Sądzę, że niewiele osób (o ile w ogóle) które czytają tego bloga nie korzysta z bankowości internetowej. Obecnie jest to najtańsza forma korzystania z wielu usług bankowych i moim zdaniem najwygodniejsza. Jednakże bezpieczeństwo tej formy dostępu do naszych pieniędzy jest troszeczkę gorsze niż kanałami tradycyjnymi, co nie oznacza że nie jest to bezpieczne. Sam korzystając z bankowości internetowej od ponad 10 lat nie miałem jeszcze żadnej nieprzyjemnej sytuacji. Oczywiście trafiły mi się próby wyłudzenia danych w formie emaila "od banku" z prośbą o podanie danych do kont jednakże nie potrzeba być super sprytnym by zobaczyć, że coś jest nie tak.
Ogólnie spotkałem się już z wieloma formami zabezpieczania kanału bankowości internetowej i ogólnie możemy podzielić je na:
- karty kodów - moje pierwsze konto w PEKAO miało taki typ zabezpieczenia. PKO też tak ma jak i Nordea. Osobiście nie podoba mi się ta metoda bo trzeba nosić kartę ze sobą.
- kody sms - czyli hasła sms-owe do logowania (np BNP) czy potwierdzania transakcji przychodzące na zdefiniowany numer telefonu. Moja ulubiona forma zabezpieczeń, gorzej gdy jesteśmy w miejscu, gdzie nie mamy sieci
- token gsm - token podający kody zainstalowany w telefonie (np. Eurobank). Całkiem fajne, gorzej gdy wymieniamy telefon lub nam pada bateria w tym konkretnym telefonie (kartę sim zawsze można przełożyć by skorzystać z innego telefonu)
- token sprzętowy - chyba najbezpieczniejsza forma zabezpieczenia konta. Jednakże w praktycznie wszystkich bankach ekstra płatna. Chociaż jakiś czas temu media donosiły o włamaniu na serwisy firmy zajmującej się firmy zajmującej się produkcją tokenów i wykradzeniu bliżej niesprecyzowanych danych, co może prowadzić do zmniejszenia ogólnego bezpieczeństwa korzystania z tokenów (jednakże nie bezpośredniego dla konkretnych osób)
- certyfikaty bezpieczeństwa - uwierzytelnianie transakcji odbywa się za pomocą certyfikatu (coś ala podpis elektroniczny) który mamy w formie pliku na komputerze - teoretycznie najmniej bezpieczna forma zabezpieczenia
Jak widać zabezpieczenie kanałów elektronicznych ma wymiar 3 stopniowy (w znacznej większości przypadków):
- login - czyli nazwa użytkownika, najczęściej niezmienna (wyjątek CitiBank)
- hasło - zmienne, najczęściej alfanumeryczne (czyli cyfry i znaki), większość banków zaleca okresową zmianę hasła, niektóre wymuszają na użytkowniku co pewien czas zmianę
- dodatkowy element bezpieczeństwa z wymienionych powyżej.
Teoretycznie wygląda bezpiecznie jednakże nie zawsze takie jest. I tak dawniej w ING wystarczyło mieć tylko login i hasło i można było już uszczknąć pieniądze z konta, gdyż ich system nie kazał potwierdzać kodem sms każdej transakcji (nie wiem jak jest teraz). Jak złodziej ma dostęp do naszego komputer zdalnie i może wykraść nasz login i hasło to mając konto w Polbanku wykradzenie certyfikatu nie powinno być problemem (tak mi się wydaję) i droga do naszego konta jest otwarta.
Mając odpowiednie oprogramowanie szpiegujące złodzieje są w stanie przechwytywać również wprowadzane kody sms czy z karty kodów w ten sposób mogąc autoryzować dowolną transakcję. A że hakerzy potrafią naprawdę wiele polecam obejrzeć sobie ten filmik:
Dlatego takie ważne są podstawowe środki bezpieczeństa jak:
- sprawny antywirus
- niezapisywanie na komputerze zarówno hasła i loginu do konta
- okresowa zmiana hasła do konta
Jak ktoś doczytał do końca i jest nadal sobota, to zachęcam do wzięcia udziału w konkursie, gdzie można wygrać licencję na program Zemana Antilogger, który zapewnia nam dodatkową ochronę przed programami szpiegującymi i złośliwym oprogramowaniem wykradającym prywatne i wrażliwe dane.
