Ponad 18 tysięcy złotych stracił mieszkaniec Witoszowa przez hakera. Nieznany sprawca włamał się na bankowe konto elektroniczne 46-latka.
– Internetowy złodziej dokonał przewalutowania franków na złotówki i dokonał nieautoryzowanego przelewu na kwotę 18 243 złote – informuje Robert Topolski z KPP w Świdnicy. Postępowanie w tej sprawie prowadzi policja.
Czy można się ustrzec podobnych kradzieży? Porada za eurobank.pl:
Zabezpieczenie hasłem
Standardowym rozwiązaniem we wszystkich bankach są:
- login, który użytkownik otrzymuje przy nadawaniu dostępu do bankowości internetowej (czasem można nadać własny identyfikator, co ułatwia jego zapamiętanie),
- hasło definiowane samodzielnie przez użytkownika. Hasło to najczęściej ciąg znaków (duże lub małe litery, cyfry, znaki specjalne). Nowością jest hasło w formie graficznej, które wprowadza się poprzez łączenie punktów w określonej kolejności (rozwiązanie to używane jest do zabezpieczenia dostępu w niektórych telefonach).
Tych danych użytkownik nie powinien udostępniać osobom trzecim. Może się jednak zdarzyć, że login i hasło będą w dosyć prosty sposób przejęte przez osoby niepowołane, czy to poprzez podejrzenie podczas wpisywania go przez użytkownika na klawiaturze, czy po prostu poprzez ich odczytanie, jeśli – co niestety jest czasem praktykowane – zapiszemy swój login i hasło w łatwo dostępnym miejscu.
Oprócz takich prostych form przechwycenia loginu i hasła możliwe są jeszcze „bardziej wyrafinowane” metody, jak phising (wyłudzenie poufnych informacji poprzez podszycie się pod bank, np. poprzez stworzenie fałszywej strony banku) czy oprogramowanie rejestrujące wpisywane na klawiaturze znaki (keylogger). Niektóre banki podnoszą trochę bezpieczeństwo podawania hasła poprzez wprowadzenie klawiatury ekranowej lub konieczność wpisywania wyłącznie wybranych znaków z hasła.
Powyższe rozwiązanie nie zapewnia jednak wystarczającego bezpieczeństwa korzystania z bankowości internetowej, dlatego banki często mocno ograniczają zakres operacji możliwych do wykonania wyłącznie po podaniu loginu i hasła. Z wykorzystaniem tej formy zabezpieczenia można zazwyczaj podejrzeć aktualne saldo czy historię konta, sprawdzić listę transakcji dokonanych kartą kredytową, czy choćby aktualny harmonogram spłacanego kredytu. Aby umożliwić użytkownikom bezpieczne wykonywanie większej liczby transakcji poprzez internet, banki wprowadzają dodatkowe metody autoryzacji transakcji, o których piszę poniżej.
Karta kodów jednorazowych
Niegdyś dosyć powszechne rozwiązanie, które pozwoliło upowszechnić bankowość internetową w Polsce, jest obecnie coraz częściej zastępowane przez inne formy zabezpieczeń. Karta kodów może mieć różne formy:
- małej karteczki, na której wpisane są kolejno ponumerowane kody,
- małej plastikowej karty, wielkości karty płatniczej, na której podane kody są opisane odpowiednio oznaczonymi wierszami i kolumnami, czasem również zabezpieczone zdrapką.
Przy dokonywaniu transakcji użytkownik jest proszony o podanie określonego (kolejnego) kodu z karty kodów.
Takie rozwiązanie jest łatwe w użytkowaniu, gdyż ze względu na rozmiar karty łatwo ją przechowywać np. w portfelu. Osoby korzystające z karty kodów są jednak narażone na phishing, gdyż niestety zdarza się, że użytkownik – nieświadomy zasad bezpiecznego korzystania z tej formy zabezpieczenia – podaje kod jednorazowy (a nawet kilka kodów) na fałszywej stronie banku.
Hasła sms
To aktualnie najbardziej powszechne zabezpieczenie w polskiej bankowości, wypierające karty kodów jednorazowych. Rozwiązanie jest bardzo przyjazne użytkownikowi, gdyż prawie każdy z nas posiada telefon komórkowy i potrafi odbierać SMSy.
Użytkownik otrzymuje SMSem kod transakcji z dodatkowym opisem. Przed wpisaniem kodu, przy potwierdzeniu transakcji, użytkownik powinien sprawdzić, czy opis transakcji przysłany wraz z kodem SMS odpowiada wykonywanej transakcji.
Takie rozwiązanie jest bardzo bezpieczne, bo jest odporne na różne formy elektronicznego przejęcia kodu potwierdzającego transakcję. Zresztą, nawet samo przejęcie określonego kodu nie pozwalana na zatwierdzenie przy jego wykorzystaniu innej operacji, gdyż dla tej innej operacji wymagany byłby inny kod potwierdzający.
Wadą opisanego rozwiązania jest konieczność pozostawania w zasięgu sieci GSM, aby móc otrzymać kod za pomocą SMSa. Jednak w Polsce jest coraz mniej miejsc, gdzie brakuje zasięgu sieci telefonii komórkowej.
Token sprzętowy
Jako dodatkowe zabezpieczenie autoryzacji transakcji (a czasem również logowania) wykorzystywany jest też token. To specjalne urządzenie elektroniczne, które generuje kody. Niektóre modele są dodatkowo zabezpieczone PINem, co dodatkowo utrudnia możliwość wykorzystania tokena przez osoby niepowołane.
Czas ważności kodu wygenerowanego przez token jest zazwyczaj ograniczony czasowo (np. aktualne wskazanie tokena jest wyświetlane tylko przez 1 minutę).
Wadą tego sposobu zabezpieczenia transakcji jest konieczność używania osobnego urządzenia do autoryzacji. Zazwyczaj jest ono małe, ale na pewno nie zmieści się w portfelu (w przeciwieństwie do np. karty kodów jednorazowych). Ponadto banki często pobierają dodatkową miesięczną opłatę za korzystanie ze sprzętu..
Token GSM
To rozwiązanie na razie mało popularne w naszym kraju, jednak jest uważane aktualnie za najbardziej bezpieczne. W telefonie instalowana jest niewielka aplikacja, której uruchomienie wymaga podania PINu. Aplikacja ta generuje odpowiednie hasła na podstawie opisu transakcji. Opis transakcji wpisywany jest do telefonu w formie kodu (wyświetlonego podczas transakcji w systemie bankowości internetowej). Jeżeli opis transakcji wyświetlony w telefonie (na podstawie wpisanego kodu) odpowiada wykonywanej transakcji, użytkownik akceptuje go i otrzymuje hasło.
Ponieważ hasło nie jest w żaden sposób przesyłane siecią telekomunikacyjną, rozwiązanie to może być stosowane zawsze i wszędzie. Jedyny warunek to włączony aparat telefoniczny.
Wojciech Mikołajczyk, ekspert ds. bankowości elektronicznej