Jeszcze lepiej chronimy naszych klientówDodawanie karty do płatności telefonem a SCA
Wraz z rozwojem usług i produktów bankowych pojawiają się nowe sposoby na wyłudzanie pieniędzy przez oszustów. Niegdyś metoda „na wnuczka”, a teraz próby kradzieży danych karty, które wykorzystywane są do płatności internetowych lub za pomocą portfeli płatniczych. Sprawdź, co zrobiliśmy, aby chronić naszych klientów.
Skala oszukańczych transakcji przy użyciu kart płatniczych jest ogromna. Wielu klientów banków w pośpiechu lub pod wpływem emocji podaje dane karty, przez co naraża się na kradzież pieniędzy. Tylko w III kwartale 2023 r. dokonano ponad 70 tys. oszukańczych transakcji kartami płatniczymi na kwotę ponad 24 mln zł. Większość tych transakcji przeprowadzono bez fizycznego użycia karty, a jedynie z wykorzystaniem jej danych (tzw. CNP – Card Not Present). Ten typ płatności stanowił 87,9 proc. wszystkich oszukańczych transakcji kartowych*.
Kradzież pieniędzy przy użyciu portfela płatniczego
Wyobraź sobie taki scenariusz: oszust za pomocą autentycznie przygotowanej, podstawionej strony serwisu sprzedażowego zdobywa dane karty (numer, kod CVV, datę ważności). Kartę dodaje do zewnętrznego portfela płatniczego (np. Google Pay lub Apple Pay) na swoim telefonie. Metodą weryfikacji digitalizacji karty jest kod autoryzacyjny wysyłany w wiadomości SMS na numer telefonu klienta. Nic prostszego!
Oszust z wykorzystaniem tej samej strony prosi klienta o kod. Klient nie czyta treści SMS-a wysłanego z banku i podaje oszustowi kod, którym potwierdza dodanie karty do portfela płatniczego. I gotowe. Hulaj dusza…
W podobny sposób można wyłudzić dane karty i kod autoryzacyjny podczas rozmowy, np. gdy oszust podaje się za pracownika banku lub osobę wystawiającą coś na sprzedaż i rozmawia ze swoją ofiarą na komunikatorze typu Messenger czy WhatsApp. Scenariuszy kradzieży jest wiele. Niestety mogą być one dla Ciebie znajome.
Opinie europejskiego regulatora i zabezpieczenie procesu
W odpowiedzi na spryt oszustów Europejski Urząd Nadzoru Bankowego wydał rekomendację. Najlepiej, aby w procesie digitalizacji karty korzystać z silnego uwierzytelnienia, tzw. SCA – Strong Customer Authentication. Kod autoryzacyjny z wiadomości SMS nie spełnia warunków SCA i nie może być wykorzystywany jako metoda potwierdzania dodania karty do zewnętrznych portfeli płatniczych.
ING dostosowało się do rekomendacji regulatora w maju 2023 r. jako pierwszy bank w Polsce.
Dodanie karty do portfeli zewnętrznych oferowanych przez ING (Apple, Google, Garmin Pay) wymaga teraz potwierdzenia kodem PIN w aplikacji mobilnej Moje ING. Klient nie doda karty do portfela przy użyciu kodu autoryzacyjnego wysyłanego w wiadomości SMS – wyłączyliśmy tę możliwość. Zrobi to jedynie z użyciem aplikacji banku.
Poglądowe ekrany z procesu dodawania karty do Apple Pay – potwierdzenie w aplikacji Moje ING
W ten sposób zabezpieczamy naszych klientów przed utratą pieniędzy z wykorzystaniem portfela płatniczego. Oprócz danych karty oszust musiałby zdobyć dane i narzędzia niezbędne w procesie parowania aplikacji Moje ING na nowym urządzeniu. Jest to dłuższy i trudniejszy scenariusz od wcześniej opisywanych. Dzięki temu nasi klienci są jeszcze bardziej bezpieczni.
Monika Schmidt, Tribe Bankowość Codzienna
*Źródło: Raport Narodowego Banku Polskiego, styczeń 2024 r.