8 czerwca 2021

Z powodu pandemii (ale nie tylko) staliśmy się bardziej aktywni w internecie. I kusimy cyberprzestępców. Jak technologie i my sami możemy się przed nimi chronić?

Z powodu pandemii (ale nie tylko) staliśmy się bardziej aktywni w internecie. I kusimy cyberprzestępców. Jak technologie i my sami możemy się przed nimi chronić?

Rosnąca – także z powodu pandemii – popularność bankowości elektronicznej i zakupów w sklepach internetowych sprawiła, że jesteśmy wystawieni na większe ryzyko cyberataków. Ale czy jesteśmy bezbronni? Jak chronić pieniądze przed złodziejami? I jak może nam w tym pomóc najnowsza technologia?

Problem cyberzagrożeń narasta, a pandemia stała się dla niego dodatkową pożywką. Z uwagi na bezpieczeństwo i konieczność ograniczenia kontaktów część usług przeniosła się do sieci. W internecie jesteśmy coraz bardziej aktywni, co niestety przekłada się również na wzrost aktywności cyberprzestępców. W czasie pandemii z usług cyfrowych zaczęły też korzystać osoby bez doświadczenia w cyfrowym świecie. I to właśnie one stają się łatwym celem cyberprzestępców.

Zobacz również:

„W przypadku konsumentów najczęściej mamy do czynienia z próbami wyłudzeń – manipulacją, która ma ich skłonić do tego, by przekazali dostęp do konta bankowego albo uwierzytelnili jakąś transakcję”

– mówi Aleksander Naganowski, dyrektor ds. rozwoju rozwiązań cyfrowych w polskim oddziale Mastercard Europe. Dodaje, że – według należącej do Mastercard spółki NuData – w 2020 r. cyberataki stały się znacznie bardziej wyszukane: prawie dwukrotnie wzrosła liczba tych z użyciem aktualnych danych logowania do usługi online wykradzionych wcześniej od użytkownika, a 45% ataków było wykonywanych z użyciem nowych, wiarygodnych adresów IP.

Jednocześnie nie tylko konsumenci stają się częstszymi ofiarami działań przestępców. Można bowiem zaobserwować wzrost liczby ataków systemowych na banki czy agentów rozliczeniowych. Duże firmy coraz częściej stają się też ofiarami szantaży polegających na szyfrowaniu danych znajdujących się na serwerach firmowych. W takim przypadku przestępcom chodzi o to, by firma zapłaciła okup w zamian za udostępnienie kluczy szyfrujących.

Co chwilę słyszymy o wyciekach danych. Nie ma tygodnia, by jakiś bank nie ostrzegał swoich klientów przed nowymi metodami wyłudzeń. Jak się przed tym bronić? Nad bezpieczeństwem transakcji czuwają systemy działające w niezauważony sposób (w tle), które potrafią wykryć podejrzane transakcje. Wdrożono też unijną dyrektywę PSD2, która wprowadziła tzw. silne uwierzytelnienie klienta. Ale również my mamy wpływ na bezpieczeństwo naszych pieniędzy, bo – jak już wspomniałem – często sami nieświadomie przekazujemy przestępcom dane potrzebne do wyczyszczenia konta. A przed tym nie uchroni żaden system antyfraudowy.

Pani Elżbieta na celowniku oszustów. Jak chronić pieniądze?

Jak działają systemy chroniące nasze konta i karty? Jak sami możemy i powinniśmy zadbać o bezpieczeństwo naszych pieniędzy? Zacznę od historii z życia wziętej. Niedawno napisała do nas czytelniczka, która prawdopodobnie stała się ofiarą ataku cyberprzestępców. Pewnego dnia wieczorem dostała SMS-a z banku z następującą informacją:

„Twoja płatność w internecie nie powiodła się. Masz za niski limit dzienny na te płatności. Żeby zapłacić, zmień limit w aplikacji lub serwisie”

Gdy przyszedł SMS, pani Elżbieta czytała książkę. Zdziwiła się, bo tego dnia nie dokonywała żadnej płatności online. Od razu zadzwoniła do banku. Dowiedziała się, że przed godz. 21.00 ktoś próbował zapłacić 570 zł za pośrednictwem jej rachunku w serwisie PayPal.