Aby wziąć udział w konkursie należy:
- zapisać się do newslettera TechnetBlog
- skomentować wpis z konkursem dlaczego chciałbyś wygrać i/lub do czego przydatny będzie Ci ten program
6 komentarzy:
Mój znajomy był ofiarą phishingu. Wszedł na podany w mailu link i podał swoje dane do konta (strona fałszywa). Na szczęście nic się nie stało bo do zmienienia czegokolwiek trzeba było jeszcze potwierdzać sms'em. Ale na dane trzeba przede wszystkim uważać, gdzie sami je wpisujemy - bo nawet najmądrzejszy program nie pokona czasem ludzkiej głupoty i lekkomyślności.
Dzięki Marek za podzielenie się się ze swoimi czytelnikami informacją o konkursie na TechnetBlogu!
Wszystkich, którzy nie zdążyli wziąć udział w konkursie zapraszam do zaglądania co jakiś czas na stronę, bo staram się prowadzić regularnie negocjacje z producentami i organizować podobne konkursy. Szczególnie bliska jest mi tematyka bezpieczeństwa toteż programy zabezpieczające są priorytetem przy wyborze partnera konkursu ;)
Nie ukrywam również że jednym z głównych argumentów w negocjacjach jest oglądalność TechnetBloga, co szczególnie interesuje producentów oprogramowania. Tym bardziej zachęcam więc do odwiedzin bym mógł oferować coraz lepsze nagrody ;)
Pozdrawiam,
Daniel, TechnetBlog.pl
Jeśli chodzi o tokeny RSA to ofiarą włamania padły "ziarna początkowe" kluczy, wystarczy, że hacker zna id tokena i jest w stanie wygenerować sobie aktualnie wyświetlany kod. Warto nadmienić, że firma RSA nie podała kiedy nastąpiło włamanie, informowała jedynie, że takowe nastąpiło.
Eurobank - token (aplikacja) w telefonie - to najgłupszy z oglądanych przeze mnie sposobów autoryzowania. Będąc raz na morzem - prawdopodobnie przez piasek - przestał mi działać jeden klawisz w telefonie (jak na złość - taki, którego używam w PIN'ie do tej "aplikacji"). Najciekawsze jest to, że "token software'owy" ZAWSZE się odpali i będzie generował kody, ale ... jedno ale - o ile został wprowadzony błędny PIN - kody też będą niewłaściwe. Po 3-krotnym wprowadzeniu błędnego kodu następuję blokada dostępu internetowego. Trzeba dzwonić na infolinię. I tu ... kolejna niespodzianka. Trzeba mieć aktywny kanał telefoniczny. O ile się takowego nie posiada - czekamy (od kilku godzin do 1 dnia) na wykreowanie takowego dostępu. Jeżeli udało nam się pokonać tę "barierę" JEDEN RAZ możemy odblokować kanał internetowy. Pech chciał, że mój telefon nadal nie wybijał właściwej cyfry w PINie (której nie byłem nawet w stanie zweryfikować, bo program nie wyświetla wprowadzonych znaków, lecz "przysłania" je gwiazdkami). W ten sposób zaliczyłem drugą blokadę, która ... tym razem wymagała bezpośredniej wizyty w placówce banku. Jak na złość - najbliższa placówka znajdowała się w kilkudziesięciu kilometrach od mego ówczesnego miejsca pobytu. Rozmowy z "kosultantami" na infolinii spełzły na niczym. W ten o to wspaniały sposób miałem zablokowany dostęp do środków. Jako kolejne "niedopracowanie" tej magicznej aplikacji mogę nadmienić taką jej właściwość, iż w nowocześniejszych telefonach nie następuje jej automatyczne zamknięcie np. po określonym okresie bezczynności. Wystarczy, że ma się otwartego tokena i ktoś zadzwoni. Wówczas token przechodzi do pracy "w tle". Zdziwieniem moim był fakt taki, że po kilku dniach odczytuję listę aktywnych aplikacji - a tam "otwarty token", przy czym - w pełni funkcjonalny. Sprawdziłem to - logując się do serwisu. Nie potrzebowałem tym razem wpisywania PIN'u. Jednym słowem - token programowy Eurobanku - to mocno niedopracowany produkt.
Kiedyś korzystałem z Eurobanku dość często, więc z tymi "niedogodnościami" borykałem się na co dzień, ale teraz ... jak na rachunkach oszczędnościowych zjechali z oprocentowaniem do 4,05%, to trzymam tam w zasadzie tylko 15 "paczek" i odpuściłem sobie tę "walkę z nowoczesnymi wiatrakami".
Nie wiem jaką wadę wzroku trzeba mieć, żeby niezauważyć, że najpierw wyskakuje cyfra a potem zmienia się w gwiazdkę... poza tym można sobie sprawdzić na erkanie głównym telefonu czy wszystkie cyfry działają. Narzekanie, że nie umie się z czegoś korzystać jest totalnie bezsensowne...
