Bankowa aplikacja mobilna coraz częściej na celowniku cyberprzestępców. Co robią banki, żeby nas przed tym uchronić?

Artykuł/Bankowość 20.10.2018
Bankowa aplikacja mobilna coraz częściej na celowniku cyberprzestępców. Co robią banki, żeby nas przed tym uchronić?

Bankowa aplikacja mobilna coraz częściej na celowniku cyberprzestępców. Co robią banki, żeby nas przed tym uchronić?

Według najnowszych badań bankowa aplikacja mobilna używana jest przez 72 proc. użytkowników smartfonów. To 7 p.p. wzrostu w porównaniu z rokiem ubiegłym. Tylko czy wiemy, jak robić to bezpiecznie? Jak ominąć oszustów, którzy również i tutaj starają się wrzucić swoje trzy grosze?

Nasz świat w wielu dziedzinach jest o wiele bardziej cyfrowy niż jeszcze parę lat temu. To m.in. lawinowo rosnąca popularność płatności bezgotówkowych, możliwość wypisania e-recepty czy e-zwolnienia. Bez gotówki, przy pomocy cyfrowych transakcji, coraz częściej skorzystamy z komunikacji miejskiej, zapłacimy za miejsce parkingowe, a ostatnio nawet zrobimy krok w kierunku własnych marzeń i opłacimy zakład na Lotto.

Taka cyfrowa rzeczywistość wydaje się z nami lepiej współgrać. Pozwala oszczędzać czas bez wydłużania drogi do celu. I w naszym, coraz bardziej rozbieganym życiu, dodaje istotny element: prostotę i funkcjonalność. Ale zanim zaczniemy gremialnie podskakiwać z radości, warto dla rozwagi przypomnieć sobie porzekadło, w którym to okazja czyni złodzieja.

Bankowa aplikacja mobilna na celowniku przestępców.

Już w 2016 r., kiedy jeszcze odsetek korzystających na co dzień z bankowej aplikacji mobilnej był znacznie niższy niż teraz, Związek Banków Polskich ostrzegał przed cyberprzestępcami. Apelował o rozwagę i uważanie na oszustów, którzy podszywają się pod aplikacje mobilne banków.

Wtedy zamieszanie zaczął SMS z informacją o aktualizacji systemu operacyjnego na telefonie. Link do rzekomej aktualizacji był wirusem. Ten uaktywniał się w momencie uruchomienia bankowej aplikacji. Następnie udając, że to komunikat samego banku, prosił użytkownika o login i hasło. W ten sposób zaatakowano w sumie 68 banków na całym świecie. W Polsce dotyczyło to takich podmiotów jak Citi Handlowy, eurobank, Credit Agricole, Getin Bank, Alior Bank i mBank.

Pod koniec 2017 r. doszło do poważniejszego ataku. W oficjalnym sklepie Google Play pojawiły się dwie złośliwe aplikacje: CryptoMonitor i StorySaver. Jedna miała monitorować ceny kryptowalut, a druga przedstawiać historię korzystania z social mediów przez danego użytkownika w ciągu doby. Oprócz tego jednak owe aplikacje wyświetlały ekrany logowania, mocno przypominające te z bankowych aplikacji mobilnych. Mogły też przechwytywać SMS z kodami do autoryzacji online. Tym razem zagrożeni byli klienci 14 banków działających w Polsce: Alior Bank, BZWBK24 mobile, Getin Bank, IKO, ING, Bank Millennium, mBank, BusinessPro, Nest Bank, Bank Pekao, PekaoBiznes24, plusbank24, Mobile Bank i Citi Handlowy.

Dawny Bank Zachodni WBK miał bodaj największego pecha.

Analizując tego typu próby cyberprzestępców tylko w ostatnich paru latach, trzeba stwierdzić, że największego pecha miał chyba dawny Bank Zachodni WBK (po rebrandingu Santander Bank Polska). Ich bankowa aplikacja mobilna była na celowniku oszustów parę razy. Raz w oficjalnym sklepie Google Play dostępna była fałszywa aplikacja BZWBKlight. Potem miała miejsce kolejna próba – również fałszywa aplikacja Zachodni WBK mobile.

Za każdym razem scenariusz był ten sam. Złośliwe oprogramowanie starało się łudząco przypominać to właściwe. Aplikacje domagały się dostępu do SMS-ów – do ich odczytywania i wysyłania. I widać było, że tym razem cyberprzestępcy przygotowali się do swojego fałszerstwa porządnie. Nie było literówek, nie było też tak częstych w tego typu przypadkach błędów kodowania w znakach diakrytycznych. Owszem, bank starał się reagować dosyć szybko, ale i tak kilkuset klientów nie udało się uchronić.

