12:37
15/2/2017

Banki są instytucjami, które mają wyznaczać standardy bezpieczeństwa i pilnować, aby każdy się do nich stosował. Dlatego zrozumiałe jest, że edukują swoich klientów w zakresie bezpiecznego korzystania z bankowości internetowej. Warto wziąć sobie do serca tę edukację, bo jak do bankowych zaleceń się nie zastosujecie, to banki was skarcą, np. odrzuconą reklamacją, zwłaszcza jeśli sytuacja dotyczyła kradzieży środków podczas składania dyspozycji przelewu przez internet z zainfekowanego komputera klienta, a klient — gapa — nie dochował należytej staranności i nie zorientował się, że w SMS-ie z kodem potwierdzającym transakcję, numer rachunku lub kwota były inne.

mBank wprowadza mobilną autoryzację przelewów

mBank wprowadził niedawno usługę “mobilnej autoryzacji” transakcji. Jeden z naszych czytelników zwrócił nam uwagę na filmik promujący tę usługę. Filmik, który — miejmy nadzieje, przypadkowo — niestety zachęca klientów mBanku do niewłaściwego postępowania, które może ich narazić na straty.

Zanim jednak przejdziemy do opisu wpadki mBanku, małe przypomnienie:

Podstawowy błąd w bankowości internetowej

O tym jak krytyczne w przypadku infekcji złośliwym oprogramowaniem jest sprawdzanie, czy w treści SMS-a z banku numer rachunku i kwota transakcji są takie, jak na fakturze, którą opłacamy, pisaliśmy nie raz (por. 6 rad jak bezpiecznie wykonywać przelewy).

Złośliwe oprogramowanie po zainfekowaniu naszego komputera podmienia numer rachunku dopiero “za przeglądarką”, kiedy zlecenie przelewu wędruje do serwera bankowego. A więc tej podmiany nie zauważymy patrząc w ekran komputera. Dlatego obserwowanie tylko tego, co jest na ekranie komputera nie wystarczy. Pomóc może jedynie kontrola tego, co pokazuje się w przychodzącym z banku SMS-ie. Tam bank jasno wskazuje ile, skąd i gdzie przelewamy. Jeśli nie zauważymy różnicy w numerach rachunków pomiędzy SMS-em a komputerem, przegraliśmy i bez dobrego prawnika nie mamy szans na odzyskanie środków od banku.

Kod SMS zawierający parametry potwierdzanej transakcji. Zwróć uwagę, że czy rachunek docelowy jest taki sam jak ten, który był widoczny na fakturze papierowej i ekranie podsumowującym przelew w przeglądarce na komputerze

Kod SMS zawierający parametry potwierdzanej transakcji. Zwróć uwagę, że czy rachunek docelowy jest taki sam jak ten, który był widoczny na fakturze papierowej i ekranie podsumowującym przelew w przeglądarce na komputerze.

Najgorsza z możliwych pomyłka mBanku

Uważny czytelnik zapewne już się domyślił, gdzie mBank popełnił błąd w swoim materiale edukacyjnym… W interaktywnym procesie autoryzacji przelewu, przez który bank przeprowadza klienta (w tym “filmie” trzeba klikać, aby zobaczyć kolejne sceny), na ekranie komputera w formatce zlecenia przelewu (zdjęcie 1) widnieje inny numer rachunku docelowego niż ten, który pojawia się w komunikacie autoryzacyjnym w aplikacji mobilnej mBanku (zdjęcie 2).

A kluczowe jest właśnie to, aby oba numery rachunku były takie same. To i przede wszystkim to ma właśnie sprawdzić klient. Filmik jaki zaprezentował mBank, w obecnej formie podkopuje więc cały sens rozwiązania jakie ma promować. You had one job, mBank, one job:

Obstawiamy, że winna jest agencja przygotowująca animacje, której pomieszała się kolejność numerów rachunków, ale trochę wstyd, że żaden z pracowników mBanku przy odbiorze projektu nie wyłapał tego błędu w tak wrażliwym miejscu. mBank nie odpowiedział nam na to kto zawinił, ale Krzysztof Olszewski, rzecznik prasowy banku, przesłał następujące oświadczenie:

[D]ziękujemy za zwrócenie uwagi – błędny ekran oczywiście zostanie poprawiony.
Zwracam uwagę, że jest to błąd w tutorialu, a nie w samej usłudze.

