19:37
2/11/2022

Niektórzy z Was boją się aplikacji mobilnych swoich banków. Czasem piszecie do nas i pytacie “czy apka banku jest bezpieczna”? Albo wprost informujecie nas, że apki banku nie zainstalujecie i pytacie co Wam grozi, jeśli pozostaniecie przy potwierdzaniu transakcji SMS-em? Czy strach przed instalacją aplikacji mobilnej banku jest uzasadniony? Dziś spróbujemy odpowiedzieć na te pytania.

Zanim zaczniemy, dwie uwagi:

  • W tym artykule skupimy się tylko na aspektach bezpieczeństwa bankowych aplikacji mobilnych. Ocenę wygody, UX i kolorków poszczególnych aplikacji zostawiamy innym mediom. Nie będziemy w tym artykule pisać, że zarządzanie swoim kontem w banku przez aplikację jest prostsze, bo np. interfejsy aplikacji bankowych są bardziej przejrzyste niż serwisy internetowe banków albo przyjemniejsze, bo apki mają mniej reklam niż serwisy www, itp.
  • W tym artykule nie podejmiemy za Was decyzji, czy aplikację tego czy tamtego banku zainstalować, czy nie. Naszym celem jest dostarczyć Wam rzetelnych informacji na temat różnych scenariuszy wykorzystania bankowych aplikacji mobilnych. Opiszemy zarówno powody dla których bankowe aplikacje warto zainstalować, jak również przedstawimy Wam ryzyka związane z posiadaniem tych aplikacji. Finalną decyzję, czy apka tego lub tamtego banku przy Waszym modelu zagrożeń daje Wam więcej plusów niż minusów, pozostawiamy Wam.
Partnerem niniejszego artykułu jest Bank Pekao S.A. Dlatego w niektórych akapitach zobaczycie wizualizacje omawianych funkcji bezpieczeństwa na przykładzie aplikacji PeoPay. Ale podobne funkcje znajdują się także w aplikacjach mobilnych innych banków i choć mogą się inaczej nazywać, to — jeśli na instalację aplikacji mobilnej swojego banku się zdecydujecie — warto te funkcje odszukać i włączyć, niezależnie od tego jakiego banku jesteście klientem. Choć Pekao S.A. jest sponsorem, dzięki któremu ten artykuł powstał, to bank nie narzucał nam tego, o czym mamy, a o czym nie możemy pisać, co bardzo szanujemy i za co bardzo dziękujemy.

Aplikacja to bezpieczniejsza autoryzacja transakcji, zwłaszcza na Androidach

Transakcje w obrębie konta bankowego można potwierdzać kodem z SMS-a lub kliknięciem na przycisk po otrzymaniu powiadomienia (push) z aplikacji bankowej. Bezpieczniej jest skorzystać z aplikacji, bo nie tylko opis autoryzowanej transakcji jest bardziej przejrzysty, ale sama komunikacja dotycząca autoryzacji transakcji — w przeciwieństwie do autoryzacji SMS-owej — jest szyfrowana i zdecydowanie trudniejsza do przechwycenia z poziomu innej, np. złośliwej aplikacji zainstalowanej na smartfonie użytkownika. I to jest, naszym zdaniem, najważniejszy argument za wyborem bankowej aplikacji mobilnej.

SMS-y z kodami nie są szyfrowane, a każda aplikacja na Androidzie może poprosić o dostęp do czytania ich treści. Właśnie to wykorzystują niektóre złośliwe aplikacje mające na celu kradzież pieniędzy z kont bankowych. I o ile mogą uzyskać wgląd w treść SMS-ów, to nie są w stanie dzięki takiemu uprawnieniu podejrzeć zawartości powiadomień z apki bankowej, ani tym bardziej kliknąć na przycisk autoryzacji operacji, który pojawi się po kliknięciu w powiadomienie pochodzące z bankowej aplikacji.

Na łamach Niebezpiecznika wiele razy opisywaliśmy tzw. trojany bankowe, które korzystając z różnych pretekstów (np. konieczności odbierania przesyłki) przekonywały do instalacji złośliwego oprogramowania na smartfonie. Problem za każdym razem dotyczył smartfonów z Androidem i w znakomitej większości przypadków bazował na instalowaniu aplikacji spoza sklepu Google Play (tzw. side loading). Android domyślnie wyłącza możliwość instalacji aplikacji spoza sklepu, ale ofiara może to ustawienie sobie ponownie włączyć. Korzystają z tego atakujący, którzy na swoich fałszywych stronach krok-po-kroku pokazują ofierze co zrobić i tłumaczą dlaczego warto zignorować komunikaty dotyczące bezpieczeństwa pokazywane przez Androida. Na tym właśnie bazuje socjotechnika. Jeśli człowiek może coś zrobić, to atakujący może go do tego namówić. I często robi to bardzo wiarygodnie.

Niektóre ze złośliwych aplikacji mogą dodatkowo poprosić o uprawnienia związane z tzw. “opcjami dostępności“. To w niektórych przypadkach może im pozwolić na przechwycenie zawartości ekranu dowolnej aplikacji, także bankowej. Ale i z tym zagrożeniem można sobie poradzić. ApliKacja PeoPay na systemach Android adresuje to ryzyko w taki sposób, że uniemożliwia nagrywanie ekranu i robienie jego zrzutów.

Na niekorzyść SMS-ów przemawia też możliwość ich przekierowania na inny numer. To możliwe u co najmniej jednego polskiego operatora. W takiej sytuacji, nawet bez infekcji złośliwym oprogramowaniem, a jedynie w wyniku kontaktu z infolinią operatora, niektórym z Was złodzieje mogą przechwycić kody autoryzacyjne. Takie ataki już się zdarzały i to kolejny powód dla którego uwierzytelnieniu transakcji aplikacją mobilną banku należy przyznać dodatkowy punkt.

Powiadomień push z apki przekierować się nie da, nawet jeśli złodziej wykona duplikat Waszej karty SIM. Przy autoryzacji SMS (znając login i hasło ofiary) wyrobienie duplikatu karty SIM od razu otwiera przestępcom możliwość do autoryzowania operacji. Z kolei mając autoryzację mobilną, pozyskany już duplikat karty SIM takiej możliwości przestępcom nie daje, bo autoryzacja nadal powiązana jest z urządzeniem prawowitego użytkownika, na którym zainstalowana jest aplikacja. Przestępcy muszą w takiej sytuacji przejść przez proces zmiany narzędzia autoryzacyjnego, a to już dodatkowy “potykacz”..

Warto wspomnieć, że o ile duplikat karty SIM (w połączeniu z wiedzą na temat ofiary, np. nazwiskiem panieńskim jego matki i numerem PESEL) pozwoli w wielu bankach na podpięcie przez złodzieja aplikacji mobilnej pod rachunek bankowy ofiary, to dzięki limitom kwotowym, ewentualna kradzież środków z rachunku ofiary przez dopiętą aplikację mobilną będzie ograniczona.

Skoro porównujemy bezpieczeństwo aplikacji mobilnej banku w stosunku do SMS-ów — to należy podkreślić, że na ryzyko ataku z duplikatem karty SIM tak samo narażeni są zwolennicy jednej i drugiej metody autoryzacji transakcji. Podobnie jest w przypadku bardzo rzadkich ataków złośliwym oprogramowaniem, które rootują smartfona — wtedy atakujący może wszystko, ale na to ryzyko też narażeni są zwolennicy jednej i drugiej metody autoryzacji transakcji.

Aplikacja to bogatsze i darmowe powiadomienia

Informacja o tym, co dzieje się z naszym kontem i szybka reakcja mogą być kluczem do ochrony naszych pieniędzy. A w szybkiej reakcji pomóc może aplikacja banku. Po włączeniu powiadomień możemy w czasie rzeczywistym dowiadywać się, że np. dane naszej karty płatniczej najwyraźniej skądś wyciekły i ktoś właśnie robi nią zakupy w różnych sklepach. Oczywiście niektóre banki takie powiadomienia oferują też w kanale SMS, ale często jest to usługa dodatkowo płatna.

Dlatego warto przejrzeć dostępne w naszym banku rodzaje powiadomień i włączyć wszystkie, które mogą posłużyć jako sygnał tego, że z naszym rachunkiem dzieje się coś nie tak. tj. powiadomienia o zmianach limitów, ustawień bezpieczeństwa lub wszelkich transakcjach wychodzących. Poniżej przykład długiego screenshota, pokazującego widok wszystkich powiadomień w aplikacji Pekao:

Aplikacja mobilna będzie też przydatna, jeśli kiedyś takie właśnie niespodziewane powiadomienie otrzymamy. Z poziomu bankowych aplikacji możemy nie tylko szybko zablokować kartę lub nawet dowód osobisty, ale też połączyć się z konsultantem już “po uwierzytelnieniu”, bez konieczności podawania kodów telefonicznych. I o ile w wielu bankach te same działania możemy zrobić także przy pomocy tradycyjnego serwisu internetowego lub kontaktu z infolinią, to przez apkę będzie szybciej. A tu czas ma znaczenie.

W przypadku ochrony pieniędzy, skuteczniejsza nawet od najszybszej reakcji będzie solidna prewencja. Dlatego wszystkim polecamy już teraz skonfigurować sobie odpowiednie limity, nie tylko na liczbę i kwotę transakcji kartowych, ale i zwykłych przelewów oraz transakcji wykonywanych z poziomu aplikacji mobilnej. W zależności od banku, te ustawienia mogą być mniej lub bardziej rozbudowane, ale będą obecne i zdecydowanie warto je dostosować pod swoje potrzeby i poziomy wydatków.

