przy okazji…

Antyciti
3 miesięcy temu

Przede wszystkim radzę spojrzeć na oceny aplikacji CitiMobile w sklepach. Doskonale odzwierciedlają funkcjonalność i wygląd. Citi nie ma zielonego pojęcia czym jest UX oraz CX.

Adam
3 miesięcy temu

APlikacja nie jest dostepna dla klientów, którzy mieszkają za granicą Polski i taka lokalizację maja w Google Play.
Zas SMS-y nie przychodzą. Pewnei znów Bank zapomniał o tym, że niektórzy klienci mogą przebywać za granicą.

Adam
3 miesięcy temu

A jak to się ma w przypadku Citi Global Wallet? Z tego co widzę trzeba podac kod SMS. A to usługa dedykowana płatnościom walutowym. Będąc za granicą (zwłaszcza bardzo odległą) często nie ma dostępu do swojego nr więc wpisanie takiego kodu jest niemożliwe.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!