Na koniec, spróbujmy dostrzec w tej wpadce jakieś pozytywy. Napisaliśmy o wpadce artykuł, a teraz wy możecie przesłać go znajomym, którzy być może dzięki temu wpisowi zapamiętają i dowiedzą się dlaczego należy ZAWSZE sprawdzać numer rachunku i kwotę, która pojawia się w SMS-ie z kodem autoryzującym transakcję. Gdyby znajomi (zwłaszcza księgowe) byli spragnieni kolejnych porad dotyczących tego jak bezpiecznie korzystać z bankowości internetowej, to tutaj macie bardzo dobry, obowiązkowy poradnik.

PS. Ciekawe czy błędny filmik przyda się osobom, które pozostają w sporze z bankiem i zostały okradzione przez złośliwe oprogramowanie, a transakcję potwierdziły właśnie przez aplikację. Jeśli takie osoby istnieją, mogłyby teraz tłumaczyć się, że przecież sam bank na filmie pokazywał, że nawet jak numery rachunków się nie zgadzają, to transakcję należy zaakceptować ;)

Aktualizacja
Po przygotowaniu tego tekstu (wczoraj), a przed jego publikacją, mBank przesłał informację (dziś o 11:00), że felerny filmik został już poprawiony. Gratulujemy sprawnej reakcji!

Przeczytaj także:

44 komentarzy

Dodaj komentarz
  1. okey a powiedzcie jeszcze drogi Niebezpieczniku czy autoryzacja przez aplikacje mobilną w mbanku jest bezpieczniejsza niż kody? bo smsy można przejęć a takiej autoryzacji chyba nic nie grozi?

    • Rozważmy najgorszy scenariusz: jeśli ktoś ma dostęp do Twojego telefonu, to pozamiatane (niezależnie od tego, czy SMS, czy push).
      Jeśli ktoś nie ma dostępu do Twojego telefonu, to SMS-y można przechwycić poza urządzeniem (lub jak ktoś o to nie zadbał, odczytać mTAN z zablokowanego ekranu). Ale pusha przy dobrej implementacji nie. Wiec tu push wygrywa.
      Z tym, że push oferuje wyłącznie aplikacja mobilna, a co do zasady jeśli ktoś ceni swoją prywatność, to nie powinien instalować aplikacji mobilnych od firm (nie tylko od banków), a korzystać z ich usług np. przez przeglądarkę internetową. Masz więc drzewko decyzyjne do przejścia, aby wybrać najbezpieczniejszy dla Ciebie sposób korzystania z bankowości (na lub nie smartphonie). Paranoikom zawsze pozostaje wizyta w banku/na poczcie i druczek przelewu :)

    • Trochę nie rozumiem w wypowiedzi Piotrka powyżej:

      “a co do zasady jeśli ktoś ceni swoją prywatność, to nie powinien instalować aplikacji mobilnych od firm (nie tylko od banków), a korzystać z ich usług np. przez przeglądarkę internetową.”

      Mógłbyś napisać coś więcej w kontekście iOS?

    • @Drooith
      LOL zrobiłeś mi dzień. Prywantność na iOSach nigdy nie jest gwałcona, zapamiętaj! ;)

      @Piotr dziękuję za drzewko decyzyjne.

