Bankowa aplikacja mobilna coraz częściej na celowniku cyberprzestępców. Co robią banki, żeby nas przed tym uchronić?

Nasz świat w wielu dziedzinach jest o wiele bardziej cyfrowy niż jeszcze parę lat temu. To m.in. lawinowo rosnąca popularność płatności bezgotówkowych, możliwość wypisania e-recepty czy e-zwolnienia. Bez gotówki, przy pomocy cyfrowych transakcji, coraz częściej skorzystamy z komunikacji miejskiej, zapłacimy za miejsce parkingowe, a ostatnio nawet zrobimy krok w kierunku własnych marzeń i opłacimy zakład na Lotto.

Taka cyfrowa rzeczywistość wydaje się z nami lepiej współgrać. Pozwala oszczędzać czas bez wydłużania drogi do celu. I w naszym, coraz bardziej rozbieganym życiu, dodaje istotny element: prostotę i funkcjonalność. Ale zanim zaczniemy gremialnie podskakiwać z radości, warto dla rozwagi przypomnieć sobie porzekadło, w którym to okazja czyni złodzieja.

Już w 2016 r., kiedy jeszcze odsetek korzystających na co dzień z bankowej aplikacji mobilnej był znacznie niższy niż teraz, Związek Banków Polskich ostrzegał przed cyberprzestępcami. Apelował o rozwagę i uważanie na oszustów, którzy podszywają się pod aplikacje mobilne banków.

Wtedy zamieszanie zaczął SMS z informacją o aktualizacji systemu operacyjnego na telefonie. Link do rzekomej aktualizacji był wirusem. Ten uaktywniał się w momencie uruchomienia bankowej aplikacji. Następnie udając, że to komunikat samego banku, prosił użytkownika o login i hasło. W ten sposób zaatakowano w sumie 68 banków na całym świecie. W Polsce dotyczyło to takich podmiotów jak Citi Handlowy, eurobank, Credit Agricole, Getin Bank, Alior Bank i mBank.

Pod koniec 2017 r. doszło do poważniejszego ataku. W oficjalnym sklepie Google Play pojawiły się dwie złośliwe aplikacje: CryptoMonitor i StorySaver. Jedna miała monitorować ceny kryptowalut, a druga przedstawiać historię korzystania z social mediów przez danego użytkownika w ciągu doby. Oprócz tego jednak owe aplikacje wyświetlały ekrany logowania, mocno przypominające te z bankowych aplikacji mobilnych. Mogły też przechwytywać SMS z kodami do autoryzacji online. Tym razem zagrożeni byli klienci 14 banków działających w Polsce: Alior Bank, BZWBK24 mobile, Getin Bank, IKO, ING, Bank Millennium, mBank, BusinessPro, Nest Bank, Bank Pekao, PekaoBiznes24, plusbank24, Mobile Bank i Citi Handlowy.

Analizując tego typu próby cyberprzestępców tylko w ostatnich paru latach, trzeba stwierdzić, że największego pecha miał chyba dawny Bank Zachodni WBK (po rebrandingu Santander Bank Polska). Ich bankowa aplikacja mobilna była na celowniku oszustów parę razy. Raz w oficjalnym sklepie Google Play dostępna była fałszywa aplikacja BZWBKlight. Potem miała miejsce kolejna próba - również fałszywa aplikacja Zachodni WBK mobile.

Za każdym razem scenariusz był ten sam. Złośliwe oprogramowanie starało się łudząco przypominać to właściwe. Aplikacje domagały się dostępu do SMS-ów - do ich odczytywania i wysyłania. I widać było, że tym razem cyberprzestępcy przygotowali się do swojego fałszerstwa porządnie. Nie było literówek, nie było też tak częstych w tego typu przypadkach błędów kodowania w znakach diakrytycznych. Owszem, bank starał się reagować dosyć szybko, ale i tak kilkuset klientów nie udało się uchronić.

Skoro świat staje się coraz bardziej cyfrowy, to może w dobie tego postępu znalazły się rozwiązania, które ukrócą takie oszukańcze praktyki w przyszłości? O tym, jak sobie radzą z tego typem zagrożeń i co robią, by nigdy nie były one zmartwieniem swoich klientów, zapytaliśmy większość banków funkcjonujących w naszym kraju. Z nadesłanych odpowiedzi wynika, że z pewnością wspólnym mianownikiem dla wszystkich jest bezpieczeństwo w sieci.

