Osoby czytające wydania polityki

„Polityka”. Największy tygodnik w Polsce.

Wiarygodność w czasach niepewności.

Subskrybuj z rabatem
Rynek

Cerowanie sieci

Jak być bezpiecznym w bankowej sieci

Marek Sobczak / Polityka
Ponad 8 mln Polaków korzysta z usług bankowych przez Internet, ale wielu innych wciąż boi się spróbować. Zagrożeń rzeczywiście nie brakuje. Jednak arsenał środków bezpieczeństwa jest imponujący. Jak z niego korzystać?
Statystyki bankowości internetowej w PolscePolityka Statystyki bankowości internetowej w Polsce
Zalety i wady systemów ochrony przed internetowymi złodziejamiPolityka Zalety i wady systemów ochrony przed internetowymi złodziejami

Bezpłatne prowadzenie konta, najczęściej darmowe przelewy, błyskawiczna kontrola ostatnio wykonanych operacji, poręczne doładowanie telefonu komórkowego – lista zalet bankowości internetowej jest długa. Usługa niegdyś niszowa teraz stała się nieodłącznym elementem oferty każdego banku.

Jednak im więcej pojawia się nowych, niedoświadczonych użytkowników, tym bardziej rosną szanse złodziei, którzy właśnie w sieci chcą okradać swoje ofiary. Obawy o to, czy pieniądze będą bezpieczne, wciąż odstraszają wielu, zwłaszcza starszych klientów, od banku w sieci. Zresztą sama terminologia, opisująca różne rodzaje zagrożeń, może szybko zniechęcić każdego, kto chciałby zapomnieć o coraz wyższych prowizjach za operacje zlecane w okienku.

Uwaga: złodzieje!

Najczęściej zagraża nam phishing (z ang. password fishing – łowienie hasła), czyli próba wyłudzenia danych dotyczących naszego konta. Oszuści przygotowują w tym celu specjalną stronę internetową, łudząco podobną do witryny banku. Ma ona nawet bardzo podobny adres internetowy– zazwyczaj różni się tylko jedną literą bądź innym znakiem. Aby zachęcić do wejścia na taką fałszywą stronę, przestępcy rozsyłają olbrzymie ilości e-maili, słusznie zakładając, że część z nich trafi również do osób, które mają konto w banku będącym przedmiotem ataku. Jeżeli nie zauważymy próby oszustwa i spróbujemy zalogować się na swoje konto na tak podstawionej witrynie, złodzieje poznają nasze hasło i login. Później będą mogli dobrać się do naszego rachunku na prawdziwej stronie banku. Zresztą niekoniecznie muszą używać tak pracochłonnych metod. Niektórzy próbują wyłudzić login i hasło, po prostu dzwoniąc do przypadkowych osób i podając się za przedstawicieli banku. Pamiętajmy, że prawdziwy pracownik instytucji finansowej nigdy czegoś takiego nie zrobi – nie wolno mu prosić nas o żadne poufne dane.

Przed phishingiem stosunkowo łatwo się bronić, jeśli uważnie patrzymy, czy weszliśmy na prawidłową stronę internetową banku i ignorujemy podejrzane wiadomości elektroniczne czy telefony. Znacznie trudniej poradzić sobie z rzadziej spotykanymi, ale bardziej wyrafinowanymi atakami. Są one określane angielskimi terminami man-in-the-middle ( z ang. człowiek pośrodku) oraz man-in-the-browser (z ang. człowiek w przeglądarce). Wówczas oszust na bieżąco śledzi nasze ruchy w sieci, a nie tylko zbiera dane do wykorzystania w przyszłości.

W pierwszym przypadku złodziej, fałszując certyfikaty bezpieczeństwa, jest w stanie na bieżąco przechwytywać informacje wychodzące z naszego komputera do serwera banku, jak login i hasło.

Najbardziej niebezpieczna jest druga sytuacja, gdy wykorzystując specjalne wirusy przestępca przejmuje kontrolę bezpośrednio nad naszym komputerem. Wówczas jest w stanie zrobić praktycznie wszystko – łącznie z zamaskowaniem swojego ataku. Wtedy bardzo trudno się zorientować, że weszliśmy na fałszywą stronę banku, bo wygląda ona, łącznie z adresem, dokładnie tak jak prawdziwa. Na szczęście takie ataki są stosunkowo rzadkie.