Pytamy banki, jak same chronią swoje aplikacje mobilne.

Skoro świat staje się coraz bardziej cyfrowy, to może w dobie tego postępu znalazły się rozwiązania, które ukrócą takie oszukańcze praktyki w przyszłości? O tym, jak sobie radzą z tego typem zagrożeń i co robią, by nigdy nie były one zmartwieniem swoich klientów, zapytaliśmy większość banków funkcjonujących w naszym kraju. Z nadesłanych odpowiedzi wynika, że z pewnością wspólnym mianownikiem dla wszystkich jest bezpieczeństwo w sieci.

Banki jak najbardziej są świadome istniejącego i pogłębiającego się zagrożenia. Ale nie zamierzają bić się w piersi. Twierdzą najczęściej, że ich klienci w ogóle nigdy im tego typu fałszerstw nie zgłaszali. Tym samym dla niektórych banków niby jest jakiś kłopot z aplikacjami mobilnymi, ale skoro klienci na ten temat milczą, to tak naprawdę go nie ma. I po sprawie. Na szczęście to margines. Większość nie bagatelizuje istniejącego zagrożenia.

Nadrzędna rada: pobieraj aplikację z zaufanego źródła.

Większość rozpytanych przez nas banków na tę okazję ma i realizuje specjalną politykę. W pierwszej kolejności wszyscy apelują do użytkowników, by ci ściągali bankowe aplikacje mobilne tylko i wyłącznie z oficjalnych źródeł, sprawdzali autora aplikacji i liczbę pobrań. A jeśli wciąż mają wątpliwości – wtedy najlepiej kontaktować się bezpośrednio z bankiem.

Zawsze w przypadku wątpliwości polecamy klientom kontakt z nami, wtedy potwierdzimy autentyczność aplikacji. Zawsze też klient może po prostu wejść na naszą stronę mBank.pl, gdzie znajdzie bezpośredni link do właściwej aplikacji. Stale monitorujemy sytuację w sklepach i dobrą praktyką byłoby w tym przypadku natychmiastowe zgłoszenie administratorom sklepu fałszywej aplikacji – uważa Kinga Wojciechowska-Rulka z mBanku.

Banki same z siebie starają się mieć oczy jak najszerzej otwarte.

Informacje o podejrzanych aplikacjach mobilnych oraz aplikacjach mobilnych podszywających się pod oficjalne aplikacje bankowe pozyskujemy z kilku źródeł, m.in na bieżąco monitorując aplikacje dostępne w oficjalnych sklepach z aplikacjami, wymieniając informację w ramach współpracy z innymi bankami, korzystamy z publicznie dostępnych źródeł – tłumaczy Anna Baranek z Departament Marketingu i PR Alior Banku.

Edukacja, edukacja i jeszcze raz edukacja.

Banki w walce z cyberprzestępcami stawiają spory nacisk na edukację swoich klientów. Same podpowiadają, co zrobić, żeby bankowa aplikacja mobilna nie padła ofiarą oszustów. I faktycznie: na większości stron bankowych znajdziemy odpowiednie zakładki, gdzie możemy znaleźć przydatne informacje.

W sekcji „Bezpieczeństwo” naszego serwisu publikujemy także komplet aktualnych informacji dotyczących bezpieczeństwa korzystania z bankowości internetowej oraz porad konfiguracyjnych dotyczących sprzętu i oprogramowania. Łatwo można dotrzeć do komunikatów związanych z bezpieczeństwem, które bank publikuje, a także np. sprawdzić się w praktycznym quizie dotyczącym wiadomości typu phishing – wskazuje Piotr Miernikiewicz, ekspert ds. Bezpieczeństwa Informacji w banku Credit Agricole.

Od 3 lat mBank z kolei prowadzi kampanię edukującą klientów na temat bezpiecznych zachowań w sieci pt. „Bądź czujny w sieci”. W zawartym tam Internetowym Kodeksie Bezpieczeństwa zetkniemy się z „dekalogiem cyfrowego bezpieczeństwa”:

  1. Nie otwieraj podejrzanych maili i załączników.
  2. Uważaj na linki wysyłane mailem i przez komunikatory.
  3. Korzystaj z programów chroniących komputery i urządzenia mobilne.
  4. Korzystaj tylko z oryginalnego oprogramowania i regularnie je aktualizuj.
  5. Aplikacje i programy pobieraj wyłącznie z oficjalnych źródeł.
  6. Stosuj różne i skomplikowane hasła, regularnie je zmieniaj.
  7. Zanim klikniesz, przeczytaj uważnie to, na co się zgadzasz.
  8. Nie podawaj swoich poufnych danych, jeśli cokolwiek wzbudza Twoje wątpliwości.
  9. Sprawdzaj certyfikaty bezpieczeństwa stron www.
  10. Miej ograniczone zaufanie do publicznych sieci Wi-FI.