Banki jak najbardziej są świadome istniejącego i pogłębiającego się zagrożenia. Ale nie zamierzają bić się w piersi. Twierdzą najczęściej, że ich klienci w ogóle nigdy im tego typu fałszerstw nie zgłaszali. Tym samym dla niektórych banków niby jest jakiś kłopot z aplikacjami mobilnymi, ale skoro klienci na ten temat milczą, to tak naprawdę go nie ma. I po sprawie. Na szczęście to margines. Większość nie bagatelizuje istniejącego zagrożenia.

Większość rozpytanych przez nas banków na tę okazję ma i realizuje specjalną politykę. W pierwszej kolejności wszyscy apelują do użytkowników, by ci ściągali bankowe aplikacje mobilne tylko i wyłącznie z oficjalnych źródeł, sprawdzali autora aplikacji i liczbę pobrań. A jeśli wciąż mają wątpliwości - wtedy najlepiej kontaktować się bezpośrednio z bankiem.

Banki same z siebie starają się mieć oczy jak najszerzej otwarte.

Banki w walce z cyberprzestępcami stawiają spory nacisk na edukację swoich klientów. Same podpowiadają, co zrobić, żeby bankowa aplikacja mobilna nie padła ofiarą oszustów. I faktycznie: na większości stron bankowych znajdziemy odpowiednie zakładki, gdzie możemy znaleźć przydatne informacje.

Od 3 lat mBank z kolei prowadzi kampanię edukującą klientów na temat bezpiecznych zachowań w sieci pt. „Bądź czujny w sieci”. W zawartym tam Internetowym Kodeksie Bezpieczeństwa zetkniemy się z „dekalogiem cyfrowego bezpieczeństwa”:

Z kolei Alior Bank udostępnił dla klientów stronę edukacyjną PHISHING STOP, zawierającą kurs obrony przed phishingiem, który pomoże klientowi uniknąć zarażenia jego telefonu złośliwą aplikacją.

Namawianie własnych klientów do ostrożności i korzystania tylko i wyłącznie z pewnych źródeł oraz przy okazji jak najefektywniejsze edukowanie ich - to jedna strona medalu. Drugą są już rozwiązania techniczne, które mają uchronić i banki i ich klientów przez cyberprzestępcami.

Przykładowo w Credit Agricole postawiono na wewnętrznego atnywirusa. Bank uruchomił nową funkcję swojej aplikacji CA24Mobile na sprzęty z systemem Android. Ta sprawdzi, czy urządzenie klienta nie stało się celem złośliwego oprogramowania. Jeśli wykryje takowe - bankowa aplikacja mobilna nie uruchomi się i tym samym pokrzyżuje plany oszustów.

Na jeszcze inny styl walki z cyberprzestępcami zdecydowano się w Pekao SA. Komunikacja między aplikacją a systemem banku jest szyfrowana. Klient ma do wyboru kilka sposobów logowania, a sama aplikacja ograniczona jest limitami transakcji. Dane dotyczące zaś rachunków i innych produktów bankowych nie są przechowywane w pamięci telefonu.

Wychodzi na to, że w walce z sieciowymi oszustami nie jesteśmy aż tak bardzo osamotnieni. Swoje starają się robić same banki. Wszak im więcej przypadków takich fałszerstw i im więcej tak oszukanych klientów, tym więcej rys pojawiających się na wizerunku banku. A to za bardzo nie idzie w parze z bliską sercu każdego bankowca wizją pozyskiwania nowych klientów.

Ale kolejny raz wychodzi na to, że podstawowym, najsurowszym filtrem powinna być jednak ostrożność i rozwaga nas samych. Bo tak naprawdę, gdy tych zabraknie, to marna szansa szukać pomocy w jakichś cudownych mechanizmach i nasza bankowa aplikacja mobilna bezpieczna nie będzie.

Pamiętajmy, że banki:

A gdy już z naszą ostrożnością tak dobrze nie będzie i staniemy się ofiarą ataku cyberprzestępców, jak najszybciej poinformujmy o wszystkim bank. Równie szybko zmieńmy hasło logowania i PIN do aplikacji mobilnej. Pamiętamy też, że przywrócenie telefonu do ustawień fabrycznych spowoduje najczęściej bezpowrotne usunięcie danych wirusa.