Archiwum numerów

    Cyberoszuści nigdy nie śpią! Mamy nowe klucze zabezpieczające

    Z bankiem na ty Autor : Anita Kowoll 2 minuty czytania

    Kto z nas nie utracił kiedyś czujności i postąpił nieostrożnie? Pośpiech, presja, zdenerwowanie – takie właśnie sytuacje próbują wykorzystać oszuści. Wprawdzie codziennie jesteśmy narażeni na różnego rodzaju ataki socjotechniczne, nie jesteśmy jednak bezbronni. Jako bank mamy wiele sposobów wspierania naszych klientów w walce z cyberprzestępcami. Teraz proponujemy jedno z najmocniejszych zabezpieczeń.

    Oszuści kontaktują się z klientami banków za pomocą SMS-ów, połączeń telefonicznych, komunikatorów czy portali społecznościowych. Próbują wprowadzić w błąd i wyłudzić dane, które pozwolą im się zalogować do bankowości elektronicznej, aby następnie wykonać transakcje w imieniu klientów.

    My również stale czuwamy

    Jako zespół odpowiedzialny za platformę Moje ING i jej wersję mobilną na wiele sposobów wspieramy użytkowników w walce z cyberprzestępcami. Mamy nowoczesne narzędzia i mechanizmy ochrony, dodajemy również nowe faktory uwierzytelnienia i autoryzacji. W ostatnim czasie część dyspozycji zabezpieczyliśmy czterocyfrowym kodem przekazywanym klientowi podczas połączenia telefonicznego. Podanie tak zwanego VoiceCode’u jest poprzedzone ostrzeżeniem przed potencjalnym niebezpieczeństwem, które namawia użytkownika do rozwagi.

    Współdziałając z CE Przeciwdziałania Oszustwom, analizujemy sposoby działania cyberprzestępców i wychwytujemy niestandardowe zachowania użytkowników, by rozpoznać, czy nie padli oni ofiarą oszustów. Wysyłamy również do naszych klientów odpowiednią komunikację edukacyjną i ostrzegającą.

    Zaufamy naszym przeglądarkom

    Na koniec pierwszego półrocza przygotowaliśmy dwie zmiany, które w znaczący sposób mają wzmocnić bezpieczeństwo użytkowników Mojego ING. Pierwszą z nich jest wprowadzenie dodatkowego faktora uwierzytelnienia podczas logowania do bankowości w przeglądarce internetowej. Oprócz loginu i hasła użytkownik będzie proszony o potwierdzenie tej operacji w aplikacji mobilnej lub przez podanie kodu z SMS-a.

    Aby rozwiązanie było zarówno bezpieczne, jak i wygodne dla użytkowników, dodaliśmy możliwość zapamiętania swojej przeglądarki internetowej jako zaufanej. Będzie ona ważna przez 90 dni i przez ten okres podczas logowania z niej nie będziemy prosić o dodatkowe potwierdzenie, poza sytuacją, gdy klient ma aktywny klucz U2F. Każdy użytkownik Mojego ING będzie mógł zapamiętać pięć przeglądarek. Ich lista wraz z opcjami dodania, usunięcia i zmiany nazwy znajduje się w sekcji Ustawienia -> Bezpieczeństwo w Moim ING.


    Wyznaczamy nowe trendy

    Drugie wprowadzane rozwiązanie jest nowatorskie w polskiej bankowości. Pod koniec czerwca udostępniliśmy klientom możliwość zarejestrowania w Moim ING sprzętowego klucza zabezpieczającego w standardzie FIDO2, popularnie nazywanego kluczem U2F. Jako pierwszy bank w Polsce udostępniliśmy taką funkcjonalność również w naszej aplikacji mobilnej. To klient będzie decydować, czy chce w ten sposób zabezpieczyć zarówno logowanie w przeglądarce, jak i w aplikacji mobilnej, czy tylko w jednym z tych kanałów. Klucze takie można podłączać bezpośrednio do komputera lub smartfona (np. przez złącza USB-A czy USB-C), jak również zbliżeniowo z wykorzystaniem funkcji NFC.

    Wprawdzie nasi klienci będą musieli sami się zaopatrzyć w klucze zabezpieczeń, jednak będą mieć możliwość równoczesnego użycia ich na wielu popularnych portalach i platformach oferujących uwierzytelnienie w ten sposób (np. Google, Facebook czy Twitter). Aktywacja pierwszego klucza będzie musiała nastąpić w miejscu spotkań, ale kolejne użytkownik będzie mógł aktywować sam, jeśli wcześniej użyje klucza przy logowaniu.

    Jako pierwszy bank w Polsce udostępniliśmy klucz U2F również w naszej aplikacji mobilnej. To klient będzie decydować, czy chce w ten sposób zabezpieczyć zarówno logowanie w przeglądarce, jak i w aplikacji mobilnej.

    Od chwili, gdy klient aktywuje klucz U2F, będziemy wymagali jego użycia przy każdym logowaniu w kanale, do którego został dodany. Zatem nawet wtedy, gdy przestępca pozyska dane uwierzytelniające klienta, takie jak login, hasło czy PIN, to nadal nie zaloguje się do Mojego ING, ponieważ nie będzie miał klucza. To jedno z najmocniejszych zabezpieczeń platform internetowych przed atakami socjotechnicznymi typu phishing, które opierają się na wyłudzeniu danych.

    To jedno z najmocniejszych zabezpieczeń platform internetowych przed atakami socjotechnicznymi typu phishing, które opierają się na wyłudzeniu danych.

    Podobnie jak w przypadku zaufanych przeglądarek, w sekcji Ustawienia -> Bezpieczeństwo klient odnajdzie listę kluczy zabezpieczeń. Może tam zarejestrować klucz, zmienić jego nazwę, a jeśli wcześniej użył U2F przy logowaniu, będzie mógł również samodzielnie aktywować lub usunąć aktywny klucz. Jeśli klient zgubi lub uszkodzi ostatni klucz, jaki posiada, aby zalogować się w Moim ING, będzie musiał wcześniej zlecić usunięcie klucza w miejscu spotkań lub na infolinii.

    Promujemy nowoczesne zabezpieczenia

    Rozwiązanie to jest nowe zarówno dla klientów, jak i specjalistów banku. Dlatego na czas poprzedzający wdrożenie przygotowaliśmy nie tylko kampanię komunikacyjną w aplikacji i na naszej stronie internetowej, lecz także webinary dla klientów i specjalistów oraz film instruktażowy.

    Zapraszamy wszystkich do programu edukacyjnego na platformie My Learning, gdzie znajdziecie więcej szczegółów dotyczących wprowadzanych rozwiązań.

    Anita Kowoll, Tomasz Chmielewski, Tribe Digital Transformation

    maj/czerwiec 2023

    Z bankiem na ty

    Bifrost i… wszystkie ręce na pokład!

    Z bankiem na ty

    Przywództwo, elastyczność, inteligencja emocjonalna