Sądzę, że niewiele osób (o ile w ogóle) które czytają tego bloga nie korzysta z bankowości internetowej. Obecnie jest to najtańsza forma korzystania z wielu usług bankowych i moim zdaniem najwygodniejsza. Jednakże bezpieczeństwo tej formy dostępu do naszych pieniędzy jest troszeczkę gorsze niż kanałami tradycyjnymi, co nie oznacza że nie jest to bezpieczne. Sam korzystając z bankowości internetowej od ponad 10 lat nie miałem jeszcze żadnej nieprzyjemnej sytuacji. Oczywiście trafiły mi się próby wyłudzenia danych w formie emaila "od banku" z prośbą o podanie danych do kont jednakże nie potrzeba być super sprytnym by zobaczyć, że coś jest nie tak.
Ogólnie spotkałem się już z wieloma formami zabezpieczania kanału bankowości internetowej i ogólnie możemy podzielić je na:
- karty kodów - moje pierwsze konto w PEKAO miało taki typ zabezpieczenia. PKO też tak ma jak i Nordea. Osobiście nie podoba mi się ta metoda bo trzeba nosić kartę ze sobą.
- kody sms - czyli hasła sms-owe do logowania (np BNP) czy potwierdzania transakcji przychodzące na zdefiniowany numer telefonu. Moja ulubiona forma zabezpieczeń, gorzej gdy jesteśmy w miejscu, gdzie nie mamy sieci
- token gsm - token podający kody zainstalowany w telefonie (np. Eurobank). Całkiem fajne, gorzej gdy wymieniamy telefon lub nam pada bateria w tym konkretnym telefonie (kartę sim zawsze można przełożyć by skorzystać z innego telefonu)
- token sprzętowy - chyba najbezpieczniejsza forma zabezpieczenia konta. Jednakże w praktycznie wszystkich bankach ekstra płatna. Chociaż jakiś czas temu media donosiły o włamaniu na serwisy firmy zajmującej się firmy zajmującej się produkcją tokenów i wykradzeniu bliżej niesprecyzowanych danych, co może prowadzić do zmniejszenia ogólnego bezpieczeństwa korzystania z tokenów (jednakże nie bezpośredniego dla konkretnych osób)
- certyfikaty bezpieczeństwa - uwierzytelnianie transakcji odbywa się za pomocą certyfikatu (coś ala podpis elektroniczny) który mamy w formie pliku na komputerze - teoretycznie najmniej bezpieczna forma zabezpieczenia
Jak widać zabezpieczenie kanałów elektronicznych ma wymiar 3 stopniowy (w znacznej większości przypadków):
- login - czyli nazwa użytkownika, najczęściej niezmienna (wyjątek CitiBank)
- hasło - zmienne, najczęściej alfanumeryczne (czyli cyfry i znaki), większość banków zaleca okresową zmianę hasła, niektóre wymuszają na użytkowniku co pewien czas zmianę
- dodatkowy element bezpieczeństwa z wymienionych powyżej.
Teoretycznie wygląda bezpiecznie jednakże nie zawsze takie jest. I tak dawniej w ING wystarczyło mieć tylko login i hasło i można było już uszczknąć pieniądze z konta, gdyż ich system nie kazał potwierdzać kodem sms każdej transakcji (nie wiem jak jest teraz). Jak złodziej ma dostęp do naszego komputer zdalnie i może wykraść nasz login i hasło to mając konto w Polbanku wykradzenie certyfikatu nie powinno być problemem (tak mi się wydaję) i droga do naszego konta jest otwarta.
Mając odpowiednie oprogramowanie szpiegujące złodzieje są w stanie przechwytywać również wprowadzane kody sms czy z karty kodów w ten sposób mogąc autoryzować dowolną transakcję. A że hakerzy potrafią naprawdę wiele polecam obejrzeć sobie ten filmik:
Dlatego takie ważne są podstawowe środki bezpieczeństa jak:
- sprawny antywirus
- niezapisywanie na komputerze zarówno hasła i loginu do konta
- okresowa zmiana hasła do konta
Jak ktoś doczytał do końca i jest nadal sobota, to zachęcam do wzięcia udziału w konkursie, gdzie można wygrać licencję na program Zemana Antilogger, który zapewnia nam dodatkową ochronę przed programami szpiegującymi i złośliwym oprogramowaniem wykradającym prywatne i wrażliwe dane.
Aby wziąć udział w konkursie należy:
- zapisać się do newslettera TechnetBlog
- skomentować wpis z konkursem dlaczego chciałbyś wygrać i/lub do czego przydatny będzie Ci ten program