„Od razu zastrzegłam kartę. Zaznaczę, że kartę mam podpiętą tylko do serwisów HBO i Netflix. Nikt inny poza mną nie ma do niej dostępu. Jak mogłabym się dowiedzieć, kto i co próbował kupić? Czy jest jakaś możliwość, aby dowiedzieć się, jak wyciekły te dane?”

– pyta pani Elżbieta. Faktem jest, że ktoś próbował zrobić zakupy, a więc miał dane służące przynajmniej do zainicjowania transakcji (dane karty płatniczej). Jak do tego ataku mogło dojść, gdzie i w którym momencie dane przechwycił ktoś do tego niepowołany? Wraz z Aleksandrem Naganowskim, ekspertem firmy Mastercard, postanowiliśmy pójść możliwymi tropami.

Ktoś mnie okradł? A może to była moja transakcja?

Nie każda podejrzana transakcja musi oznaczać, że padliśmy ofiarą oszustów. Życie pokazuje, że wyjaśnienie może być bardzo proste. Statystyki agentów rozliczeniowych i sklepów internetowych pokazują, że blisko połowa reklamacji kończy się po ustaleniu, że klient najzwyczajniej nie rozpoznał danej transakcji i wcale nie doszło do oszustwa.

Kolejny trop prowadzi nas do rodziny i bliskich, którzy mogli mieć dostęp do karty. Zdarza się, że kartą żony płaci mąż lub na odwrót. Dlatego warto sprawdzić, czy w danym przypadku nie mieliśmy do czynienia właśnie z taką sytuacją.

Kolejna możliwość to automatyczne płatności cykliczne, np. za dostęp do usług subskrypcyjnych. Podpisując umowę np. z dostawcą filmów i seriali na żądanie czy jakiegoś programu komputerowego, zwykle wyrażamy zgodę na automatyczną płatność. W tym jednak przypadku z tego tropu zbija nas kwota transakcji, czyli aż 570 zł. W przypadku usług subskrypcyjnych, np. VOD, mówimy raczej o kwotach rzędu kilkudziesięciu złotych miesięcznie.

Inny trop jest taki, że mogliśmy skorzystać z tzw. preautoryzacji, czyli usługi polegającej na zablokowaniu środków np. na poczet rezerwacji w hotelu. Ostateczne rozliczenie może przyjść już po opuszczeniu przez nas hotelu, a więc po sprawdzeniu stanu hotelowego barku. To opóźnienie też może wywołać zdziwienie i nieporozumienie.

Warto też sprawdzić, czy dane karty zostały zapisane w przeglądarce komputera. Wiele osób tak robi, bo to wygodne. Nie można zatem wykluczyć, że ktoś miał po prostu dostęp do komputera z danymi karty i postanowił zrobić zakupy. W tym scenariuszu „sprawców” należałoby szukać raczej wśród naszych najbliższych. Do podobnej sytuacji może dojść, jeśli korzystamy z płatności mobilnych, a więc wiążemy naszą kartę-matkę z aplikacją płatniczą w telefonie, np. Apple Pay czy GPay. Teoretycznie ktoś mógłby użyć naszego telefonu, choć trzeba pamiętać, że płatność telefonem wymaga jeszcze potwierdzenia biometrycznego lub kodem.

Podejrzana transakcja. Jeśli to nie ja, to kto?

Jeśli jednak odrzucimy powyższe hipotezy, musimy zastanowić się, czy nie doszło do przejęcia danych karty. A jeśli tak, to gdzie można szukać źródeł wycieku?

