Archiwum wg Tagów | "bankowość internetowa"

Tags: , ,

Bezpieczeństwo w nowoczesnej bankowości

Dodany 11 sierpnia 2016 przez admin

Polski sektor bankowości szybko się rozwija, a wdrażanie nowoczesnych technologii idzie w parze z dbałością o bezpieczeństwo. Sposoby przechwytywania danych bankowych stają się coraz bardziej profesjonalne, a zatem i metody ochrony muszą być dostosowane do postępu w kradzieży informacji. Owszem, najczęściej atakowani są klienci – bo, głównie z powodu nieświadomości i naiwności, przestępcy stosunkowo łatwo mogą uzyskać nieautoryzowany dostęp do ich kont (np. przy wykorzystaniu złośliwego oprogramowania przesyłanego w specjalnie spreparowanych e-mailach czy stosując celowane ataki socjotechniczne, często połączone z phishingiem). Jednocześnie nasila się jednak inne groźne zjawisko – przestępcy coraz częściej decydują się na bezpośrednie zaatakowanie banku.

Bankowość – szczególnie w naszym kraju – jest w zdecydowanej awangardzie jeśli chodzi o wdrażanie wszelkich nowinek technologicznych do zadań związanych z obsługą klienta. Mogłoby się wydawać, że jeśli na skorzystanie z jakiejś technologii decyduje się instytucja mogąca wydać na zabezpieczenia dziesiątki milionów złotych, to owa technologia powinna być absolutnie odporna na zakusy przestępców. Niestety, praktyka pokazuje, że nowinki techniczne to broń obusieczna i niekiedy z łatwością mogą korzystać z nich zarówno zwykli użytkownicy, jak i przestępcy.

Bankowiec-złodziej

Według statystyk, źródłem aż 70 proc. ataków, których celem jest pozyskanie poufnych informacji, są pracownicy. Jednym ze scenariuszy jest ten, w którym to pracownik banku, skuszony wizją ogromnego zysku, wykrada dane klientów, licząc na dochody z ich sprzedaży. To się zdarza. Pewną trudnością jest jednak znalezienie nabywcy, gdyż wymaga to ujawnienia faktu posiadania takich danych. Bankowiec-złodziej musi być więc bardzo ostrożny, często „wpada” właśnie na początkowym etapie. Częściej jednak bankowcy kradną pieniądze z kont swoich klientów. Najbardziej spektakularnym przykładem bankowej kradzieży ostatnich lat był dyrektor regionalny jednego ze znanych banków w Elblągu. Przez trzy lata okradał konto pewnej klientki – w sumie zniknęło z niego ok. 700 tys. złotych. Takie działania są raczej wyjątkiem, niż regułą – w typowym przypadku okrada się kilka lub kilkanaście kont na stosunkowo niewielkie kwoty, tak, aby jego właściciel nie zauważył niczego podejrzanego. To wymaga jednak cierpliwości i systematyczności, a złodzieje wpadają zazwyczaj poprzez swoją pazerność. Co ciekawe, klientka nie zauważyła, że jej konto zostało znacznie odchudzone.

Koniecznie trzeba więc zadać sobie pytanie: jak bronić się przed takimi kradzieżami? Czy banki same nie tworzą problemu, zatrudniając nieodpowiednich ludzi? Przed kradzieżą ze strony pracownika banku trudno się zabezpieczyć. Jak się jednak okazuje, wewnętrzny system bezpieczeństwa banku ma na to swoje sposoby. Jednym z nich jest monitorowanie infrastruktury sieciowej i wykorzystywanych w standardowym toku operacji urządzeń..

