14/11/2023
Antyspoofing to nowa, niesamowicie istotna pod kątem bezpieczeństwa funkcja, która niebawem pojawi się w nowej wersji “Moje ING” czyli aplikacji mobilnej ING. Ale to nie koniec zmian — nowa wersja aplikacji od ING będzie też miała lepiej wyeksponowane komunikaty dotyczące cyberbezpieczeństwa i szereg innych ulepszeń.
ING zmienił swoją apkę mobilną. Koniec z charakterystycznymi kółeczkami (które, jak się okazuje, symbolizowały łapę lwa) na ekranie startowym. Teraz będzie sobie można samemu skomponować zestaw najbardziej przydatnych funkcji dostępnych jeszcze przed zalogowaniem. Bank w najnowszej wersji aplikacji mobilnej stawia na użyteczność, czytelność i — co nas najbardziej cieszy — bezpieczeństwo.
Bezpieczeństwo już podczas logowania
Komunikaty związane z cyberbezpieczeństwem będą teraz lepiej widoczne już na ekranie logowania. A skoro jesteśmy przy logowaniu, to przypomnijmy, że aplikacja Moje ING obsługuje klucze U2F, co jest ewenementem w polskiej branż bankowości mobilnej.
Tym, którym zależy na najwyższym bezpieczeństwie polecamy nabyć i skonfigurować swój klucz U2F. Aplikacja Moje ING obsługuje zarówno klucze działające zbliżeniowo, jak i te, które podpina się do smartfona przez port USB lub Lightning.
Aby aktywować obsługę klucza U2F w Moim ING, należy ze swoim kluczem udać się do najbliższej placówki banku. Po weryfikacji tożsamości i dodaniu pierwszego klucza w oddziale, kolejne klucze można już dodawać samodzielnie. O tym dlaczego warto podpiąć klucz U2F pod najważniejsze dla siebie serwisy (nie tylko bankowość) dowiesz się z tego krótkiego filmiku.
Weryfikacja behawioralna
Klienci Moje ING mają możliwość włączenia dodatkowej ochrony przed oszustami. Po aktywowaniu funkcji “weryfikacji behawioralnej”, bank uczy się zachowań klienta i rozpoznaje go nie tylko po loginie i haśle czy kluczu U2F, ale także poprzez to, jak klient korzysta z aplikacji. Sprawdzane jest to, czy klient używa tych samych funkcji aplikacji co zwykle, łączy się z bankiem w typowych dla siebie godzinach i z typowych dla siebie miejsc. Jeśli bank wykryje, że sposób bankowanie użytkownika odbiega od normy, to może poprosić o dodatkową weryfikację wykonywanych w ramach tej sesji operacji. Aby mieć pewność, że to na pewno ten konkretny użytkownik jest po drugiej stronie ekranu.
Takie wykrywanie anomalii jest w stanie uratować konto klienta nawet, jeśli ten złapie się na phishing i odda złodziejowi wszystkie potrzebne do zalogowania się na jego kont dane lub w przypadku, kiedy ktoś przejmie odblokowanego smartfona klienta i uzyska dostęp do aplikacji mobilnej zgadując PIN lub dodając do przejętego smartfona własną twarz albo palec.
To, co szczególnie polubią Czytelnicy Niebezpiecznika, to sposób w jaki ING zaimplementowało ten “fingerprinting” użytkownika. Bank położył nacisk na ochronę prywatności, a więc unikatowe dla danego klienta cechy przetrzymywane są w formie skrótu, który — nawet jeśli ktoś nieautoryzowany uzyska do niego dostęp — nie pozwoli na odczytanie i odtworzenie charakterystycznych zachowań klienta. Więcej o weryfikacji behawioralnej w ING i tym jak ją włączyć przeczytasz w tym artykule.
Antyspoofing
O telefonach od fałszywych pracowników banku ostrzegamy od kilku lat. Przestępcy stojący za tymi atakami są naprawdę sprytni i coraz to nowszymi sztuczkami próbują przekonać rozmówcę, że faktycznie dzwonią z jego banku.
Dzięki funkcji Antyspoofingu, użytkownicy ING będą mieli możliwość weryfikacji, czy faktycznie w danej chwili dzwoni do nich ktoś z banku. Jeśli aplikacja nie potwierdzi, że bank dzwoni w tej chwili do klienta, będzie jasne, że to rozmowa z oszustem.