„Na początku warto sobie przypomnieć, gdzie ostatnio płaciliśmy kartą. W przeszłości dość powszechnym oszustwem było kopiowanie danych karty lub wręcz jej klonowanie np. w restauracjach. Kelner zabierał naszą kartę na zaplecze i poza zasięgiem naszego wzroku mogło dojść do przestępstwa. Choć to coraz rzadsze, dziś też jesteśmy narażeni na to zagrożenie, nawet jeżeli metody się zmieniły. Dane naszej karty można podejrzeć na przykład dzięki zainstalowanym w sklepie kamerom”

– mówi Aleksander Naganowski. Inny trop wiedzie do nieuczciwego sklepu internetowego. Jeśli podaliśmy numer karty w niewiarygodnym serwisie, a więc podszywającym się pod inny sklep, to w prosty sposób przekazaliśmy dane przestępcom. Dziś ta metoda jest mniej skuteczna ze względu na obowiązek tzw. silnego uwierzytelnienia, do którego jeszcze wrócimy.

Nie można też wykluczyć sytuacji, kiedy złodzieje włamali się do systemu sklepu i wykradli dane kart klientów. Aleksander Naganowski podkreśla, że sklepy z reguły nie przechowują danych kart w swoich systemach, a w systemach agentów rozliczeniowych. Włamanie do systemu sklepu zwykle skutkuje więc ujawnieniem danych klientów, a nie numerów kart. Ale trzeba wziąć pod uwagę scenariusz, w którym oszuści włamali się również do systemu agenta rozliczeniowego.

Niezależnie jednak od tego, z jakiego źródła przestępca wszedł w posiadanie numeru karty, transakcja bez udziału właściciela karty będzie identyfikowana jako słabo uwierzytelniona. Zatem za każdym razem klient będzie mógł skorzystać z prawa reklamacji transakcji kartowej (chargeback) i zgłosić ją u wydawcy karty. Prawo do takiej reklamacji to unikatowa cecha kart płatniczych zapewniająca, że łatwość realizacji płatności nie skutkuje ryzykiem utraty pieniędzy.

Złodziej najpierw sprawdzi, czy karta działa

Przyjrzyjmy się teraz temu, jak chronione są transakcje cyfrowe. Wiele zależy oczywiście od nas. Podstawą – co trzeba powtarzać jak mantrę – jest korzystanie z oprogramowania antywirusowego – zarówno na komputerze, jak i w smartfonie. Nie należy klikać w podejrzane linki lub te pochodzące z niesprawdzonego źródła.

Ale są systemy czuwające nad bezpieczeństwem transakcji, które działają w tle. Firmy od płatności oferują usługi oszacowania prawdopodobieństwa, czy dana transakcja jest oszustwem. System jest w stanie wyłapać nietypowe transakcje – pod względem miejsca dokonania, wartości czy ich liczby.

„Podam przykład z amerykańskiego podwórka. W Stanach zgubiona na ulicy lub skradziona przez kieszonkowca karta najczęściej w pierwszej kolejności wykorzystywana jest w metrze. Chodzi o to, żeby sprawdzić, czy karta w ogóle jest aktywna, a jednocześnie jest to transakcja niskokwotowa, która nie wzbudza podejrzeń. Jeśli karta nie zadziałała, to zazwyczaj trafia do kosza, bo to sygnał dla złodzieja, że prawdopodobnie została zablokowana”

– mówi Aleksander Naganowski. Jeśli jednak pojawią się kolejne transakcje dokonane tą kartą, na coraz wyższe kwoty, u tego samego sprzedawcy, powinna zapalić się lampka ostrzegawcza.

„Nasze systemy są w stanie wychwycić nietypowe transakcje na poszczególnej karcie, ale też nietypowe operacje dla wszystkich kart wydanych przez jeden bank, które mogą być np. efektem ataku hakerskiego na daną instytucję. Możemy też wychwycić anomalie na poziomie płatności w danym punkcie handlowym lub bankomacie.”

Chroniące banki i ich klientów systemy bezpieczeństwa coraz częściej wykorzystują uczenie maszynowe, żeby na bazie dotychczasowych transakcji skuteczniej odróżniać te, które mogą być oszustwem. Zgodnie z zasadą, że poziom zaawansowania zabezpieczeń musi rosnąć podobnie jak inwencja cyberprzestępców.