Ryzyka związane z aplikacją

Największym ryzykiem posiadania bankowej aplikacji na swoim smartfonie, jaki wskazują przeciwnicy tego podejścia, jest to, że wszystko co potrzeba do autoryzacji przelewu (kradzieży środków) jest na jednym i tylko jednym urządzeniu. Czy w takim razie wystarczy przejąć czyjś telefon, aby kogoś okraść? No właśnie, na szczęście, nie jest to takie proste.

Nawet jeśli ktoś przejmie telefon osoby, która posiada zainstalowaną bankową aplikacją mobilną, to żeby dobrać się do cudzych pieniędzy, złodziej musi zarówno smartfona, jak i samą aplikację odblokować. Dlatego tak istotne jest, aby kodem blokady ekranu na smartfonie nie był prosty 6-cyfrowy PIN, np: 123456 albo 111111. I żeby kod do uruchomienia aplikacji bankowej był inny od kodu blokady ekranu smartfona.

W wielu smartfonach i wielu aplikacjach bankowych można dziś zamiast prostych PIN-ów używać biometerii. W przypadku zguby lub kradzieży urządzenia, złodziej nie dostanie się wtedy tak prosto do naszych danych, bo nie dysponuje naszą twarzą lub palcem.

Oczywiście niektóre mechanizmy biometryczne, zwłaszcza te w tańszych smartfonach, da się obejść, ale w praktyce zwykli rabusie z takich metod nie korzystają. Ale jeśli macie wybór, to lepiej, co do zasady, wybierać biometrie twarzy niż palca i jednak skłaniać się ku droższym smartfonom, bo wtedy moduły wykorzystywane do biometrii są zdecydowanie trudniejsze do przełamania. FaceID w iPhonie do tej pory nie udało się obejść, choć konkurencyjne rozwiązania innych producentów omijano np. wydrukiem twarzy właściciela

Na wypadek kradzieży lub zguby warto się przygotować zawczasu. Dlatego już teraz włączcie opcję Find My iPhone lub Find My Android/Samsung/itp., dzięki czemu po stracie urządzenia będziecie mogli namierzyć jego lokalizację lub zdalnie wykasować jego zawartość. Pamięć współczesnych smartfonów jest już domyślnie szyfrowana, więc o dane na urządzeniu raczej nie powinniśmy się martwić. Chyba, że Waszym kodem blokady ekranu było coś naprawdę krótkiego i prostego do odgadnięcia…

Ale bank będzie mnie szpiegować!

To drugi i chyba najczęstszy z argumentów przeciwko instalacji aplikacji mobilnej banku, jaki słyszymy. Niektórzy boją się, że bank, którego kartą płacą za każde zakupy i któremu w celu uzyskania kredytu wyspowiadali się nawet z wielkości buta, będzie ich szpiegował przy każdym uruchomieniu aplikacji…

Po pierwsze, bank to jedna z tych instytucji, która zapewne ma najwięcej danych na nasz temat. Począwszy od skanu dowodów, poprzez wgląd w historię zarobków, liczbę posiadanych dzieci, a także wysokość wydatków. Bank i bez instalacji aplikacji na naszym smartfonie wie gdzie mniej-więcej się znajdujemy, ile zarabiamy i czy wolimy jeść w McDonaldzie czy barze sałatkowym… o ile za wszystko nie płacimy gotówką.

Innymi słowy, korzystając z rachunku bankowego, nawet jeśli jest on obsługiwany bez aplikacji mobilnej, nie ma co liczyć na zachowanie 100% prywatności. To prawda, że instalując aplikację mobilną banku, bank może dowiedzieć się o nas jeszcze więcej — zwłaszcza jeśli wyrazimy zgodę na dostęp aplikacji bankowej do książki kontaktowej lub usług lokalizacji. Ale nie musimy tego robić. Aplikacje bankowe bez problemu będą działać bez tych uprawnień, choć wtedy nie pokażą Wam np. najbliższego bankomatu. Zakładamy jednak, że dacie radę przeżyć bez tej funkcji.

To instalować, czy nie?

Każdy z nas jest trochę inny. Jedni wysoko cenią swoją prywatność i za wszystko faktycznie próbują płacić gotówką. Dla innych najważniejsze jest bezpieczeństwo ich oszczędności. Jest też zbiór wspólny obu grup. Ważne, aby zrozumieć, że nie każdy z nas obawia się tego samego. Nie każdy korzysta z takiego samego smartfona. Dlatego nie mamy dla Was jednej rady. Powyżej przedstawiliśmy zalety i ryzyka związane z korzystaniem z bankowych aplikacji mobilnych. Zastanówcie się, czy w Waszym przypadku instalacja aplikacji da więcej plusów, czy minusów. Poniżej krótkie TL;DR z artykułu:

  • Plus: Kody przesyłane SMS-ami da się przechwycić lub przekierować. Z powiadomieniami z apki jest to (w zależności od używanych urządzeń i operatorów) niemożliwe lub zdecydowanie trudniejsze.
  • Minus: Aplikacje bankowe często proszą o uprawnienia, które nie są kluczowe. Aby skorzystać z bezpieczeństwa mobilnej autoryzacji, ale nie narażać się na utratę prywatności, nie trzeba się na te uprawnienia zgadzać. Aplikacja bankowa będzie działała bez nich, choć może nie pokazać najbliższego bankomatu. No cóż.
  • Plus: Aplikacja daje możliwość szybszego kontaktu z infolinią banku. To niekiedy może mieć kluczowe znaczenie.
  • Minus: Instalacja aplikacji na słabo zabezpieczonym smartfonie (z prostym kodem blokady ekranu i prostym PIN-em do aplikacji) da znalazcy smartfona możliwość korzystania z naszego rachunku. Ale ten minus można “anulować” jeśli włączycie logowanie poprzez biometrię i na wszelki wypadek ustawicie limit na transakcje wykonywane z poziomu aplikacji, co polecamy zrobić już teraz.
  • Plus: Warto otrzymywać powiadomienia o tym, co się dzieje w danej chwili na naszym rachunku. Niektóre banki naliczają za takie powiadomienia wysyłane SMS-ami dodatkowe opłaty. W aplikacjach takie powiadomienia są darmowe.

Jeśli o jakimś aspekcie bankowych aplikacji mobilnych wpływającym na bezpieczeństwo nie napisaliśmy, dajcie znać w komentarzach. Z chęcią uzupełnimy nasz artykuł.

Przeczytaj także:

112 komentarzy

Dodaj komentarz
  1. Apka jest bezpieczniejsza także dlatego że nie wchodzimy na swoje kont przez szatański https. Wiadomo jak bardzo można się potknąć na podrobionym adresie.

    • Wchodzimy tylko nie my wpisujemy adres :)

  2. W pierwszym kwartale 2022 roku miało miejsce 18 tys. nieautoryzowanych transakcji, na bankowość mobilną przypadało 57% transakcji, internetową 42%, telefoniczną i operacje w oddziałach niecały 1%. Warto dodać, że przed pojawieniem się zdalnych kanałów kontaktu nieautoryzowane transakcje w bankach to były pojedyncze przypadki.
    Ponieważ ilość użytkowników bankowości mobilnej i internetowej mniej więcej jest taka sama to wychodzi, że bankowość mobilna jest najmniej bezpieczna.
    Alarmujące dane z NBP: w ciągu kwartału liczba oszukańczych przelewów wzrosła o 50 proc.
    https://www.cashless.pl/12256-liczba-fraudow-finansowych-1-kw-2022-r
    Raport PRNews.pl: Liczba użytkowników bankowości mobilnej – IV kw. 2021
    https://prnews.pl/raport-prnews-pl-liczba-uzytkownikow-bankowosci-mobilnej-iv-kw-2021-463813

    • A to nie jest tak że te scamy mobilne to oszustwa na wyłudzenie kodu BLIK?

    • Ale te 57% to nie wlamania do apek tylko aktywacja bankowosci mobilnej za kogos przy wykorzystaniu socjotechniki. Skutecznych wlaman do mobilek dotad nie bylo, nawet slynny atak na Plus Bank byl atakiem na serwer, a nie aplikacje.

    • ale w tych statystykach wszystkie oszustwa na BLIKa wpadają pod aplikacje bankowe. Trudno obwiniać aplikację za głupotę użytkownika.

    • @ Filon, Tarpan, cooks
      Metodologia tych statystyk nie jest do końca jasna.
      Tytuł artykułu cashless.pl mówi o przelewach. W treści artykułu jest mowa o transakcjach.
      Do nieautoryzowanych transakcji mogłyby być zaliczone również transakcje kartami, ale one na pewno nie wchodzą do tych statystyk bo nie można ich przyporządkować do żadnego kanału kontaktu z bankiem.
      Pytanie gdzie zostały przyporządkowane nieautoryzowane transakcje blik oraz ile ich było?

