21-08-2022 19:58
Dzień dobry.
Domyślam się, że osoba udzielająca się na forum nie ma odpowiedniej wiedzy, ale za pewne może skonsultować to z kim trzeba. Chodzi mi o to, że brakuje realnych i konkretnych informacji o tym jak zabezpieczać swoje konto.
Jedna z bardziej irytujących mnie porad - "Pobieraj aplikacje tylko z autoryzowanych sklepów" (informacja ze strony ING). To nie jest żadne zabezpieczenie, tym bardziej, że (także ze strony ING): "Pozornie niegroźna aplikacja pobrana z autoryzowanego sklepu, może stać się złośliwa po aktualizacji". I chyba nie muszę już tłumaczyć, dlaczego taka porada jest irytująca. Tak naprawdę nic nie wnosi w kwestii bezpieczeństwa, ponieważ przeciętny użytkownik nie ma najmniejszych szans aby weryfikować czy dana aplikacja jest bezpieczna.
Równie dobrze można radzić klientom, aby produkty spożywcze kupowali tylko w pewnego źródła. Czyli z jakiego? Bo zdarzają się sytuacje, że np. wykryto pałeczki salmonelli i produkt jest wycofywany z półek. Klienci nie mają w domu laboratorium chemicznego aby to weryfikować.
Potrzebne są konkretne porady i konkretne rozwiązania. Aplikacja bankowa powinna być hermetyczna, izolowana od innych aplikacji, aby uniknąć takich ataków: https://niebezpiecznik.pl/post/jak-przestepcy-ukradli-10-000-pln-milosnikowi-kryptowalut-ciekawy-ata...
Brakuje mi właśnie konkretnych rozwiązań zwiększających bezpieczeństwo. Przykłady...
Jedną z lepszych, konkretnych porad jakie znalazłem na Waszej stronie jest ta dotycząca limitów transakcyjnych. Niby oczywista sprawa, ale na pewno nie dla wszystkich - a jest to przykład konkretnego rozwiązania zwiększającego bezpieczeństwo. Porada o nieinstalowaniu aplikacji z niepewnego źródła w porównaniu z tą, to trochę tak jakby porównać sytuację, w której osobie pytającej o drogę podaje się "wejdź do autobusu linii 54 i wyjdź na 3 przystanku", albo "wszystkie drogi prowadzą do Rzymu, więc miej nadzieję".
Faktycznie ustawienie limitu transakcyjnego zestawionego z załączeniem informacji push powinno w znacznym stopniu zabezpieczyć środki na koncie. Raczej ryzykuje się do poziomu dziennego limitu, ponieważ nawet jeśli coś skutecznie wykona przelew, to informacja push powinna zaalarmować posiadacza rachunku i wymusić podjęcie określonych kroków zaradczych.
Tylko pytanie - czy to jest jedyna konkretna porada jaka może wyjść ze strony banku? Bo zasadniczo nawet poradę o instalacji programu antywirusowego trudno uznać za wartościową. Jasne, w jakimś stopniu minimalizuje ryzyko. Ale żaden program antywirusowy nie ma 100% skuteczności.
Osobiście nie jestem nawet przekonany co do załączenia weryfikacji behawioralnej. ING nie tłumaczy dość jasno i konkretnie czy warto. Znaczy są teksty, że tak - warto. Ale z drugiej strony jest informacja, że dzięki temu pewnych operacji nie trzeba autoryzować. Więc tutaj pojawiają się moje wątpliwości. Co jeżeli np. przelewy wykonuję zawsze z określonego urządzenia? Owszem, mam świadomość, że weryfikacja behawioralna obejmuje znacznie więcej elementów niż tylko ten jeden. Ale mam jednak obawy, że może to stanowić potencjalne ułatwienie dla specjalistów z ciemniej strony mocy. Oni też mogą zacząć używać oprogramowania, które monitoruje pewne określone zachowania użytkownika, a następnie implementują ten schemat w działanie aplikacji złośliwej. Więc z jednej strony wygodnie, ale z drugiej - nie dosyć jasno tłumaczycie na ile to jest bezpieczne.