Podsłuchać bank

Od kilku lat rośnie popularność kart płatniczych z chipem NFC. Banki wydające je swoim klientom mają specjalne centra autoryzacji kart. Najważniejszym elementem infrastruktury jest pomieszczenie zawierające programator NFC, który drogą radiową zapisuje dane osobowe klienta na karcie płatniczej. Co ciekawe, istnieje możliwość „podsłuchania” owego urządzenia – możliwe są dwie drogi, przy czym tylko jedna jest prawdopodobna. Pierwsza, to zbliżenie się na odległość kilku, kilkunastu centymetrów do nagrywającego dane programatora i zeskanowanie ich. Jest to jednak właściwie wykluczone ze względu na wyśrubowane procedury bezpieczeństwa (pracownik poddawany jest bardzo szczegółowej weryfikacji). Przechwycenie sygnału jest jednak możliwe również wtedy, kiedy programator NFC jest uszkodzony i wysyła sygnał dalej, niż robi to urządzenie działające poprawnie. Wtedy faktycznie możliwe jest przechwycenie sygnału.  Według eksperta Spy Shop, w takim przypadku namierzenie podsłuchującego jest możliwe dzięki profesjonalnym skanerom szerokopasmowym wykrywającym podsłuch radiowy. „Współpracujemy z oddziałami największych polskich banków, które chcą mieć stuprocentową pewność co do bezpieczeństwa danych – zaopatrujemy te banki w skanery, które pozwalają zmierzyć, na jaką odległość wysyłany jest sygnał NFC z czytnika.” – mówi Krzysztof Rydlak, specjalista ds. sprzedaży i produktów w Spy Shop. Wygląda na to, że banki zabezpieczają się i na taką możliwość.

Haker

Atak hakerski to jedno z największych zagrożeń dla banku – aż w 33 proc. przypadków incydenty naruszenia informacji przekładają się na straty finansowe. Przykładowo, rok temu zaatakowany został Getin Noble Bank. Haker wykradł informacje o kilkunastu tysiącach dłużników banku. Władze banku podały, że haker nie dostał się do wnętrza systemu bankowego, lecz złamał zabezpieczenia jednego z pracowników. To wystarczyło. Internetowi przestępcy nie ustają też w próbach atakowania najłatwiejszych celów – nie samych banków, lecz ich klientów. W kwietniu tego roku głośno było o ataku na ponad 200 polskich banków.  Podstępem zainstalowane na komputerze, szkodliwe oprogramowanie malware  nie dopuszczało klientów do połączenia się z ich stroną bankowości elektronicznej. Przekierowywało ich natomiast na fałszywą (ale do złudzenia przypominającą właściwą) stronę banku, gdzie niczego nieświadomi klienci wpisywali swoje dane logowania tym samym zdradzając je przestępcom. Nie ma na rynku takich zabezpieczeń, z którymi hakerzy nie umieliby sobie poradzić, ale stosując się do podstawowych zasad bezpieczeństwa w sieci (silne hasła, oprogramowanie antywirusowe) zwiększamy szanse, aby ich uniknąć.

Źródło: Spy Shop

Komentarzy (0)

Tags: , , ,

Bankowość internetowa pod ostrzałem. Jak się bronić przed cyberprzestępcami?

Dodany 23 czerwca 2015 przez admin

Robisz przelewy przez Internet? Możesz nawet nie wiedzieć, że twoje przelewy trafiają na konto cyberprzestępców. Jak się przed tym bronić?

Dostajesz e-mailem fakturę. Jak zwykle, kopiujesz numer konta i robisz przelew przez Internet. Zerkasz na końcówkę SMS-a potwierdzającego płatność, z którego przepisujesz kod do wprowadzenia na stronie banku. Przelew trafia na listę oczekujących operacji, a za kilka godzin pieniądze zostaną ściągnięte z twojego konta.

Trafią prosto na konto cyberprzestępcy.

 

Wszystko wyglądało zwyczajnie, aż do czasu…

Jak przebiegał atak? Przecież na stronie wszystko wyglądało poprawnie, a numer konta odbiorcy zmienił się dopiero, kiedy pieniądze zniknęły z banku. Jak to się mogło stać?