Skąd wziąć nową wersją aplikacji ING?
Jeśli już korzystacie z aplikacji mobilnej ING w wersji 4.11.0 (Android) lub 4.10.0 (iOS), to nie musicie niczego instalować. Aplikacja sama zaktualizuje się Wam do najnowszej wersji.
Jeśli macie starsze wersja aplikacji lub jesteście klientami ING, którzy z aplikacji jeszcze nie korzsytają, to najnowszą wersją aplikacji pobierzecie ze sklepu Google Play lub App Store.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
developrzey ING w dalszym ciągu nie nauczyli się poprawnie obsługiwać języka aplikacji.
Przy systemie iOS w wersji EN i ustawieniu aplikacji na PL (w Ustawienia/Moje ING) – język w aplikacji jest w zasadzie mixem z przewagą angielskiego. Dość idiotycznie to wygląda. Na pewno jak niedoróbka.
Można stwierdzić, że Ty w dalszym ciągu nie nauczyłeś się zgłaszać właściwą drogą problemów z aplikacją.
Skąd pewność, że nie zgłosił?
Ja zgłosiłem i póki co, nie widzę efektów.
A co ma developer do tego że ktoś z biznesu tokenów nie potłumaczył?
@Niebezpiecznik dlaczego nic nie napisaliście na temat tego, że nowy wygląd Mojego ING to również brak wsparcia dla menedżerów haseł ?
Przy starym wyglądzie dało się skonfigurować menedżer tak żeby uzupełniał wybrane znaki. Obecnie chyba żaden menedżer haseł sobie z tym nie radzi i nie da się nic uzupełniać, login muszę albo wpisać z ręki albo kopiuj / wklej a jeśli chodzi o hasło to muszę je jawnym tekstem wyświetlić na ekranie i liczyć znaki. Dobrze, że chociaż Bitwarden potrafi numerować znaki w haśle. Ale tak czy inaczej zamiast bezpiecznego automatycznego uzupełnienia to teraz ręcznie trzeba wszystko wpisywać. Zmniejsza to bezpieczeństwo pod tym względem, że menedżer haseł nie uzupełni hasła na złej stronie. A tutaj jak musimy to robić ręcznie to jest większa szansa na pomyłkę :(
Jak tak chcą dbać o bezpieczeństwo to dlaczego ING utrudnia korzystanie z menedżerów haseł ?
No i dlaczego ciągle nie pozwalają wyłączyć maskowanego hasła ?
KeePassXC nadal działa poprawnie po zmianach, wystarczy odpowiednio skonfigurować
właśnie tak czytam artykuł i się zastanawiam, czy by się nie przenieść. I po Twoim komentarzu przypomniałem sobie, dlaczego mimo wsparcia dla U2F-ów odrzuciłem kiedyś ten bank właśnie przez maskowane hasła
+1, również tego nie rozumiem i też boleśnie przyjąłem tę zmianę.
Już samo maskowane hasło w 2023 roku to skandal, zwłaszcza, że w Bankowości Korporacyjnej już dawno to wyłączyli… Wstydził bym się firmować na miejscu Niebezpiecznika ten bank swoją marką… Ale widać pieniądz nie śmierdzi….
Jak przestał mi działać menadżer haseł, to szlag mnie trafił. Widać, że zrobiono to celowo… Po co?
@Kuba: jak skonfigurować? U mnie na nowej stronie logowania nie działa, pole do wpisywania pierwszego znaku hasła traci focus przy przełączeniu na okienko KeePassXC do wyboru znaków.
@Redakcja: ten artykuł wygląda na sponsorowany. Czy moglibyście przy okazji zapytać ludzi ds. bezpieczeństwa, którzy tę reklamę przygotowali, o te nieszczęsne hasła maskowane w ING, które nie mają nic wspólnego z bezpieczeństwem?
Menadzer hasel w aplikacji bankowej. I to jeszcze na komoreczki-zabaweczki. Dobre. Chocby programisci pisali w czystym assemblerze to i tak nie naprawia tepoty typowego Kowalskiego.