Wszyscy specjaliści od zabezpieczeń podkreślają, że najsłabszym ogniwem jest człowiek – użytkownik, który z powodu nieostrożności albo niewystarczającego doświadczenia stwarza okazję złodziejom. W przypadku bankowości internetowej może się to dziać na wiele różnych sposobów. Jeśli używamy przestarzałej przeglądarki czy nieaktualnego oprogramowania antywirusowego, narażamy się na włamanie do naszego komputera. Jeśli logujemy się na stronę banku i zapominamy dokładnie sprawdzić jej adres oraz certyfikat bezpieczeństwa (symbol zamkniętej kłódeczki), możemy nieświadomie przekazać dane złodziejowi. Jeśli wreszcie chcemy wykonać jakieś operacje bankowe w kawiarence internetowej, łatwo możemy paść ofiarą tych, którzy instalują specjalne programy czytające znaki wybierane przez nas na klawiaturze. Pamiętajmy, by z bankiem kontaktować się tylko z własnego komputera lub laptopa!

Uwaga: hasła i kody!

Warto jednak mieć na uwadze, że zdecydowana większość internautów nigdy nie miała żadnych problemów ze swoim kontem. A największym kłopotem było i jest nie tyle unikanie ataków, co umiejętne korzystanie z szeregu zabezpieczeń. Najbardziej podstawowe z nich to login i główne hasło.

Login – zazwyczaj ciąg cyfr bądź liter i cyfr – jest ustalany przez bank. Przypisany jest nie do konkretnego rachunku, ale klienta. To swoisty klucz do otwarcia całego serwisu transakcyjnego. W przypadku większości banków towarzyszy mu hasło, ustalane już przez samego użytkownika. Powinno być ono stosunkowo długie i trudne do odgadnięcia – najlepiej sprawdzają się kombinacje liter i cyfr. Czasem już na etapie logowania się do serwisu bankowego trzeba podać jeszcze inne dane. Dotyczy to zwłaszcza banków, które oferują swoim klientom tzw. token.

To małe urządzenie w formie breloczka. Jego używanie jest bardzo proste – token został tak zaprogramowany, aby co minutę generować nowy, najczęściej sześciocyfrowy kod. Oczywiście każde takie urządzenie ma w sobie nieco inny algorytm, więc jego aktualny kod będzie inny niż reszty tokenów wydanych przez ten sam bank. Wszystkie wskazania tokena zna natomiast serwer naszego banku. Tym samym może zweryfikować, czy podany przez nas kod, odczytany z własnego tokena, jest prawidłowy. Co ważne, token nie musi komunikować się drogą radiową z centralą banku. Technicznie przypomina zatem kalkulator.

Zazwyczaj, aby włączyć token, musimy wpisać wcześniej ustalony numer PIN. Wadą tokenu jest z pewnością konieczność ciągłego noszenia go ze sobą, jeśli chcemy z bankowości internetowej korzystać poza domem.

Jednak i na to jest już rada. Dwa banki w Polsce – Euro Bank i Pekao – oferują swoim klientom tzw. token GSM, czyli specjalny program działający w telefonie komórkowym. Jak on funkcjonuje? Najpierw trzeba ściągnąć prostą aplikację, która bez problemu powinna działać w aparatach obecnie sprzedawanych i trochę starszych. Co ważne, później, czyli podczas generowania kodów, token GSM nie musi już komunikować się z żadną centralą – dzięki temu nie ma ryzyka przechwycenia danych ani konieczności płacenia za połączenie komórki z Internetem. Według ekspertów zajmujących się sieciową przestępczością, to właśnie token GSM jest w tej chwili najlepszą metodą zabezpieczenia.

 

Banki, które nie oferują swoim klientom tokenów, proponują jednorazowe hasła, przesyłane w razie potrzeby na telefon komórkowy. Kilka lat temu królowały papierowe listy kodów, które po kolei wprowadzaliśmy do systemu transakcyjnego, gdy nas o to prosił. Teraz od takich papierowych haseł już się odchodzi – właśnie na korzyść esemesowych.

Kiedy potrzebujemy takich haseł bądź kodów? Większość banków nie wymaga ich podczas samego logowania, ale dopiero przy zlecaniu niektórych operacji. Np. zdefiniowanie nowego przelewu albo doładowanie telefonu komórkowego będą poprzedzone żądaniem wprowadzenia aktualnego odczytu z tokena czy hasła, które właśnie przyszło esemesem.

W przypadku używania tokena GSM cała procedura może być jeszcze bardziej skomplikowana, ale dzięki temu – jeszcze bardziej bezpieczna. Po zleceniu wybranej operacji najpierw bank wyświetla własny kod, który trzeba wprowadzić do aplikacji tokena na komórce. Wówczas uzyskamy kolejne hasło i dopiero po prawidłowym wpisaniu go na stronie internetowej zakończymy całą procedurę. Szczególnie początkującego użytkownika bankowości internetowej ta liczba kodów i haseł może przerazić – niestety, nie ma na to rady. Im więcej wymyślnych zabezpieczeń, tym lepiej jesteśmy chronieni przed internetowymi przestępcami.