    • @Piotr: “jeśli ktoś ma dostęp do Twojego telefonu, to pozamiatane (niezależnie od tego, czy SMS, czy push)”. – moim zdaniem to nieprawda, żeby zatwierdzić pusha musisz zalogować się kodem (albo odciskiem palca) do aplikacji mBanku, przy SMSie nie musisz się nigdzie logować (ew. blokada ekranu). Push wygrywa

    • Nie rozumiem komentarza Piotra na temat “paranoików”. Czy to portal poświęcony bezpieczeństwu, czy nie???
      Chyba nawet na Waszej stronie znalazłem kiedyś informację o australijskich rekomendacjach dotyczących SMS:
      https://www.itnews.com.au/news/telcos-declare-sms-unsafe-for-bank-transactions-322194

    • smsy można przekierowac na email może zrobić to każdy hakier półanalfabeta dzwoniąc na linie operatora. pani w call center zapyta co najwyżej o imię matki. telefon to nie twoja własność ale operatora i może robić z nim co chce. tyle w sprawie bezpieczeństwa smsow.

    • @Krzysiu – no super, ale jakieś konkrety? Bo to samo co napisałeś dotyczy desktopów, wciąż nie rozumiem jaka jest ewidentna przewaga odpalenia czegoś na desktopie. iOS dałem jako przykład gdyż wiem jak działają tam mechanizmy zezwoleń. I zakładając że nie zezwalam na żadne cuda typu lokalizacja – gdzie jest ten ewidentny problem z prywatnością? Chodzi o to że Apple zbiera jakieś dane? A Microsoft nie zbiera na desktopie? Czy Chrome ?

    • Polecam token – w Pekao działa w ramach aplikacji na urządzenie mobilne – najpierw trzeba podać PIN w aplikacji (która przyjmuje każdy pin – nie przechowuje go), następnie jesteśmy pytani czy PIN jest poprawny (na zasadzie obrazka, który jest wyświetlany i skojarzony z naszym pinem podczas jego ustalania np. flaga Ukrainy), następnie generujemy kod – przepisując 4 ostatnie cyfry rachunku docelowego i 4 losowe liczby podane przy formularzu przelewu. No i co ważne – ta aplikacja działa offline, więc nie bardzo jest co przechwycić :)

    • Hmm, Piotr Konieczny… zachowaj ten komentarz odnośnie “jeśli ktoś ma dostęp do Twojego telefonu, to pozamiatane” na przyszłość.

      W kontekście usługi, która pewnie do końca roku pojawi się w kraju nad Wisłą. A tam będzie i mobileconnect (gsma) i push i mail – czyli to co masz w telefonie… a to wszystko bez OTP/SMS/softGEN/CRYPTO etc… i ze stałym PIN (lub bez jak nie chcesz), a pozwoli zrobić wszystko co się eusługą i wylegitymowaniem (identyfikacja mobilna) może nazywać…

      materiały dostępne w sieci…

      Sądzisz, że telefon, który stanie się Twoim mechanizmem do wylegitymowania się władzy, i jednocześnie będzie środkiem (mail + push/SMS/mobileconnect) identyfikacji i tożsamości w usługach… jest dobrym rozwiązaniem?

  2. Jest jeszcze jedna przewaga nad push. Ktoś ma dostęp do mojego telefonu to przy sms jedynym zabezpieczeniem jest blokada ekranu jeśli użytkownik taką posiada. Przy pushu z aplikacji jest także blokada ekranu ale też blokada do aplikacji. Nie odczytasz pusha i nie zatwierdzisz transakcji bez kodu (zakładamy, że jest inny niż do blokady ekranu) do aplikacji.
    Więc chyba apka jest znacznie lepsza niż kod sms. Nie biorąc pod uwagę oczywiście prywatności.

    pzdr!

    • Problem w tym, że do apki potrzebny jest smartfon, a do SMSa wystarczy cokolwiek (nawet nie musi być telefon, bo to nawet modem GSM może obsłużyć). Smartfona zaatakować znacznie łatwiej i to nie mając nawet pojęcia o jego lokalizacji. SMSa przejąć trochę trudniej. Oczywiście jeśli “ten zły” zainteresuje się akurat tobą to i tak masz przechlapane.