{USERNAME}{ENTER}{DELAY 500}{SPLIT}{TAB}+{TAB}{PICKCHARS:Password:C=5}{ENTER}
Mowa o Bankowości Internetowej, nie o aplikacji.
Zenek, można i bez splita którego trzeba doinstalować. O ile z menedżera korzysta się tylko do wprowadzenia hasła ( ja tak robię i traktuje to jako dodatkowy element zabezpieczajacy). Wystarczy na haśle {TAB}+{TAB}{PICKCHARS} Osobiście po Jaśle nie stosuje entera bo zdarza się że hasło wprowadzone zostanie w zle pole i enterem wysłane dalej.
Prywatność w aplikacji bankowej na telefonie to oksymoron. Tak samo aplikacja w Androidzie i prywatność to też oksymoron. Dopiero takie serwery jak Pi hole pokazują ile danych apki usiłują wysłać w internet, a to tylko serwer DNS! Dlatego nie, nie mam żadnych aplikacji bankowych. Podobnie działają wszystkie inne aplikacje i urządzenia IoT. Bramka, której celem jest wyłącznie włączanie i wyłączaniу światła od “strugaczy mebli” usiłuje wysyłać informacje diagnostyczne na serwery Amazona.
Mała zmiana w podpinaniu kluczy U2F. Teraz bank wymaga potwierdzenia każdego klucza w placówce. Osobno dla aplikacji mobilnej i web.
Bank wymaga aktywacji w placowce wylacznie pierwszego klucza. Kazdy kolejny aktywujesz samodzielnie w Moim ING, potwierdzajac wczesniej aktywnym kluczem. Jedynie w sytuacji gdy pozniej usuniesz wszystkie klucze, wtedy znow musisz sie udac do placowki.
Czy to jest artykuł sponsorowany?
> Aby aktywować obsługę klucza U2F w Moim ING, należy ze swoim kluczem udać się do najbliższej placówki banku. Po weryfikacji tożsamości i dodaniu pierwszego klucza w oddziale, kolejne klucze można już dodawać samodzielnie.
Nie jestem pewien… ja najpierw dodalem dwa klucze, potem w oddziale nie musialem już ich pokazywać (jedynie podpis cyfrowy), a Pani na końcu powiedziała, że każdy klucz trzeba potwierdzić w oddziale. Ale może coś się zmieniło, nie wiem.
Bank wymaga aktywacji w placowce wylacznie pierwszego klucza. Kazdy kolejny aktywujesz samodzielnie w Moim ING, potwierdzajac wczesniej aktywnym kluczem. Jedynie w sytuacji gdy pozniej usuniesz wszystkie klucze, wtedy znow musisz sie udac do placowki.
Ja akurat używam Bitwardena i na ten moment nie udało mi się go w żaden sposób zmusić do uzupełniania hasła.
Tylko czy tak to powinno wyglądać ? Na każdej stronie bez problemu można hasło uzupełnić a tu albo się nie da albo jeśli działa w KeePassXC to trzeba się bawić w odpowiednią konfiguracje :(
Wcześniej użytkownicy ostrzegali, że autoryzacja U2F potrzebna jest przy np. płatności blikiem w Żabce. Czy ktoś tego faktycznie używa i mógłby napisać jak się sprawuje w praktyce?
Generalnie ustawienie klucza U2F do aplikacji wymaga przyłożenie klucza do wszystkiego. Jeśli coś wymaga zalogowania, a z tego co pamiętam to w ING generowanie BLIK wymaga zalogowania to potrzeba klucza U2F.
Ale ja osobiście zostawiłem klucz tylko przez www. Nie noszę kluczy przy sobie cały czas, a dla mnie klucz ma chronić przed zalogowanie na OBCYM urządzeniu. W moim scenariuszu użycia nie ma sensu potwierdzać każdego uruchomienia aplikacji kluczem. W końcu ktoś musi ukraść telefon, odblokować telefon, odblokować aplikacje ING, a później żeby wykonać np przelew to to jeszcze odpowiednio autoryzować. Więc przykładanie klucza wydaje mi się zbędne.
Zwłaszcza, że kradzież tel raczej łatwo zauważyć i szybko się zgłosi utratę + ING w moim wypadku to tylko awaryjny bank i więcej niż kilka stówek tam nie trzymam.
