RORRaport Bankier.pl: Bankowość w sieci – bezpieczni czy nierozważni?
Newsletter
REKLAMA
QUIZ

Raport Bankier.pl: Bankowość w sieci – bezpieczni czy nierozważni?

Michał Kisiel2016-02-11 08:00analityk Bankier.pl
publikacja
2016-02-11 08:00

Nie blokują dostępu do telefonu, używają tego samego hasła do różnych systemów, logują się do banku mimo niezabezpieczonej sieci WiFi, zbyt rzadko monitorują przelewy i płatności - to tylko niektóre z grzechów klientów bankowości internetowej i mobilnej - wynika z badania przeprowadzonego przez Bankier.pl.

Raport Bankier.pl: Bankowość w sieci – bezpieczni czy nierozważni?
Raport Bankier.pl: Bankowość w sieci – bezpieczni czy nierozważni?
fot. stevanovicigor / / YAY Foto

Bankowość internetowa i mobilna już dawno przestały zasługiwać na miano alternatywnych kanałów dostępu do usług. Z internetowych serwisów transakcyjnych banków aktywnie korzysta 14,6 mln klientów. Dynamicznie przybywa także użytkowników bankowości mobilnej. W III kw. 2015 r. banki mogły pochwalić się, zgodnie z danymi zebranymi przez PRNews.pl, 4,96 mln aktywnych klientów korzystających z m-bankowości.

Dla przestępców użytkownicy bankowości internetowej i mobilnej stają się coraz bardziej interesującym celem. Dlatego krytycznej wagi nabiera „sieciowa higiena” – przestrzeganie podstawowych zasad bezpiecznego korzystania z usług finansowych. Bankier.pl w lipcu i sierpniu 2015 roku przeprowadził ankietę wśród 1281 użytkowników, w której przepytał ich, jak korzystają z bankowości elektronicznej i mobilnej.

To samo hasło i różne dostępy

Jedną z podstawowych zasad sieciowego bezpieczeństwa, akcentowaną także przez banki edukujące swoich użytkowników, jest stosowanie odpowiednio skomplikowanych i niepowtarzalnych haseł. Aktywni użytkownicy Internetu muszą jednak zmierzyć się z wyzwaniem zapamiętania danych do logowania w dziesiątkach serwisów – pocztowych, finansowych, sklepach internetowych itp. Część z nich „idzie na skróty” i stosuje to samo hasło w kilku miejscach. Do takiej praktyki przyznało się 11 proc. respondentów – nieco częściej kobiety (12 proc.) niż mężczyźni (10 proc.). W czasach, gdy wycieki z baz danych różnych dostawców stają się niemal codziennością, jest to zdecydowanie niebezpieczny nawyk. Przestępca, przechwytując hasło do jednej z usług (np. profilu w sklepie internetowym), może próbować przejąć sieciową tożsamość ofiary, anektując jej skrzynkę e-mail, profile w sieciach społecznościowych itp.

Użytkowników bankowości internetowej zapytaliśmy także o sposób przechowywania danych niezbędnych do logowania w serwisie transakcyjnym. Zdecydowana większość respondentów, 75 proc., nie zapisuje tych krytycznych z punktu widzenia bezpieczeństwa informacji – zapamiętuje je i polega na własnej pamięci jako „sejfie”.

Co piąty badany mógł stać się ofiarą phishingu

Jednym z najczęściej spotykanych sposobów ataku na użytkowników bankowości internetowej jest phishing. Wyłudzanie danych niezbędnych do logowania w banku opiera się zazwyczaj na socjotechnicznych sztuczkach. Przestępcy przygotowują wiadomości e-mail pochodzące rzekomo z banku i zachęcające do kliknięcia w link prowadzący do fałszywej kopii strony internetowej instytucji.

Ponad 1/5 respondentów zetknęła się, w ciągu roku poprzedzającego badanie, z tego rodzaju wiadomością-pułapką. 10 proc. badanych nie było w stanie ocenić czy spotkało się z phishingowym oszustwem, co oznacza, że w tej dziedzinie niezbędna jest edukacja. Banki będące celami kampanii przestępców powinny rozważyć bardziej zdecydowane kroki niż tylko ostrzeganie przed fałszywymi wiadomościami na stronach logowania do serwisów transakcyjnych.

Niezabezpieczone WiFi nie dla wszystkich problemem

Pewne niebezpieczeństwo stwarza wykorzystywanie połączenia z siecią za pośrednictwem sieci WiFi. Niezabezpieczona bezprzewodowa sieć, np. w kawiarni, może okazać się pułapką zastawioną przez przestępców. Kontrolują oni wówczas ruch przechodzący przez ich punkt dostępu i mają możliwość przechwycenia i podsłuchiwania wrażliwych informacji wymienianych pomiędzy serwerami i podłączonymi komputerami.

17 proc. badanych przyznaje się do tego, że w ciągu roku poprzedzającego ankietę korzystało z otwartej sieci WiFi (wśród osób korzystających z bankowości mobilnej odsetek ten wyniósł 24%). Znacząca większość respondentów jednak (77 proc.) trzyma się z daleka od tego rodzaju niebezpieczeństw.

Sprawdzono, czy banki poradzą sobie w czasie cyberataku

Sprawdzono, czy banki poradzą sobie w czasie cyberataku

Podczas ostatniej edycji ćwiczeń „Cyber-EXE™ Polska” banki wypadły lepiej niż w 2013 roku, ale część procedur wciąż szwankuje. Problemem są negocjacje z szantażystą i wymiana informacji. Zdaniem bankowców w czasie ataku najlepiej jest zablokować klientom możliwość korzystania z bankowości internetowej.

Czytaj dalej: Nie monitorujesz przelewów i płatności?

Monitoring przelewów i płatności to rzadkość

Lepiej zapobiegać niż naprawiać szkody – ta zasada zachowuje swoją wagę również w przypadku korzystania z elektronicznych kanałów dostępu do banku. Wiele banków umożliwia swoim klientom zdefiniowanie limitów transakcyjnych, które mogą ograniczyć rozmiary strat w razie włamania na konto. Z takiej możliwości korzysta jednak mniej niż 2/3 badanych.

Elementem chroniącym przed skutkami potencjalnego nieautoryzowanego dostępu do rachunku mogą być także powiadomienia SMS. Niestety, z monitoringu zlecanych przelewów i płatności kartowych korzysta 36 proc. badanych. W ten sposób klienci mają dostęp do ważnych informacji w czasie rzeczywistym.

Uczestników badania zapytaliśmy również o to, jak zareagowaliby na odkrycie nieautoryzowanej niewielkiej płatności na swoim rachunku. Większość respondentów przyjęłaby bardzo proaktywną postawę, profilaktycznie zastrzegając karty i zmieniając hasło do bankowości internetowej.

Bank w telefonie – dobrze zabezpieczony?

Ponad połowa uczestników badania Bankier.pl korzysta, oprócz bankowości internetowej, również z bankowości mobilnej.

Pierwszą linią obrony chroniącą smartfona przed dostępem niepowołanych osób powinna być blokada urządzenia. Ma to istotne znaczenie zwłaszcza, gdy telefon jest narzędziem dostępu do usług bankowych i płatności. Niestety, spora część badanych bagatelizuje ten problem. Ponad 1/4 respondentów nie blokuje telefonu w żaden sposób – osoba, która znajdzie lub ukradnie urządzenie, w niektórych przypadkach może zyskać możliwość poznania wrażliwych informacji (np. salda rachunku), a nawet dokonania niewielkich płatności (np. zbliżeniowych lub za pomocą systemu Blik).

Warto edukować

Wyniki badania Bankier.pl pokazują, że świadomość podstaw „sieciowej higieny” jest stosunkowo wysoka, ale klienci banków nie wykorzystują wszystkich dostępnych narzędzi podnoszących ich bezpieczeństwo. Szkoda, bo jak wynika z deklaracji respondentów, stykają się oni z niebezpieczeństwami takimi jak phishing. Banki powinny skuteczniej edukować swoją klientelę, a zwłaszcza podkreślać znaczenie narzędzi pozwalających na ochronę urządzeń mobilnych przed niepowołanym dostępem.