      @ Tarpan
      57% nieautoryzowanych przelewów zostało zleconych w aplikacjach mobilnych banków

    • Bo to zapewne chodzi o to że wymagałoby to ileśtam h pracy, a pewnie wszyscy są zajeći i mają zaplanowane sprinty do Q1 2023 :)

    • Statystycznie więcej kradzieży dokonanych z użyciem aplikacji mobilnych nie implikuje, że są mniej bezpieczne. Wydaje mi się, że większej ilości udanych ataków socjotechnicznych z wykorzystaniem aplikacji mobilnych należy doszukiwać się albo w niższej świadomości użytkowników (zamiast nauczyć się zawczasu korzystać z aplikacji, to instalujemy ją dopiero kiedy dzwoni do nas “pracownik banku”, który chce “pomóc nam zabezpieczyć środki” i nawet nie wiemy co my klikamy) albo w większej ilości takich ataków (co może być prostą implikacją poprzedniego – skoro nie wiemy co robimy, to łatwiej nawinąć nam makaron). Podkreślam – wydaje mi się; tak naprawdę potrzeba byłoby bardziej szczegółowych danych, żeby coś więcej wnioskować. Natomiast z technicznej strony autoryzacja SMS jest mniej bezpieczna od mobilnej, o czym autor napisał w artykule.

    • Udało mi się dotrzeć do danych źródłowych za I kwartał 2022

      Raport NetB@nk, I kwartał 2022
      https://www.zbp.pl/Aktualnosci/Wydarzenia/Raport-NetB@nk-Pierwszy-kwartal-z-duzym-wzrostem-aktywnych-uzytkownikow-bankowosci-mobilnej
      Informacja o transakcjach oszukańczych – I kwartał 2022 r.
      https://www.nbp.pl/home.aspx?f=/systemplatniczy/informacja-o-transakcjach-oszukanczych.html

      ZBP
      17,5 mln – Liczba aktywnych użytkowników bankowości mobilnej
      21,8 mln – Liczba aktywnych użytkowników bankowości internetowej

      NBP mówi o “Transakcje oszukańcze dokonane przy użyciu polecenia przelewu”. Trudno myśleć o BLIKu w tak nazwanej kategorii.

      ILOŚCIOWO – Tablela 6
      Przeglądarka internetowa 41,7%
      Dedykowana aplikacja 57,4%
      Inny sposób 0,3%
      Kanał telefoniczny 0,1%
      Oddział banku 0,5%

      WARTOŚCIOWO – Tabela 7
      Przeglądarka internetowa 70,4%
      Dedykowana aplikacja 25,0%
      Inny sposób 4,2%
      Kanał telefoniczny 0,0%
      Oddział banku 0,3%
      Warto zauważyć, że część klientów korzysta z usług bankowych poprzez przeglądarkę internetową, ale na smartfonie.

      Wnioski
      Użytkowników aplikacji bankowych jest co najmniej 4,3 mln mniej niż bankowości internetowej, a w ujęciu ilościowym przelewy oszukańcze zlecone w aplikacjach to 57%.
      Ktoś powie, że w ujęciu wartościowym 70% oszukańczych transakcji to bankowość internetowa. Moim zdaniem jedynym powodem są niższe limity nakładane domyślnie na aplikacje bankowe. Banki wiedzą, że aplikacje są bardziej ryzykowne i w ten sposób ograniczają swoje ryzyko. Gorzej gdy dany bank ma bardzo wysokie domyślne limity lub gdy można je łatwo podnieść.

    • Z tych danych wynika, że więcej/zdecydowanie więcej udanych transakcji oszukańczych jest wykonanych kanałem mobilnym. Nie implikuje to jednak, że aplikacja mobilna jako taka jest bardziej niebezpieczna czy bardziej ryzykowna. Wiem, że to trochę czepianie się semantyki, ale jest istotna różnica pomiędzy “korzystanie z aplikacji wiąże się z większym ryzykiem” (winny czynnik ludzki) a “aplikacja jest bardziej ryzykowna” (jako narzędzie; podczas gdy w rzeczywistości nie jest; za wyjątkiem sytuacji popełnienia błędu przez programistów, ale to ryzyko dotyczy też weba). Pozdrawiam

    • Myślę, że co do tych nieautoryzowanych transakcji sprzed ery mobilności, nie mamy pełnych statystyk. Nawet dzisiaj są używane metody na wnuczka, na policjanta, czy na księdza, a przekręt na “Nigeryjskiego księcia” jest wręcz memiczny. Oszust namawia naiwnego staruszka czy staruszkę, by ci poszli do banku i wypłacili pieniądze, po które ktoś się stawia. Transakcja była autoryzowana przez uprawnioną osobę, a jednak był to fraud.

  3. Ja się, ze wszystkim zgadzam co tu jest napisane, ale … na razie używam sms. Dlaczego?
    Ano dlatego, ze SMS mi zostaje na telefonie (a później w backupie) i w razie czego wiem co potwierdzałem. Tymczasem gdy się w bankach pytam czy można historię potwierdzeń sobie gdzieś zapisać (csv/xml…) to rżną głupa.

    • A jak udowodnisz smsa, którego skasowałeś?

    • Android ma funkcję “historia powiadomień” :)

    • @kjonca
      Historię potwierdzeń powinieneś mieć w apce w zakładce dot. mobilnej autoryzacji (a przynajmniej tak jest w apce banku, z którego ja korzystam).

  4. Czy jakieś aplikacje bankowe wspierają YubiKey? Skoro go już i tak noszę razem z kluczami i telefonem..
    Pewnie byłby wykorzystywany do logowania do apki (jako 2FA obok PIN/biometrii) i/lub do autoryzacji konkretnej już operacji (np. przelewu).
    Ale.. czy w ogóle jest sens takiego ożenku?

    • Żadna nie wspiera. Jeszcze. Ale w scenariuszu “używam apki” do zarządzania kontem w banku niewiele by on dał.

    • @Piotr Konieczny
      Ja trochę z innej beczki, ale poniekąd w temacie.
      Co niebezpiecznik sądzi o apce Blokada (blokada.org) na androida? Czy można ufać temu, że faktycznie szyfruje ruch DNS puszczając go przez wybrane w konfiguracji serwery (np. Cloudflare)?
      Niestety nigdy niczego nt. tej apki nie pisaliście (a przynajmniej wyszukiwarka nie zwróciła żadnych konkretnych wyników).

    • Moim zdaniem większego sensu nie ma. Główną cechą u2f jest ochrona przed phishingiem, apka jest (albo powinna) być na to odporna “fabrycznie” dzięki przypinaniu certyfikatów i korzystaniu z adresów IP zamiast nazw domen. Sklepy z aplikacjami (poza huawejem) aktualnie dość dobrze radzą sobie z lewymi apkami banków, więc jak nie instalujemy czegoś prosto z .apk to raczej ciężko będzie przypadkiem zainstalować lewą apkę.

    • W jednym z banków na spotkaniu z IT padło pytanie, czy do autoryzacji na stronie będzie dodana opcją klucza, to w odpowiedzi padło że na chwilę obecną nie ma tego w planach. Obecnie duży nakład pracy w zakresie bezpieczeństwa jest kładziony w już istniejące rozwiązania widoczne przez użytkownika oraz w takie, których nie widzi. A wypalać MD dla garstki osób obecnie nie ma sensu.

    • To by było bardzo głupie, bo w przypadku kradzieży złodziej miałby telefon i klucz

    • Pytałem o to 4 różne banki (w dwóch krajach) i 3 nawet nie odpowiedziały, a czwarty wyminął się od odpowiedzi. Mnie tu coś strasznie śmierdzi, że żaden bank nie chce u2f.
      Jeśli dostanę możliwość logowania z użyciem klucza u2f + PIN do zatwierdzenia każdej operacji (po zalogowaniu) to będę szczęśliwy, szczególnie że muszę root’ować mój telefon (bo Google blokuje mi możliwość nagrywania rozmów pomimo tego, że w kraju w którym mieszkam jest to legalne + kilka innych powodów), a nie da się ukryć root’a przed wszystkimi apkami.

    • “szczególnie że muszę root’ować mój telefon (bo Google blokuje mi możliwość nagrywania rozmów pomimo tego, że w kraju w którym mieszkam jest to legalne + kilka innych powodów)”
      Zainstaluj sobie LIneageOS (o ile jest na ten model smartfona) – systemowy dialer od strzała ma funkcję nagrywania rozmów.

    • Podnoszenie argumentu, że lepiej używać biometrii uważam za bezcelowy. Jak już ktoś odgadnie nasz PIN do telefonu, to doda sobie swój odcisk palca, czy zmieni autoryzacyjną twarz.
      W tym wypadku należałoby tylko i wyłącznie używać innego bezpiecznego PINu.

      Co do zalety szybkiego kontaktu z infolinią banku bez dodatkowego uwierzytelniania to już parodia. Jak już ktoś aktywuje sobie aplikację na swoim urządzeniu, to już bez uwierzytelniania skontaktuje się z infolinią i odetnie mnie od mojej apki, zmieni limity i co tylko jeszcze będzie chciał.

      Artykuł jednak stronniczy.

  5. Czy wiadomo jakie powody stoją za tym, że banki nie chcą wspierać logowania kluczem sprzętowym ani nawet standardowym TOTP?

    • Też chciałbym się dowiedzieć.

    • CreditAgricole chyba jako jedyny nadal oferuje klucze sprzętowe do kont. Z kontem VIP jest nawet za darmo, po ostatnich zmianach TOiP. Szkoda, że to kijowy bank pod każdym innym kontem (hy hy)

    • Pewnie dla tego samego, dlaczego nie stosują zdrapek. Takie potwierdzenie nie daje wiedzy co się potwierdza. A to jest wymaganie przez PSD.

