Zmiany w logowaniu do bankowości (PSD2) a potencjalne oszustwa
Już w najbliższą sobotę, 14 września, wszystkie banki w Polsce będą musiały zastosować się do nowej dyrektywy. Nowe przepisy wynikające z PSD2 mają zwiększyć poziom bezpieczeństwa klientów m.in. podczas dokonywania płatności. Wprowadzenie jakichkolwiek zmian w sektorze usług płatniczych wiąże się z masowo wysyłanymi komunikatami informacyjnymi do klientów. Niestety stwarza to doskonałą okazję dla złodziei, którzy wykorzystują nieuwagę swoich ofiar, by wyprowadzić z ich kont nierzadko oszczędności całego życia.
PSD to nic innego jak Payment Services Directive, czyli dyrektywa dotycząca usług płatniczych. Jej pierwsza wersja została wprowadzona w życie w 2007 r. i w Polsce będzie obowiązywać do 14 września, kiedy to zastąpi ją jej następczyni, PSD2.
Zmiana wymusza szereg ważnych funkcjonalności, w tym uwierzytelnianie dwustopniowe przy logowaniu do aplikacji mobilnych (bank może nas poprosić o dodatkową weryfikację raz na 90 dni) ikonieczność podawania kodu PIN po określonej liczbie transakcji kartą płatniczą, nawet jeśli transakcja opiewa na mniej niż 50 zł.
Jak mogą to wykorzystać oszuści?
Szum dookoła wprowadzenia nowego prawa to zawsze doskonała okazja dla hakerów i złodziei, aby wykorzystując ludzką niewiedzę i nieuwagę, rozesłać groźnego wirusa, nakłonić ofiarę do wykonania im przelewu czy nawet wykraść jej wszystkie pieniądze z konta bankowego. Dlatego w ciągu najbliższych tygodni wszyscy Polacy powinni być wyczuleni na następujące komunikaty:- odblokuj swoje konto - jednym z popularniejszych sposobów na wyłudzenie pieniędzy jest przekonanie odbiorcy, że jego konto (w tym wypadku bankowe) zostało zablokowane przez brak zgody (na PSD2) i musi się na nie zalogować celem jego ponownej aktywacji. Zazwyczaj taki atak prowadzony jest przy użyciu e-maila z linkiem wiodącym na odpowiednio spreparowaną stronę banku. Po podaniu na niej swoich danych, hakerzy zyskują pełen dostęp do wspomnianego konta i mogą "wyczyścić" je ze wszystkich środków. Dlatego należy pamiętać, że bank nigdy nie dokonuje w ten sposób weryfikacji i jakiegokolwiek “odblokowania".- wykonaj przelew weryfikacyjny - sytuacja analogiczna do poprzedniej. W tym wypadku konto "zostanie odblokowane" jeżeli wykona się przelew na określoną kwotę i na podany w wiadomości adres. Pamiętajmy więc, że nasz bank nigdy o coś takiego nie prosi. Wykonanie takiego przelewu nie tylko pozbawi nas środków, które przelaliśmy, ale też narazi nas na to, że w naszym imieniu zostanie wzięty kredyt - niektóre instytucje finansowe (np. udzielające pożyczki "chwilówki") stosują bowiem taki właśnie sposób autoryzacji kredytobiorcy. - podaj numer karty płatniczej - PSD2 określa nowe zasady korzystania z kart płatniczych, dlatego wiadomości, w których oszuści proszą nas o podanie numeru CVC/CCV (trzy ostatnie cyfry z tyłu karty) mogą nie wzbudzić u niektórych osób podejrzeń. To właśnie ten numer uwierzytelnia kartę w transakcjach internetowych, dlatego jego podanie pozwoli złodziejom na wyprowadzenie w ten sposób dużych sum z naszego konta. Podobnie jak w przypadku przelewu weryfikującego konto, bank nigdy nie zapyta nas o CCV/CVC.- pobierz nową wersję aplikacji bankowej - wielu Polaków korzysta dziś z bankowości elektronicznej w telefonach przy wykorzystaniu specjalnych aplikacji. Złodzieje wiedząc to, często przygotowują podobnie wyglądające programy i przekonują swoje ofiary, że należy je zainstalować. Po zalogowaniu się do fałszywej aplikacji nasz login oraz hasło wędrują wprost do cyberprzestępców. Ponadto, takie programy mogą zawierać w sobie szereg ukrytych wirusów, które wyrządzają dodatkowe szkody np. poprzez kradzież informacji przechowywanych na urządzeniu. Fałszywą wiadomość rozpoznamy po tym, że każdy z banków rekomenduje pobranie aplikacji tylko z wiarygodnego źródła.
Tego typu ataki przeprowadzane są najczęściej drogą elektroniczną, za pomocą maili i SMS-ów, dlatego to właśnie na te kanały komunikacji trzeba najmocniej uważać. - Hakerzy przez lata dopracowali swoje metody do tego stopnia, że dziś nawet czujny użytkownik może nabrać się na ich sztuczki. E-maile, SMS-y, strona banku czy interfejs aplikacji - wszystkie te elementy są tak dopracowane, aby wyglądały niezwykle autentycznie. Dlatego należy pamiętać o podstawowej zasadzie - bank NIGDY nie wymusi na nas podania całego loginu czy hasła oraz nie nakaże nam wykonania przelewu czy instalacji czegokolwiek - mówi Karolina Wrońska, ekspertka CyberRescue, firmy specjalizującej się w pomocy osobom, które padły ofiarą cyberataków.
Co robić, jeżeli staniesz się ofiarą ataku?
W przypadku, kiedy otrzymamy wiadomość o tym, że nasze konto zostało zablokowane przez PSD2, czy też, że potrzebujemy nowej aplikacji najlepiej jest... potwierdzić ją u źródła. Jeżeli chcemy się przekonać, że dana wiadomość na pewno nie pochodzi z naszego banku, możemy zadzwonić na jego infolinię. Pamiętajmy jednak, by numer wziąć z zaufanego źródła, a nie z maila czy SMS-a, który właśnie otrzymaliśmy. Co jednak, jeżeli przez nieuwagę kliknęliśmy w przesłany link bądź podaliśmy swoje dane? - W przypadku zorientowania się, że zostaliśmy oszukani, liczy się zachowanie spokoju i szybka reakcja. Przede wszystkim sprawdźmy, czy wciąż mamy dostęp do swojego bankowości elektronicznej i natychmiast zmieńmy dane dostępu - login i hasło.
Należy też niezwłocznie powiadomić bank o zaistniałej sytuacji - mogą oni zablokować naszą kartę i uniemożliwić w ten sposób kradzież środków - mówi Karolina Wrońska z CyberRescue. Sytuacja robi się dużo trudniejsza, jeżeli o tym, że zostaliśmy oszukani, dowiemy się dopiero jak pieniądze znikną z naszego konta. - Jeżeli przestępcy zdążyli przejąć nasze konto, najlepszym wyjściem jest zwrócenie się do podmiotu takiego jak CyberRescue. Nasz zespół specjalistów wyspecjalizowanych w cyberzagrożeniach ratuje internautów przed tego typu atakami hakerskimi. Dzięki temu jest duża szansa, że atak zostanie udaremniony, a pieniądze wrócą na konto prawowitego właściciela - dodaje specjalista.Tak jak wiele innych cyberataków, także ten związany z PSD2 wykorzystuje mieszankę niewiedzy, pośpiechu i strachu użytkowników.
Dlatego tak ważne jest, by nie tylko samemu pozostać czujnym, ale też poinformować o zagrożeniach osoby ze swojego najbliższego otoczenia.