Klucz U2F warty więcej niż saldo :X
Na prawdę szkoda, że nie da się ustawić tak by klucz był wymagany przy AKTYWACJI aplikacji, a później już nie. Jest wybór albo zawsze albo nigdy co jest bez sensu.
No i najważniejsze, kiedy inne banki ruszą tyłki i U2F dodadzą ? I jak to jest, że niektóre banki typu PEKAO i Citi w 2023 nie oferują ZADNEJ weryfikacji dwuetapowej ? Tylko raz chyba na 90 dni poproszą o kod z sms…
A może by tak ING zajęło się naprawieniem “błędu wykonania transakcji (D)” podczas logowania do aplikacji mobilnej iOS przy użyciu klucza U2F? Problem ten zaczął się po przejściu na iOS 17 (data premiery wersji stabilnej 18.09.2023, nie mówiąc już o betach), a do tej pory nie są w stanie tego poprawić. Logowanie wychodzi raz na kilkadziesiąt prób.
Dodatkowo, gdy to się pojawia, to w nowej wersji aplikacji, po ponownej próbie zalogowania, dopiero pojawia się błąd z pierwszej próby i trzeba zrobić kilka kliknięć dodatkowo.
Na infolinii rekomendują wolne przesuwanie klucza ku górze. Faktycznie, u mnie poprawia to wtedy skuteczność logowania z 0 do 20%. Szkoda, bo wygląda trochę na falstart z obsługą kluczy, niemniej dobrze, że to wdrożyli.
Niby bank obsługuje klucze U2F, ale nie wszystkie. Klucze Onlykey nie są akceptowane (komunikat błędu “Urządzenie nie wspiera FIDO2” nie jest prawdziwy). Błąd zgłoszony ponad 3 miesiące temu, w odpowiedzi cisza…
Zasada jest prosta. Bank akceptuje wylacznie klucze posiadajace aktywny certyfikat FIDO2.
No, to certyfikat w tych kluczach jest: https://onlykey.io/blogs/news/onlykey-achieves-fido2-certification
Niestety nie dzieje sie w tym temacie za wiele, bo wiele innych kluczy ktore wspieraja FIDO2 tez nie dziala. Uzywam klucza authenton w specyfikacji FIDO 2 2.1 wiec najnowszej a i tak ING jest jedyna usluga ktora krzyczy ze nie zgodny.
Byleby nie zatrudniali gangsterów, którzy zwykle rozumieją piąte przez dziesiąte z tego co się do nich mówi lub pisze, to może nie będzie tragedii.
Tacy zaawansowani są a ciemnego motywu jak nie było tak nie ma.
Ikonki na głównej malutkie, dla starszych osób bezużyteczne.
Ale wielkimi literami “dzień dobry +(imie) +(“śmieszny” emot)” wyświetlić na ekranie startowym potrafią. Faktycznie to podstawowa funkcja apki bankowej.
Może i aplikacja ma jakieś nowe pozycje bezpieczna, ale konfiguracja skrótów ma zbędne funkcje i po wywaleniu ich ma się pół ekranu niczego. Po za tym funkcja widoku przed zalogowaniem ile się ma się środków na koncie jest strasznie bezpieczna. Podczas uruchamiania w tłumie lub osoby postronne mające dostęp do telefonu przynajmniej będzie wiedza kto ma za dużo kasy.
O ING coś zmieniło odnośnie kluczy U2F.
Jak tylko dodali obsługę kluczy U2F to aktywowałem je i dla www i dla aplikacji.
Następnie usunąłem wszystkie klucze dla aplikacji i wszystko mi normalnie działało bez kluczy, nawet jak reinstalowałem aplikacje to bez klucza się aktywowało.
A dzisiaj zresetowałem tel do ustawień fabrycznych i przy ponownej aktywacji aplikacji ING musiałem użyć klucza który usunąłem kilka miesięcy temu :O A później aplikacja wymagała go przy każdym logowaniu więc ponownie musiałem je usunąć.
Nie powiem, jest to super jeśli chodzi o bezpieczeństwo. Na czymś takim mi zależało, że na nowym tel trzeba ponownie użyć klucza. Ale z drugiej strony łatwo stracić dostęp do konta, bo chyba nikt się nie spodziewa, że bank poprosi o użycie klucza usuniętego kilka miesięcy temu.
Teraz nwm czy jest to błąd czy o co chodzi, już wysłałem zapytanie do ING. Bo gdybym nie miał usuniętego klucza przy sobie musiałbym dzwonić na infolinię go usuwać :O
Nie kojarzę, żeby gdziekolwiek byłą informacja, że do ponownej aktywacji aplikacji trzeba używać klucz który się USUNĘŁO.
Miałem do tej pory na swoim koncie tylko klucze dla kanału WWW, a po reinstalacji aplikacji przywróciły się klucze dla kanału aplikacji mobilnej które dodałem na samym początku (po czym wszystkie usunąłem)
UX do końcowego odcinka przewodu pokarmowego.
Web: w starej wersji mogłem stylusem wyCSSować sobie te durne obrazki na ekranie logowania, co więcej ustawiłem sobie niebieskie tło. Można się śmiać, ale raz uchroniło mnie to niejako przed phishingiem (linka do płatności dostałem mailem i zbiegł się w czasie z jakąś płatnością którą miałem zrobić). Lampkę ostrzegawczą od razu zapaliła “normalna” strona logowania. A teraz? Powodzenia, pół ekranu to osobny shadow DOM z jakimiś mordami którego na ten moment Stylus nie dotknie ;]
Mobile: jedyne do czego potrzebuję aplikacji to generowanie kodów BLIK i okazjonalne sprawdzenie salda. Nie potrzebuję analizy wydatków, sald kont PRZED zalogowaniem, odświeżonego wyglądu, dokumentów i paragonów w aplikacji, weryfikacji behawioralnej. Zapłaciłbym chętne za apkę “ing light” z tylko tymi funkcjonalnościami.
No i supermegabezpieczne 2fa przy potwierdzaniu przelewów. w apce. bo nie można jak człowiek przepisać kodu z sms, nie, apkie kurła pioter, raz potwierdź palcem innym razem przepisz kod a teraz podaj pin.
Fantastycznie też robi się przelewy na PIT, VAT i ZUS co miesiąc. To nic że co miesiąc robię przelewy na te same konta, tytuły też niebardzo się zmieniają. Nie – trzeba potwierdzić ;]
Kiepsko widzę działanie aplikacji z trzech podstawowych powodów:
1.
Aplikacja bankowe zawsze posiadają rożne błędy, im wiecej treści w tych appkach, tym więcej kłopotów.
2.
Użytkownicy też często są niekompatybilni z bankowością internetową, co widać w powyższych komentarzach.
3.
Na kontach komercyjnych (99% wszystkich), banki ciągle wrzucają jakieś reklamy, np pożyczki świątecznej, szkolnej, wakacyjnej, mikołajkowej i andrzejkowej.
Do tego pakują do tych aplikacji co się da, otwierają nie wiadomo po co drugi rachunek oszczędnościowy i czasem podkradają do niego po 5 zeta na każdej operacji.
i np mają w jednym banku appkę, gdzie było więcej reklam niż treści, taka appka była dla mnie zbyt wkurzająca, żeby ją używać.
Co prawda gdzieś głęboko w ustawieniach była możliwość wyłączenia zgody na treści reklamowe, ale potem appka przeszłą aktualizację automatyczną, i sobie te zgody ustawiła na wartości domyślne.
Fobie marketingowców w korpo skutecznie utrudniają korzystanie z bankowości.
Pozdro
Devowie chyba kodzą pod wpływem. Klucz U2F w mobilce jest wymagany przy KAŻDYM logowaniu nawet jeśli ich odstęp to 30s…
Jaja jak berety.
Nienawidzę “weryfikacji behawioralnej”. Google w ten sposób odciął mnie od jednego konta, bo miałem czelność zalogować się w czasie zagranicznej wycieczki. Nie miałem ustawionego nic poza loginem i hasłem (wtedy g*** jeszcze na to pozwalał), więc googiel kazał mi podać numer telefonu… którego oczywiście nigdy wcześniej nie podawałem. Niby skąd miałem go wyczarować?
Dla mnie to oznacza tylko tyle, że w dowolnym momencie usługodawca może mnie odciąć od usługi, bo cośtam robię inaczej niż zwykle. Bo zmieniam przyzwyczajenia. Bo coś usprawniam. Sorry, nie jestem robotem.