    • W moim tokenie sprzętowym do autoryzacji transferu poza kodem ze strony (i uprzednim pinem) należy wprowadzić również wartość transakcji. W tym przypadku więc mimo że urządzenie jest “offlinowe” jednak jakaś kontrola nad tym co się potwierdza istnieje.

  6. Android wcale nie jest taką bezpieczna platformą.

    Nawet jak ktoś grzecznie i co tydzień instaluje polecane aktualizacje bezpieczeństwa, to system w smartfonie ma wsparcie formalnie na dwa lata, naprawdę na około rok.
    Ale 99% użytkowników w ogóle nie aktualizuje systemu operacyjnego w smartfonach,
    bo nie wie jak i po co, przecież działa.

    Nawet, jak mam w system aktualizowany co tydzień, to np procesor i sterowniki trzymają system na kernelu 3.10, którzy to kernel już żadnego wsparcia nie ma, za to ma ze 180 znanych i opisanych podatności, co aplikacji bankowej jakoś nie przeszkadza.

    Dlatego metodą grawitacyjną większość androidów z powodu braków aktualizacji sterowników i systemu bazowego niebezpiecznie zbliża się do tego poziomu, który znamy np z Windows 7.

    Jest kwestią czasu, kiedy Android zacznie obrywać od różnych malware, a głównym celem tego malware będą appki bankowe.

    Dlatego tokeny autoryzacje wolałbym dostawać nie SMS, nie w Appce tylko przez XMPP albo maila z szyfrowaniem GNUPG.
    Wtedy przynajmniej wiedziałbym, kto ma dostęp do klucza prywatnego.

    Na razie wobec appki mojego banku zauważyłem, że w nawiązaniu połączenia appka nie sprawdza DNSSEC, choć domena banku ma podpisy, i sprawdza certyfikat w bazie certów systemowych Androida, jakby ktoś nie umiał w appce umieścić certu CA banku.

    Także malware albo backdoor przy tak zrobionych appkach mają sporo do zrobienia, np atak Mitm i kradzież danych autoryzacyjnych.

    Pozdro

    • Twój post zdradza brak pojęcia jak wygląda proces utrzymania systemu bazującego na Linuksie.
      Przede wszystkim bardzo powszechną praktyką jest backporting łat, to nie jest Windows, który wiąże kernel z kompletną łatą. Oczywiście, czasem jest problem (a więc koszt) z takim backportowaniem, ale chyba jeszcze nie zdarzyło się, by to było niemożliwe. Taki OpenWRT od lat bazuje na starych i bardzo stabilnych kernelach, ale połatanych po czubek.
      Druga sprawa to problem producenta telefonu, a nie systemu, czyli taki dobór podzespołów, by móc zapewnić długie wsparcie programowe sterowników. Niestety, wielu producentów podzespołów, np. Mediatek, leci sobie w kulki nie aktualizując w ogóle sterowników po wydaniu. Szczęściem w nieszczęściu jest, iż błędów w sterownikach jest tak mało i są tak specyficzne dla konkretnych rozwiązań, że baza użytkowników nie skłania do opracowania ataków na nie.

    • Do dziś pokutują w niektorych apkach banków 4 cyfrowe PINy (zgadnij powód) a Ty chcesz wprowadzać PGP? Dobre żarty.

  7. Mam dwa pytania:

    1) Przeczytałem poniższy artykuł z 2018 roku. Czy wszystkie banki w Polsce mają już bezpieczne procedury dotyczące zmiany metody autoryzacji z mobilnej na kody sms?

    Dlaczego (nie) warto używać aplikacji mobilnej do autoryzacji przelewów?
    https://niebezpiecznik.pl/post/autoryzacja-mobilna-aplikacja-bank-przelewy/

    2) Większość banków umożliwia podniesienie dziennego limitu przelewów wykonując autoryzację w ten sam sposób jak przy zwykłym przelewie. Czy takie limity są skuteczne? Przecież jak złodziej przejmie kiedy przejmie kontrolę nad metodą autoryzacji to sobie je podniesie?

  8. Uważam, że jak najbardziej warto instalować aplikacje banku, zyskujemy też dodatkowe możliwości. Przykładowo Santander kilka dni temu miał problem z kartą płatniczą, ale dzięki zbliżeniowemu BLIK można było płacić.
    Mnie za to bardzo denerwuje jak banki nie podają dokładnych powiadomień, albo dokładnej informacji co autoryzujemy. Przykład PKO BP, ostrzega na każdym kroku przy zmianie limitu żeby uważać na oszustów, ale jak już limit zmieniamy to mamy napis “limit użytkownika”. Czyli potwierdzam limit na 100 zł ? 1000 ? czy 10 000 zł ? Nie ma takiej informacji.
    Albo powiadomienia o logowaniu. Fajnie, że są, bo np Santander w ogóle nie informuje o poprawnym logowaniu. Tylko dlaczego bank nie informuje dokładnie co to za logowanie, z jakiego adresu IP, przybliżona lokalizacja. Wile serwisów to wysyła. Bank nie. Przez brak szczegółowych informacji później nie wiadomo co dokładnie przychodzi. W PKO ostatnio dzwoniłem na infolinie, pozmieniałem hasła bo co chwilę dostałem powiadomienia o pomyślnym zalogowaniu na moje konto. Jak się okazało były to moje logowania tylko alerty po 1 był zduplikowane, a po drugie przychodziły z opóźnieniem. Gdyby bank wysyłał szczegóły logowania od razu można by to zauważyć, a tak to zawału można dostać jak przyjdzie kilkanaście alertów o logowaniu… Fakt, że samo zalogowanie nie pozwoli na przelew, ale zdenerwować i tak się nieźle można.

    Wiele banków nie oferuje też powiadomień dla krytycznych ruchów na koncie typu zmiana limitu, zmiana metody autoryzacji. Przecież jak mamy limit np 1000 zł i nagle zmieniamy na 50 000 zł to bank powinien nas na każdy możliwy sposób informować, bo to może być ostatnia deska ratunku. Ale żaden bank z którego korzystam takich alertów nie wysyła :(

    Kolejna sprawa to nawet jak korzystamy z aplikacji mobilnej banku do uwierzytelniania to bank może sam z siebie zmienić to na SMS, nawet nikt nie musi się pod nas podszywać. Przykładowo PKO BP podczas awarii / prac serwisowych nad aplikacją mobilną automatycznie zmienia wszystkim metodę autoryzacji na SMS. Oczywiście zablokować się tego nie da. Nawet chyba nigdzie o tym za bardzo nie informują, tutaj tez miałem sytuację, gdzie loguje się na swoje konto i nagle otrzymuję SMS kody z których nigdy nie korzystam…

    Wracając do powiadomień warto też włączyć powiadomienia na e-mail, bo często mają inny zakres niż te PUSH. W bankach też czasem zdarzają się opóźnienia, czy to email czy push przychodzą z opóźnieniem, jak mamy i to i to włączone, to większa szansa, że otrzymamy od razu info. Swoją drogą czemu banki nie umożliwiają szyfrowania powiadomień na e-mail ? Przecież tam są wysyłane wrażliwe informacje, np stan konta. Nie każdy chce żeby takie dane latały nieszyfrowane :(

    Podsumowując apkę banku zawsze warto zainstalować, tylko fajnie gdyby banki nieco dopracowały swoje aplikację.

  9. Jestem jednym z tych typków co się uchowali, nie bez wysiłku, i nadal nie używają apek bankowych. Ale ostatnio się nad tym zastanawiam. Scenariusz jaki przyszedł mi na myśl jako prawdopodobny w moim przypadku, to sytuacja rozbicia lub utopienia telefonu z apką bankową. Co wtedy? I nie chodzi mi o bezpieczeństwo oszczędności, bo tu akurat kumam że jak telefon jest rozwalony to kto inny niż ja też nie uzyska przez niego dostępu. Ale jak ja mam się do konta wtedy dostać? Bez skojarzonej apki nie wejdę na konto nawet na kompie. Czyli co, jechać do banku? Bezpiecznie, zgadzam się. A jeśli nie mam jak dotrzeć do oddziału? Dzwonić? I co wtedy? Przepną mi na inny numer? Uaktywnią apkę na innym telefonie? A skąd będą wiedzieć że ja to ja?
    Podwariant powyższego scenariusza: kradzież telefonu nie dla danych a dla sprzętu. Tym prawdopodobniejsza im droższy model (na przykład z dobrze zaimplementowaną biometrią). Złodziej nie wejdzie na telefon, dane zdalnie usunę. Ale co dalej? Jak odzyskuję dostęp do konta?

    • Błędnie zakładasz ze dostęp przez apkę wyklucza dostęp poprzez inne kanały . Instalujesz apkę, gubisz telefon to wchodzisz przez www i odpinasz telefon.

    • Dodaj więcej niż jedno urządzenie do autoryzacji

    • @kolec

      Wchodzę przez www bez kodu z apki? Niby jak?

      @Ba

      Dobry hint, thx

    • @kolec nie zalogujesz sie przez www bo silne uwierzytelnienie wymaga telefonu. Trzeba dzwonic do call center (z pozyczonego telefonu).

    • Można też zwyczajnie zajść do tego banku i tam powiedzieć o problemie zamiast kminić co i jak o pożyczonych telefonach, odpinaniu itd, jakimś cudem tej opcji nie wzięliście pod uwagę. :D

    • “Ale co dalej? Jak odzyskuję dostęp do konta?”
      Instalujesz apkę na innym telefonie i ją aktywujesz?;>

  10. “Android ma funkcję “historia powiadomień” :)”
    1. Z ostatnich 7 dni, chyba, że coś przeoczyłem
    2. Można je “utrwalić”?

    “A jak udowodnisz smsa, którego skasowałeś?”
    Nie kasuję SMSów.

  11. Mieszkam w DE. Nasz Postbank w Niemczech posiada autoryzacje wyłącznie przez aplikacje a autoryzacja na innym urządzeniu wymaga wysyłki kodu w wersji papierowej. I to jest rozwiązanie Polskiego problemu.

  12. Która sieć wspiera przekazywanie sms-ów?

  13. To ktory polski operator pozwala na przekierowania SMS-ow? Mialem nr u wszystkich MNO i u zadnego subkod 16 nie dzialal. No a usluga SMS na email dawno zostala wycofana.

    Za to warto byscie przyjrzeli sie Orange Flex gdzie wystarczy sam login i haslo do konta by wyrobic duplikat SIM-a i to dzialajacy rownolegle do glownej karty SIM – bez zadnej autoryzacji ani powiadomienia!

    • Odnośnie Orange – mało tego! Mając tylko login i hasło (brak autoryzacji SMS-em), można poznać PESEL i numer dowodu użytkownika numeru.

  14. Tymczasem w mBanku (m na poczatku nazwy nieprzypadkowe)…

    Zainstalowalem apke na drugim telefonie, kilka dni pouzywalem, az w koncu chcialem zaplacic Blikiem na stronie bynajmniej nie podejrzanej. Platnosc nieudana. Po chwili apka rozparowana z kontem i SMS o nieudanym logowaniu i zablokowaniu kanalu internet (nie mobile) i mLinii. WTF mysle? Na szczescie udalo sie zalogowac z drugiej (chronologicznie pierwszej) apki i tam uaktywnic internet i mLinie. Proces pierwszego logowania do netu z nadawaniem hasla i customowego identyfikatora, nadanie hasla do mLinii i dzialalo z powrotem. Ale to nie koniec.

    Dwa dni pozniej z rana powiadomienia, ze moje zlecenia stale sie nie wykonaly z powodu braku srodkow. Pierwsza mysl: ktos mnie jednak okradl. Loguje sie, srodki sa, wiec ocb? Pisze na czacie, odpowiadaja, ze mam blokade kont (zadne z powiadomien o tym nie mowilo) ze wzgledow bezpieczenstwa. Trzeba dzwonic na mLinie by odblokowali, latwiejsze polaczenie z apki nie wystarczy i kieruja do IVR by podac telekod (ten co go ustawialem przy odblokowywaniu), potem rozmowa z konsultantem, odpowiedz na standardowe pytania i konta odblokowane. Konsultant jako przyczyne podal fakt korzystania z wiecej niz jednej instancji aplikacji, choc mBank dopuszcza chyba piec.

    System antyfraudowy glupi, a komunikacja w zaden sposob nie koresponduje z aktualna sytuacja, klienta wprowadzajac w blad, a nawet straszac brakiem srodkow gdy one sa. Pelna profeska.

    • Mam bardzo podobne doświadczenia z podpięciem drugiej instancji aplikacji w mBanku. Aktywowałem ją na zapasowym telefonie jako backup w razie awarii. Proces przebiegł poprawnie, aż do momentu gdy chciałem zapłacić – wtedy nagle dostałem blokadę konta, wszystkich aplikacji i konieczność odkręcania sytuacji na infolinii.

      Co gorsze, początkowo konsultant uparcie wciskał mi informację, że moje urządzenie z pewnością jest zainfekowane, nie dopuszczając możliwości wystąpienia blokady po podpięciu drugiej aplikacji. Dopiero któryś w kolei konsultant potwierdził, że jedyną przyczyną blokady była druga aplikacja.

      mBank ma też inną ciekawą przypadłość w aplikacji mobilnej. Niektóre powiadomienia autoryzacyjne, nie wiedzieć czemu mają przycięte numery kont bankowych, tak jakby ograniczali liczbę znaków żeby się zmieściły w SMSie. Wstawiają np. tylko 4 pierwsze i 4 ostatnie cyfry numeru konta.

    • “mBank ma też inną ciekawą przypadłość w aplikacji mobilnej. Niektóre powiadomienia autoryzacyjne, nie wiedzieć czemu mają przycięte numery kont bankowych, tak jakby ograniczali liczbę znaków żeby się zmieściły w SMSie. Wstawiają np. tylko 4 pierwsze i 4 ostatnie cyfry numeru konta.”
      O ile dobrze pamiętam, to SMS-y od zawsze tak działały (miały przycięte nr-y kont).
      Natomiast w powiadomieniach autoryzacyjnych w apce czegoś takiego nie ma, gdyż informacje o autoryzowanych operacjach są o wiele bardziej szczegółowe, niż w SMS-ach.

    • @Tarpan
      Ostatnio zdechł mi telefon i takie problemy nie wystąpiły po aktywacji apki na innym. Może dlatego, że jedną z pierwszych rzeczy jakie zostały zrobione po aktywacji, było odpięcie tego pierwszego telefonu przez serwis transakcyjny (www).

  15. Ja wolę SMSy. Bo potwierdzenie w aplikacji to kupa roboty. Trzeba przełączyć telefon z 2G na LTE, włączyć transmisję danych, wejść do aplikacji… Upierdliwe, dużo klikania i zajmuje dużo czasu.

  16. Witam

    Mam takie same pytanie co STUKOT.

    Proszę o rzetelną odp. na to pytanie co pozwoliło by mi podjąć decyzję dot. ww. tematu.

    Jacek

    • W ogólności: infolinia lub wizyta w placówce. Natomiast konto w dużej mierze i tak pozostsje niedostępne, bo na wyrobienie duplikatu SIM do potwierdzania kodami SMS trzeba parę dni czekać (ze względów bezpieczeństwa operatorzy już chyba nie wydają SIMek “od ręki”). Inna sprawa: często zdarza się Panu zgubić/zniszczyć telefon? W szczególności: wiele zależy od konkretnego banku. Jeżeli przeglądarka jest dodana do zaufanych, to nie trzeba autoryzować logowania, chociaż w praktyce nie należałoby wtedy aktualizować przeglądarki, bo większość banków zapamiętuje wersję, chociaż niektóre banki implementują to inaczej – jak kiedyś miałem kartę w citi, to robili autoryzację jakoś inaczej i nie musiałem dodawać przeglądarki jako zaufanej po każdej jej aktualizacji. W Pekao z kolei od dawna jest jakiś bug i jak loguję się z “jednorazowym dostępem”, to nie pyta ani o autoryzację sms ani w aplikacji ;D jakiś bank w przypadku braku możliwości akceptacji pushem pozwalał też na rollback do smsów, ale nie pamiętam który i nie wiem czy dalej to umożliwia. Pozdrawiam

    • Brak dostępu do telefonu i banku to żaden problem, bo ostatecznie masz stacjonarne placówki w których “załatwisz sprawę”, wybierzesz kasę itd. Ale weź strać telefon z dostępem do googla, na którym masz uwierzytelnianie dwuskładnikowe i nie masz kodu…

    • @anonimowy, @Alojzy

      Nie chodzi tyle o częstość utraty telefonu, a o rodzaj sytuacji w jakiej to następuje. “Nieszczęścia chodzą parami” – na ogół utrata telefonu następuje w sytuacji stresującej czy ekstremalnej z innych względów – wypadek własny, wypadek w rodzinie, akcja ratunkowa, pościg lub ucieczka, obsługa awarii itd. Jeśli ktoś ma mało takich sytuacji w życiu – fajnie, gratuluję. Możesz mieć wszystko na jednym urządzeniu, bo jest Twoim oczkiem w głowie, cyberimplantem w Twoim życiu. Jeśli natomiast ktoś, jak ja i naprawdę wiele osób pracujących fizycznie lub na pograniczu fizycznie-umysłowo, ma ryzykownych sytuacji pełno i rzeczywiście parę urządzeń utracił – chce ograniczać możliwość szybkiego zwiększenia kłopotów, które zawsze następuje gdy tracisz dostęp do pieniędzy. Co to tego że są placówki – no są. Ale jak jesteś na jakimś uboczu (szukałem kulturalnej nazwy) z dala od miast i placówek, to Cię to nie ratuje. Nawet nie masz jak do tego miasta wrócić bo paliwo za które masz zapłacić, ani zadzwonić do szwagra żeby ci pomógł. Wszystkie możliwości tracisz naraz.

      Trudniej stracić telefon “budowlany” bo raz że nie jest taki atrakcyjny do kradzieży, dwa że nie jest delikatny, a trzy że nawet i pływające modele istnieją. Poza tym w przypadku zniszczenia (nie kradzieży ani utopienia) można przełożyć simkę do innego aparatu i iść naprzód.

      A w miastowym modelu ryzyka z kolei dobrze jest mieć do apek bankowych smartfon możliwie dobrej klasy – wysoki OS, dobre biometrie, obsługa szybkiego przesyłu danych itp.