    • Czasem można ustawić kod blokady do wybranych aplikacji, w tym SMS (inny niż blokada ekranu). Wtedy do przejścia są 2 kody.

      Niemniej, push wydaje się bardziej wygodny dla użytkownika (zabezpieczenie wybranej aplikacji vs wszystkich SMS).

      Pozostaje jeszcze token.

    • A wiesz że napastnik może sobie w każdej chwili zmienić aplikację SMS na domyślną? I że do tego nie potrzeba żadnych haseł? Także wszystkie aplikacje do smsów w których ustawia się hasło, są z góry skazane na klęskę. Kilka kliknięć, zmieniam apkę sms i wysyłam kod ponownie.

  3. Myślę, że wirtualna maszyna z androidem za VPNem, z aplikacją mobilną :)

  4. A jak wygląda obecnie bezpieczeństwo klasycznego rozwiązania w postaci papierowej listy haseł jednorazowych (sprzętom mobilnym na Androidzie jakoś kompletnie nie ufam) ?
    Zakładając oczywiście, że lista nie leży na wierzchu na biurku (jest pod ręką, ale trzeba wiedzieć gdzie jej szukać), a na wyjeździe mam przepisany zapas kodów w pliku trzymanym w dobrze zaszyfrowanym kontenerze.

    • W przypadku papierowych haseł jednorazowych nie masz możliwości sprawdzenia numeru konta. Jeśli komputer został zainfekowany, to pozamiatane.

  5. Kto jak kto, ale banki powinny świecić przykładem jeśli idzie o bezpieczeństwo w sieci.
    Mój (eSkok Stefczyka) też lipa: do niedawna były jedynine kody jednorazowe a nie SMS, a aplikacja ciągle zachęca do zmieniania hasła.

    • Jeżeli uważasz że mBank powinien świecić przykładem to najpierw sprawdź przy logowaniu do ich serwisu transakcyjnego skąd się bierze cały tabun skryptów i cookiesów z “gemius” w nazwie. mBank nie zarabia na tym że ma bezpieczny serwis, tylko na tym że wszystkie serwisy na które wchodzisz wiedzą które zakładki mbanku otwierasz (kredyt,lokaty,karta) i docelowo pewnie ile masz na koncie.

    • @BikBrody uważam, że powinny, ale to w idealnym świecie.
      Natomiast jak jest w rzeczywistym, to właśnie piszesz.

  6. Mam pytanie , co sądzicie o płatnościach BLIK , czy jest to bezpieczne ??

    • @Mirosław, Blik jest jak najbardziej bezpieczny bo są to kody jednorazowe, które i tak musisz potwierdzić w aplikacji po tym jak podasz np: w terminalu. Chyba że masz opcję wygodną to kilka transakcji zrobisz bez podawania hasła aplikacji a jedynie przez potwierdzenie co i tak sprowadza się do tego samego xD

  7. Niebezpieczniku, czy macie jakieś statystyki tego ile jest wyłudzeń podczas przelewów internetowych? Wydaje mi się, że to jest niezwykle ważne, żeby społeczeństwo widziało skalę problemu, ponieważ sporo ludzi myśli, że co jak co, ale “mnie to nie dopadnie”. Sam ciągle paranoicznie podchodzę do bezpieczeństwa związanego z bankiem internetowym i zastanawiam się na ile jestem paranoikiem, a na ile mędrcem. Nie chodzi mi tutaj o to co faktycznie mogę zrobić dla swojego bezpieczeństwa – chodzi o moje uczucia. Chcę mieć świadomość, czy ten proceder jest powszechny, czy marginalny – po prostu.

  8. Jest jeszcze inna ciekawostka – robiąc przelew do osoby z książki adresowej kiedy na ekranie z numerem konta zechcemy go zmienić (bo np. kolega z książki ma jeszcze 2 inne konta i chcemy mu wysłać kasę na inne) – w następnym kroku numer konta docelowego zostaje podmieniony ponownie na ten z książki adresowej – bez żadnego powiadomienia…..

  9. Skoro sami autorzy tutoriala popełnili ten błąd, to powinni go już uczynić elementem szkolenia i wskazać co zrobić w takiej sytuacji.

    • Sami zostali zarażeni ;)

  10. O nie, nie, zadnych pushy! W chalupie mam sejf, w sejfie jest nokia 3310, w nokii jest karta SIM z aktywnym PINem. Do zatwierdzenia transakcji musze otworzyc sejf (1 autoryzacja), wlaczyc nokie (2 autoryzacja), wpisac kod z SMSa (3 autoryzacja). mbak dziala na vm za vpnem :-)

  11. I tak najlepsze SMS autoryzacyjne są w ING. Wiadomość zawiera tylko informacje z jakiego rachunku jest przelew, a brak gdzie pieniądze są przelewane…

  12. ” Gratulujemy sprawnej reakcji!”….no bez jaj. Jest za co gratulować, nie ma co… :/

  13. Wnioski jakie wyciągam z dyskusji nasuwają się takie. Push z aplikacji lub Sms to podobny poziom zabezpieczeń – tyle tylko że jak zwykle diabeł tkwi w szczegółach czyli indywidualnych ustawieniach użytkownika na poziomie urządzenia mobilnego. Zastanawia mnie jednak inna rzecz. Kilka razy w komentarzach pojawia się stwierdzenie o przejęciu SMS. Pomijając socjotechniki i przejęcie SMS’a poprzez przeczytanie z ekranu urządzenia autoryzującego – czy istnieją elektroniczne metody przejęcia SMS ? – czy ktoś mógłby rozwinąć ten wątek. Do dziś dnia zawsze “wydawałomisie” że to dość bezpieczny kanał. ….ale może tylko “misie” ;)

  14. A powiedzcie jeszcze, skąd opinia, że każdy powinien się stosować do standardów wyznaczanych przez banki? Ja też? I które banki?

  15. Ja polecam aby używać głowy, a konkretnie mózgu i nie robić wszystkiego co wskazują nam tutoriale. Nikt nie popełni błędu jeśli będzie przy tym myślał co aktualnie robi.

  16. Ja już się raz dałem zrobić w konia, na tego typu numer. W skrócie: robiłem przelewy za rachunki: telefon, czynsz i telewizja. Tradycyjnie kopiowałem z notatnika, a jak się okazało po telefonie z PKO BP wszystkie 3 transakcje poszły na jeden numer konta (który nigdy nie widniał w mojej historii). Generalnie już się liczyłem, że 700 zł w plecy, ale Bank mi zwrócił, więc duży plus dla niego.

    Niestety jak ludzie piszą, mało ludzi wie o skali problemu, sam staram się tłumaczyć, że należy uważać, bo niestety mnie to spotkało, ale i tak jest ciężko ze zrozumieniem innych. Do momentu aż kogoś zaboli ;)

    • Zdążyłeś przed cesją to, po prostu przelew nie poszedł w świat :D

  17. push ma tę zaletę, że przy niezrootowanym telefonie jedna aplikacja nie będzie miała dostępu do przestrzeni/pamięci drugiej aplikacji. ergo – złośliwa apka nie przechwyci pusha. A sms’a jak najbardziej – bo to w ramach standardowych uprawnień aplikacje mogą sobie zażyczyć (a jak wiadomo 99% ludzi akceptuje wszystko jak leci).

  18. Przy płatności w terminalu lub przez internet to finalnie bezpieczniejsza wydaje się karta, bo zawsze pozostaje możliwość chargeback w BLIK tego nie ma. Chargeback można zastosować nie tylko w przypadku nieautoryzowanych transakcji a również w przypadku gdy sprzedawca nie wywiązał się z umowy. BLIK tej ochrony nie daje.

  19. A czemu banki nie dadzą mi skonfigurować geolokalizacji?
    Wiem gdzie jestem więc wybieram tylko np. z dolny śląsk,
    ba wybieram zaufane ip’ki i po sprawie (a jak nie po sprawie to 99% bezpieczniej).

    • O takie bajery musisz zapytać w dobrym Banku Spółdzielczym pracującym na systemie I-Bank. Wyprzedzają komercję pod tym względem o lata świetlne. Na dolnym śląsku BS w Dzierżoniowie powinien oferować coś takiego.

  20. “Nie musisz czekać na SMS-a
    z hasłem autoryzacyjnym.
    Po zleceniu operacji w serwisie transakcyjnym, w aplikacji
    od razu pojawia się powiadomienie autoryzacyjne.

    Nie musisz przepisywać skomplikowanego
    8-cyfrowego hasła z telefonu do komputer”

    Od razu? To ciekawe bo i jednak muszę włączyć LTE/WiFi żeby odpalić mAppkę, zalogować się PINem i kliknąć Akceptuj, wylogować, wyłączyć LTE/WiFi. Niby bezpieczniej ale nie szybciej bo klikania wcale nie mniej.

    • Kto włącza / wyłącza ciągle neta w telefonie? Myślałem że bateria 4000mAh+ to już standard

  21. Do zabezpieczania krytycznych operacji są zabezpieczenia hardwarowe, np TPM (Trusted Platform Module) czy Yubikey, ale jeszcze nie widziałem banku, w którym można takie zabawki stosować, tylko te pojebane hasła smsowe czy piny.

    Poza tym ktoś wyżej pisał, że w niezrootowanym fonie jedna appka nie zajrzy do pamięci drugiej appki, ale skąd pani Zosia ma wiedzieć, że w jej fonie, który kupiła przez internet albo w sklepie jakiś dowcipniś nie dodał niespodzianki?

    95% klientów nie zauważy nawet tego, że zamiast fabrycznego Androida mają wgrany CM albo LineageOS, bo po prostu się na tym nie znają.

    Użytkownicy Iphonów też się nie zorientują, kiedy sami zainstalują backdoora z marketu, którego Apple nie zauważy, albo otworzy odpowiednio spreparowany obrazek, czy plik PDF, który coś doinstaluje przy okazji.

    Rootowanie IOS przy pomocy PDFów było już opisywane na niebezpieczniku, ciekawe, ile backdoorów do dziś działa w ten sposób.

    Żadnego OS nie trzeba specjalnie rootować, każdy prędzej czy później załapie dziurę malutką jak drzwi do stodoły, do której po chwili będą latały backdoory po całym necie,
    a producenci rzadko dają bezterminowe aktualizacje OS i regularne łatki bezpieczeństwa, nie wspominając o użytkownikach, którzy muszą umieć to instalować.

    Pozdro

  22. A co w przypadku przelewów przy których w sms-ie nie jest pokazany nr rachunku na jaki przelewamy. Chodzi o przelewy do ZUS i US. Tam tylko podają kwoty i z jakiego rachunku.
    Skąd mamy mieć pewność że przelew będzie wykonany na właściwe konto? i kto ponosi odpowiedzialność w przypadku gdy trafi taki przelew na inne konto?

  23. “Jeśli nie zauważymy różnicy w numerach rachunków pomiędzy SMS-em a komputerem, przegraliśmy i bez dobrego prawnika nie mamy szans na odzyskanie środków od banku.”

    Słabo znamy prawo bankowe, jeśli np adresat przelewu był prawidłowy to zgodnie z obowiązującym prawem weryfikacji adresata i konta bankowego ma dokonać bank a nie klient. Na tej podstawie można odzyskać naprawdę wiele środków, wystarczy znać swoje prawa.

  24. To i tak pół biedy. Ostatnio kupowałem soczewki i płaciłem mTransferem – oczywiście z mobilną autoryzacją. Wg aplikacji mobilnej płatność została potwierdzona (zaakceptowana), jednak fizycznie płatność nie przeszła! Nie ma jej na liście wykonanych operacji – jest tylko wpis w logu potwierdzeń mobilnych. Złożyłem reklamację do mBanku i czekam ich wyjaśnienia.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: