Rozmowa z Grzegorzem Jasiulewiczem, Dyrektorem Departamentu Bezpieczeństwa Elektronicznego w Alior Banku
Krzysztof Olszewski: Kiedyś bank musiał dbać o to, by ktoś nie zabrał z ich dobrze zabezpieczonego sejfu gotówki. Dziś to nie jest chyba Państwa największe zmartwienie.
Grzegorz Jasiulewicz: Dziś mamy do czynienia głównie z pieniędzmi wirtualnymi. Mamy do nich dostęp również przez kanały elektroniczne, stąd też zupełnie inne wyzwania.
Banki chwalą się zabezpieczeniami, ale w mediach wciąż pojawiają się informacje, bądź ostrzeżenia, że ktoś się podszył pod stronę banku, złamał bankowe zabezpieczenia. Bankowość elektroniczna jest dla nas i dla naszych pieniędzy bezpieczna?
Pieniądze w banku są bardzo bezpieczne. Nie tylko klienci, ale również m.in. Komisja Nadzoru Finansowego wymagają od nas, aby inwestować w zabezpieczenia i cały czas je usprawniać. Wystarczy spojrzeć na statystyki. W Polsce dochodzi do mniej więcej jednej nieuprawnionej transakcji internetowej na milion. To stosunkowo mało.
Nieuprawniona, czyli jaka?
W skrócie - to transakcja zlecona przez przestępców. Jak to zrobić? Sposobów na to jest bardzo wiele. Jedna z nich to wykorzystanie socjotechniki. Przestępcy dzwonią do klienta, podają się za pracownika banku lub kancelarii prawnej współpracującej z bankiem i mówią, że doszło do jakiejś niemiłej sytuacji, prosząc o zweryfikowanie naszej tożsamości. Nierozważni użytkownicy podają bez zastanowienia takie dane jak login, hasło czy kod sms.
I ludzie podają takie dane przez telefon, obcej osobie?
Zdarza się, że podają. To jedna z metod socjotechnicznych szczególnie chętnie wykorzystywana przez przestępców. Do tego jest cała masa metod technicznych polegająca na przejmowaniu kontroli nad komputerem klienta. Wtedy przestępcy są w stanie wpływać na przykład na to, co jest wyświetlane na ekranie.
Ale to, że ktoś zdobędzie mój numer konta nic mu nie daje. Może mi co najwyżej zrobić przelew. Podobnie jak to, że zdobędzie mój login i hasło do banku. Przecież każdą transakcję autoryzuję SMS.
To już mam pomysł jak można ukraść panu pieniądze... Jeśli poda mi pan swój login i hasło, mogę do pana zadzwonić i powiedzieć: „drogi kliencie, testujemy nasze systemy bezpieczeństwa. Za chwilę dostanie pan kod SMS. Proszę o jego podanie”. A ja już wcześniej na podstawie loginu i hasła zlecam transakcję. Pan nie skojarzyłby tych dwóch czynności, bo co szkodzi podanie komuś kodu SMS. Tyle że ja wcześniej miałem login i hasło. Mogłem je zdobyć nawet pół roku wcześniej, bo klienci rzadko zmieniają hasła.
Jak jeszcze można nas oszukać, np. wyciągając od nas kod autoryzacyjny?
Nie chcę podpowiadać gotowych rozwiązań. Klienci muszą jednak pamiętać, że hasło jest tylko i wyłącznie dla nich. Nie można go nikomu podawać. Podobnie z kodami autoryzacyjnymi. Pod żadnym pozorem nie powinno się podawać ich przez telefon czy przesyłać dalej SMS'em. Można je wpisywać tylko na stronie internetowej banku. Bardzo ważne przy tym jest dokładnie czytanie całej treści wiadomości autoryzacyjnych.
_ Grzegorz Jasiulewicz, Dyrektor Departamentu Bezpieczeństwa Elektronicznego w Alior Banku _
Ludzie często patrzą tylko na te sześć ostatnich cyferek autoryzacyjnych, a to za mało. Dlaczego? Przestępca, który przejął kontrolę nad naszym komputerem, może nam wyświetlać na ekranie jakieś fikcyjne informacje. Ale sam, mając dostęp do naszego konta, może w tym czasie zlecać operacje, wyświetlając na ekranie naszego komputera pole do wpisania kodu SMS z informacją, że to np. w celu potwierdzenia tożsamości. Jeśli nie przeczytamy treści wiadomości, tylko sam numer autoryzacyjny i go wpiszemy, możemy potwierdzić transakcję, której dokonują przestępcy, myśląc, że tylko potwierdzamy tożsamość.