Na pewno świetnym rozwiązaniem jest rozdzielenie urządzeń. To jest jedno z najlepszych zabezpieczeń, ponieważ nawet jeśli coś zhakuje aplikację, to kod autoryzacyjny przychodzi na zupełnie inne urządzenie i nie zostanie przechwycony (tu faktycznie pozostaje już tylko świadomość użytkownika). Tylko pytanie kto będzie chodzić z dwoma telefonami? Kiedyś były tokeny sprzętowe, ale banki się z tego wycofują rakiem. Między innymi z takiego powodu, że dotychczasowe rozwiązania nie spełniały wymogu "dynamicznego powiązania", czyli nie wyświetlały informacji o szczegółach transakcji. Taka informacja jest w smsie, ale... ten znów nie spełnia wymogów silnego uwierzytelnienia (czyli tego co klient wie, posiada, albo jakie ma cechy). Czyli smsy w tym względzie nie są wystarczająco bezpiecznie. I nie jest to jedynie mój wymysł - europejski nadzór bankowy już ogłosił, że nie są. W przypadku mobilnej aplikacji tego silnego uwierzytelnienia nie widzę. Aplikację mobilną mam bowiem na tym samym urządzeniu, na które przychodzi sms. No chyba, że ta weryfikacja behawioralna... ale tu wracamy do akapitu wyżej - brak dostatecznego wyjaśnienia co to jest.
W tym kontekście zastanawiam się czy nie prościej byłoby izolować kartę sim i aplikacje z nią ściśle powiązane, jak np. smsy. Większość telefonów jest już dualsim. Posiadając dwie karty można instalować aplikację w telefonie, ale drugi numer umieścić w izolowanej przestrzeni. Wtedy smsy autoryzujący przychodziłby tak jakby na fizycznie inne urządzenie. Oczywiście takie zabezpieczenie chroniłoby jedynie przed złośliwym oprogramowaniem, które byłoby izolowane (i dla tego oprogramowania druga karta sim byłaby innym urządzeniem). Przy fizycznej utracie dostępu do urządzenia nie miałoby to żadnego znaczenia. Tutaj znowu lepszym rozwiązaniem byłoby jednak rozdzielenie tego na dwa różne urządzenia.
Aby jeszcze bardziej zobrazować o co mi chodzi. Można dziecku tłumaczyć, aby uważało przechodząc przez drogę, rozglądało się w prawo i lewo - i tak rodzice na pewno robią. Tyle, że mimo tych przestróg odpowiedzialny rodzic ma świadomość, że nie jest to wystarczające i dla bezpieczeństwa nie pozwala się dziecku bawić przy ulicy. Dziecko to dziecko, więc mimo przyswojenia sobie pewnych zasad może raz się zapomnieć i dojdzie do tragedii. I fajnie by było, gdyby banki podobnie podchodziły do tematu.
22-08-2022 12:13
chciało Ci się tak pisać?
22-08-2022 13:47
Nie, przyłożyli mi broń do głowy.
Ja rozumiem, że teraz takie czasy, że tekst dłuższy od smsa jest dla wielu ponad siły (dla niektórych nawet krótki sms to za dużo - i nie czytają czego dotyczy otrzymany w smsie kod i gdzie robią przelew). Dla mnie ważniejsze jest jednak aby nie stracić oszczędności na które pracowałem nieporównywalnie dłużej niż pisałem ten tekst.
22-08-2022 18:54
24-08-2022 09:08
Dorzucę jeszcze ciekawy artykuł, w którym właśnie ujęto konkretniejsze porady dotyczące bezpieczeństwa.
Zastanawiam się jak specjaliści z banku odnoszą się do porady dotyczącej zmiany metody autoryzacji z smsa na aplikację bankową. O tym wspominałem wcześniej pisząc o niebezpiecznych smsach i ten artykuł to potwierdza. Tylko nie wiem czy w ING można to przestawić i czy faktycznie specjaliści banku to zalecają. Nie można bowiem takiej podpowiedzi znaleźć na stronie banku.
Podajemy tę informację na naszej stronie internetowej https://www.ing.pl/. Przewiń stronę do pola Aktualności i tam znajdziesz wpis "Zmiany w Przelewach BLIK".
25-11-2024Widzę, że się coś zmienia. Czy ING może potwierdzić te wiadomości o zwiększeniu limitu na BLIK?
https://www.bankier.pl/wiadomosc/ING-Bank-Slaski-zwiekszyl-limity-wybranych-przelewow-8850500.html
25-11-2024