Bezpieczeństwo internetowych kont bankowych

Korzystasz z dostępu do konta przez internet? Sprawdź, czy twój bank dobrze zabezpiecza pieniądze

Z internetowego dostępu do pieniędzy korzysta - według różnych danych - od 4 do 7,5 mln Polaków. To przynajmniej co piąty z 18 mln posiadaczy kont osobistych! Wabikiem do wirtualnych kont są rosnące ceny "tradycyjnych" usług bankowych (średnia opłata za przelew zlecany w oddziale wzrosła w ostatnim roku z 3,12 do 3,45 zł, podczas gdy za internetowy płacimy średnio tylko 50 gr) i długie kolejki do okienek, które w największych bankach są na porządku dziennym. Sprawdzanie salda i zlecanie przelewów przez internet jest po prostu o niebo wygodniejsze.

Kłopot w tym, że wraz z popularnością bankowości elektronicznej rośnie też liczba przestępców-amatorów naszych pieniędzy. Z szacunków policji wynika, że rocznie ofiarami internetowych oszustów pada ok. 1,5-2 tys. klientów banków. Straty banków i klientów można szacować na kilka-kilkanaście milionów złotych.

Fałszywe e-maile "z banku" z prośbą o podanie haseł, wirusy przekierowujące użytkownika na fałszywe strony WWW, programy "szpiegujące" klawiaturę i wychwytujące cyfry, które wpisujemy przy logowaniu - to tylko niektóre sposoby hakerów. W takich sytuacjach nie pomaga nawet to, że dane wysyłane bankowi przez klienta są zawsze szyfrowane.

W sieci licho nie śpi

Kilka dni temu w ręce Policji wpadł 27-letni mieszkaniec Gdańska, który w czerwcu ukradł elbląskiej firmie 635 tys. zł. Zainfekował jej komputer złośliwym programem, tzw. koniem trojańskim, w ten sposób poznał login i hasło do konta, a potem wyczyścił je, przelewając pieniądze na kilka innych rachunków. Niedawno "Gazeta" opisywała przypadek klienta PKO BP, któremu ktoś zainstalował w komputerze tzw. key-loggera, czyli program zdalnie odczytujący wpisywane na klawiaturze hasła.

Banki nie zawsze uwzględniają reklamacje okradzionych w sieci klientów. - Za pilnowanie haseł odpowiada posiadacz konta - argumentują. Nawet, jeśli klientowi w końcu uda się udowodnić, że dochował ostrożności, i odzyskać pieniądze, to nie od razu. Procedura reklamacyjna trwa kilka lub kilkanaście tygodni, a niektóre banki zamrażają wypłatę nawet na kilka miesięcy - do czasu umorzenia śledztwa.

A przecież instytucje finansowe same nie są bez winy. Nie wszystkie równie dobrze zabezpieczają pieniądze klientów przed hakerami. Do niedawna ulubionym celem ataków internetowych złodziei byli klienci Citibanku i BPH. Tam dostęp do konta był zabezpieczony tylko dwoma łatwymi do wykradnięcia hasłami. W ostatnich miesiącach oba banki znacznie wzmocniły "zasieki".

Eksperci zgodnie radzą: najlepiej dmuchać na zimne i już zakładając konto z dostępem przez internet, sprawdzić, jakie zabezpieczenia internetowe stosuje bank.

O co zapytają przy logowaniu

"Gazeta", wspólnie z portalem finansowym Bankier.pl, sprawdziła, które banki mają najlepszy system zabezpieczeń przed hakerami. Wzięliśmy pod uwagę to, w jaki sposób bank sprawdza nas, gdy logujemy się do konta, jak są autoryzowane poszczególne przelewy i jakie zabezpieczenia stosuje, gdy zlecamy przelew przez telefon.

Najwyższe noty dostały te banki, które stosują jednocześnie kilka zabezpieczeń. Najlepiej, jeśli niektóre z nich są oparte na zmiennych hasłach, a nie jednym, stałym.

Okazało się, że najlepsze zabezpieczenia kont w sieci mają Nordea, ING Bank Śląski oraz BPH. Bardzo bezpieczni mogą się też czuć klienci Lukasa, BZWBK, a także działającego tylko w sieci Volkswagen Banku. Na drugiej szali jest grecki Polbank, który stosuje zdecydowanie najsłabsze zabezpieczenia.