Strach logować się na konto z komputera...
Nie. Potrzebna jest tylko rozwaga. Dla porównania - takich przestępstw internetowych w Polsce jest do 20-30 razy mniej niż wypadków samochodowych, a przecież nie rezygnujemy z poruszania się samochodami. Z bezpieczeństwem bankowości jest podobnie jak z ruchem drogowym. To od kierowcy i jego ryzykownych zachowań zależy w dużej mierze, czy dojdzie do wypadku. Podobnie jest z klientem banku. Jeśli np. logujemy się z nieznanych urządzeń i komputerów, w kafejkach internetowych czy hotelach, ryzyko, że ktoś dostanie się na nasze konto jest znacznie większe. Dlatego szczególnie zachęcamy do zapoznania się z zasadami bezpieczeństwa, które publikujemy na stronach internetowych banku. Jest to tak samo ważne jak znajomość przepisów drogowych podczas jazdy samochodem.
A gdy już dojdzie do takiej kradzieży - z naszej winy?
Wtedy trzeba natychmiast skontaktować się z infolinią banku. Tam pracują przeszkoleni pracownicy, którzy wiedzą, co trzeba robić i kogo powiadomić w takich sytuacjach. W Alior Banku czuwamy nad bezpieczeństwem naszych klientów przez całą dobę. Jeśli reakcja klienta będzie szybka, to istnieje duża szansa, że nie stracimy pieniędzy, ponieważ nawet jeśli przelew od nas zostanie wysłany, to trafi do drugiego banku. Banki z kolei współpracują ze sobą w zakresie bezpieczeństwa, więc pieniądze mogą do nas wrócić.
A jeśli odkryjemy oszustwo dopiero następnego dnia?
Czasem pieniądze są wypłacane z bankomatu po kilku minutach od transakcji. Czasem pieniądze leżą na koncie innego banku kilka dni. Tu nie ma reguły. Zawsze jeśli dojdzie do kradzieży lub próby kradzieży - trzeba niezwłocznie powiadomić bank.
Pamiętam historię redakcyjnej koleżanki, której wypłacono pieniądze z konta w Azji, choć w tym czasie była cały czas w pracy w Warszawie. Ktoś prawdopodobnie zeskanował jej kartę w stolicy. Pieniądze w tej sytuacji są do odzyskania?
Bank z pewnością przeanalizuje taką transakcję. W większości takich przypadków banki oddają klientom pieniądze.
Skoro cyberzagrożeń jest tak dużo, to Państwo też pewnie pracują nad nowymi zabezpieczeniami?
Oczywiście. Pracujemy nad zabezpieczeniami biometrycznymi. Należy do nich biometria twarzy i głosu. Chcemy zaoferować klientom pakiet zabezpieczeń, aby każdy z nich mógł samodzielnie wybrać, w jaki sposób chce chronić dostępu do bankowości elektronicznej. Zmuszanie każdego klienta, aby korzystał z tych samych metod zabezpieczeń i np. wpisywał maskowane hasło nie jest dobrym pomysłem. Chcemy dać naszym klientom swobodę wyboru w tej kwestii.
Druga rzecz to systemy bezpieczeństwa, których klient nie widzi. Mamy dziś cały zestaw mechanizmów, które wykrywają nieuprawnione transakcje, wychwytując anomalie w zachowaniu klienta.
Czyli klient nigdy nie był w Afryce i teraz robi tam przelew, albo wypłaca pieniądze z bankomatu.
To przykład najbardziej klasycznej anomalii. My chcemy iść nieco dalej, wykorzystując anomalie natury informatycznej, biometrię behawioralną związaną z tym w jaki sposób klient wykorzystuje swój komputer, np. z jaką prędkością pisze na klawiaturze czy nawiguje na ekranie . Są to wzorce specyficzne dla każdego z nas. Przestępcy nie są w stanie naśladować nas do tego stopnia, gdy przejmują nasz komputer. A my dzięki takiej kontroli jesteśmy w stanie zabezpieczyć bankowe konto przed nieautoryzowaną transakcją.
A jak żona będzie na naszym komputerze i za pomocą mojego loginu będzie zlecać operacje finansowe?
Też będziemy w stanie to wykryć i możemy zablokować próbę takiej transakcji przez Internet, bo to dla naszego systemu będzie anomalią.