• 31 October 2020
 PSD2 kontra zagrożenia w sieci

Wraz ze wzrostem jakości i ilości zabezpieczeń nakładanych przez banki, rośnie kreatywność oszustów, próbujących wyłudzić dane osobowe konsumentów. Dyrektywa PSD2 (Payment Services Directive) przyniosła ze sobą nie tylko nadzieję na zwiększenie bezpieczeństwa transakcji internetowych, ale również niewytłumaczalne wiadomości, nakłaniające do dokonywania wpłat.

Czym jest dyrektywa PSD2?

W skrócie są to zmiany dotyczące usług płatniczych, które każdy bank w Polsce wprowadził u siebie od września 2019 roku. Mają one zwiększyć bezpieczeństwo konsumentów poprzez wprowadzenie podwójnej weryfikacji tożsamości. Klient, między innymi przy logowaniu się do swojego konta, będzie musiał podać co najmniej dwie z trzech informacji:

– coś, co wie wyłącznie klient (np. PIN)

– coś, co posiada wyłącznie klient (np. telefon)

– coś, co charakteryzuje klienta (np. system rozpoznawania twarzy)

Jakie niebezpieczeństwa za sobą niesie?

Chociaż w powyżej przedstawionym procesie weryfikacji, nasze dane i konto bankowe wydają się w 100% bezpieczne, praktyka nie do końca tak wygląda.

 „Wydawać by się mogło, że takie zabezpieczenia są nie do złamania od strony technicznej. Niestety jak mawiał Kevin Mitnick „znacznie łatwiej jest hakować ludzi niż technologie”, co oznacza, że mimo wielopoziomowego zabezpieczenia udaje się zhakować człowieka. Dlatego też odnotowuje się ataki na użytkowników bankowości, którzy ulegając odpowiedniemu „zmanipulowaniu”, pozwalają obejść także SCA (stosowanie silnego uwierzytelniania). W związku z tym kluczowe jest, aby budować świadomość zagrożeń wśród klientów bankowości oraz innych platform elektronicznych. W Polsce wiele banków stawia na edukację w zakresie bezpieczeństwa, w tym m.in. Idea Bank”  – mówi rzecznik prasowy Idea Banku.

Jeżeli zabezpieczenia konta bankowego opierają się na posiadaniu urządzenia oraz wprowadzeniu kodu PIN, z początku wydają się one wystarczające. Jednak jeżeli większość osób z wygody, ustawi  np. swój telefon jako urządzenie zaufane, będzie już ono weryfikowane automatycznie. W tym przypadku, jeżeli złodziej znajdzie się w posiadaniu zaufanego telefonu, pozostaje mu do złamania jedynie PIN.

Oszuści znaleźli jednak sposób na pokonanie owych zabezpieczeń, nawet bez posiadania zaufanego urządzenia. Poprzez duplikowanie kart SIM, przejmują numery telefonów, SMSy weryfikacyjne oraz wszelkie hasła dostarczane na urządzenie z bliźniaczą kartą. Chociaż prawo wciąż walczy z takimi przewinieniami, np. poprzez wprowadzenie ustawy o dokumentach publicznych, która zabrania tworzenia duplikatów, technika podwójnej karty sim wciąż jest stosowana.

W jaki sposób zostają wykradane nasze hasła?

FAŁSZYWE SMSY I MAILE

Bardzo częstym sposobem, używanym przez oszustów jest phishing. Polega on na próbie wyłudzenia danych uwierzytelniających np. loginu i hasła poprzez podszycie się pod zaufaną osobę. Przykładem może być wysłanie na telefon użytkownika SMSa, zawierającego informację o niedopłaconej przesyłce pocztowej, która nie będzie w stanie dostać się w posiadanie odbiorcy, jeżeli ten nie zrealizuje dopłaty. Niektórzy oszuści rozsyłają takie smsy, kierując się bazami danych, które wykradli ze sklepów. Mają przez to pewność, że ofiara rzeczywiście na paczkę czeka.

Warto jednak zauważyć, że nadawca fałszywej wiadomości często nie wie tak naprawdę, czy adresat zamawiał przesyłkę. Żeby zwiększyć takie prawdopodobieństwo, bez wykradania bazy danych, złodzieje działają np. w okresie świątecznym, kiedy ludzie są bardziej skłonni do zamawiania paczek online.

W wiadomościach znajduje się również link, pozornie przekierowujący na stronę banku, jest ona jednak trochę inaczej zaadresowana albo różni się detalami. Są to takie szczegóły, że klienci często nie zwracają na nie uwagi i nie rozpoznają strony jako „niebezpiecznej”. Użytkownicy wpisują wtedy dane, potrzebne do zalogowania się na konto bankowe i w ten sposób ujawniają oszustowi poufne dane.

Bywa tak, że SMSy nie dotyczą tylko tak błahej rzeczy jak dopłata do przesyłki pocztowej, ale informują np. o wycieku gazu w okolicy miejsca zamieszkania użytkownika i nawołują o wpłacenie niemałych już sum pieniężnych, żeby wyimaginowany wyciek zatamować. W tej sytuacji, jeżeli osoba będzie akurat poza domem, może to wywołać w niej na tyle duży lęk, że natychmiast przeleje wymaganą kwotę. Oszuści nie tylko otrzymają wtedy dane użytkownika, ale również spory zastrzyk gotówki.

Oprócz fałszywych SMSów spotkać się można z fałszywymi mailami, które najczęściej zapewniają o przyszłym, pewnym bogactwie, leżącym w zasięgu ręki adresata. Spotykane są również informacje o spadkach, które niezwłocznie należy odebrać. A wszystkie te, pełne błędów stylistycznych i pozbawione logiki, maile zawsze pochodzą od osób o nieprzekonująco brzmiących nazwiskach, często zagranicznych.

Najlepiej takie wiadomości albo po prostu zignorować, albo skontaktować się bezpośrednio z placówką odpowiedzialną np. za naszą przesyłkę. Najgorsze co możemy zrobić to impulsywnie przesyłać żądane kwoty czy odpowiadać na maile czy SMSy.

SZANTAŻ E-MAILOWY

Również spotykanym sposobem zdobywania danych użytkowników jest szantaż mailowy. Najczęściej dotyczy on rzekomego posiadania kompromitujących nagrań odbiorcy, czy informacji dotyczących oglądania stron pornograficznych. W praktyce, podobnie jak z SMSami, taki mail został wysłany do miliona osób, a szantażyści nie są w posiadaniu żadnych nagrań oraz nie mają dowodów na to, że konkretna osoba wchodziła na takie a nie inne strony.

Oszuści domagają się zapłaty najczęściej internetową walutą – bitcoinami. Podobnie jak w przypadku phishingu adresaci są tutaj zupełnie przypadkowi. Szantażystom wystarczą jedynie osoby, które rzeczywiście się wystraszą i będą skłonni zapłacić „okup”.

Jeżeli na twojej skrzynce pojawi się taka wiadomość, najlepiej ją po prostu zignorować. Absolutnie odradza się wpadania w panikę i odpisywania takim osobom – potwierdza to tylko aktualność i prawdziwość twojej skrzynki pocztowej, więc w przyszłości możesz się liczyć z większą ilością takich właśnie maili.

Aleksandra