W najbezpieczniejszych bankach, by się zalogować, nie podaje się tylko stałych loginów i haseł, które złodziej mógłby zdalnie przechwycić. W ING i BPH podaje się tylko niektóre cyfry z hasła, w Fortisie trzeba dodatkowo "pokazać" bankowi specjalny plik, którego lokalizację zna tylko posiadacz konta, a w Nordei i Volkswagenie hasło za każdym razem jest inne - pochodzi ze specjalnej listy lub kieszonkowego generatora haseł - tokena.

Logowanie za pomocą tokena stosuje też kilka innych banków - m.in. BZWBK, BGŻ, Lukas i BOŚ - ale jest to opcjonalne zabezpieczenie, za które często trzeba dodatkowo płacić - klient ma do wyboru też zwykłe hasła.

Przelew tylko z hasłem...

Hasła stosowane przy wchodzeniu na konto to nie wszystko. Każdy bank sprawdzi nas też przy wykonywaniu przelewu lub definiowaniu numeru rachunku, na który w przyszłości będziemy przekazywali pieniądze. Najbardziej liberalny jest Polbank - tu wystarczy podać tylko dodatkowe hasło (niestety, za każdym razem takie samo, co znakomicie ułatwia zadanie złodziejom-podglądaczom). W Kredyt Banku mają dość wyszukany system, ale też oparty o stałe hasła: trzeba podać dwie cyfry z numeru PESEL lub dowodu osobistego, dwie losowe cyfry z dodatkowego hasła i dwa losowe znaki graficzne z bazy wcześniej podanej przez bank.

Najpopularniejszym zabezpieczeniem są hasła jednorazowe z listy przesyłanej przez bank. To dość bezpieczna metoda - hasło przy każdej transakcji się zmienia. Ale wystarczy, że ktoś podpatrzy przypadkowo jedno z niewykorzystanych haseł i nieszczęście gotowe.

Niektóre banki - jak BISE, PKO BP czy Getin - dodatkowo zasłaniają niewykorzystane hasła (karty kodów przypominają wtedy zdrapki) lub proszą o podawanie haseł losowo, a nie po kolei (wówczas podpatrzenie jednego przypadkowego hasła nie otwiera bramy do sejfu), a np. Millennium prosi o podanie tylko niektórych cyferek.

...lub z tokenem i certyfikatem

Banki coraz częściej rezygnują z list haseł na rzecz bezpieczniejszych kodów SMS-owych. Klient z zarejestrowanego wcześniej numeru telefonu wysyła do banku SMS-a z prośbą o kod i tą samą drogą otrzymuje hasło ważne tylko dla jednej transakcji. Hasła SMS-owe zamiast papierowych wprowadziły m.in. Citibank, BZWBK, mBank i Multibank.

Jeszcze bezpieczniejsze są tokeny. Generowane przez te urządzenia hasła nie są ważne do pierwszego ich użycia (jak w przypadku haseł z papierowych list czy SMS-ów), ale tylko przez krótki czas, np. 30 sekund. Złodziej, nawet jeśli jakimś cudem pozna hasło, raczej nie zdąży zrobić z niego użytku. Tokeny przy autoryzacji przelewów stosują m.in. BZWBK, Nordea i BGŻ.

Ale uwaga: w niektórych bankach zarówno hasła SMS-owe, jak i tokeny nie są obowiązkowe - klient sam decyduje, czy korzystać z nich, czy z tradycyjnych haseł jednorazowych.

Najlepsze zestawy zabezpieczeń transakcji przez internet mają ING Śląski oraz BPH. W dwóch pierwszych bankach trzeba nie tylko podać kod SMS-owy, ale i "pokazać" bankowi zainstalowany w komputerze certyfikat (tzw. klucz prywatny).

Halo, czy to złodziej?

Stosunkowo najmniej zabezpieczeń banki stosują dla klientów, którzy zlecają przelewy przez telefon. Czy banki liczą na to, że złodziei odstraszy fakt nagrywania wszystkich rozmów z operatorami?

Kontaktując się z bankiem przez telefon, najbezpieczniej możemy czuć się w Deutsche Banku (trzeba podać aż dwa hasła jednorazowe) i Nordei (tu wymagane jest hasło jednorazowe - z karty lub tokena).

W części banków (m.in. mBanku, Multibanku, Polbanku, Lukasie, BGŻ czy Kredyt Banku) pytają o identyfikator i kilka cyfr z dodatkowego hasła telefonicznego. Pozostałe banki ograniczają się do stosunkowo mało bezpiecznego zestawu - dwóch stałych haseł.

Jak banki bronią nas przed hakerami? Najpopularniejsze zabezpieczenia - od najmniej bezpiecznych do najlepszych.