Korzystanie z internetowej bankowości to dzisiaj codzienność. Przelewy możemy robić z dowolnego miejsca na świecie z dostępem do internetu. Potrzebujesz szybko przelać znajomemu drobną kwotę? Nie ma problemu, logujesz się do swojej aplikacji za pomocą kodu PIN, bądź poprzez skaner linii papilarnych, wpisujesz kwotę, nie musisz znać nawet numeru rachunku, wystarczy, że masz jego numer i gotowe. Środki w ciągu chwili lądują na koncie. Prostota i dostępność usług to dla nas już codzienność, do której zdążyliśmy się przyzwyczaić. Niestety nie sposób ustrzec się przed wszelakiego rodzaju wyciekami danych klientów. Co jakiś czas słyszymy o tym, że wrażliwe dane użytkowników zostały wykradzione. To powstrzymuje niektórych przed przekonaniem się do takich usług. mBank przeprowadził badania wśród swoich klientów, z których wynika, że bezpieczeństwo transakcji oraz sposób logowania do aplikacji to najważniejszy czynnik, na który zwracają uwagę. Tak odpowiedziało prawie 96% klientów. 

Biometria behawioralna – z czym to się je?

Jeśli pierwszy raz słyszycie ten termin, to na myśl może przywoływać on zaawansowaną technologię wyjętą żywcem z hollywoodzkich filmów akcji. Jednak uspokajamy, ten termin jest obecny w naszym życiu niemal na co dzień. Odblokowanie smartfona za pomocą skanowania linii papilarnych, tęczówki czy całego owalu twarzy, to właśnie elementy indywidualne biometrii każdego z nas. Wyobraź sobie teraz, że twój komputer sprawdza w jaki sposób korzystasz z myszy, jak nią poruszasz, z jaką częstotliwością poruszasz się po interfejsie, bądź jaki jest twój styl korzystania z klawiatury. Osoba w średnim wieku będzie na ten przykład wolniej korzystać z zasobów komputera, poruszać się po systemie niż chociażby programista, czy redaktor. mBank sądzi, że te cechy definiują każdego użytkownika i nie można ich podrobić, bądź się nauczyć. 

W pierwszym okresie wdrożenia, startującym 12 grudnia br. w formie pilotażu, bank zaoferuje usługę 50 tys. chętnych klientów, po wyrażeniu zgody przez uczestnika w serwisie transakcyjnym mBanku uruchamiać się będzie specjalny kod. Zmierzy on typowe zachowania użytkownika w trakcie korzystania z bankowości on-line, oparte na sposobie poruszania myszy, przycisku „scroll” oraz „touchpada”, dynamice korzystania z klawiatury komputera, a w przyszłości używaniu ekranu smartfona. Na tej podstawie zostanie zbudowany „obraz” użytkownika, czyli jego indywidualny profil behawioralny. System będzie identyfikować użytkowników, porównując ich bieżące interakcje z gotowym profilem. Po okresie testowym (może on potrwać do końca 2019 r.), usługa zostanie zaoferowana wszystkim klientom i stanowić będzie kolejny element zabezpieczeń. Bank będzie sprawdzać, czy w serwisie zalogowany jest właściwy użytkownik. Pozwoli to na szybką reakcję w sytuacji zagrożenia.

Zainteresowani usługą użytkownicy będą musieli wcześniej wyrazić zgodę na udział w pilotażu. Bank nie obejmie nią osób, które tego nie chcą. W ramach biometrii behawioralnej Digital Fingerprints, system analizować będzie wyłącznie sposób interakcji klientów z urządzeniami podczas korzystania z usług bankowości elektronicznej mBanku. Nie będzie pobierać danych na temat korzystania z innych stron czy narzędzi. Sprawdzane więc będzie to, jak użytkownik korzysta z serwisu, a nie to, co w nim robi.Dane zbierane na potrzeby budowy profili behawioralnych nie zawierają informacji wrażliwych. Przechowywane będą w formie modeli matematycznych, uniemożliwiających spółce Centrum Bezpieczeństwa Cyfrowego S.A. oraz innym podmiotom identyfikację konkretnej osoby. Użytkownikom usługi przysługiwać będzie prawo do zapomnienia, czyli usunięcia ich danych

Artykuł mBank przeprowadza testy biometrii behawioralnej. Nowe nadchodzi pochodzi z serwisu TestHub.pl.

