Re.: Weryfikacja behawioralna w bankowości - dodatkowa ochrona przed cyberoszustami

Bankowość internetowa to duża wygoda. Swoimi pieniędzmi możemy zarządzać z dowolnego miejsca na ziemi, w dowolnym czasie i z dowolnego urządzenia. Wszystko dzięki magii internetu i nowych technologii. Ale jest też druga strona medalu. W internecie nikt nie wie, czy Ty to faktycznie ty ... Przecież ktoś mógł ukraść Twój telefon i odgadnąć kod blokady ekranu. Co wtedy? Czy można poznać, że z zaufanego urządzenia korzysta inna osoba?

Czy kasjer w okienku ma przewagę?

Kiedy operacji na swoim rachunku dokonujesz w okienku, w tradycyjnym banku, kasjer widzi, z kim ma do czynienia. Sprawdzi Twój dokument tożsamości, porówna zdjęcie...

Jeśli transakcję zlecasz przez serwis internetowy lub aplikację mobilną, bank - chociaż Cię nie widzi - też ustala, że Ty, to faktycznie Ty, ale robi to na podstawie innych danych: hasła do konta, które powinieneś znać tylko Ty, oraz wiedzy o kodach z SMS-ów lub powiadomień, do których tylko Ty powinieneś mieć dostęp.

Ale jest jeszcze coś, co pozwala sprawdzić, czy Ty to na pewno Ty... To specjalny algorytm, który wykrywa anomalie w Twoim zachowaniu. Taki algorytm bierze pod uwagę wiele czynników, m.in. to czy do banku łączysz się z tego samego urządzenia i miejsca co zwykle, jak poruszasz się po serwisie i w jakich godzinach dokonujesz transakcji, a także do kogo i na jaką kwotę. Jeśli Twoje zachowanie wyda się algorytmowi podejrzane, inne od typowego, transakcja może zostać zablokowana lub będzie wymagać dodatkowej weryfikacji.

Od niedawna, możesz dodatkowo wspomóc pracę tego algorytmu i podnieść stopień ochrony swojego konta w banku. Jak? Przy pomocy włączenia dodatkowego algorytmu tzw. weryfikacji behawioralnej.

Weryfikacja behawioralna: dodatkowa ochrona

Praktycznie każdy z nas ma inne odciski palca, unikatowe uzębienie, wzór tęczówki czy kształt małżowiny usznej. Ludzi można od siebie rozróżniać także po charakterystycznym układzie żył w dłoni a nawet różnicach w biciu serca. Niestety, te cechy ciężko sprawdzić przez internet.

Na szczęście, to jak korzystamy z klawiatury, myszki i smartfona też jest bardzo charakterystyczne i unikatowe dla różnych osób. Każdy z nas, choć jest w stanie napisać na klawiaturze słowo "konewka", zrobi to trochę inaczej. Jeden szybciej wciśnie "n" po "o", drugi dłużej przytrzyma palec na "a".

Algorytmy weryfikacji behawioralnej obserwują np. tempo w jakim piszemy, czyli charakterystyczne dla każdego odstępy pomiędzy naciskaniem na poszczególne klawisze na klawiaturze (liczone w milisekundach!) oraz to jak długo przyciskamy dany klawisz. Analizują też jak ruszamy kursorem myszy lub - w przypadku urządzeń mobilnych - jak bardzo wychyla się telefon kiedy dotykamy palcem danej części ekranu. Na tej podstawie tworzą tzw. profil behawioralny użytkownika. Profil ten jest ulepszany za każdym razem, kiedy użytkownik korzysta z bankowości internetowej.

Dzięki takiemu profilowi, można wychwycić, że to nie my, a ktoś inny - w sposób nieautoryzowany - korzysta z naszego konta i to nawet, jeśli osoba ta posługuje się naszym hasłem lub uzyskała nieautoryzowany dostęp do otwartej aplikacji mobilnej na naszym smartfonie.

Bo choć oszust ma do dyspozycji wszystko, co mogłoby umożliwić mu kradzież pieniędzy z naszego rachunku, to dzięki niezgodności tempa podczas wpisywania na klawiaturze danych odbiorcy przelewu, transakcja może zostać zablokowana, a pieniądze i oszczędności ocalone przed kradzieżą.