Kiedy banki proponują nam tokeny, a kiedy hasła wysyłane na komórkę?

Tokeny są zdecydowanie bardziej popularne w przypadku kont dla firm. Ich wyprodukowanie to średnio koszt 80–100 zł, choć eksploatacja jest już bezpłatna. Natomiast wysłanie każdego hasła jednorazowego esemesem to dla banku wydatek rzędu 5–10 gr. Zwłaszcza w przypadku mniej aktywnych klientów będzie to zatem tańsze rozwiązanie dla banku niż token – mówi Paweł Majtkowski, analityk Expandera.

Uwaga: umowa ramowa!

Korzystając z bankowości internetowej możemy już nie tylko zlecać prawie wszystkie transakcje, ale także kupować ubezpieczenia, grać na giełdzie, handlować jednostkami funduszy inwestycyjnych czy zaciągać kredyty. Przez długi czas wiele serwisów nie akceptowało wykonywania przez sieć przelewów zagranicznych – na szczęście i to już się zmieniło. Oczywiście zakres usług dostępnych w sieci zależy często od samego banku – czasem oferuje on wybrane lokaty czy kredyty tylko w swoich placówkach. Ale coraz częściej to właśnie klienci internetowi nagradzani są specjalnymi promocjami i korzystniej oprocentowanymi rachunkami. Największy problem banków to dziś już nie ograniczenia techniczne, ale sam pomysł na jak najprostszy, najbardziej intuicyjny i wygodny serwis transakcyjny. I w tej dziedzinie jest jeszcze wiele do zrobienia.

Nawet najbardziej zagorzały fan bankowości internetowej nie będzie w stanie obejść się zupełnie bez papierowych dokumentów. Ponieważ tylko nieliczne osoby prywatne korzystają w Polsce z podpisu elektronicznego, większość z nas nadal wiele dokumentów musi podpisywać ręcznie – w placówce banku albo w domu, gdy odpowiednie umowy przywiezie kurier. Warto jednak pamiętać, że i pod tym względem banki próbują ułatwić życie klientom – a sobie zwiększyć zyski.

Popularność zyskują tzw. umowy ramowe, co jest równoznaczne z tym, że wyrażamy zgodę na kupowanie różnych usług bezpośrednio przez stronę internetową – mówi Michał Sadrak z Open Finance.

Zazwyczaj podpisanie takiej umowy nic nie kosztuje, ale dzięki niej bank może nam łatwo oferować nowe produkty. Gdy umowa ramowa zacznie obowiązywać, często wystarczy już tylko jedno kliknięcie, aby dostać pożyczkę czy zamówić kartę kredytową. Ale uwaga – to równocześnie zaleta i wada. Zaleta, bo nie musimy już chodzić do placówki, a nowa usługa zaczyna działać niemal natychmiast. Potencjalnie jest to też jednak zagrożenie, gdyż często podejmujemy decyzje finansowe impulsywnie, bez chwili refleksji. Trzeba więc pamiętać, że niepozorne kliknięcie myszą ma wówczas takie samo znaczenie jak złożenie własnoręcznego podpisu na umowie.

Choć już ponad 8 mln Polaków korzysta z bankowości internetowej, kolejne 6 mln tego nie robi, mimo że posiada konta stwarzające taką możliwość. Liczba klientów zlecających przelewy przez sieć czy zaciągających w ten sposób kredyty na pewno będzie rosnąć. A wraz z nimi pojawią się kolejni oszuści, próbujący złamać coraz bardziej wyrafinowane zabezpieczenia. Bankowość internetowa nie jest i nie będzie nigdy całkowicie bezpieczna – dokładnie tak samo jak ta tradycyjna. Ale zamiast bronić się przed nowymi technologiami, lepiej zachowując ostrożność i rozważnie z nich korzystać.

Polityka 47.2010 (2783) z dnia 20.11.2010; _PUSTY_; s. 48
Oryginalny tytuł tekstu: "Cerowanie sieci"
Więcej na ten temat
Reklama

Czytaj także

null
Ja My Oni

Jak dotować dorosłe dzieci? Pięć przykazań

Pięć przykazań dla rodziców, którzy chcą i mogą wesprzeć dorosłe dzieci (i dla dzieci, które wsparcie przyjmują).

Anna Dąbrowska
03.02.2015
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną