Potwierdzasz w ten sposób przelewy? To wcale nie jest najbezpieczniejsza metoda
Która metoda potwierdzenia transakcji jest najbezpieczniejsza? Niektórzy uważają, że papierowa kartka z hasłami, którą dostaje się z banku. Sęk w tym, że w praktyce wad jest sporo. Zła wiadomość: przy innych metodach także.
Dostajemy hasła z banku na kartce i gdy chcemy dokonać przelewu, przepisujemy odpowiedni numerek - mogłoby się wydawać, że to najbezpieczniejsza metoda, wszak szanse na to, że kartka wpadnie w niepowołane ręce, są małe. Dlaczego jednak jest inaczej?
Niebezpiecznik, który porównał najpopularniejsze metody potwierdzenia transakcji, zwrócił uwagę na istotną wadę "klasycznego" rozwiązania. Owszem, kodów raczej nikt nam nie ukradnie, ale potwierdzając przelew tak naprawdę nie mamy pewności, czy zatwierdzamy właściwy. Skoro przestępcy podrabiają serwisy transakcyjne i bankowe, mogą też podmienić sumę i szczegóły transakcji. Mówiąc wprost: ofiara myśli, że płaci zaległe 7 zł, a tak naprawdę akceptuje wyczyszczenie własnego konta.
"Jeśli komputer zostanie zainfekowany złośliwym oprogramowaniem albo jeśli ofiara nabierze się podczas zakupów na przekręt z fałszywym Dotpay’em (czyli de-facto phishing), to w przypadku “zdrapek” nie będzie miała żadnych szans, żeby zorientować się, że to co widzi na ekranie swojego komputera (np. potwierdzenie przelewu za usługę kurierską na kwotę 25 PLN) jest tak naprawdę czymś innym (potwierdzeniem przelewu na 20 000 PLN na konto przestępcy)" - pisze Niebezpiecznik.
To za to bardzo często gwarantują kody SMS. Bank, wysyłając wiadomość, przeważnie informuje o sumie i numerze konta, na który chcemy przelać pieniądze. O ile sprawdzamy treść wiadomości i wszelkie podane szczegóły, mamy szansę, by w razie czego wychwycić próbę kradzieży.
Metoda idealna? Nie zawsze. Niektóre banki idą na skróty i nie podają najważniejszych informacji, a jedynie niezbędny kod potwierdzający. Nieświadomie możemy więc zgodzić się na dodanie rachunku przestępcy do przelewów zaufanych. I tym samym doprowadzić do wyczyszczenia konta. Na dodatek kody SMS nie sprawdzą się w przypadku niedawnego oszustwa, polegającego na podrobieniu karty SIM.
W teorii najlepszym sposobem na potwierdzanie przelewów jest według Niebezpiecznika aplikacja mobilna. Po pierwsze - podaje wszelkie szczegółowe informacje na temat transakcji. Po drugie - uniemożliwia przechwycenie lub zmodyfikowanie treści komunikatu.
Niestety, aplikacja mobilna również nie uratuje nas, jeżeli karta SIM zostanie podrobiona. Wystarczy znać numer PESEL i m.in. nazwisko panieńskie ofiary, by w krótkim czasie móc podpiąć aplikację mobilną pod jej bankowe konto. Niebezpiecznik zaznacza, że tak działa to w mBanku (choć bank zapowiedział udoskonalenie zabezpieczeń), ale w innych bankach może być podobnie.
Wniosek? Żadna metoda nie gwarantuje 100 proc. ochrony, szczególnie przy wyrafinowanych atakach. Wydaje się jednak, że aplikacja mobilna daje największą gwarancję. Jeżeli więc korzystacie ze starych metod, lepiej dla własnego bezpieczeństwa używać właśnie z mobilnego potwierdzenia przelewów.
