Bank naraża pieniądze klientów?
Czy zrezygnowanie z haseł jednorazowych do autoryzacji transakcji może być "krokiem do przodu" w dziedzinie bezpieczeństwa banku online? Większośc z nas powie, że nie, ale ING BankOnline z tego zabezpieczenia już częściowo zrezygnował. Jego przedstawiciele twierdzą, że klientom nic nie grozi i mocno wierzą w niezawodność algorytmów.
O nowej metodzie autoryzacji transakcji w banku ING dowiedzieliśmy się z listu od jednego z czytelników. W liście do nas napisał on, że ING BankOnline poinformował go o konieczności zmiany metody autoryzacji na autoryzację za pomocą kodu SMS. Od maja ma to być w ING jedyna forma autoryzacji. Nasz czytelnik zdecydował się na nią, ale zdziwił się bardzo gdy okazało się, że przy wykonaniu przelewów (obojętnie na jaki rachunek) bank nie pyta o hasło jednorazowe.
Brak dodatkowego zabezpieczenia może z oczywistych przyczyn niepokoić. Istnieje wtedy ryzyko, że osoba, która pozna, ukradnie lub w inny sposób wejdzie w posiadanie loginu i hasła do nowego systemu ING jest w stanie ogołocić konto. Nasz czytelnik zauważył jeszcze, że w ING login wyświetlany jest w lewym górnym rogu każdej podstrony po zalogowaniu. Aby go poznać, wystarczy... spojrzeć klientowi banku przez ramię. Potem trzeba zdobyć już tylko hasło...
Oceny dokonuje algorytm
O zdanie na ten temat spytaliśmy w pierwszej kolejności przedstawicieli banku. Rzecznik ING Banku Piotr Utrata przyznał, że w połowie ub.r. ING Bank Śląski udostępnił klientom korzystającym z bankowości internetowej nową metodę autoryzacji dyspozycji i transakcji poprzez użycie kodów.
Decyzja ta miała być poprzedzona szczegółową analizą zagrożeń usług bankowości internetowej, możliwych do zastosowania mechanizmów zabezpieczeń i ich odporności na te zagrożenia. Analiza podobno wykazała, że najlepszym mechanizmem obrony jest indywidualne hasło jednorazowe przekazywane do klienta niezależnym od internetu kanałem komunikacji - za pomocą wiadomości SMS i serwisu telefonicznego.
Rzecznik przyznał też, że klient nie zawsze jest pytany o kod, a oceny tego, czy należy go zapytać dokonuje algorytm. W czasie rozmowy telefonicznej z rzecznikiem obiecano nam, że informatycy ING przedstawią szersze wyjaśnienie dotyczące tego algorytmu i sposobu jego działania. Ostatecznie jednak dowiedzieliśmy się, że "algorytm oceny, czy dla konkretnej transakcji można pominąć autoryzację SMS/telefoniczną jest poufny".
"(Algorytm - red.) bierze pod uwagę kluczowe parametry dyspozycji i porównuje z profilem zachowań klienta. Brak konieczności dodatkowej autoryzacji, podczas realizacji każdej dyspozycji klienta, jest kolejnym krokiem doskonalenia metody, która przy zachowaniu wysokiego poziomu bezpieczeństwa pozwala na zwiększenie wygody klienta. Metoda ta jest stale rozwijana. Bank na bieżąco śledzi trendy zagrożeń dla usług bankowości internetowej i bazując na tej wiedzy okresowo dostosowuje reguły oceny poziomu ryzyka" pisze Piotr Utrata w e-mailu dla Dziennika Internautów.
"Ambitna" metoda
Czy zapewnienie o niezawodności algorytmu może zadowolić klienta? Wielu klientów zapewne to nie zadowoli, bo można odnieść wrażenie, że bank mógłby spytać za każdym razem o hasło jednorazowe, choćby dla przyzwoitości lub stworzenia atmosfery bezpieczeństwa. Co więcej ? klient może odnieść wrażenie, że bank wprowadził nowe zabezpieczenia po to, aby oszczędzić na kosztach telefonów i SMS-ów.
Co natomiast mówią na ten temat eksperci? Michał Iwan, dyrektor zarządzający F-Secure w Polsce w wypowiedzi dla Dziennika Internautów nazwał metodę ING "ambitną".
- Ciężko ocenić czy może powstać algorytm, który identyfikuje użytkownika a zarazem właściciela konta, gdyż obecnie możliwe jest łączenie się z bankiem z różnych komputerów, w tym telefonów ze skonfigurowanym odpowiednio WAP-em - mówił Michał Iwan. To co warto jednocześnie podkreślić to fakt, że sposoby pozyskiwania poufnych danych zakładają wykorzystanie nie tylko właściwości technologicznych samego procesu uwierzytelniania, ale i elementy socjotechniki. Zatem pominięcie człowieka i indywidualnie mu przypisywanych jednorazowych kodów wydaje się być ambitnym założeniem. Algorytm, który zastępuje każdorazowe uwierzytelnianie, musiałby obejmować badanie powtarzalności transakcji, jej wielkość i inne. Samo sprawdzenie IP nie wydaje się być wystarczającą przesłanką gdyż można sobie wyobrazić sytuację gdy z tego samego komputera korzystają różne osoby. Nie zmienia to faktu, że poza jednorazowymi kodami każdy korzystający z bankowości on line powinien wykazać się minimum czujności i nie korzystać z tych usług za pomocą niezabezpieczonego komputera.
Niestety nie wiemy, czy metoda banku ING bierze pod uwagę profil zachowań klienta i jak głęboko go analizuje. Jak już napisano wyżej, "algorytm jest poufny".
Michał Iwan z F-Secure udzielając nam odpowiedzi zauważył też, że jeszcze 2 lub 3 lata temu o atakach phishingowych lub tworzeniu fałszywych stron banków w Polsce można było przeczytać tylko w gazecie. Od blisko roku zagrożenie stało się realne również w naszym kraju.
- Tylko w ciągu ostatnich sześciu miesięcy ofiarami cyberprzestępców padły dwa duże banki internetowe jak Inteligo i Mbank. Możliwość uzyskania dostępu do konta przez osobę niepowołaną też jest coraz większa. Zabezpieczenia standardowe, czyli identyfikator i hasło, wydają się niewystarczające - uważa ekspert z F-Secure.
Na koniec warto zauważyć, że nawet badanie wielkości transakcji lub jej powtarzalności może nie wydawać się wystarczające. W przeszłości słyszeliśmy już o oszustwach, które polegały na włamaniach do wielu kont i wykonywaniu wielu przelewów na małe kwoty. Czy i w takim przypadku ING będzie w stanie wychwycić oszustwo? Klienci banku jak na razie muszą się zadowolić zapewnieniem, że poufny algorytm do czegoś takiego nie dopuści.