Typowy proces wykonywania zwykłego przelewu przez Internet wygląda następująco:

  1. dostajemy e-mail lub PDF z numerem konta, na który mamy zrobić przelew,
  2. kopiujemy numer rachunku,
  3. wklejamy numer konta w formularzu na stronie banku,
  4. przepisujemy z SMS-a kod potwierdzający transakcję,
  5. przelew trafia na listę oczekujących do wykonania.

Niestety taki proces to miejsce do ataku, a cyberprzestępcy coraz częściej wykorzystują naszą nieuwagę.

Jak działają wirusy zamieniające numer konta?

Złośliwe oprogramowanie zainstalowane w naszym komputerze wykrywa moment, w którym kopiujemy numer konta i podmienia go na inny, zdefiniowany przez cyberprzestępców. Nie zwracamy uwagi czy wklejony numer rachunku jest taki sam jak skopiowany, więc wykonujemy przelew dalej. Dopiero kiedy odbiorca upomni się o przelew, orientujemy się, że został wysłany na inne konto.

Uwaga! To niestety tylko najprostsza wersja ataku. W ostatnich miesiącach cyberprzestępcy zmodyfikowali go o dodatkowe sposoby na zamaskowanie nieuczciwego procederu:

  • wklejony numer konta wygląda tak jak skopiowany, jednak do banku wysyłany jest zmodyfikowany,
  • na stronie banku wyświetlają się sfałszowane komunikaty proszące o instalację dodatkowego oprogramowania w telefonie (np. fałszywego „certyfikatu bezpieczeństwa” lub „aplikacji ochronnej”), które podmienia numery kont również w SMS-ach,
  • w historii bieżących operacji numer konta podmieniony jest na numer rzeczywistego odbiorcy,
  • cyberprzestępcy skupiają się na bankach, w których potwierdzenie przelewu odbywa się za pomocą kodu z tokena (bez funkcji challenge–response), a nie kodu z SMS-a.

W najgorszym przypadku o ataku dowiemy się dopiero przeglądając archiwum wykonanych przelewów – cyberprzestępcy nie podmieniają historii, ponieważ zrealizowanych przelewów nie da się już anulować.

Jak bronić się przed atakiem?

 

W miarę możliwości powinniśmy korzystać z systemów płatności online zamiast z przelewów przez Internet. Czym to się różni? W przypadku systemu płatności online, sprzedawca wysyła do naszego banku informację o swoich danych i kwocie transakcji, a my tylko potwierdzamy chęć transakcji na stronie banku.

Rys. 1: Transakcja przez system płatności Dotpay. Bank otrzymuje numer konta od systemu płatności, tak że ani my, ani cyberprzestępcy nie mamy możliwości jego zmiany. Płatność zostaje zrealizowana wyłącznie po otrzymaniu z banku nieodwołalnego potwierdzenia złożenia przez kupującego dyspozycji wykonania przelewu z rachunku. To gwarancja, że poprawność płatności została zweryfikowana.

Czy system płatności online można zawsze wykorzystać?

Systemy płatności online są wykorzystywane coraz częściej i można za ich pośrednictwem płacić nie tylko w sklepach internetowych, ale też opłacić rachunki za telefon i Internet czy kupić bilet na komunikację miejską, na pociąg lub do kina.

Korzystanie z systemu płatności online przez płacącego nie niesie ze sobą dodatkowych kosztów i nie wymaga zakładania konta w systemie – wyjaśnia Bernadetta Madej, dyrektor działu handlowego w Dotpay. – Płatność odbywa się na podstawie umów między bankiem, sprzedawcą i Instytucją Płatniczą pod czujnym okiem Komisji Nadzoru Finansowego – dodaje.

Sprzedawca nie oferuje płatności online – co zrobić?