Tak działa też biometria behawioralna – rozwiązanie oferowane przez należącą do Mastercard spółkę NuData. W tym przypadku monitoruje się specyficzne wzorce ruchu, które można mierzyć z wykorzystaniem naszych laptopów lub telefonów, na przykład to, jak szybko wpisujemy nasz login, lub to, czy używamy prawego czy lewego shiftu do wielkich liter, jak mocno stukamy w klawiaturę, jak poruszamy myszką po ekranie czy nawet to, pod jakim kątem trzymamy urządzenie.

To wszystko wiele o nas „mówi” i chociaż możemy nie zachowywać się dokładnie tak samo za każdym razem, to jednak te setki różnych sygnałów pomagają w zbudowaniu unikatowego profilu użytkownika. Profil ten uwzględnia również informacje o urządzeniu (np. czy znajduje się w nowym miejscu i w sieci, która jest nowa lub podejrzanie ukryta) i historii konta (czy prędkość połączenia jest znacznie wolniejsza niż zwykle, czy użytkownik korzysta z tej samej przeglądarki do przeglądania stron internetowych). Rozwiązanie NuData jest już dostępne w Polsce, a jego moduły jako pierwszy wdrożył PKO Bank Polski.

Informację o podejrzanej transakcji otrzymuje wydawca karty, od którego zależy, co z nią zrobić, np. czy ją odrzucić czy skontaktować się z klientem z pytaniem, czy to on jej dokonywał.

Jak chronić pieniądze przed hakerami

Jakiś czas temu weszły w życie przepisy unijnej dyrektywy PSD2, która wprowadziła tzw. silne uwierzytelnienie klienta. Zmiana sprowadza się w praktyce do dodatkowego uwierzytelnienia transakcji. Żeby zrobić e-przelew, nie wystarczy podać – jak kiedyś – loginu i hasła do bankowości elektronicznej. Bank może nas poprosić o dodatkowe potwierdzenie transakcji, np. biometrią czy hasłem dostępowym do bankowości mobilnej.

Nie wszystkie transakcje (zgodnie z dyrektywą) wymagają silnego uwierzytelnienia. Bank i agent rozliczeniowy mogą wytypować transakcje, w przypadku których ryzyko oszustwa jest na tyle niskie, że nie wymagają od klienta podejmowania dodatkowych działań. W takim przypadku oszustwo przy transakcji bez silnego uwierzytelnienia obciąża sprzedającego i jego agenta rozliczeniowego.

Ale tam, gdzie silne uwierzytelnienie jest wymagane, klient też może mieć wpływ na jakość tego zabezpieczenia. Bank może oferować je np. w formie kodu przesłanego SMS-em lub przez bankowość mobilną. SMS jest mniej bezpieczny, ponieważ do bankowości mobilnej trudniej jest się zalogować. Od nas też zależy, czy mamy dobrze zabezpieczony telefon: hasłem, wzorem (tzw. wężykiem) albo metodą biometryczną, np. odciskiem palca.

Mój rozmówca zwraca też uwagę na ustawianie odpowiednio silnych haseł. Bo hasła też padają łupem oszustów.

„Statystyki dotyczące haseł, które wyciekły z różnych serwisów, pokazują, że najbardziej popularnym nadal jest „password” lub ciąg cyfr 12345. Jeśli tak proste hasła ustawimy w wielu miejscach, to tylko ułatwiamy przestępcom zadanie. Silne uwierzytelnienie niewątpliwie zwiększa nasze bezpieczeństwo, ale w dużym stopniu od nas zależy to, jak ono jest silne”.

Aleksander Naganowski uczula też na to, by dokładnie sprawdzać, jakie transakcje uwierzytelniamy. Może to nas uchronić przed zakupami na stronach, które podszywają się pod znane sklepy. Przykładowo: wydaje nam się, że jesteśmy w znanym sklepie internetowym sprzedającym herbatę, choć strona została podrobiona. Daliśmy się nabrać i podaliśmy dane karty. Ale dzięki silnemu uwierzytelnieniu musimy jeszcze potwierdzić, że akceptujemy ten zakup. Załóżmy, że kupiliśmy herbatę za 25 zł, a uwierzytelnienie przychodzi nie na herbatę, tylko na „herbotę”, i nie na 25 zł, tylko na 250 zł.