Pan Grzegorz i mBank

Do redakcji niebezpiecznika 13 lipca zgłosił się klient mBanku, nazwany na potrzeby artykułu Grzegorzem. Jego firmowe konto zostało opróżnione z pieniędzy tzw. “przelewem ekspresowym SORBNET”. 40 minut od zauważenia awarii telefonu powiązanego z kontem bankowym skontaktował się z Grzegorzem bank pytając o podejrzane transakcje na koncie. Mimo tak błyskawicznej reakcji pracowników mBanku pieniądze niestety zniknęły, a bank obiecał Grzegorzowi odpowiedź na reklamację w ciągu 30 dni (albo nawet 60 dni, jeśli sprawa okaże się skomplikowana).

Jak informuje Grzegorz:

W dniu wczorajszym zostałem okradziony na bardzo duże sumy pieniędzy. Kilka nieautoryzowanych przelewów. Sprawa oczywiście w ciągu kilku chwil wykryta przez mBank (otrzymałem telefon z mBanku – chyba, bo pewności już nie mam, mam podejrzenia) i pytaniem o awarię telefonu i czy dokonywałem dużych przelewów. Na informację, że owszem awaria karty SIM małżonki miała miejsca jakieś 40 minut temu, i że ja przelewów ani żona nie dokonywaliśmy, Otrzymałem informację o fakcie prawdopodobnie włamania na nasze konto i zalecenie bym zgłosił to również pilnie na Policję. Po sprawdzeniu konta stwierdziłem, że z konta dwoma przelewami expressowymi wypłynęły całe nasz pieniądze. Naprawdę duże. Kilkaset tysięcy. W przeciągu pół godziny później byłem już na Policji i będąc nawet jeszcze na Policji w trakcie składania zawiadomienia zgłosiłem równolegle oficjalnym kanałem na infolinii mBanku reklamację. Wczoraj popołudniu małżonka pobrała w salonie duplikat karty SIM, gdyż telefon nadal nie działał. Skojarzyłem fakt pytania pracownika mBanku o awarię telefonu i sprawdziłem kiedy wcześniej był wykonywany duplikat. Okazało się, że był wykonywany w dniu wczorajszym pół godziny przed przelaniem pieniędzy. Niestety pracownik Orange nie chciał (chyba nie mógł) udzielić mi informacji gdzie, w jakim salonie (czy w ogóle w salonie) i na jakiej podstawie wystawiono duplikat. Poinformował mnie że musi się z tym zwrócić prokuratura.

Duplikat karty SIM sieci Orange

Zadziwiające dla redaktorów niebezpiecznika jest to, iż złodzieje bezproblemowo wyłudzają duplikat karty SIM podszywając się pod klienta Orange, a sam klient nie jest w stanie uzyskać informacji od operatora o czynnościach dokonanych w jego imieniu. Niebezpiecznik automatycznie zapytał o to Orange i uzyskał od nich następująca odpowiedź:

Nie mamy żadnych wewnętrznych wytycznych odnośnie udzielania lub nie klientowi informacji na temat wydania karty SIM. Jeśli klient zostanie zweryfikowany zgodnie z naszym standardem, to powinien dostać taką informację. Nie znając szczegółów tego konkretnego przypadku nie potrafię odpowiedzieć czy błąd popełnił nasz doradca czy np. klient nie udzielił wystarczających informacji do poprawnej weryfikacji.

Analiza ataku

Z ustaleń redakcji niebezpiecznika wynika, iż:

1. Złodziej jakoś pozyskał login i hasło ofiary do banku. Nie wiadomo jak: czy było to złośliwe oprogramowanie na komputerze ofiary, czy phishing.
2. Wyłudzenie duplikatu karty SIM nastąpiło w Płocku, w fizycznym salonie (co Grzegorz ustalił własnymi znajomościami), a złodziej posłużył się podrobionym dowodem osobistym (tzw. dowody kolekcjonerskie można zamówić przez internet za ok. 300 PLN). Czytelnik poznał nawet nazwisko konsultanta, ale rozumie, że wydał on kartę temu, kto pokazał dowód. Być może nagrania z kamer monitoringu ujawnią przestępce, albo osobę, którą posłużył się do wyrobienia duplikatu.
3. Pieniądze z konta Grzegorza zostały najpierw przesłane na konto w BOŚ, a stamtąd miały trafić na giełdę kryptowalut BitBay. Przelew został jednak w porę zatrzymany

Podsumowanie

Szybka reakcja pracowników mBanku finalnie uchroniła Grzegorza przed utratą środków. Pieniądze, co prawda opuściły jego konto bankowe, lecz finalnie środki udało się zablokować w BOŚ-u. Jak wynika z rozmowy przeprowadzonej przez niebezpiecznika z Grzegorzem zostały mu już zwrócone. W mniej niż 10 dni. To oznacza, że współpraca na linii mBank–BOŚ–BitBay była bardzo sprawna. Nie wiadomo co było powodem, iż pracownik mBanku postanowił zadzwonić do Grzegorza. Czy czynnikiem decydującym o oflagowaniu transakcji był transfer dużej kwoty szybkim przelewem. Transfer na nieznane konto, czy może wykonanie tych operacji z nowego adresu IP. Brawo zarówno dla mBanku za sprawne rozwiązanie sprawy i dla redakcji Niebezpiecznik za nagłaśnianie takich spraw i udzielanie rad, jak zachowywać się w przeróżnych przypadkach.

Wszystkich głębiej zainteresowanych tematem zapraszam bezpośrednio do wpisów chłopaków, którzy jak zawsze odwalili kawał dobrej roboty przy analizie całej sprawy. Dodam, że nie jest to odosobniony przypadek i pojawiło się ich więcej, ale szczegóły dostępne na stronie niebezpecznik.pl

Grafika tytułowa: pexels.com/ Źródło: niebezpiecznik.pl/post/duplikat-karty-sim-kradziez-bank-mbank-bzwbk

Artykuł Okradanie klientów banków poprzez duplikat karty SIM pochodzi z serwisu TestHub.pl.

Od osiemnastego czerwca klienci mBanku, którzy zamawiali kartę do swojego konta, zauważyli możliwość zdecydowania się na opaskę zbliżeniową. Według informacji z oficjalnej strony placówki ów wynalazek nadaje się idealnie na festiwale oraz umożliwia płatności bez konieczności noszenia portfela. Bank mówi również o zerowym ryzyku utraty środków. Jak to wygląda w rzeczywistości? Czy ta nowinka jest w stanie z powodzeniem odebrać użytkowników  dobrze zakorzenionemu Google Pay oraz raczkującemu Apple Pay?

Szczegóły promocji

• Termin: 18 czerwca – 14 września 2018 roku.
• Opłata za wydanie: dla pierwszych 2000 sztuk 0 złotych, kolejna partia natomiast 50 złotych.
• Ważność karty: 3 lata.
• Opłaty za użytkowanie: 0 złotych.
• Ilość sztuk otrzymywanych przez bank: 2 sztuki (w tym jedna zapasowa).
• Cechy szczególne: odporność na wilgoć.
• Wydawca karty: MasterCard.

Czy jest to bezpieczne?

Jest to kwestia ważna dla nas, przeciętnych Kowalskich. Jednakże nie jest ona możliwa do stuprocentowego sprecyzowania w przypadku tego rozwiązania. Na pewno jej forma utrudnia ewentualną kradzież fizyczną. Natomiast środki na niej mogą pozostać zagrożone. Mianowicie, karta zabezpieczona jest jedynie standardowymi sposobami ochrony, czyli potrzebą wprowadzenia kodu PIN przy transakcji powyżej 50 złotych. Na pewno nie stanowi to, w tej kwestii, konkurencji dla rozwiązania firmy z Cupertino.

Czy jest to wygodne?

Zdecydowanie tak, ponieważ nie musimy ze sobą mieć portfela oraz martwić się o dostęp do pieniędzy, kiedy nasz telefon się rozładuje. Karta-opaska MasterCard jest rozwiązaniem na swój sposób przypominający używanie Google/Apple Pay na smartwatch’ach. Czyli jednym słowem jest to opcja wygodna, a zarazem niezależna od mobilnej technologii, jak powyższe rozwiązania. Wygoda użytkowania jest dosłownie taka sama, jak standardową kartą z technologią zbliżeniową na przykład PayPass.

Jak wygląda płatność opaską?

Nie różni się ona od sposobu wykonywania operacji zwykła kartą, czy telefonem z NFC. Dla osób, które nie korzystały wcześniej z technologii zbliżeniowych krótka instrukcja:

1. Poczekaj na komunikat na terminalu płatniczym.
2. Zbliż opaskę do niego.
3. (Ewentualnie) wprowadź kod PIN [dotyczy kwoty wyższej niż 50 złotych].
4. Odbierz potwierdzenie płatności.
5. Gotowe! 

Podsumowując…

Karta w postaci opaski jest rozwiązaniem poręcznym i coraz popularniejszym, chociażby dzięki Open’er Festiwal, który ustanowił go jednym z  oficjalnych opcji płatności. Jednakże bezpieczeństwo, szczególnie względem Apple Pay, pozostawia trochę do życzenia. Jeśli mimo to chcecie skorzystać z promocji to śpieszcie się, ponieważ tylko pierwsze 2000 sztuk klienci otrzymają bezpłatnie. UWAGA! Promocja dotyczy tylko kont założonych w mBanku.

Źródło: mBank.pl  / Dobreprogramy.pl

Artykuł Alternatywa dla Apple Pay od mBanku? pochodzi z serwisu TestHub.pl.