Bankowość mobilna rozwija się w szybkim tempie. Ponad dziewięć milionów Polaków korzystało z niej kilka miesięcy temu, a cztery lata temu takich osób było tylko dwa i pół miliona. Bank w telefonie to wygodne rozwiązanie, ale trzeba pamiętać o zasadach bezpieczeństwa. Tak jak w przypadku bankowości internetowej dbamy o zabezpieczenie komputera czy tabletu, tak w przypadku bankowości mobilnej powinniśmy zabezpieczyć naszego smartfona.
Urząd Komisji Nadzoru Finansowego już trzy lata temu zwrócił uwagę na konieczność odpowiedniego oprogramowania telefonów. Eksperci KNF przestrzegali, iż osoby, które kontaktują się z bankami przez smartfony i tablety, są bardziej narażone na ataki cyberzłodziei niż użytkownicy tradycyjnych komputerów. Z innych badań (Fundacji Kronenberga) wynikało, że połowa respondentów uważała bankowość internetową i mobilną za tak bezpieczną, iż nie stosowała podstawowych zabezpieczeń konta. Zaś z zeszłorocznego badania, przeprowadzonego przez firmę badawczą Smartscope, wynika, że 40 proc. respondentów – posiadaczy smartfonów – nie myślało o korzystaniu z programu antywirusowego w telefonie komórkowym.
Jeśli jednak telefon jest urządzeniem, które wykorzystujemy do kontaktów z bankiem, należy zadbać o odpowiednie zabezpieczenie. Istnieje kilka zasad, o których warto pamiętać.
Przede wszystkim ściągajmy aplikacje tylko ze strony internetowej banku. Jeśli jednak strona www banku odsyła nas do sklepu, upewnijmy się, że producentem oprogramowania jest nasz bank. Korzystajmy z najnowszej wersji aplikacji.
Ustalmy limit na przelewy i wydatki mobilne. Banki ustalają automatycznie limity dla transakcji zlecanych przez aplikację w telefonie. Limity te są zazwyczaj niższe niż te zlecane z komputera poprzez serwis bankowości internetowej. Jeśli limity dla bankowości mobilnej są zbyt wysokie na nasze potrzeby, można je dodatkowo obniżyć. W ten sposób zabezpieczamy się przed dokonaniem nieuprawnionych transakcji.
Korzystajmy z powiadomień SMS. Są to komunikaty, które otrzymujemy na telefon po każdej transakcji (przychodzącej i wychodzącej). Dzięki nim łatwiej będzie nam kontrolować zmiany stanu naszego konta i prościej będzie nam ocenić, czy ktoś zakradł się do naszego rachunku.
Poza tym załóżmy silne hasła: osobne do telefonu i do aplikacji bankowej. Hasło do telefonu (np. kod PIN, wężyk, odcisk palca) umożliwia blokowanie ekranu startowego i dostępu do aplikacji. Jest to szczególnie ważne, w sytuacji gdy telefon zostanie skradziony. Hasła do telefonu i do aplikacji bankowych nie powinny być takie same lub podobne. Gdy takie są, haker po złamaniu jednego, drugie dostanie niejako w prezencie. Hasła mają być trudne do odgadnięcia i nie powinny być powiązane z informacjami zawartymi w dokumentach, które mogą zostać ukradzione z telefonem.
Telefon komórkowy powinien być wyposażony w zabezpieczenie antywirusowe. Tego typu oprogramowanie wykrywa i neutralizuje działanie takich zagrożeń jak: wirusy, robaki, malware. Najlepiej jeśli zabezpieczenie zawiera także firewalla, czyli zaporę sieciową, która odpiera ataki zmierzające do włamania się do naszego urządzenia. Jednak nawet zwykłe oprogramowanie antywirusowe, bez firewalla, jest pożądane. Zazwyczaj operator nie nalicza opłat za taką usługę lub są one niewielkie.
Na rynku dostępnych jest wiele antywirusowych zabezpieczeń i nie każdy użytkownik jest w stanie je poznać. Powinniśmy jednak wiedzieć, jaki program operacyjny obsługuje nasz telefon, by bez trudu znaleźć samemu – albo korzystając z pomocy fachowca – produkt odpowiadający naszym potrzebom.
Są jednak sytuacje, kiedy sami podajemy nasze hasło do telefonu innym i nie postępujemy lekkomyślnie. Musimy tak postąpić, gdy aparat jest przekazywany do naprawy. Wtedy najbezpieczniej jest zablokować na jakiś czas możliwość wykonywania przez telefon jakichkolwiek transakcji finansowych, nawet na drobne kwoty.
Warto być wyczulonym na propozycje zaktualizowania systemu operacyjnego. Zazwyczaj każda kolejna wersja oprogramowania jest bardziej bezpieczna od poprzedniej. Trzeba jednak uważać na przypadki wysyłania na telefony użytkowników SMSów zawierających linki z rzekomą aktualizacją systemu operacyjnego. W rzeczywistości może to być złośliwe oprogramowanie, które wykonuje na telefonie niechciane operacje, bez zgody i wiedzy użytkownika.
Zadbajmy także o to, aby w telefonie była włączona opcja uniemożliwiająca instalowanie oprogramowania z nieznanych źródeł. W ten sposób zwiększymy bezpieczeństwo urządzenia. Ponadto, unikajmy logowania do bankowości mobilnej z cudzego smartfona czy tabletu.
Banki proszą także, abyśmy w serwisie transakcyjnym ustalili dodatkowy PIN, który będzie wykorzystywany tylko podczas logowania do konta przez telefon. Hasło to nie jest przechowywane w urządzeniu, dzięki czemu jest bezpieczne nawet podczas kradzieży czy cyberataku.
Cyberprzestępcy stosują różne sposoby kradzieży danych.
Częstym sposobem stosowanym przez cyberprzestępców internetowych jest wyłudzanie od użytkowników komputerów czy urządzeń mobilnych danych umożliwiających uzyskanie dostępu do konta bankowego (np. loginu i hasła) lub danych do potwierdzania transakcji (np. kod, hasło). Można tego dokonać poprzez np. fałszywy e-mail z banku, zawierający załącznik, po otwarciu którego wprowadzany jest do urządzenia wirus. Złodzieje, wykorzystując złośliwe oprogramowanie, mogą zdalnie kontrolować to, co dzieje się na ekranie naszego urządzenia Po przejęciu kontroli nad urządzeniem, cyberprzestępcy mogą przejmować hasła mobilne do zatwierdzania transakcji , które są następnie wykorzystywane do wyprowadzania pieniędzy na konta złodziei.
Czytajmy uważnie treść każdej wiadomości SMS od banku. Zgłaszajmy natychmiast do banku wszystkie niecodzienne sytuacje. Niektóre banki zachęcają klientów do okresowego przeglądania historii transakcji, w tym transakcji wykonywanych kartą płatniczą. Przy każdym logowaniu sprawdzajmy także datę ostatniego udanego i nieudanego logowania do bankowości mobilnej – może to pomóc wykryć ewentualne działania przestępców.
Zasady bezpieczeństwa są tym ważniejsze, że cyberprzestępcy coraz częściej wykorzystują luki w oprogramowaniu zainstalowanym w telefonie komórkowym i w ten sposób zyskują dostęp do wrażliwych danych. Wśród tego typu niebezpiecznych działań wymienia się: przejęcie kontroli nad np. smartfonem przy użyciu protokołów SSDP i UpnP (umożliwiających komunikację pomiędzy urządzeniami w sieci), instalowanie fałszywego oprogramowania z wykorzystaniem kodu QR, czy też metoda Bug Stagefright polegająca na wysłaniu najczęściej MMS-ów, za pośrednictwem których cyberprzestępca może penetrować zawartość telefonu – metoda ta jest szczególnie niebezpieczna, bo nie musi uaktywniać się poprzez ściągnięcie przez użytkownika pliku czy otwarcie „zainfekowanego” e-maila czy SMS-a. Jednak w przeciwieństwie do typowego „phishingu„ tutaj nie jest konieczne ani otwarcie korespondencji w postaci e-maila czy SMS-a, ani ściągnięcie sugerowanych plików. Atakujący wysyła jedynie wiadomość na wskazany numer telefonu (najczęściej w formie MMS-a), a następnie zaczyna eksplorować jego zawartość, o czym użytkownik nie ma najmniejszego pojęcia.
Pamiętajmy:
Bankowość
mobilna jest rozwiązaniem bardzo wygodnym, z którego korzysta coraz więcej
klientów. Pamiętajmy jednak o tym, że
bezpieczeństwo bankowości mobilnej zależy nie tylko od systemu transakcyjnego
banku, ale także od naszego telefonu i od tego, w jaki sposób łączymy się
z
internetem. Banki
oraz operatorzy telekomunikacyjni dbają, by bezpieczeństwo przeprowadzanych
w internecie
i z wykorzystaniem urządzeń mobilnych transakcji było na najwyższym poziomie.
Jednak aby efektywnie bronić się przed cyberprzestępczością, musimy
współpracować z bankami i operatorami telekomunikacyjnymi stosując zalecane zasady
bezpieczeństwa.
A jeśli już skradziono telefon? W takiej sytuacji liczy się czas – trzeba jak najszybciej zablokować numer telefonu. Niektórzy bardziej zapobiegliwi użytkownicy blokują także czasowo konto w banku, by uniemożliwić wszelkie transakcje. Gdy sytuacja się wyjaśni, bez kłopotu można przywrócić zablokowane przez nas funkcje.
Projekt realizowany z Narodowym Bankiem Polskim w ramach programu edukacji ekonomicznej.
