Mobilna bankowość – wygoda czy pole bitwy?

Życie bez smartfona? Koszmar większości użytkowników, którzy praktycznie nie wypuszczają tego urządzenia z ręki. Sięgamy po nie, by nie tylko komunikować się ze światem, ale również zarządzać naszymi finansami. Aplikacje bankowe, umożliwiające błyskawiczne transakcje i dostęp do konta z każdego miejsca na świecie, zdają się szczytem wygody. Jednak ta cyfrowa swoboda niesie ze sobą ryzyka, o których często zapominamy przy codziennym scrollowaniu.

Pod koniec kwietnia do ciechanowskiej komendy policji zgłosiła się kobieta, która została oszukana na prawie 17 tysięcy złotych przez osobę podszywającą się pod pracownika banku. Po tym, jak wystawiła w Internecie na sprzedaż swoje ubrania skontaktował się z nią kupiec, który poprosił o potwierdzenie zamówienia przesyłki zakupionych ubrań na stronie firmy kurierskiej. Podczas próby zaakceptowania zamówienia pojawił się błąd, a chwilę potem do ofiary zadzwonił fałszywy pracownik banku, rzekomo w celu udzielenia pomocy. Poprosił o podanie kilku kodów z systemu płatności mobilnych aplikacji jej banku a następnie – w celu "weryfikacji" – podanie numeru karty bankowej. W ten sposób oszust uzyskał dostęp do rachunku bankowego, z którego wypłacił pieniądze.

Warto zauważyć, że w tej historii przestępcy nawet nie próbowali włamać się do aplikacji bankowej. Te systemy są bardzo dobrze zabezpieczone i trudno uzyskać do nich bezpośredni dostęp. Najgorzej "zabezpieczony" jest człowiek i to on stanowi najsłabsze ogniwo. Oszuści skłaniają do tego, by klient banku sam podał im odpowiednie informacje, które następnie wykorzystują do kradzieży.

Bezpieczeństwo w mobilnej bankowości zaczyna się bowiem od nas – od świadomości zagrożeń i konsekwentnego dbania o aktualizacje naszego oprogramowania oraz ostrożności w działaniach w internecie.

Jak pokazuje raport firmy ESET dotyczący zagrożeń w 2 połowie ubiegłego roku, coraz większe znaczenie mają działania wykorzystujące popularność sztucznej inteligencji. ESET zablokował ponad 650 000 prób dostępu do złośliwych domen zawierających tekst "chapgpt" lub podobny, sugerujący odniesienie do rozwiązania OpenAI. Podszywając się po popularne produkty przestępcy kierują ofiary na fałszywe strony, a stąd już tylko krok do wyłudzenia danych (np. przy "zakupie" danego produktu)

Warto też wspomnieć, że – mimo bardzo dobrych zabezpieczeń – same systemy mobilnej bankowości też są stałym celem dla cyberprzestępców.

W ubiegłym roku aż 29 typów szkodliwego oprogramowania zaatakowało 1800 aplikacji bankowych i finansowych w 61 krajach – wynika z raportu "2023 Mobile Banking Heists Report" opublikowanego w grudniu. Wydany rok wcześniej raport mówił o 600 takich aplikacjach, zatem wzrost zagrożenia był aż trzykrotny!

Ataki na aplikacje bankowe i ich użytkowników mogą przybrać różne formy – od phishingu po zaawansowane oprogramowanie szpiegujące. Wspomniany raport ESET podkreśla, że jeśli chodzi o urządzenia mobilne, wyraźnie wzrosły wykrycia spyware (oprogramowanie śledzące działania użytkownika) na system Android – aż o 89% w drugiej połowie 2023 roku w porównaniu z wcześniejszym okresem.

Jedną z popularnych form ataku są fałszywe aplikacje bankowe. Pod koniec ubiegłego roku indyjski rząd ostrzegał właścicieli kont w jednym z tamtejszych banków przed oprogramowaniem wyłudzającym dane logowania, która była rozpowszechniana za pomocą wiadomości SMS. W tym przypadku zagrożenie dotyczyło zarówno użytkowników iPhone’ów, jak i urządzeń z systemem Android. Inna pułapka została nastawiona tylko na tę drugą grupę użytkowników – tym razem zachęcano do pobrania fałszywej aplikacji z wykorzystaniem nieprawdziwych informacji na temat rzekomych nagród, które czekają na użytkowników.

Wystarczy chwila nieuwagi, aby pobrać taką złośliwą aplikację z miejsca, które nie jest oficjalnym sklepem z aplikacjami. Dlatego należy korzystać wyłącznie z sprawdzonych i zweryfikowanych sklepów dla danego systemu operacyjnego (Apple App Store dla iOS i Google Play dla Androida).

Oto kilka kluczowych zasad, których każdy użytkownik aplikacji mobilnych, zwłaszcza tych bankowych, powinien przestrzegać, aby zabezpieczyć swoje dane i urządzenia:

Podwójna autentykacja (2FA). Włączenie uwierzytelniania dwuetapowego (2FA) wszędzie tam, gdzie to możliwe (nie tylko w aplikacjach finansowych), w ogromnej mierze zwiększa bezpieczeństwo kont online. Nawet jeśli ktoś zdobędzie hasło, dodatkowa warstwa zabezpieczeń, takich jak kod wysyłany SMS-em lub generowany przez aplikację, może zatrzymać nieautoryzowany dostęp. W polskich aplikacjach bankowych jest to obecnie standard, więc chcąc nie chcąc korzystamy z tej opcji. Ale inne aplikacje lub konta dostępowe niekoniecznie ją wymuszają – dlatego warto sprawdzić, czy jest taka możliwość i ją włączyć.

Regularne aktualizacje systemu i aplikacji. Jednym z najprostszych, ale zarazem najważniejszych kroków w zabezpieczaniu urządzeń mobilnych są regularne aktualizacje. Producenci oprogramowania często wydają nowe wersje, które zamykają luki bezpieczeństwa i dodają funkcje zabezpieczające. Należy zawsze instalować najnowsze wersje oprogramowania, aby zapewnić maksymalne bezpieczeństwo.

Korzystanie z oprogramowania antywirusowego. Choć wiele osób ignoruje konieczność stosowania oprogramowania antywirusowego na urządzeniach mobilnych, jest to kluczowy element obrony przed złośliwym oprogramowaniem i innymi cyberzagrożeniami. Warto wybrać renomowane rozwiązanie, które oferuje ochronę w czasie rzeczywistym i jest regularnie aktualizowane. Dobrą wiadomością jest to, że większość producentów oferuje produkty pozwalające zabezpieczyć zarówno komputery domowe, jak i urządzenia mobilne (np. ESET Smart Security Premium, działający na systemach Windows, macOS i Android).

Korzystanie z silnych, unikatowych haseł. Tutaj dobrym pomysłem jest korzystanie z menedżera, który pomoże w generowaniu i przechowywaniu skomplikowanych haseł, bez potrzeby zapamiętywania każdego z nich. Narzędzia takie pomagają też w monitorowaniu haseł pod kątem ich bezpieczeństwa i – w przypadku wykrycia naruszeń danych – wysyłają odpowiedni alert. Tu warto przyjrzeć się rozwiązaniom kompleksowym, jak wspomniane wcześniej oprogramowanie firmy ESET, które zawiera między innymi właśnie manager haseł.

Uważne korzystanie z sieci Wi-Fi. Unikanie logowania się do wrażliwych kont, takich jak bankowość internetowa, przy użyciu publicznych sieci Wi-Fi jest niezwykle istotne. Jeśli nie masz wyjścia – korzystaj z połączenia VPN, który zaszyfruje ruch internetowy, chroniąc dane przed przestępcami.

Wdrożenie tych praktyk w codziennym życiu zwiększy techniczne bezpieczeństwo danych. Jeśli do tego pamiętamy o innych zasadach bezpieczeństwa – jak niekorzystanie z podejrzanych stron zakupowych, niepodawanie haseł, ostrożność przy odbieraniu połączeń z banku (i weryfikacja ich przez zadzwonienie na infolinię lub autoryzację pracownika w aplikacji mobilnej banku) – zabezpieczamy się też przed działaniami socjotechnicznymi, które – jak stale podkreślamy – są najczęstszą formą oszustwa.

Z bankowości mobilnej w Polsce korzystają już niemal 22 miliony klientów, jak wynika z raportu Związku Banków Polskich. Aż 15 milionów używa wyłącznie banku w telefonie, w ogóle nie logując się do bankowości internetowej. Nic dziwnego – to po prostu najwygodniejszy sposób. Mobilne bankowanie umożliwia płynne zarządzanie finansami w niemal każdym aspekcie codzienności – od zwykłego zakupu kawy po złożone transakcje inwestycyjne.

Bezpieczeństwo tych działań zależy od nas – użytkowników. Aplikacje bankowe same w sobie są bardzo bezpieczne, ale jeśli to my otwieramy przestępcom furtki do naszych pieniędzy – żaden system temu nie zapobiegnie. Banki systematycznie szkolą swoich klientów w temacie bezpieczeństwa, przestrzegają przed podawaniem haseł i kodów, informują, że łatwo jest sfałszować nawet numer, który pojawia się na wyświetlaczu telefonu jako numer bankowej infolinii. Mimo to wciąż zdarzają się takie sytuacje, jak ta z 15 maja, kiedy to oszuści właśnie przez telefon przekonali pewnego mężczyznę z Katowic, by przelał swoje pieniądze (niemal 100 tysięcy złotych) na inne konto "techniczne", bo jego rachunek "jest zagrożony".

Odpowiedzialność za bezpieczeństwo w internecie spoczywa więc przede wszystkim na użytkownikach. A mobilna bankowość jest tak bezpieczna, jak rozsądna i odpowiedzialna jest nasza postawa w cyfrowym świecie.