@Anonimowy:
1. W uprzednio posiadanym przeze mnie aparacie - Nokia 6600, funkcjonalność aplikacji nie miała takowej dogodności jak "opóźnione przysłonięcie" cyfry gwiazdką. OD RAZU BYŁY GWIAZDKI. Więc co ma do tego WADA WZROKU (bądź jej brak)?
2. Klawisz nie reagował, więc naciskało się go po kilka-kilkanaście razy i czasami zdarzało się, że omyłkowo nacisnęło się klawisz sąsiedni, który skutkował ANONIMOWĄ gwiazdką - więc nie wiedziałem, czy w końcu właściwy klawisz "zatrybił" czy jednak "wskoczył klawisz z sąsiedstwa".
Reasumując powyższe (jak również TO, o czym napisałem w swoim poprzednim poście - czyli uruchomienie się aplikacji mimo błędnie wpisanego PINu, jak również brak jej automatycznego zamknięcia po określonym czasie nieaktywności) NADAL TWIERDZĘ, że aplikację pisali NIE PO TO było z niej dogodnie korzystać, a po to, by później robić z ludzi baranów, obwiniając klienta za nieudolność własnych programistów. Korzystając z TAK DOGODNEGO trybu autoryzacji wychodzi na to, że MUSZĘ ZMIENIĆ TELEFON - czy to jest logiczne? Równie dobrze mogą zrobić niewymiarową kartę kredytową, która z racji np. odmiennych gabarytów, będzie mogła być używana TYLKO W ICH BANKOMATACH, albo zażyczyć sobie, że od jutra obsługują TYLKO KLIENTÓW W KRAWATACH.
Dla Anonimowego fana Erłobanku mogę podrzucić kolejną ciekawostkę: proszę spróbować załatwić coś w placówce na INNY DOKUMENT TOŻSAMOŚCI, aniżeli dowód osobisty. To w ramach zadania domowego. ;) Gwarantuję, że będzie to (cytat) TOTALNA BEZSENSOWNA PRÓBA i na darmo tłumaczenia, że zarówno PRAWO JAZDY, jak i PASZPORT są w Polsce dokumentami jednoznacznie identyfikującymi petenta. Na darmo szukać zrozumienia po drugiej stronie czerwonego stoiska. A żeby było ciekawiej - po wzięciu do ręki dowodu - personel wprowadza ... numer PESEL, który widnieje zarówno na prawie jazdy, jak w paszporcie. Pytam więc, jaka różnica - czy odczyta się PESEL z dowodu czy z innego WAŻNEGO DOKUMENTU TOŻSAMOŚCI? Odpowiedź: "Takie mamy procedury". Złodziej, który ukradnie dowód osobisty może bez najmniejszego problemu wyczyścić konto, bo ... ON MA WŁAŚCIWY DOKUMENT, który BEZ ŻADNYCH HASEŁ, PODPISÓW, ani innej dodatkowej identyfikacji OTWIERA DOSTĘP DO KONTA. Można się tłumaczyć, że przecież jest zdjęcie. W moim dowodzie (sprzed prawie 10 laty) widnieje postać młodego człowieka sprzed lat kilkunastu, który w znacznym stopniu różni się od mego obecnego wyglądu. Ale co tam ... Dla obsługi Erłobanku to nie stanowi żadnego problemu. Grunt, że DOWÓD JEST!
I na koniec, dyskretnie dodam, że nie ma w Polsce już chyba banku, w którym nie miałem (bądź nie mam) konta, więc zapewniam szanownego Anonimowego rozmówcę, iż na ten nośny temat mam (nie chwaląc się) NAPRAWDĘ OBSZERNE POJĘCIE. I jestem w stanie powiedzieć - które systemy bankowe są przyjazne dla klientów, a które - wręcz na odwrót.
PS: Odnosząc się bezpośrednio do wypowiedzi przedmówcy, również się zastanawiam "jakie braku w wykształceniu podstawowym trzeba mieć", by "NIEZAUWAŻYĆ", że NIE Z CZASOWNIKAMI PISZEMY ... ROZDZIELNIE. ;) Interpunkcję odpuszczam ... ;) Pozdrawiam.
Zapraszam do komentowania i dyskusji.
Nie akceptuję wulgaryzmów i komentarzy niedotyczących wpisu, a także z rażącymi błędami ortograficznymi. Takie komentarze i typowy spam z podpisem typu: "Kredyt dla każdego" będą usuwane. Reklamy można kupić przez AdWords lub AdTaily.
Masz jakieś pytanie/sugestię niezwiązaną z postem? Napisz na adres mailowy.