Czy bankowość internetowa jest bezpieczna? Przynajmniej powinna taką być

Sposoby korzystania zarówno z bankowości internetowej, jak i bankowości mobilnej wciąż ewoluują, co ma związek przede wszystkim z rozwojem sektora FinTech. Kluczową kwestią wciąż pozostaje bezpieczeństwo transakcji i środków gromadzonych przez klientów na rachunkach bankowych. Czy korzystanie z bankowości internetowej i mobilnej jest dziś bezpieczne?

Czy bankowość internetowa jest bezpieczna – co pokazuje historia?

Sektor finansowy jest szczególnie narażony na ataki hakerskie. Na przestrzeni ostatniego roku na całym świecie miały miejsce ataki cybernetyczne, które paraliżowały działalność instytucji finansowych. Wspomnieć wystarczy o ataku phishingowym na maltański Bank of Valletta. Z uwagi na skalę zagrożenia podjęto decyzję o blokadzie operacji i wyłączeniu strony internetowej banku, by dokonać przeglądu infrastruktury¹. Z kolei na angielski Metro Bank przeprowadzono nowy rodzaj cyberataku polegający na wykorzystaniu luk protokołu SS7 – cyberprzestępcy mogli w ten sposób przechwycić SMS-y uwierzytelniające przeprowadzane transakcje².

Czy mobilne aplikacje bankowe są bezpieczne? Cyberprzestępcy wykorzystują nie tylko słabości w zabezpieczeniach stosowanych przez banki – równie często uderzają w klientów, żerując na ich niewystarczającej wiedzy. Przykładem może być stworzenie i udostępnienie przez hakerów w Sklepie Google Play aplikacji podszywającej się pod aplikację polskiego banku BZWBK (aktualnie Santander), której zadaniem było wyłudzanie informacji.

Jak pokazują przykłady, choć bezpieczeństwo środków nie zależy wyłącznie od banków, to właśnie one mają kluczową rolę w zabezpieczaniu transakcji. W dobie coraz to nowszych zagrożeń istnieje duża presja na szybkie wdrażanie kolejnych rozwiązań i wykorzystywanie ich obok już istniejących systemów zabezpieczeń. Jedną z odpowiedzi na te zagrożenia jest uchwalenie przez Parlament Europejski unijnej dyrektywy PSD2 (2nd Payment Services Directive), która zakłada podwójną weryfikację tożsamości klienta w oparciu o unikalny kod otrzymany od banku za pośrednictwem innego źródła, niż aplikacja bankowa.

Bezpieczeństwo bankowości internetowej – rozwiązania stosowane przez banki

Aktualnie za najskuteczniejszą metodę zabezpieczenia dostępu do bankowości internetowej uchodzi dwustopniowe uwierzytelnianie (2FA). Użytkownik najpierw wpisuje dane do logowania, a następnie potwierdza operację  w oparciu o unikalny, otrzymany od banku kod z innego źródła niż aplikacja bankowa. Banki korzystają z różnych dodatkowych silnych metod uwierzytelniania, w tym wspomnianych już SMS-ów wysyłanych na numer telefonu komórkowego klienta, list haseł jednorazowych, kart procesorowych, tokenów sprzętowych i rozwiązań mobilnych.

Na ile bezpieczne są aplikacje bankowe i bankowość internetowa w przeglądarce, jeżeli bank stosuje wyżej wymienione rozwiązania? Współcześnie część ze wspomnianych metod jest zastępowana bardziej innowacyjnymi rodzajami zabezpieczeń. Przykładowo lista haseł jednorazowych występuje w dwóch formach: wydruku haseł lub zdrapek (aby odczytać kod, konieczne jest usunięcie zewnętrznej warstwy). Z uwagi jednak na możliwość podejrzenia wydruku z hasłami czy nawet niespełnianie przez zdrapki aktualnych regulacji prawnych, wiele z banków zaniechało ich stosowania, sięgając po inne, lepsze środki.

Klienci biznesowi i instytucjonalni mogą uwierzytelniać tożsamość i autoryzować transakcje, wykorzystując karty procesorowe. Metoda ta wykorzystuje specjalną kartę Smart Card z zapisanym certyfikatem, którą należy włożyć do czytnika podłączonego do komputera i następnie autoryzować transakcję poprzez wpisanie numeru PIN.

Narażenie protokołu SS7 na ataki spowodowało, że wszędzie tam, gdzie bezpieczeństwo jest kluczowe, stosowana jest autoryzacja za pomocą rozwiązań wykorzystujących nowoczesne metody kryptograficzne . Przykładowo tPro ECC stworzony przez Comarch to token sprzętowy, który jest w pełni odporny na ataki zdalne z uwagi na zastosowanie m.in. mechanizmu Human Presence Detection (naciśnięcie przycisku przez użytkownika), brak konieczności instalowania sterowników i wykorzystanie szyfrowanego kanału TLS. Z uwagi na koszty oraz konieczność posiadania dodatkowego urządzenia przy sobie, tokeny w fizycznej formie są jednak rozwiązaniami dedykowanymi w głównej mierze korzystającym z usług banku przedsiębiorcom.

Jak zapewnić bezpieczeństwo klientom korzystającym z aplikacji bankowych?

O ile bankowość internetowa jest znana użytkownikom już od dłuższego czasu, o tyle bankowość mobilna zyskała na popularności dopiero w ostatnich latach. Czy bankowość internetowa wykorzystująca urządzenia mobilne jest bezpieczna? Jak wygląda kwestia bezpieczeństwa bankowości internetowej na na Android, czy iPhone?

Również w przypadku rozwiązań mobilnych banki stosują rozmaite metody potwierdzania tożsamości swoich klientów i zaawansowane systemy zabezpieczeń. Do najpopularniejszych należą wykorzystanie notyfikacji PUSH i uwierzytelnianie przy użyciu danych biometrycznych.

Obecnie wiele banków wykorzystuje technologię PUSH w aplikacjach mobilnych do zatwierdzania transakcji zleconych przez użytkownika i jako element dwustopniowej weryfikacji tożsamości. W zależności od rozwiązania, użytkownik otrzymuje powiadomienie na swoje zarejestrowane w banku urządzenie mobilne podczas próby logowania, zlecenia przelewu, czy zmiany parametrów konta lub karty.. Notyfikacje PUSH mają tę przewagę nad wiadomościami SMS, że są odporne na próby ich przechwycenia lub modyfikacji. Aby złamać to zabezpieczenie, przestępca musiałby wejść w posiadanie urządzenia klienta.

Bezpieczeństwo aplikacji mobilnych opartych na systemach Android oraz iOS

Chętnie wykorzystywanym zabezpieczeniem jest również uwierzytelnianie za pomocą danych biometrycznych. Banki stawiają na różne metody biometryczne. Popularna jest np. biometria Finger Vein (wykorzystuje unikalny wzór naczyń krwionośnych, które znajdują się w palcu), biometria głosowa czy Palm Vein (biometria naczyń krwionośnych dłoni), stosowana choćby przez Bank of Tokyo. Opieranie się na danych biometrycznych w autoryzacji upowszechnia się także w bankowych aplikacjach mobilnych. Czy bankowość internetowa na iPhone jest bezpieczna, wykorzystując technologię biometryczną? W przypadku telefonów z iOS powszechnie dostępna jest metoda Face ID, czyli uwierzytelnianie za pomocą rozpoznawania geometrii twarzy użytkownika. Z podobnych rozwiązań skorzystać mogą właściciele urządzeń z systemem Android. Wspomnieć należy także o czujnikach odcisku palca popularnych na smartfonach Apple i opartych o Android. Wiele aplikacji bankowych pozwala na logowanie lub autoryzację operacji przy ich użyciu.

Rozwiązaniem dla bankowości mobilnej spełniającym wymogi dyrektywy PSD2 jest np. oferowana przez Comarch platforma mobilna tPro Mobile. Jest ona dostosowana do integracji z oferowanymi przez Bank produktami, a jednocześnie wspiera silne uwierzytelnienie użytkownika oraz autoryzację transakcji.

W zmieniającym się krajobrazie cyberbezpieczeństwa banki muszą przywiązywać szczególną wagę do stosowanych zabezpieczeń. Bankowość mobilna wymaga sięgania po zaawansowane technologie, dzięki którym aplikacje bankowe będą pozostawały o krok przed przestępcami i będą chronić nawet tych użytkowników, którym zdarza się lekceważyć zasady bezpieczeństwa.

¹ Timesodmalta.com, BOV goes dark after hackers go after €13m (dostęp 30.03.2020).

² Telegraph.co.uk, Metro Bank hit by cyber attack used to empty customer accounts (dostęp 30.03.2020).