„Często odruchowo coś potwierdzamy, bo spodziewamy się że będzie to konieczne, ale niestety nie patrzymy na treść, co może być zgubne”

– mówi mój rozmówca. Innym sposobem zabezpieczenia się przed złodziejami są notyfikacje, czyli powiadomienia z banku o zdarzeniach na koncie wysyłane SMS-em bądź przez aplikację mobilną. Rzecz jasna, nie uchronią nas one np. przed włamaniem na konto, ale dzięki nim wiemy, co się na naszych rachunkach dzieje i możemy szybko zareagować, np. blokując kartę.

Warto też zadbać o odpowiednie limity transakcyjne na kartach, które – jak pokazuje choćby przykład pani Elżbiety – mogą uchronić nas przed kradzieżą.

Czytaj też w ramach naszego cyklu: Nazwa sprzedawcy, logo, adres, numer telefonu. Takie dane wkrótce znajdziemy w opisach transakcji płatniczych. To dobrze?

———————————-

Tekst powstał w ramach cyklu edukacyjnego „Więcej niż płatności”, który tworzymy wspólnie z organizacją płatniczą Mastercard, korzystając m.in. z wiedzy jej ekspertów. Dzięki nowoczesnym i bezpiecznym usługom płatniczym możemy cieszyć się życiem, a płacenie „dzieje się samo”.

Źródło zdjęcia: Pixabay

Subscribe
Powiadom o
6 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Jacek
10 dni temu

Bezpieczeństwo jak w banku nie to co stablecoiny na ETH.

gosc
10 dni temu

Odpowiednio ustawione limity transakcji i powiadomienia o transakcjach to podstawa zarówno dla transakcji kartą jak i przelewów zlecanych przez bankowość internetową i mobilną (choć w przypadku dwóch ostatnich lepiej mieć powiadomienia o udanym logowaniu – zakładając, że nie ma ich bardzo dużo). Wdrożenie PSD2 nie spowodowało spadku ilości i wartości nieautoryzowanych transakcji. Wprost przeciwnie, ilość i wartość nieautoryzowanych transakcji wzrosła. Chyba wszystkie banki używają systemy do monitorowania transakcji i wychwytywania tych podejrzanych. Jedne mówią o wykorzystywaniu uczenia maszynowego, a inne o sztuczniej inteligencji. Te systemy charakteryzują się różną skutecznością. Jeśli kogoś interesuje jak taki system może działać to polecam webinar… Czytaj więcej »

Stef
9 dni temu
Reply to  gosc

Kiedyś były karty kodów które kosztowały bank grosze ale odeszły od tego. Część banków stosowało też tokeny.

gosc
9 dni temu
Reply to  Stef

Karty kodów oraz tokeny, które były stosowane w Polsce nie zabezpieczają przed wieloma zagrożeniami. Banki musiały z nich zrezygnować.

~marcin
9 dni temu
Reply to  Stef

Tylko że w przypadku kodu z karty czy tokena mamy mniej pewności, jaką transakcję zatwierdzamy – w sensie mamy dostępne tylko to, co jest widoczne np. na ekranie komputera (który może być przejęty przez cyberprzestępców).

A w przypadku kodu SMS mamy jeszcze dodatkową informację w postaci „logowanie do bankowości internetowej” czy „przelew na kwotę 100000 PLN”, więc mamy dodatkową szansę wyłapania potencjalnej niezgodności pomiędzy tym, co na ekranie, a tym, co w SMS-ie z kodem.

BdB
9 dni temu

Nietypowe aktywności taki Google wyłapuje od dobrych 10 lat i gdy cokolwiek jest nie tak, to wymaga dodatkowych czynników lub informacji przy logowaniu. Za to banki wprowadziły SCA 1,5 roku temu i to po łebkach. O kluczach uwierzytelniających klienci indywidualni mogą tylko pomarzyć.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!