Raport Bankier.pl: bankowość w sieci – bezpieczni czy nierozważni? 

Chronimy hasła, ale niewystarczająco wykorzystujemy dostępne narzędzia strzegące bezpieczeństwa naszych finansów – tak można w skrócie podsumować wyniki badania przeprowadzonego wśród użytkowników Bankier.pl.

Dla przestępców użytkownicy bankowości internetowej i mobilnej stają się coraz bardziej interesującym celem. Dlatego krytycznej  wagi nabiera „sieciowa higiena” – przestrzeganie podstawowych zasad bezpiecznego korzystania z usług finansowych. Bankier.pl w lipcu i sierpniu 2015 roku przeprowadził ankietę wśród 1281 użytkowników, w której przepytał ich jak korzystają z bankowości elektronicznej i mobilnej.

Bankowość internetowa i mobilna już dawno przestały zasługiwać na miano alternatywnych kanałów dostępu do usług. Aktywnie z internetowych serwisów transakcyjnych korzysta 14,6 mln klientów banków. Dynamicznie przybywa także użytkowników bankowości mobilnej. W III kw. 2015 r. banki mogły pochwalić się  zgodnie z danymi zebranymi przez PRNews.pl, 4,96 mln aktywnych klientów korzystających m-bankowości.

Jedną z podstawowych zasad sieciowego bezpieczeństwa, akcentowaną także przez banki edukujące swoich użytkowników, jest stosowanie odpowiednio skomplikowanych i niepowtarzalnych haseł. Aktywni użytkownicy Internetu muszą jednak zmierzyć się z wyzwaniem zapamiętania danych do logowania w dziesiątkach serwisów – pocztowych, finansowych, sklepach internetowych itp. Część z nich „idzie na skróty” i stosuje to samo hasło w kilku miejscach. Do takiej praktyki przyznało się 11 proc. respondentów – nieco częściej kobiety (12 proc.) niż mężczyźni (10 proc.). W czasach, gdy wycieki z baz danych różnych dostawców stają się niemal codziennością jest to zdecydowanie niebezpieczny nawyk. Przestępca przechwytując hasło do jednej z usług (np. profilu w sklepie internetowym), może próbować przejąć sieciową tożsamość ofiary, anektując jej skrzynkę e-mail, profile w sieciach społecznościowych itp. Użytkowników bankowości internetowej zapytaliśmy także o sposób przechowywania danych niezbędnych do logowania w serwisie transakcyjnym. Zdecydowana większość respondentów, 75 proc., nie zapisuje tych krytycznych z punktu widzenia bezpieczeństwa informacji – zapamiętuje je i polega na własnej pamięci jako „sejfie”.

Co piąty badany mógł stać się ofiarą phishingu

Jednym z najczęściej spotykanych sposobów ataku na użytkowników bankowości internetowej jest phishing. Wyłudzanie danych niezbędnych do logowania w banku opiera się zazwyczaj na socjotechnicznych sztuczkach. Przestępcy przygotowują wiadomości e-mail pochodzące rzekomo z banku i zachęcające do kliknięcia w link prowadzący do fałszywej kopii strony internetowej instytucji.

Ponad 1/5 respondentów zetknęła się w ciągu roku poprzedzającego badanie z tego rodzaju wiadomością-pułapką. 10 proc. badanych nie było w stanie ocenić, czy spotkało się z phishingowym oszustwem, co oznacza, że w tej dziedzinie niezbędna jest edukacja. Banki będące celami kampanii przestępców powinny rozważyć bardziej zdecydowane kroki niż tylko ostrzeganie przed fałszywymi wiadomościami na stronach logowania do serwisów transakcyjnych.

Nie dbamy o bezpieczne środowisko

Pewne niebezpieczeństwo stwarza wykorzystywanie połączenia z siecią za pośrednictwem sieci WiFi. Niezabezpieczona bezprzewodowa sieć np. w kawiarni, może okazać się pułapką zastawioną przez przestępców. Kontrolują oni wówczas ruch przechodzący przez ich punkt dostępu i mają możliwość przechwycenia i podsłuchiwania wrażliwych informacji wymienianych pomiędzy serwerami i podłączonymi komputerami.

17 proc. badanych przyznaje się do tego, że w ciągu roku poprzedzającego ankietę korzystało z otwartej sieci WiFi (wśród osób korzystających z bankowości mobilnej odsetek ten wyniósł 24%). Znacząca większość respondentów jednak (77 proc.) trzyma się z daleka od tego rodzaju niebezpieczeństw.

Monitoring i limity – druga linia obrony

Lepiej zapobiegać niż naprawiać szkody – ta zasada zachowuje swoją wagę również w przypadku korzystania z elektronicznych kanałów dostępu do banku. Wiele banków umożliwia swoim klientom zdefiniowanie limitów transakcyjnych, które mogą ograniczyć rozmiary strat w razie włamania na konto. Z takiej możliwości korzysta jednak mniej niż 2/3 badanych.

Elementem chroniącym przed skutkami potencjalnego nieautoryzowanego dostępu do rachunku mogą być także powiadomienia SMS. Niestety, z monitoringu zlecanych przelewów i płatności kartowych korzysta 36 proc. badanych. W ten sposób klienci mają dostęp do ważnych informacji w czasie rzeczywistym.

Uczestników badania zapytaliśmy również o to, jak zareagowaliby na odkrycie nieautoryzowanej niewielkiej płatności na swoim rachunku. Większość respondentów przyjęłaby bardzo proaktywną postawę, profilaktycznie zastrzegając karty i zmieniając hasło do bankowości internetowej

Bank w telefonie – dobrze zabezpieczony?

Ponad połowa uczestników badania Bankier.pl korzysta, oprócz bankowości internetowej, również z bankowości mobilnej. Pierwszą linią obrony chroniącą smartfona przed dostępem niepowołanych osób powinna być blokada urządzenia. Ma to istotne znaczenie zwłaszcza, gdy telefon jest narzędziem dostępu do usług bankowych i płatności. Niestety, spora część badanych bagatelizuje ten problem. Ponad 1/4 respondentów nie blokuje telefonu w żaden sposób – osoba, która znajdzie lub ukradnie urządzenie zyska w niektórych przypadkach może zyskać możliwość poznania wrażliwych informacji (np. salda rachunku), a nawet dokonania niewielkich płatności (np. zbliżeniowych lub za pomocą systemu Blik).

Warto edukować

Wyniki badania Bankier.pl pokazują, że świadomość podstaw „sieciowej higieny” jest stosunkowo wysoka, ale klienci banków nie wykorzystują wszystkich dostępnych narzędzi podnoszących ich bezpieczeństwo. Szkoda, bo jak wynika z deklaracji respondentów, stykają się oni z niebezpieczeństwami takimi jak phishing. Banki powinny skuteczniej edukować swoją klientelę, a zwłaszcza podkreślać znaczenie narzędzi pozwalających na ochronę urządzeń mobilnych przed niepowołanym dostępem.

Źródło:
Michał Kisiel
Michał Kisiel
analityk Bankier.pl

Specjalizuje się w zagadnieniach związanych z psychologią finansów, analizuje, jak płacą i zadłużają się Polacy. Doktor nauk ekonomicznych, zwolennik idei społeczeństwa bez gotówki. Pomysłodawca finansowego eksperymentu "2 tygodnie bez portfela", w ramach którego banknoty i karty płatnicze zamienił na smartfona. Telefon: 501 820 788

Tematy
Światłowód z usługami bezpiecznego internetu
Światłowód z usługami bezpiecznego internetu
Advertisement

Komentarze (27)

dodaj komentarz
~anakonda
00
Korzystam z konta w Getin Up i nie zdarzają się wpadki z winy banku, obsługa internetowa na medal.
~igrek
00
ja już kiedyś się naciąłem i od tamtej pory bardzo tego pilnuję jak korzystam z bankowości online. Sam system mojego banku raiffaisen i ten dostęp do swojej bankowości jest bardzo dobry moim zdaniem, ale to nie zmienia faktu że trzeba bardzo uważać
~iwona
20
a potem pretensje do całego świata, jeśli jest problem z kasą. z bankowości internetowej trzeba umieć korzystać. korzystam od jakiegoś czasu z konta getin up i nie mogę narzekać. wszystko bezpiecznie i tak jak powinno być. a mam jeszcze parę fajnych dodatków do konta, jak karta z wyświetlaczem czy przelewy przez facebooka.
~tylko_cash
26
Bankowość internetowa została stworzona dla lemingów, zatem pretensje są niczym nie uzasadnione. Leming zawsze będzie zachowywał się jak leming.
~www
51
Bankowość internetowa została stworzona po to, aby było szybko i wygodnie, bez stania w kolejkach do okienka w banku. I nie ma nic wspólnego z lemingami, a jeśli Ty masz z tym jakiś problem to po prostu nie używaj, nie ma przymusu.
~Łola
71
Ja mam do wszystkiego hasło: Krokodyl*1981 i czuję się bardzo, bardzo bezpieczny! :-)
~wujek
41
przecież banki szyfrują proces logowania więc niezabezpieczona sieć nie powoduje braku bezpieczeństwa.
~mhm
10
Właśnie.

Najważniejsze to sprawdzanie, czy łączymy się przez https i czy serwis ma odpowiedni certyfikat (nazwa banku na zielonym tle obok adresu). Przechwycić ruch sieciowy może nie tylko ktoś udostępniający publiczne WiFi, nawet bardziej prawdopodobne może to być gdzieś dalej, np. u dostawcy Internetu, szczególnie jeśli Właśnie.

Najważniejsze to sprawdzanie, czy łączymy się przez https i czy serwis ma odpowiedni certyfikat (nazwa banku na zielonym tle obok adresu). Przechwycić ruch sieciowy może nie tylko ktoś udostępniający publiczne WiFi, nawet bardziej prawdopodobne może to być gdzieś dalej, np. u dostawcy Internetu, szczególnie jeśli to jakaś mała lokalna firemka — lepiej uważać, ZAWSZE należy sprawdzać, czy połączenie jest bezpieczne.

W publicznym miejscu dużo bardziej niebezpieczne może być hasło niemaskowane, tzn. takie, które wpisujemy całe, a nie tylko wybrane znaki — wtedy łatwo można podejrzeć nasze dane logowania (bezpośrednio lub przez kamerę). Inaczej mówiąc: z banku nie oferującego hasła maskowanego można korzystać tylko z własnego domu w samotności.

Jeszcze większe niebezpieczeństwa łączą się z aplikacjami mobilnymi: są one zabezpieczone bardzo słabo, przeważnie to tylko prosty PIN oraz (tylko u 75% wg danych powyżej) hasło do telefonu; te dane łatwo podejrzeć, dlatego nie powinniśmy instalować aplikacji bankowej umożliwiającą wykonywanie niezaufanych przelewów.
~mhm odpowiada ~mhm
10
Jeszcze uściślę o aplikacji mobilnej: można zaryzykować używanie takiej, która pozwala na dokonywanie niezaufanych przelewów, ale tylko pod warunkiem, że są one dodatkowo autoryzowane długim specjalnym hasłem maskowanym.

Niezależnie od tego powinna istnieć możliwość ustawienia limitów dla aplikacji mobilnej — oczywiście tylko Jeszcze uściślę o aplikacji mobilnej: można zaryzykować używanie takiej, która pozwala na dokonywanie niezaufanych przelewów, ale tylko pod warunkiem, że są one dodatkowo autoryzowane długim specjalnym hasłem maskowanym.

Niezależnie od tego powinna istnieć możliwość ustawienia limitów dla aplikacji mobilnej — oczywiście tylko z pełnego serwisu, a nie z tej apki.
~ee odpowiada ~mhm
10
"mobilnej...długim specjalnym hasłem maskowanym"

Skomplikowane haslo na małym głaskanym ekranie to proszenie sie o kłopoty.
Blokada konta po 3 błędzie.

Powiązane: Bankowość 3.0 - Aktualności

Polecane

Najnowsze

Popularne

Ważne linki

Giełda
Finanse
Rozliczenie pit
Zanim wyjdziesznie przegap tego, co ważne w finansach!