Zmiany w logowaniu do bankowości (PSD2) a potencjalne oszustwa

PSD to nic innego jak Payment Services Directive, czyli dyrektywa dotycząca usług płatniczych. Jej pierwsza wersja została wprowadzona w życie w 2007 r. i w Polsce będzie obowiązywać do 14 września, kiedy to zastąpi ją jej następczyni, PSD2. 

Zmiana wymusza szereg ważnych funkcjonalności, w tym uwierzytelnianie dwustopniowe przy logowaniu do aplikacji mobilnych (bank może nas poprosić o dodatkową weryfikację raz na 90 dni) ikonieczność podawania kodu PIN po określonej liczbie transakcji kartą płatniczą, nawet jeśli transakcja opiewa na mniej niż 50 zł.

Więcej informacji o wprowadzonych zmianach

Szum dookoła wprowadzenia nowego prawa to zawsze doskonała okazja dla hakerów i złodziei, aby wykorzystując ludzką niewiedzę i nieuwagę, rozesłać groźnego wirusa, nakłonić ofiarę do wykonania im przelewu czy nawet wykraść jej wszystkie pieniądze z konta bankowego. Dlatego w ciągu najbliższych tygodni wszyscy Polacy powinni być wyczuleni na następujące komunikaty:

- odblokuj swoje konto - jednym z popularniejszych sposobów na wyłudzenie pieniędzy jest przekonanie odbiorcy, że jego konto (w tym wypadku bankowe) zostało zablokowane przez brak zgody (na PSD2) i musi się na nie zalogować celem jego ponownej aktywacji. Zazwyczaj taki atak prowadzony jest przy użyciu e-maila z linkiem wiodącym na odpowiednio spreparowaną stronę banku. Po podaniu na niej swoich danych, hakerzy zyskują pełen dostęp do wspomnianego konta i mogą "wyczyścić" je ze wszystkich środków. Dlatego należy pamiętać, że bank nigdy nie dokonuje w ten sposób weryfikacji i jakiegokolwiek “odblokowania".

- wykonaj przelew weryfikacyjny - sytuacja analogiczna do poprzedniej. W tym wypadku konto "zostanie odblokowane" jeżeli wykona się przelew na określoną kwotę i na podany w wiadomości adres. Pamiętajmy więc, że nasz bank nigdy o coś takiego nie prosi. Wykonanie takiego przelewu nie tylko pozbawi nas środków, które przelaliśmy, ale też narazi nas na to, że w naszym imieniu zostanie wzięty kredyt - niektóre instytucje finansowe (np. udzielające pożyczki "chwilówki") stosują bowiem taki właśnie sposób autoryzacji kredytobiorcy.

- podaj numer karty płatniczej - PSD2 określa nowe zasady korzystania z kart płatniczych, dlatego wiadomości, w których oszuści proszą nas o podanie numeru CVC/CCV (trzy ostatnie cyfry z tyłu karty) mogą nie wzbudzić u niektórych osób podejrzeń. To właśnie ten numer uwierzytelnia kartę w transakcjach internetowych, dlatego jego podanie pozwoli złodziejom na wyprowadzenie w ten sposób dużych sum z naszego konta. Podobnie jak w przypadku przelewu weryfikującego konto, bank nigdy nie zapyta nas o CCV/CVC.

- pobierz nową wersję aplikacji bankowej - wielu Polaków korzysta dziś z bankowości elektronicznej w telefonach przy wykorzystaniu specjalnych aplikacji. Złodzieje wiedząc to, często przygotowują podobnie wyglądające programy i przekonują swoje ofiary, że należy je zainstalować. Po zalogowaniu się do fałszywej aplikacji nasz login oraz hasło wędrują wprost do cyberprzestępców. Ponadto, takie programy mogą zawierać w sobie szereg ukrytych wirusów, które wyrządzają dodatkowe szkody np. poprzez kradzież informacji przechowywanych na urządzeniu. Fałszywą wiadomość rozpoznamy po tym, że każdy z banków rekomenduje pobranie aplikacji tylko z wiarygodnego źródła.

Tego typu ataki przeprowadzane są najczęściej drogą elektroniczną, za pomocą maili i SMS-ów, dlatego to właśnie na te kanały komunikacji trzeba najmocniej uważać.  - Hakerzy przez lata dopracowali swoje metody do tego stopnia, że dziś nawet czujny użytkownik może nabrać się na ich sztuczki. E-maile, SMS-y, strona banku czy interfejs aplikacji - wszystkie te elementy są tak dopracowane, aby wyglądały niezwykle autentycznie. Dlatego należy pamiętać o podstawowej zasadzie - bank NIGDY nie wymusi na nas podania całego loginu czy hasła oraz nie nakaże nam wykonania przelewu czy instalacji czegokolwiek - mówi Karolina Wrońska, ekspertka CyberRescue, firmy specjalizującej się w pomocy osobom, które padły ofiarą cyberataków.

 W przypadku, kiedy otrzymamy wiadomość o tym, że nasze konto zostało zablokowane przez PSD2, czy też, że potrzebujemy nowej aplikacji najlepiej jest... potwierdzić ją u źródła. Jeżeli chcemy się przekonać, że dana wiadomość na pewno nie pochodzi z naszego banku, możemy zadzwonić na jego infolinię. Pamiętajmy jednak, by numer wziąć z zaufanego źródła, a nie z maila czy SMS-a, który właśnie otrzymaliśmy. Co jednak, jeżeli przez nieuwagę kliknęliśmy w przesłany link bądź podaliśmy swoje dane? - W przypadku zorientowania się, że zostaliśmy oszukani, liczy się zachowanie spokoju i szybka reakcja. Przede wszystkim sprawdźmy, czy wciąż mamy dostęp do swojego bankowości elektronicznej i natychmiast zmieńmy dane dostępu - login i hasło.

Należy też niezwłocznie powiadomić bank o zaistniałej sytuacji - mogą oni zablokować naszą kartę i uniemożliwić w ten sposób kradzież środków - mówi Karolina Wrońska z CyberRescue. Sytuacja robi się dużo trudniejsza, jeżeli o tym, że zostaliśmy oszukani, dowiemy się dopiero jak pieniądze znikną z naszego konta. - Jeżeli przestępcy zdążyli przejąć nasze konto, najlepszym wyjściem jest zwrócenie się do podmiotu takiego jak CyberRescue. Nasz zespół specjalistów wyspecjalizowanych w cyberzagrożeniach ratuje internautów przed tego typu atakami hakerskimi. Dzięki temu jest duża szansa, że atak zostanie udaremniony, a pieniądze wrócą na konto prawowitego właściciela - dodaje specjalista.
Tak jak wiele innych cyberataków, także ten związany z PSD2 wykorzystuje mieszankę niewiedzy, pośpiechu i strachu użytkowników.

 Dlatego tak ważne jest, by nie tylko samemu pozostać czujnym, ale też poinformować o zagrożeniach osoby ze swojego najbliższego otoczenia.