Z kolei Alior Bank udostępnił dla klientów stronę edukacyjną PHISHING STOP, zawierającą kurs obrony przed phishingiem, który pomoże klientowi uniknąć zarażenia jego telefonu złośliwą aplikacją.

Od analizy behawioralnej do systemów antyfraudowych.

Namawianie własnych klientów do ostrożności i korzystania tylko i wyłącznie z pewnych źródeł oraz przy okazji jak najefektywniejsze edukowanie ich – to jedna strona medalu. Drugą są już rozwiązania techniczne, które mają uchronić i banki i ich klientów przez cyberprzestępcami.

Przykładowo w Credit Agricole postawiono na wewnętrznego atnywirusa. Bank uruchomił nową funkcję swojej aplikacji CA24Mobile na sprzęty z systemem Android. Ta sprawdzi, czy urządzenie klienta nie stało się celem złośliwego oprogramowania. Jeśli wykryje takowe – bankowa aplikacja mobilna nie uruchomi się i tym samym pokrzyżuje plany oszustów.

Inne mechanizmy zabezpieczenia urządzeń mobilnych to np. wykrywanie modyfikacji aplikacji, kontekstu uruchomienia, modyfikacji systemu operacyjnego, wykrywanie złośliwych aplikacji na urządzeniu. Niezależnie od powyższego sektor bankowy stosuje również zabezpieczenia, które mają charakter uniwersalny i niezależny od stosowanego kanału dostępu do usług bankowych – np. analizę behawioralną transakcji podejmowanych przez klientów – zdradza z kolei Cezary Piekarski, dyrektor Departamentu Bezpieczeństwa w Banku Millennium.

Na jeszcze inny styl walki z cyberprzestępcami zdecydowano się w Pekao SA. Komunikacja między aplikacją a systemem banku jest szyfrowana. Klient ma do wyboru kilka sposobów logowania, a sama aplikacja ograniczona jest limitami transakcji. Dane dotyczące zaś rachunków i innych produktów bankowych nie są przechowywane w pamięci telefonu.

Bank nie przesyła linków do serwisów transakcyjnych w wiadomościach SMS lub e-mail ani prośby o podanie danych do logowania. Co więcej dla zapominalskich, bank przypomina o cyklicznych zmianach danych do logowania do swoich serwisów bankowych. Nad bezpieczeństwem środków klientów czuwa również system antyfraudowy banku – mówi Tomasz Bogusławski, menedżer ds. Public Relations w Pekao SA.

Bankowa aplikacja mobilna – miej się na baczności sam.

Wychodzi na to, że w walce z sieciowymi oszustami nie jesteśmy aż tak bardzo osamotnieni. Swoje starają się robić same banki. Wszak im więcej przypadków takich fałszerstw i im więcej tak oszukanych klientów, tym więcej rys pojawiających się na wizerunku banku. A to za bardzo nie idzie w parze z bliską sercu każdego bankowca wizją pozyskiwania nowych klientów.

Ale kolejny raz wychodzi na to, że podstawowym, najsurowszym filtrem powinna być jednak ostrożność i rozwaga nas samych. Bo tak naprawdę, gdy tych zabraknie, to marna szansa szukać pomocy w jakichś cudownych mechanizmach i nasza bankowa aplikacja mobilna bezpieczna nie będzie.

Pamiętajmy, że banki:

  • nie wymagają podawania identyfikatora i hasła w aplikacji mobilnej
  • nie wysyłają żadnych certyfikatów bezpieczeństwa lub innych aplikacji do zainstalowania
  • nie proszą o wykonanie przelewów testowych
  • nie wysyłają do klientów wiadomości e-mail zawierających link do strony logowania.

A gdy już z naszą ostrożnością tak dobrze nie będzie i staniemy się ofiarą ataku cyberprzestępców, jak najszybciej poinformujmy o wszystkim bank. Równie szybko zmieńmy hasło logowania i PIN do aplikacji mobilnej. Pamiętamy też, że przywrócenie telefonu do ustawień fabrycznych spowoduje najczęściej bezpowrotne usunięcie danych wirusa.

Dołącz do dyskusji

Advertisement