Pomimo że szybkie transfery bankowe online (tzw. Pay by Link) są najpopularniejszym sposobem płatności w Polsce, częstszym od przelewów i płatności kartą kredytową, to jeszcze nie wszyscy sprzedawcy zintegrowali systemy płatności online. Czy oznacza to, że powinniśmy zrezygnować z transakcji, jeśli nie możemy zapłacić przez Dotpay lub inny system płatności?

Rys. 2: Strona operatora płatności online Dotpay. Wystarczy, że zarejestruje się na niej sprzedawca, kupujący nie musi zakładać żadnego dodatkowego konta.

Niekoniecznie. Jeśli musimy zrobić zwykły przelew przez Internet, naszą linią obrony jest urządzenie uwierzytelniające przelew. Najlepszym wyborem byłby token z funkcją challenge–response, jednak niewiele banków ma je w ofercie. Zdrapka lub token wyświetlający kod niestety w żaden sposób nie chronią przed atakiem – nie poinformują nas o tym, jaką transakcję potwierdzamy.

Jak z poziomu telefonu chronić konto w banku?

Ochronić nas może przede wszystkim czujność. Po otrzymaniu SMS-a z kodem potwierdzającym transakcję powinniśmy upewnić się, że numer konta w SMS-ie zgadza się z numerem konta w PDF-ie lub e-mailu z poleceniem zapłaty. To zdecydowanie zwiększa bezpieczeństwo transakcji.

Oczywiście cyberprzestępcy próbują różnych metod. Aby lepiej się chronić i mieć szansę na wykrycie próby oszustwa, powinniśmy też zadbać o bezpieczeństwo telefonu, na który przychodzą SMS-y z kodem potwierdzającym przelew. Trzeba być nie tylko uważnym i dokładnie weryfikować dane w SMS, ale także zadbać o to, aby na smartfonie był zainstalowany antywirusowy pakiet zabezpieczający przed atakami hakerów. Warto regularnie skanować system operacyjny. Co istotne to wcale nie musi wiązać się z dodatkowymi kosztami. Wystarczy poświęcić chwilę czasu i pobrać nawet darmowy program antywirusowy. W sieci znajdziemy różne aplikacje do skanowania systemu i usuwania wirusów, od koni trojańskich po złośliwe oprogramowania, jak maleware. Korzystanie z oprogramowania antywirusowego jest naprawdę dobrym zwyczajem i może nas ochronić przed przykrymi niespodziankami.

Dlaczego korzystanie z szybkich płatności typu Pay By Link jest bezpieczniejsze od innych?

Pamiętajmy, że dodatkowe warunki stawiane operatorom płatności online sprawiają, że poziom bezpieczeństwa transakcji przeprowadzanych przez tego typu systemy rośnie znacząco, nawet w porównaniu ze zwykłymi przelewami bankowymi. Rejestr takich instytucji płatniczych prowadzi Komisja Nadzoru Finansowego, która weryfikuje, czy akredytowana firma spełnia wymagania bezpieczeństwa. Listę firm można sprawdzić w wyszukiwarce dostępnej na stronie internetowej Komisji Nadzoru Finansowego, dodatkowo warto prześledzić rejestr licencjonowanych Agentów Rozliczeniowych prowadzony przez Narodowy Bank Polski. Jeżeli podmiot podający się za instytucję płatniczą znajduje się na ww. listach, możemy być spokojni o nasze środki finansowe. Można także upewnić się, czy instytucja finansowa posiada certyfikat PCI DSS, którego posiadanie potwierdza zgodność z międzynarodowymi wymogami bezpieczeństwa w zakresie przetwarzania transakcji kartowych. Standard ten potwierdza spełnianie światowej jakości norm dotyczących bezpieczeństwa.

Kwestia bezpieczeństwa podczas transakcji internetowych jest najważniejsza. A szybkie przelewy bankowe, typu Pay By Link, to nie tylko optymalizacja czasu, ale właśnie także bezpieczeństwo – podsumowuje Bernadetta Madej.