Włącz ochronę przed oszustami

Aby włączyć ochronę naszego konta przy pomocy algorytmu weryfikacji behawioralnej, zaloguj się do Mojego ING w aplikacji na telefonie lub na komputerze. Przejdź do swojego profilu. Następnie wybierz „Zgody i oświadczenia” w sekcji „Moje dane”. Zapoznaj się z zasadami weryfikacji behawioralnej i zaakceptuj je.

Ze względów prawnych, konieczne jest wyrażenie dodatkowej zgody. Czy warto? Zapytajmy eksperta, Tomasza Chmielewskiego, Chief Expert - Digital EcoSystem w ING Banku Śląskim, który odpowiada za mechanizmy bezpiecznej autoryzacji w Moim ING:

Obserwując, w jaki sposób w ostatnich miesiącach działają cyberprzestępcy, widzimy, że przedmiotem ataków są nie tyle systemy, czy zabezpieczenia banku, co sami klienci. Są oni przedmiotem podstępnych działań, które doprowadzają do wyłudzenia danych, takich jak login, hasło, PIN czy kod z sms. Następnie przestępca próbuje podszyć się pod klienta. Bank stara się wszelkimi sposobami chronić środki klienta. Poszukujemy więc metod, które pozwalają nam wychwycić działania przestępcy, nawet, jeśli podawane przez niego dane uwierzytelniające zgadzają się z tymi, jakie posiada klient. Weryfikacja behawioralna, jest jednym z narzędzi, którego do tego używamy. Wyrażając zgodę na taką weryfikację, klient pozwala nam na lepsze i bardziej precyzyjne działanie. Tą dodatkową ochronę klient może otrzymać za darmo. Co więcej, nie musi obawiać się o utratę prywatności, bowiem narzędzie to analizuje jedynie w jaki sposób użytkownik korzysta z aplikacji bankowej.

Warto podkreślić, że nasz unikatowy profil, stworzony na podstawie analizy, jest przechowywany w formie zbioru danych nie zawierających informacji o naszym imieniu, nazwisku czy numerze konta. Zapisywane są wyłącznie informacje o sposobie używania urządzeń, podczas korzystania z aplikacji. Dodatkowo, nawet osoby, które mają dostęp do serwerów, na których jest przechowywany nie są w stanie na jego podstawie odtworzyć charakterystycznych dla naszych rąk ruchów i zachowań. Dba o to kryptografia symetryczna i jednokierunkowe funkcje skrótu. Dzięki nim, można zawsze porównać nasze zachowanie do naszego profilu, ale nie można na podstawie naszego profilu odtworzyć naszego zachowania.

W podobny sposób działa np. zabezpieczenie FaceID w smartfonach firmy Apple. Czujnik analizuje naszą twarz, przetwarza ją na pewien unikatowy ciąg znaków i porównuje do ciągu znaków, który zapisany jest w specjalnie chronionej pamięci smartfona. Nie ma możliwości, aby na podstawie wzoru ktoś był w stanie odtworzyć naszą twarz.

A co jeśli nagle użyję lewej ręki?

Jeśli zawsze operacje na smartfonie wykonujesz prawą ręką, a nagle zaczniesz korzystać z lewej ręki -- algorytm to wychwyci i przekaże informacje o niezgodności do banku. Twoja transakcja może wtedy wymagać dodatkowego uwierzytelnienia, ale choć bank widzi, że inaczej korzystasz ze swojego urządzenia niż zwykle, niekoniecznie zareaguje.

Wiele osób dziwi się, bo przecież sytuacja wskazuje na to, że ktoś inny może korzystać z naszego konta, a transakcja nie jest blokowana. Warto jednak pamiętać, że analiza behawioralna to tylko jeden z czynników zdecydowanie bardziej skomplikowanego procesu analizy ryzyka i choć nasz profil behawioralny nie będzie zgodny, to jeśli transakcja będzie typowa (np. doładowanie naszego numeru telefonu komórkowego albo cotygodniowy przelew 100 złotych kieszonkowego dla naszego wnuka) to algorytm nie uzna jej za podejrzaną.

O weryfikacji behawioralnej powinniśmy myśleć jak o parasolu. Nie jest to idealna ochrona przed deszczem, ale na pewno dzięki niemu mniej zmokniemy i lepiej jest mieć go nad głową.