      Dochodzi do tego temat, jakie dany bank ma procedury przepięcia metody autoryzacji. Placówka – tu się zgadzam jest to bezpieczne. Ale np infolinia? Potencjalny backdoor dla socjotechniki. Chciałbym zawczasu, przed awarią, wiedzieć jak wygląda procedura w przypadku utraty urządzenia w różnych bankach, żeby jak mówi @Jacek, móc podjąć świadomą decyzję. Problem w tym, że publiczna procedura może stanowić zachętę do jej nadużywania przez oszustów. No ale tak to jest w tym naszym świecie nie-bezpieczników, zawsze to poszukiwanie wąskiej sensownej ścieżki w ograniczeniach triady CIA.

      Przypadki graniczne są najlepsze <3

    • “pościg lub ucieczka”
      Nie wiem czy chcę wiedzieć czym się zajmujesz na co dzień, skoro uczestniczysz w pościgach lub ucieczkach:D

  17. Aplikacja adresuje ryzyko?! A po polsku już nie można było tego napisać?

  18. Hardcorzy z rootem w telefonie nie mają takich dylematów.

    • Dlaczego? Mam telefon z LineageOS i mam normalnie aplikację iPKO (banku PKO S.A.). Jedynie nie pozwala na płatności zbliżeniowe, jednak mam zamiast tego naklejkę ze zbliżakiem na telefonie.

      Specjalnie wybrałem model telefonu pod LineageOS (kupiłem używany), m.in. dlatego, że chcę korzystać z wolnego oprogramowania.

    • “Jedynie nie pozwala na płatności zbliżeniowe”
      Była instalowana przez inną apkę niż sklep google?

  19. Wszystko super, ale z PeoPay jest jeden problem – aplikacja do działania potrzebuje całkiem sporo danych mobilnych i ma dość krótki czas na ich uzyskanie, dlatego jeśli korzystacie z niej w miejscu o słabym sygnale “internetu”to nie da rady ona nic załadować ani autoryzować, bo będzie ładować w nieskończoność, a potem “timeout”.
    Sam cierpię z tego powodu, mimo mieszkania w centrum sporego miasta, ale w starej dzielnicy. SMS’y autoryzacyjne docierają, ale PeoPay nie daje rady załadować czego trzeba…

    • Ja przestałam używać autoryzacji mobilnej, bo kilka krotnie autoryzacja się nie powiodła z powodu słabego internetu. Ale to nie było takie oczywiste, bo najpierw było wszystko ok, niby na zielono, ale jednak przelew nie przechodził, co się okazywalo później. Kilka niemiłych rozmów było, a dopiero za piątym razem podali możliwą przyczynę. Co się nerwów najadłam to moje. Jestem bardzo na nie z autoryzacja mobilną.

  20. Niebezpieczniczku, najpierw piszecie, że aplikacja uniemożliwia nagrywanie czy zapisywanie ekranu a potem jej printscreeny wrzucacie, zgrywusy;)

    • Ta opcja z reguły jest w apkach konfigurowalna (przełącznik on/off).

  21. mBank nie daje powiadomień do kont walutowych, tylko do konta PLN.

    Nie reagują też kompletnie na zgłoszenia od użytkowników odnośnie błędów i braków funkcjonalności. Brak tych powiadomień to istotna luka bezpieczeństwa.

    Liczę, że chociaż przez Wasz kanał dotrze do nich ta informacja.

    • Ba, jest lepiej. Jak placisz karta z funkcja wielowalutowa za granica to kasa schodzi z konta walutowego, a powiadomienie dostajesz w PLN. I potwierdzam, na to zgloszenie tez nie zareagowali.

    • Mam w mBanku ustawione powiadomienia sms do rachunku w euro. Sprawdź jeszcze raz albo zadzwoń na mLinię.

    • PS
      Moim zdaniem najważniejsze są powiadomienia o udanym logowaniu. Kiedy je otrzymasz i to nie Ty jesteś tą osobą, która się loguje …. Dopiero po chwili przyjdą kolejne powiadomienia.

      Jakie błędy masz na myśli?

    • Dają powiadomienia do kont walutowych. Tyle że ustawianie powiadomień jest dość skomplikowane (ale precyzyjne – osobno każde konto, osobno sms/email itp) i można sobie wyłączyć / nie ustawić.

  22. Nikt nie zwrócił uwagi na fejkowy numer konta w długim screenshocie. To prawie jak echo date w stopce:)

    • Może nikt nie zwrócił uwagi dlatego, że nr konta jest jak najbardziej poprawny (suma kontrolna się zgadza).

  23. Ja akurat mam IKO, a tam ostatnio wprowadzili możliwość autoryzowania dzwoniących pracowników infolinii przez apkę. Więc potwierdzanie w aplikacji all the way.

  24. Trafiłem na ten kanał bo robią ciekawe testy antywirusów. Przy okazji znalazłem analizę trojana bankowego SharkBot. Zaskoczyło mnie to, że po tym jak użytkownik przyzna mu wszystkie uprawnienia, jest w stanie samodzielnie zlecić przelew na zaprogramowany rachunek bankowy. Do tego potrafi oszukać biometrię behawioralną.
    Android Malware: SharkBot
    https://www.youtube.com/watch?v=BvhJuJrA8b8

  25. Pominęliście jedną istotną sprawę – dostęp do internetu. W miejscach z mniej rozbudowaną infrastruktura SMS jest pewniejszy, że dojdzie niż połączenie z internetem

  26. Czy Niebezpiecznik nie obawia się, że z konta, którego numer jest widoczny na jednym z zrzutów ekranu, nie zaczną znikać środki? Istnieje przecież taka słabo w Polsce znana usługa polecenia zapłaty. O ile da się odzyskać niepoprawnie pobrane środki, to trzeba sobie zadać pytanie czy potrzebny jest ten dreszczyk emocji?
    Polecenie zapłaty samo w sobie nie jest czymś złym, tylko trzeba mieć świadomość tego jak to działa i nie rozdawać swojego nr konta na prawo i lewo.

    • Chyba o białej liście rachunków nie słyszałeś. W Polsce nr konta można publikować wszędzie, bo do aktywacji polecenia zapłaty potrzebna jest zgodność podpisu ze wzorem, albo w nielicznych bankach autoryzacja elektroniczna.

  27. Czy warto zainstalować aplikację mobilną swojego banku?
    Moim zdaniem nie warto:
    1) Z bankowości lepiej korzystać w spokoju – dom ewentualnie praca są najlepszym miejscem, aplikacja kusi aby z niej korzystać kiedy inne rzeczy mogą nas rozpraszać.
    2) Na laptopie wszystko jest większe więc łatwiej zweryfikować poprawność danych.
    3) Aplikacja mobilna powoduje, że cyberprzestępca ma więcej możliwości aby nas zaatakować. Mało kto dezaktywuje bankowość internetową bo zaczął korzystać z mobilnej.
    4) Zainstalować aplikację mobilną tylko po to aby mieć możliwość autoryzacji transakcji w bankowości internetowej poprzez autoryzację mobilną?
    No właśnie, czy najnowsze trojany bankowe przypadkiem nie radzą sobie równie dobrze z kodami sms jak i z autoryzacją mobilną? –  patrz SharkBot z jednego z komentarzy.
    Jeśli chodzi o autoryzację transakcji w bankowości internetowej to lepszym pomysłem wydaje się aplikacja tylko do autoryzacji transakcji i niczego innego (taka jak np. mBank Token). A jeszcze lepszym pomysłem są chyba kody sms wysyłane na proste telefony, na których nie można instalować aplikacji.
    5) Jeśli już korzystać z aplikacji mobilnej to trzeba ustawić limity przelewów, których cyberprzestępca nie będzie mógł łatwo podnieść (polecam https://niebezpiecznik.pl/post/autoryzacja-mobilna-aplikacja-bank-przelewy/ ) co chyba nie w każdym banku jest możliwe.
    6) Argument o szybszym połączeniu z infolinią mnie nie przekonuje ponieważ użycie telekodu to tylko kilkanaście sekund, a kiedy się dzwoni z aplikacji w ważnej sprawie to i tak trzeba podać wybrane cyfry telekodu. Jest mowa o tym w jeden z komentarzy.
    7) Moim zdaniem najbezpieczniejszy sposób aby korzystać z bankowości to Chromebook (włączony zaraz przed skorzystaniem z bankowości). Chrome OS można postawić na starym laptopie bo ma niewielkie wymagania.

  28. Czyli nadal najbezpieczniejsze jest inteligo bo używa kart kodów by potwierdzić przelewy.

  29. Banki coraz bardziej przymuszają do instalowania aplikacji, natomiast aby ją zainstalować trzeba mieć konto Google lub Apple.
    Nie chcę żyć w świecie w którym aby wykonać podstawowe czynności jak przelew oficjalnie potrzebna jest zgoda na regulamin tych gigantów oraz posiadanie urządzenia na którym mamy ich usługi działające z podwyższonymi uprawnieniami.
    Dlatego nawet gdyby taka aplikacja zapewniała całkowite bezpieczeństwo, też nie zainstalowałbym jej, aby nie tworzyć cichego zezwolenia na duopol gigantów stojących między obywatelem a większością cyfrowego życia.

