Bankowość mobilna: hakerzy czekają na naszą nieuwagę

Coraz częściej korzystamy z konta bankowego za pomocą smartfona. Jak podaje portal PRNews.pl, robi tak już 4,8 mln klientów polskich banków. Połowa z nich to – według badania NBP – ludzie młodzi, poniżej 24 lat.

Aplikacje bankowe przeznaczone dla urządzeń mobilnych są z reguły bardzo dobrze zabezpieczone. Przede wszystkim nie przechowują poufnych danych w pamięci podręcznej i wylogowują z konta po kilku minutach bezczynności.

Jest to więc bezpieczna forma bankowości, ale pod warunkiem, że przestrzega się określonych reguł. Pamiętajmy, że – jak podają firmy analityczne – użytkownicy ponoszą winę aż za 60 proc. wszystkich naruszeń bezpieczeństwa. Beztroska i nieuwaga otwierają wrota do nadużyć.

Spreparowana sieć, luki w oprogramowaniu

Zdarza się, że cyberprzestępcy przygotowują w miejscach publicznych fałszywą sieć Wi-Fi. Wtedy zamiast do hot-spota użytkownik loguje się do fałszywej sieci. Jej nazwa może sugerować, że jest to np. sieć pobliskiej kawiarni. Gdy połączymy się z taką siecią, a następnie skorzystamy z usług bankowych, haker będzie miał możliwość podejrzenia, jakie dane logowania do banku zostały wprowadzone, i niewątpliwie z nich skorzysta.

Dużym zagrożeniem mogą być luki w nieaktualizowanym oprogramowaniu. Zawsze należy aktualizować zarówno system operacyjny, jak i inne aplikacje na telefonie.

Specjaliści przestrzegają przed fałszywymi aplikacjami. Cyberprzestępcy wykorzystują niski poziom autoryzacji aplikacji w sklepie Google’a oraz możliwość instalacji oprogramowania z niezaufanych źródeł.

W końcu listopada 2017 r. w oficjalnym sklepie Google Play pojawiły się dwie aplikacje: CryptoMonitor mająca służyć do rzekomego śledzenia cen kryptowalut oraz StorySaver obiecująca pobieranie z Instagrama tzw. stories, czyli krótkich historii użytkownika z ostatniej doby. Obie aplikacje, oprócz obiecywanych funkcji, wyświetlały ofiarom powiadomienia systemowe, które wyglądały identycznie jak te generowane przez aplikacje bankowe. Na celowniku znaleźli się wówczas użytkownicy aplikacji mobilnych aż 14 polskich banków.

Popracuj nad hasłami

Często powtarzanym przez użytkowników błędem są identyczne hasła do różnych aplikacji i serwisów. Należy tego zdecydowanie unikać, ponieważ w ten sposób rośnie ryzyko włamania na wiele kont jednocześnie.

Warto pamiętać, że przestępca może próbować odgadnąć hasło do profilu, który go interesuje, na podstawie poprzednio wykorzystywanych haseł danego użytkownika. Istnieją strony internetowe, takie jak https://haveibeenpwned.com, które umożliwiają sprawdzenie, czy konta zostały zhakowane.

Problemem mogą być także słabe hasła. Zalecane jest stosowanie hasła możliwie długiego i skomplikowanego. Trudne do złamania hasło to kombinacja kilkunastu różnych znaków: wielkich i małych liter, cyfr, symboli czy spacji.

W celu wyłudzenia danych cyberprzestępcy często stosują phishing. Polega to na podszywaniu się pod osobę lub instytucję. Jest to wciąż jedna z najbardziej skutecznych metod socjotechnicznych. Dlatego należy podchodzić ostrożnie do e-maili z nieznanych źródeł lub podszywających się pod komunikację z bankiem. Gdy e-mail jest podejrzany, nie wolno klikać w załączniki.

Jak się bronić

Obrona przed zagrożeniami nie jest skomplikowana, ale musi być stosowana zawsze, bez żadnych wyjątków. Co należy robić, aby bezpiecznie korzystać z wygody, jaką daje mobilna bankowość?

Przede wszystkim trzeba zainstalować w smartfonie oprogramowanie antywirusowe (może być wersja bezpłatna). Urządzenie powinno być zabezpieczone PIN i/lub hasłem, a jeszcze lepiej za pomocą biometrii (np. skanowanie odcisku palca), o ile smartfon taką funkcję posiada.

Nigdy nie zapisuj w telefonie haseł ani numerów PIN. Nie loguj się do banku, gdy korzystasz z publicznej sieci Wi-Fi (lepiej wybrać w tym celu mobilny internet w telefonie). Ustal limity na transakcje mobilne; w razie włamania nie stracisz zbyt wiele.

Nie rezygnuj z wiadomości push (tzw. alerting, funkcja ułatwiająca śledzenie zmian na rachunku bankowym bez logowania). Takie powiadomienia mogą nas zaalarmować, kiedy z konta zniknie jakaś suma, choć nie robiliśmy żadnych płatności.

Uważnie sprawdzaj SMSy od nieznanych nadawców. Nie klikaj w żaden link, zanim ich nie zweryfikujesz.

Sprawdź, czy bank oferuje widgdet ze stanem konta. Jest to funkcja umożliwiającą wyświetlanie stanu rachunku bezpośrednio na pulpicie smartfonu, bez konieczności logowania się do aplikacji. Rozwiązanie to uniemożliwia podejrzenie hasła przez osoby postronne.

Uruchom opcje blokady telefonu na wypadek jego zagubienia lub kradzieży. Możesz też szyfrować wszystkie informacje na telefonie.

Więcej firm świadczących usługi

W styczniu 2018 r. nasz rząd przyjął nowelizację ustawy o usługach płatniczych, która ma dostosować polskie prawo do dyrektywy PSD2 (dyrektywa Parlamentu Europejskiego i Rady (UE) z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego).

Zgodnie z nową ustawą do świadczenia usług na rynku zostaną dopuszczone nowe podmioty (Third Party Providers). Zwiększy się zatem liczba firm oferujących np. mobilne płatności. Nowe przepisy przewidują wysoki poziom zabezpieczeń w usługach oferowanych przez te podmioty, ale to nie zwalnia użytkowników z przestrzegania zasad bezpieczeństwa. W przeciwnym razie klienci będą narażeni na ryzyko ataku i na przejęcie środków finansowych przez przestępców.

Opinia

Karolina Małagocka, ekspert ds. prywatności w firmie F-Secure

Aplikacje bankowe z reguły są bardzo dobrze chronione. Ryzyko przejęcia dostępu do konta jest zatem minimalne. Zdarza się jednak, że hakerzy tworzą aplikacje, które łudząco przypominają oficjalne aplikacje bankowe. Cyberprzestępcy podobnie je nazywają i próbują odzwierciedlić znaną użytkownikom szatę graficzną. W praktyce ma to na celu przejęcie hasła. Dlatego warto sprawdzić, czy strona internetowa banku prowadzi do tej samej aplikacji, którą mamy zamiar pobrać ze sklepu. Trzeba spojrzeć na opinie użytkowników i pamiętać, że jeśli coś wzbudza nasze obawy, należy zaprzestać logowania i zgłosić problem bankowi. Co od razu należy uznać za podejrzane? Na przykład to, że aplikacja wymaga od nas wpisania pełnych danych logowania zamiast numeru PIN.