Źródło: http://www.dotpay.pl

Komentarzy (0)

comarch logo

Tags: , , , , , , ,

Comarch Internet Banking w Banku Gospodarstwa Krajowego

Dodany 19 grudnia 2014 przez admin

CA Consulting, spółka należąca do grupy Comarch, podpisała z Bankiem Gospodarstwa Krajowego umowę na wdrożenie aplikacji bankowości elektronicznej. Przedmiotem umowy jest dostarczenie i wdrożenie w BGK rozwiązania Comarch Internet Banking, jak również świadczenie usług gwarancyjnych i serwisowych z nim związanych.

Wdrożenie Comarch Internet Banking w Banku Gospodarstwa Krajowego jest kolejnym wdrożeniem naszego systemu na polskim rynku, co potwierdza ugruntowaną pozycję Comarch jako wiodącego dostawcy rozwiązań dla bankowości korporacyjnej. Nowa bankowość internetowa w BGK posiadać będzie bogaty zakres funkcjonalny, od podstawowych modułów, pozwalających m.in. na definiowanie schematów akceptacji, czy zarządzanie rachunkami i płatnościami masowymi, po moduły wspierające zaawansowaną logikę biznesową, m.in. transakcje walutowe z zastosowaniem preferencyjnego kursu wymiany czy obsługę gotówkową, które spełnią wymagania nawet najbardziej wymagających klientów banku – podkreśla Agnieszka Piróg, Business Solution Manager, Comarch.

– Nowa bankowość elektroniczna jest jednym z projektów, których realizację zakłada strategia Banku Gospodarstwa Krajowego na lata 2014-2017. Uruchomienie nowego systemu bankowości elektronicznej oznacza jeszcze wyższą jakość obsługi dla klientów naszego banku – podkreśla Barbara Kałdowska, Zastępca Dyrektora Departamentu Zarządzania Produktami, Kierownik Projektu w BGK. – Stworzymy rozwiązanie, które będzie spełniało standardy rynkowe, a w przypadku niektórych funkcjonalności nawet je przewyższy.

Rozwiązanie Comarch Internet Banking przeznaczone jest zarówno dla średnich przedsiębiorstw, jak i klientów korporacyjnych. Zakres funkcjonalny systemu Comarch Internet Banking obejmuje platformę transakcyjną, zaprojektowaną z myślą o obsłudze dużych wolumenów danych, platformę komunikacyjną, a także aplikację dla pracowników instytucji finansowych oferującą m.in. narzędzia dla administratora systemu.

Bank Gospodarstwa Krajowego to państwowy bank rozwoju, który wspiera społeczny i gospodarczy rozwój kraju. BGK inicjuje i realizuje programy służące wzrostowi ekonomicznemu Polski. Stanowi centrum kompetencyjne w finansowaniu projektów infrastrukturalnych, eksportu, spółek komunalnych i samorządów. Rozwija systemy poręczeń i gwarancji mające na celu pobudzanie przedsiębiorczości. Angażuje się w programy ułatwiające dostęp Polaków do mieszkań czynszowych i własnościowych. Zarządza programami europejskimi i dystrybuuje środki unijne w skali krajowej i regionalnej. Jest instytucją wiodąca w procesie konsolidacji finansów publicznych.

Źródło: Comarch

Komentarzy (0)

comarch logo

Tags: , , , ,

BNP Paribas Bank Polska S.A. wraz z Comarch rozwijają bankowość internetową

Dodany 09 maja 2013 przez admin

BNP Paribas Bank Polska S.A. uruchomił nową wersję bankowości internetowej autorstwa Comarch – system Pl@net zyskał nowy, bardziej ergonomiczny i przyjazny interfejs graficzny, jak również wersję mobilną na smartfony.