    • @Dawid

      O, to też dobry argument. Outsource’owanie ryzyka przez bank na urządzenie klienta wiąże się z przymuszeniem klienta do zawarcia umowy ze stroną trzecią, podlegającą pod jurysdykcję z innego obszaru gospodarczego.

    • Aplikacje ze sklepu Google można pobierać nie mając konta, potrzebny jest Aurora Store który jest nieoficjalną nakładką na googlowy sklepik Wiem, że GSF i tak dalej, no ale sam wymóg posiadania konta do pobierania aplikacji jest do obejścia. ;)

    • @Marcinek
      Otóż to.
      Zatem zgodnie z powiedzeniem “nie rób czegoś, co już zostało zrobione przez kogoś innego”, nie będę (się) powtarzał:D

  30. Zacznijmy od tego że aplikacje mobilne banku nie są aplikacjami banku tylko zwykle sklepu na literkę G…… Żaden bank nie umożliwia weryfikacji czy aplikacja ściągnięta z g…ównianego sklepu jest faktycznie aplikacją tego banku i czy nie została zmodyfikowana.

    Tak więc aplikację warto zainstalować żeby bank mógł w sytuacji podbramkowej wypiąć się na was bo może spokojnie powiedzieć że wasza aplikacja została zhakowana. Nie udowodnicie że wasza aplikacja jest autentyczna, bo nikt nie wie jaka ma być autentyczna aplikacja banku, a bank nie upublicznia informacji o podpisie swojej apki.

    Z drugiej strony używanie aplikacji jest niebezpieczne bo zachęca banki do obcinania funkcjonalności systemu transakcyjnego – no bo jest apka. Jeśli uważasz że apka jest bezproblemowa – to zainstaluj sobie tą samą apkę np. na laptopie, razem z AOSP, a laptop niech nawet będzie wyposażony w TPM żeby było bezpieczniej. Powodzenia.
    Tak więc jeśli lubisz być uzależnionym, to apka ci pomoże przykuć się bardziej do monopolu.

    Nawet sam pomysł żeby mieć osobne źródło autoryzacji od sprzętu do wykonwywania transakcji (sms + laptop) jest dużo bezpieczniejszy niż cała kasa w jednym urządzeniu.

  31. @Tarpan
    ” bo do aktywacji polecenia zapłaty potrzebna jest zgodność podpisu ze wzorem, albo w nielicznych bankach autoryzacja elektroniczna.”

    Masz nieaktualne dane. Od jakiegoś czasu każdy może ci obciążyć konto w drodze PZ bez wcześniejszej zgody. Owszem, niektóre (np. Alior) banki pozwalają to blokować.

  32. Witaam wszystkich. Prosze wybaczyc brak polskiej czcionki. Mam starszy telefon – Android 10 z aktualizacja zabezpieczen z 1 marca 2022. Czy w takiej sytuacji bezpiecznym bedzie instalowanie na nim aplikacji banku? Z gory dziekuje za odpowiedz. Pozdrawiam!

  33. Jestem bardzo rozczarowany tym, że Niebezpiecznik cenzuruje komentarze. Dwa wpisy zawierające informacje o webinarium CSIRT KNF oraz banku Morgan Stanley zostały zablokowane. To bardzo negatywnie wpływa na wiarygodność serwisu ponieważ w interesie czytelników był dostęp do tych informacji. W szczególności dostęp do Informacji o możliwościach trojanów bankowych zawarta w webinarium CSIRT KNF.

  34. Warto? Ja nie mam wyboru, bo bank wymusza akceptację przelewów za pomocą aplikacji. Na kod SMS już się nie da.

  35. Ja mówię aplikacjom bankowym NIE! Jest jakiś światowy spisek, polegający na tym, że rzekomy “właściciel” smartfona… ma na nim najmniej do powiedzenia i względem producenta telefonu, producenta OS, operatora, producenta apki jest UBEZWŁASNOWOLNIONY i ma mniej od nich do powiedzenia na rzekomo jego telefonie! Do obsługi operacji bankowych mam osobną kartę sim i stary telefon nie będący smartfonem. Na osoby podpinające karty płatnicze i wszystko co się da na smartfona patrzę jak na wariatów (podobnie jak na tych, którzy używają “menadżerów haseł” tak reklamowanych – z obserwacji znajomych widzę, że zawsze to prędzej czy później kończy się utratą bazy danych haseł w jakiś sposób i kończą ze znajomością tylko tego hasła, które do niczego im się już nie przyda…), bo ze wszystkich urządzeń (stary telefon nie będący smartfonem, PC itp.) najłatwiej włamać się na smartfona i smartfon dodatkowo jest największym kapusiem na każdego użytkownika… Chciałbym k… wiedzieć, dlaczego nie mogę zmienić tematu (wystrój GUI) na smartfonie bez zgody na dostęp do moich kontaktów, SMS itp.? Dlaczego 90% apek nie działa bez rejestracji telefonu w gugle czy podobnej agencji wywiadu? Dlatego oczywiście mam wygląd “fabryczny” i zamienniki apek a telefonu nie mam zarejestrowanego ani w gugle ani podobnych agencjach wywiadu (szajsunga czy kogo tam jeszcze) i wolę apki z “niepewnych” źródeł… Dodatkowym bonusem jest to, że ponieważ nie mam “customer ID” z powodu braku rejestracji, nie wyświetla się 99.9% reklam i wk… “powiadomień”. :)

    • “(podobnie jak na tych, którzy używają “menadżerów haseł” tak reklamowanych – z obserwacji znajomych widzę, że zawsze to prędzej czy później kończy się utratą bazy danych haseł w jakiś sposób i kończą ze znajomością tylko tego hasła, które do niczego im się już nie przyda…)”
      Używam menedżera haseł od kilkunastu lat i jak do tej pory nie straciłem pliku (mam więcej niż jedną kopię) z bazą danych haseł.

      “Dlaczego 90% apek nie działa bez rejestracji telefonu w gugle czy podobnej agencji wywiadu?”
      Mi działają wszystkie bez podpiętego konta google. To chyba jakaś magia…

  36. Jako bezpiecznik patrze na to tak:
    PC plus SMS – 2fa, gdzie najslabszym pkt jest SMS.
    Smartphone + Apka – to jest praktycznie 1fa – takze duzo duzo slabej. Dlaczego tak?
    W przypadku PC i SMS – przestepca musi przejac kontorle nad 2 urzadzeniami czy tez kanalem SMS.
    W przypadku Apki – jesli przejal kontrole nad telefonem – ma dostep do konta.

    PS. Dlaczego nie ma apek bankowych na PC? ;-)

    • @Bartek

      Widzę to podobnie i chętnie bym się dowiedział o modelach użycia apki, bo na przykład użycie jej typowo do kodów autoryzacji, gdy loguję się na innym urządzeniu, byłoby dla mnie w miarę ok, jeśli inne możliwości byłyby zablokowane. Tyle że wolałbym w takiej sytuacji przeznaczyć osobne urządzenie na taki niby token sprzętowy (jeden telefon tylko do apek). Ale nie chcę na ten “smart token” wydać pół pensji żeby był bezpieczny. Czyli chciałbym przeczytać techniczne instrukcje apek zanim będę ich używał. No i ****.

    • “W przypadku Apki – jesli przejal kontrole nad telefonem – ma dostep do konta.”
      A kod blokady ekranu i hasło do apki?;>

  37. Najlepiej byłoby mieć możliwość potrójnej autoryzacji, dodatkowo np. zdrapka (oczywiście tylko dla chętnych).
    Kodów sms można używać ze starego telefonu klawiszowego, który wogóle nie ma internetu.
    Z kolej apkę można zainstalować na drugim smartfonie, który do niczego innego nie służy (i cały czas jest w domu).
    Ale najlepszym rozwiązaniem byłaby możliwość włączenia opóźnienia (np. 3-dniowego) transakcji na duże sumy (np. powyżej 3000 zł). Z opcją jego wyłączenia też po 3 dniach. A w razie natychmiastowej potrzeby dostęp do większych sum byłby tylko osobisty w oddziale banku (gdzie można użyć dowodu z biometrią, itp).

  38. Ja popieram różne akcje edukacyjne nawet Pekao, ale prosiłbym, żeby ten bank:
    * przy otwieraniu konta z aplikacji nie ustawiał na dzieńdobry autoryzacji przez SMS
    * nawet jak ustawi, to żeby nie pobierał za SMS autoryzacyjny pieniędzy
    * nie wymagał wizyty w oddziale (godzina kolejki) żeby tam skserowali dowód osobisty, który się skanowało przy otwieraniu; a bez tego skserowania konto jest niepełnosprawne
    * i żeby niekoniecznie stosowali w apce PIN 4 cyfry tylko dłuższy.

  39. A może akapit: “dlaczego banki wolą by klient miał aplikację?” Bezinteresownie / w trosce o klienta? – Nie uwierzę.
    Albo zwiększają bezpieczeństwo (mniej ilość reklamacji i nadużyć) albo… no właśnie. Może łatwiej klienta naciągnąć na kredycik, bo na telefonie trudniej przeczytać regulamin i tabelę opłat? Może mniej kosztuje hurtowy transfer danych niż wysyłka SMS-a?

    A może coś o hasłach papierowych? Na karteczce nie wyskakuje co się potwierdza, ale kartka nie może mieć rootkitów.

