Zwykły login i nawet skomplikowane hasło nie gwarantują już bezpieczeństwa. Hakerzy potrafią szybko pokonać te „standardowe” zabezpieczenia i uzyskać dostęp do rachunków bankowych. Stąd od pewnego czasu wprowadzane są coraz to nowe metody mające utrudnić działanie cyberprzestepcom. Biometria wciąż jeszcze jest ciekawostką, ale tzw. silne uwierzytelnienie stało się już faktem.
Nieustanna walka dobra ze złem
Hakerzy za wszelką cenę starają się zdobyć dostęp do kont klientów instytucji finansowych. Próbują pokonać zabezpieczenia stworzone przez pracujących tam informatyków, a gdy to się nie udaje, imają się przeróżnych sposobów, by zdobyć dane niezbędne do zalogowania się w systemie transakcyjnym banku od łatwowiernych klientów. Praktycznie nie ma tygodnia, by media nie donosiły o kolejnych, coraz bardziej wyrafinowanych, niekiedy bezczelnych, metodach stosowanych przez oszustów. Czasem trudno uwierzyć, że ktoś dał się nabrać.
Spójrzmy na różne sposoby utrudniania życia cyberprzestępcom. Pomijamy archaiczne zdrapki, czy bardzo kłopotliwe w użytkowaniu niewielkie urządzenia zwane tokenami, generujące jednorazowe kody autoryzacyjne.
Podwójne uwierzytelnienie
To najprostszy ze sposobów podnoszenia bezpieczeństwa transakcji finansowych. Sprowadza się do podania podczas logowania do bankowości elektronicznej nie tylko loginu i hasła, ale również jakiegoś dodatkowego „kodu dostępu”, np. wybranych losowo cyfr z numeru Pesel, kodu przesłanego przez bank sms-em.
Nieliczne instytucje finansowe stosowały taki sposób logowania już wcześniej, a wszystkie zostały zmuszone do jego wprowadzenia wymogami unijnej dyrektywy PSD 2 mającej uregulować europejski rynek usług płatniczych. Przepisy zaczęły obowiązywać 14 września 2019 r. i szybko okazało się, że konieczność pokonania kilku stopni zabezpieczeń jest dość uciążliwa. Wprowadzono więc możliwość dodania urządzenia (komputera, laptopa), z którego klient korzysta do grupy „zaufanych”. Po zatwierdzeniu takiej dyspozycji nie jest już konieczne każdorazowe podwójne uwierzytelnianie.
Jest to „mechanizm”, który doskonale znamy i wykorzystujemy w przypadku autoryzacji przelewów - te do odbiorców zaufanych nie muszą być potwierdzane kodem z sms-ów czy w inny sposób.
Co ciekawe, wymogi dyrektywy PSD 2 dotyczą też zwiększenia bezpieczeństwa transakcji dokonywanych kartami płatniczymi. Obecnie możliwe jest, że nawet przy niewielkich kwotach, system zażąda od nas potwierdzenia płatności kodem PIN. Obowiązuje zasada, że PIN-em musi być potwierdzona co szósta operacja (bank ma prawo wprowadzić większą częstotliwość) bez względu na kwotę.
Mobilna autoryzacja
Ta forma zabezpieczenia w pewnym sensie też jest podwójnym uwierzytelnieniem. Chodzi o to, że po wpisaniu danych wykonywanej transakcji w bankowości internetowej, bank wysyła wiadomość o tym fakcie w postaci sms-a i czeka na potwierdzenie operacji… z poziomu aplikacji mobilnej. Trzeba więc znać sposoby na pokonanie zabezpieczeń na komputerze i na smartfonie.
Mobilna autoryzacja uznawana jest za najbezpieczniejszą z „tradycyjnych” metod, gdyż wiąże się nie tylko z koniecznością podania kodów dostępu na dwóch urządzeniach, ale i eliminuje ryzyko przechwycenia danych autoryzacyjnych przesyłanych sms-em. Duże znaczenie ma też skomplikowany sposób szyfrowania danych w aplikacji.
Biometria
Zdaniem wielu ekspertów, to właśnie biometria stanie się w przyszłości najpowszechniejszym i najpewniejszym sposobem zabezpieczenia dostępu nie tylko do rachunków bankowych, ale i mieszkań, wydzielonych części budynków.
W filmach akcji od lat oglądamy autoryzację dostępu do określonych stref przy pomocy odcisku palca czy skanu tęczówki oka. Od pewnego czasu ten pierwszy sposób wykorzystywany jest także przy odblokowywaniu dostępu do smartfonów czy laptopów. Uwierzytelnienie następuje w oparciu o obraz linii papilarnych lub układ naczyń krwionośnych.
Coraz popularniejsza staje się biometria twarzy. Wykorzystywana przez banki technologia pozwala odróżnić, czy przekazywany obraz, to twarz „żywego” człowieka, czy tylko jego zdjęcie, co eliminuje możliwość podszywania się pod kogoś.
Technologia jest na tyle „pewna”, że coraz więcej banków decyduje się na udostępnienie opcji zakładania rachunku przy pomocy selfie. Citibank poszedł jeszcze dalej i we wrześniu 2019 r. pochwalił się, że jako pierwszy w Polsce wprowadził biometryczny proces kredytowy.
Na co dzień zdrowy rozsądek
Zanim zostaną wprowadzone jeszcze doskonalsze zabezpieczenia, trzeba zachować zdrowy rozsądek i pamiętać, że bank, ani żadna inna instytucja finansowa, nigdy nie prosi o podanie w e-mailu czy podczas rozmowy telefonicznej danych umożliwiających zalogowanie się do bankowości elektronicznej. Z dużą podejrzliwością trzeba traktować wiadomości z prośbą o przelanie drobnych kwot, które omyłkowo nie zostały pobrane podczas opłacania zakupów internetowych, kosztów przesyłek itp. Podane linki, mające umożliwić uzupełnienie niedopłaty, na ogół prowadzą do zainfekowanych przez oszustów stron internetowych, dzięki, którym są w stanie przejąć kontrolę nad rachunkiem łatwowiernego/naiwnego odbiorcy wiadomości i przelać znajdujące się tam pieniądze na swoje konta.
Niewyobrażalna przyszłość
To, co jeszcze przed kilku laty było czystą fantazją lub było wykorzystywane tylko w najbardziej tajnych, najpilniej strzeżonych ośrodkach, dziś staje się powszechnym elementem życia codziennego. Co więc nas czeka w przyszłości? Jakie zabezpieczenia będą stosowano za kilka, kilkanaście lat? Naprawdę trudno to sobie wyobrazić.