– W odpowiedzi na sugestie naszych klientów, wyposażyliśmy system Pl@net w ergonomiczny i nowoczesny interfejs graficzny, który w najmniejszym stopniu nie przypomina dotychczasowego serwisu. Na tym jednak nie poprzestajemy – wraz z Comarch kontynuujemy prace, mające na celu zwiększenie komfortu korzystania z naszych usług oraz produktów. W najbliższym czasie planowane są kolejne nowości i udogodnienia dla klientów, w tym m.in. moduł zarządzania finansami osobistymi – informuje Jaromir Pelczarski, wiceprezes BNP Paribas Bank Polska S.A.

– Naszym celem było stworzenie nowego, bardziej intuicyjnego i przejrzystego interfejsu systemu Pl@net, który pozwoliłby użytkownikom efektywniej korzystać z dostępnych funkcji. Całkowite przeprojektowanie nawigacji w systemie Pl@net przyniosło znakomite rezultaty. Funkcje zostały podzielone na kilka kategorii, dzięki czemu użytkownik może szybciej dotrzeć do interesującego go produktu lub usługi. Wszystkie moduły zostały ujednolicone w zakresie nawigacji, struktury oraz designu, aby maksymalnie przyśpieszyć wyszukiwanie – wyjaśnia Anna Płowiec-Wandas, Business Solution Manager, Comarch SA.

– Comarch jest niekwestionowanym liderem w projektowaniu systemów bankowości internetowej. Dostarczane przez Comarch rozwiązania dla bankowości nie tylko spełniają najwyższe standardy bezpieczeństwa transakcji i transferu danych, ale wyróżniają się wśród konkurencji funkcjonalnością i innowacyjnością. System Pl@net w BNP Paribas Bank Polska S.A. jest rozwijany przez Comarch od wielu lat zgodnie z potrzebami Banku oraz oczekiwaniami jego klientów. Wersja mobilna systemu Pl@net z pewnością zagwarantuje klientom BNP Paribas pełen komfort i wygodę użytkowania – podkreśla Piotr Reichert, wiceprezes Comarch SA.

Ponadto, BNP Paribas udostępnił klientom system Mobile Pl@net na smartfony z Androidem i iOS. Poza standardowymi funkcjonalnościami tj. zarządzania rachunkami, kartami, lokatami i kredytami oraz wykonywaniem przelewów, aplikacja posiada szereg innowacyjnych funkcjonalności, wykorzystujących unikalne możliwości urządzeń mobilnych.

– Mobile Pl@net na każdym kroku wykorzystuje przewagę interfejsu dotykowego. Przyciski, suwaki i pozostałe interaktywne elementy interfejsu są skalowane w zależności od rozmiarów wyświetlacza, dzięki czemu uzyskujemy pełny komfort obsługi na każdym urządzeniu. Wykonywanie przelewów, przełączanie rachunków, procesowanie spłaty karty czy sprawdzanie kursu walut obsługiwane są za pomocą doskonale znanego użytkownikom smartfonów mechanizmu Swype, przez co praca z aplikacją mobilną staje się prawdziwą przyjemnością – dodaje Jaromir Pelczarski.

Mobile Pl@net umożliwia także lokalizowanie najbliższych bankomatów i palcówek Banku. Inną przydatną funkcją jest konwerter walut w czasie rzeczywistym po aktualnym kursie. Równie użyteczną funkcją są kalkulatory kredytowe, umożliwiające obliczenie wysokości oprocentowania i raty kredytu gotówkowego, samochodowego, czy hipotecznego na podstawie parametrów wprowadzonych przez użytkownika. Nie jest to jednak tylko symulacja – użytkownik może natychmiast skontaktować się z bankiem w celu sfinalizowania umowy kredytowej. BNP Paribas Bank Polska S.A. wspólnie z Comarch planuje wprowadzić kolejne udogodnienia nie tylko w systemie Pl@net,  ale także w bankowości mobilnej dla użytkowników smartfonów.

Źródło: www.comarch.pl

Komentarzy (0)

Zdjęcia z naszego Flickr'a

Zobacz więcej zdjęć

POWIĄZANE STRONY

ELASTYCZNY WEB HOSTING