    Co w przypadku hardkorów używających Nokii 3310? Przemawia do mnie to, że na 3310 nigdy nie użyłem loginu i hasła do banku oraz że jedna aplikacja nie służy jednocześnie do potwierdzania i inicjowania płatności.

    > (…) uniemożliwia nagrywanie ekranu i robienie jego zrzutów
    Użytkownik nie może zrobić, ale czy zabezpiecza to przed złośliwym softem?

    • To oczywiście zależy jak apka jest napisana ;) możliwość przejścia w tryb “nie można robić screenshotów” jest na androidzie dostępna od czasów starożytnych, na iOS pewnie też – więc jeżeli apka z tego trybu korzysta (a powinna), to screenshota nie zrobi ani użytkownik ręcznie ani żadna aplikacja do nagrywania ekranu automatycznie. Sytuacja pewnie wygląda trochę gorzej jak ktoś ma zrootowany/zjailbreakowany telefon – w takiej sytuacji jest niewskazane, żeby z niego korzystać zarówno do autoryzacji mobilnej jak i SMS… dla kompletności artykułu taka rekomendacja powinna się znaleźć

  40. Wydaje mi się, że dla kompletności artykułu należałoby trochę zwrócić honor argumentowi “wszystko jest na jednym urządzeniu” – jeżeli w ramach ataku socjotechnicznego zainstalujemy TeamViewera czy coś podobnego, to pozamiatane. Oczywiście, jeżeli daliśmy się złapać na atak, to prawdopodobnie podamy również kod SMS… co nie zmienia faktu, że musimy dla złodzieja wykonać jeden krok więcej, który w przypadku mobilki nie jest konieczny.

  41. Ludzie nie zdają sobie sprawy instalując aplikacje bankową że…

    – aplikacja jest permanentnie zalogowana do banku w permanentnie podłączonym do internetu urządzeniu. Wtedy kiedy śpisz też.
    – otwierają sobie jeszcze jedne “drzwi” do swojego banku. Drzwi, które trzeba regularnie sprawdzać czy są domknięte.

    No i to jest najlepsze: jak zgubisz telefon albo go ukradną to przecież wystarczy TYLKO usunąć go z zaufanych…
    Dopiero jak to się stanie to TYLKO zamienia się w AŻ, a potem przychodzi gonitwa myśli “co ja tam jeszcze miałem zainstalowane…”

    Telefon lepiej używać do telefonowania :D

  42. No właśnie. Prosiłbym jeszcze Państwa z Niebezpiecznika o ocenę poziomu bezpieczeństwa zestawu bankowy serwis www + autoryzacja sms na numer w starym aparacie bez internetu (używanym tylko jako token) vs. bezpieczeństwo apki z autoryzacją push.

    • Telefon z intenetem czy bez nie ma znaczenia.
      Wektor ataku to SIM Swapping (wyłudzenie karty SIM).

    • czezz
      Przemyślałem sprawę i myślę, że to może mieć znaczenie. Wszystko zależy od procedur w danym banku i u danego operatora telekomunikacyjnego.
      Do uzyskania duplikatu karty i przejęcia kontroli nad kodami sms wystarczy podrobiony dowód, a do zainstalowania aplikacji są potrzebne dane z dowodu plus w niektórych bankach nazwisko panieńskie matki czy fragment numeru karty. Nowy telefon z aplikacją zwiększa szansę na wykrycie przez system antyfraudowy banku.
      Atak z duplikatem karty sim można również wykonać poprzez procedurę resetu hasła – banki mają różne regulacje w tym zakresie. W jednych otrzymamy tymczasowe hasło w wiadomości sms, w innych potrzebujemy kod sms + wiadomość email (email to dodatkowe utrudnienie).
      Normalna aplikacja bankowa to dodatkowe ryzyka ponieważ sama w sobie wystarczy do wykonania przelewu. Aplikacja tylko do autoryzacji mobilnej, która tylko zastępuje kody sms, raczej nie wiąże się z nowymi ryzykami.

    • No ale to nie jest takie proste. Muszą mieć mój login i hasło do serwisu bankowego plus skojarzony z nim numer telefonu (którego nigdzie nie podaję i używam tylko do autoryzacji sms). No i jeszcze do tego zeswapować kartę u operatora, gdzie trzeba fizycznie przyjść do punktu i pokazać DO.

    • @czezz
      U normalnego operatora przy wymianie karty SIM przychodzi na starą kartę (przynajmniej 3 razy) powiadomienie że trwa wymiana karty, wraz z informacją jak ją anulować.

    • Najlepiej poczytać o prawdziwych historiach:

      https://niebezpiecznik.pl/tag/sim-swap-fraud/

      Józef Kruk w czasie, gdy był u rehabilitanta, stracił z konta 1,1 mln zł. To samo może przydarzyć się tobie
      https://wyborcza.biz/biznes/7,147582,24369036,jozef-kruk-kiedy-byl-u-rehabilitanta-stracil-z-konta-1-1-mln.html

      Oszuści zdobyli duplikat karty SIM i 400 tys. zł zniknęło z konta bankowego mieszkanki Krakowa
      https://gazetakrakowska.pl/oszusci-zdobyli-duplikat-karty-sim-i-400-tys-zl-zniknelo-z-konta-bankowego-mieszkanki-krakowa-280220/ar/c1-14818806

      Wyłudzenia kart SIM. Kto i gdzie może wyrobić duplikat karty w polskich sieciach?
      https://businessinsider.com.pl/technologie/jak-wyrobic-duplikat-karty-sim-ile-kosztuje-wymiana-karty-u-operatora/hllnrlf

    • Cześć
      @gitower,
      Jeżeli “apka z autoryzacją push” = “Aplikacja TYLKO do autoryzacji mobilnej” (dlaczego tylko do mobilnej???), to jest to dobre rozwiązanie (który bank w PL coś takiego oferuje?) pod warunkiem,
      że jest ona zainstalowana na telefonie, który służy tylko do tego.
      Aplikacja autoryzacyjna zainstalowana na tym samym urządzeniu co aplikacja bankowa to proszenie się o kłopoty.

      @adddda
      Błąd.
      Twój nr. tel może wypłynąć np. od samego operatora / ze sklepu operatora.

      @FD
      Nigdy nie mówiłem, że nie ;)
      Gorzej jeśli tel jest akurat wyłączony.

    • Z jednej strony SIM swapping staje się trudniejszy, bo telecomy wprowadzają procedury celem zmniejszenia ryzyka. Przykład – jak musiałem wymienić kartę SIM, to na poprzednią poszedł SMS, że zostanie zablokowana a samą kartę dostałem po paru dniach i nie dało rady tego przyspieszyć; więc aż tak nie demonizowałbym tego wektora ataku. Z drugiej z kolei, co napisano w artykule, SMS ma ograniczoną pojemność i może* zawierać mniej szczegółów dotyczących operacji niż push (* może, ale to pewnie zależy od banku). Być może niektóre banki oferują możliwość korzystania z aplikacji mobilnej tylko do autoryzacji (poustawianie wszystkich limitów mobilnych na zero).

  43. “lepiej, co do zasady, wybierać biometrie twarzy niż palca”
    He? Chyba odwrotnie, skoro sami później napisaliście, że można odblokować ze zdjęcia.

  44. Akurat z poziomu aplikacji PeoPay nie da się zablokować karty. Przy wyborze opcji zastrzeż kartę pojawiają się tylko numery telefonów pod które należy zadzwonić aby to uczynić. Po zadzwonieniu usłyszymy komunikat, że wszyscy konsultanci są w tej chwili zajęci i żeby spróbować później. Skandaliczne.

  45. Fajnie, że Pekao promuje swoją aplikację, ale szkoda, że ich ekran logowania w przeglądarce jest niezbyt wygodny. W jaki wygodny sposób mam użyć menedżera haseł (tak polecanego przez zespół Niebezpiecznika), skoro hasło jest maskowane? Skłania to do ustawienia krótkiego i prostego hasła, które łatwo zapamiętam. Słabo.

  46. Otwartoźródłowy Linusek – nie. Otwartoźródłowe papierowe hasła jednorazowe – nie. Otwartoźródłowy email do wysyłania haseł jednorazowych -nie. Lepsze są rozwiązania o zamkniętej architekturze, uzależnianie się od oligopolu operatorów mobilnych, i wymieniać smartfon po 2 latach bo tak bardzo zależy nam aby ślad węglowy był jak najmniejszy.

  47. Nie lubię apek przez ich zapędy na śledzenie wszystkiego, a śledzeie to profilowanieni stajesz się simsem dla banku w ich usługach. Z drugiej strony zastanów się, czy Twój operator komórkowy nie śledzi treści Twoich SMS i nie profiluje Cię na potęgę nie wiadomo co dalej robiąc z tymi danymi, czy handlując Tobą jak towarem do płatnych kampanii partnerów, czy agregując po coś – przeciez dałeś/aś zgodę na profilowanie za rabat 5 zł na abonamecie, co? :). Profiluje począwszy od SMS do autoryzacji przelewów lub płatności w necie z podaną w SMS kwotą w treści, przez ilość SMS z takimi aktywnościami dziennie, po dzienne lub online alerty SMS o saldach kont, kredytów lub kart kredytowych etc. Osobiście wybrałem mniejsze zło i oddałem dane bankowi, bo i tak je już ma. Przesadzam powiecie, ale czy na pewno?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: