Przekaż 1,5% na media Strefy Wolnego Słowa. Dziękujemy! Przekaż TERAZ » x

Nowoczesne formy płatności – ułatwienia i zagrożenia - Odcinek dziewiąty

Dodano: 17/03/2020 - numer 2584 - 17.03.2020

Płatności telefonem, zegarkiem oraz wypłaty z bankomatów autoryzowane kciukiem (skanem układu krwionośnego palca) – wszystkie te nowości od kilku lat dostępne są już w Polsce i stanowią duże ułatwienie w płatnościach bezgotówkowych. Jednak wprowadzanie nowoczesnych kanałów dostępu do naszych pieniędzy oznacza, że nowe możliwości zyskują także przestępcy. Wraz z cyfryzacją dostępu do naszych finansów przedmiotem ataków przestępców nie są już banknoty czy karty w naszych portfelach, ale elektroniczne dane naszych kont. Numery, hasła i kody dają im bowiem możliwość internetowego okradania naszych rachunków bankowych, który to proceder nazywany jest cyberprzestępczością.

Inaczej w sklepie, inaczej w sieci

Płatności bezgotówkowe, z uwagi na rozwijający się handel internetowy, przeżywają obecnie szybki rozwój. Coraz więcej klientów wybiera ten sposób zapłaty za towary i usługi, ponieważ jest on szybszy i wygodniejszy niż dostawa za pobraniem. Zgubienie telefonu lub urządzenia, które umożliwia płatności bezgotówkowe, nie jest tak kłopotliwe jak zgubienie portfela wypełnionego gotówką i kartami. W odróżnieniu od kart nowoczesne urządzenia, takie jak zegarki z funkcją płatności zbliżeniowych, same się zablokują natychmiast po zdjęciu z ręki lub gdy wyłączy się funkcję mierzenia tętna. Wówczas dla potwierdzenia płatności trzeba podać czterocyfrowy kod. Zawsze można też odłączyć dodaną kartę, wyłączając ją w odpowiedniej aplikacji w aparacie telefonicznym, z którym połączony został zegarek.

Każda nowoczesna metoda płatności ma swoje plusy, ale posiada również minusy. Aby bezpiecznie korzystać z nowoczesnych form płatności trzeba poznać obydwie strony. Bez względu na to, jakiego urządzenia używamy, aby dokonywać transakcji online, musimy pamiętać o zainstalowaniu na nim skutecznego programu antywirusowego. To jednak nie wszystko. Przestępcy stale opracowują nowe metody, aby przełamać bariery ochronne naszych komputerów oraz urządzeń mobilnych. Dlatego programy antywirusowe powinny być regularnie aktualizowane. Kolejna ważna zasada podczas korzystania z elektronicznych płatności w sklepach internetowych to używanie wyłącznie bezpiecznego łącza internetowego. Bardzo ważne jest też stosowanie przez sklep szyfrowanego połączenia SSL. Jeśli sklep nim dysponuje, to jego adres internetowy powinien się zaczynać od https://, a na pasku przeglądarki powinien widnieć zielony symbol kłódki.

Świadomość zagrożeń

Łatwość, z jaką przeprowadzamy płatności bezgotówkowe, ma swoją drugą, ciemną stronę. Część użytkowników obawia się, że nowe i wygodne rozwiązania nie są wystarczająco bezpieczne. Okazuje się jednak, że nawet najbardziej rozbudowane i nowoczesne systemy nie przydadzą się, jeśli sami użytkownicy będą zachowywać się w sposób nierozważny. Transakcje bez użycia gotówki mogą być całkowicie bezpieczne. Niestety, duża część klientów sklepów elektronicznych nie jest świadoma zagrożeń. Specjaliści oceniają, że w tej kwestii oraz na temat dostępnych metod zabezpieczeń wiemy bardzo mało. Tymczasem już skuteczny program antywirusowy i systematyczne aktualizowanie systemu operacyjnego naszych urządzeń pomagają przeciwstawiać się atakom.

Przezorny jest zabezpieczony

Z badania „Płatności bezgotówkowe oczami Polaków”, zaprezentowanego w październiku 2019 r. przez Warszawski Instytut Bankowości wynika, że 22 proc. ankietowanych w ostatnim roku udostępniło innej osobie swój kod PIN do karty płatniczej albo login i hasło do bankowości internetowej. Na szczęście zdecydowana większość badanych nie popełnia takich błędów i dba zarówno o podstawowe dane swojego internetowego konta bankowego (88 proc.), jak i swojej karty (79 proc). Jednak biorąc pod uwagę, że posiadaczy kart jest kilkadziesiąt milionów, nieprzestrzeganie zasad bezpieczeństwa przez co piątego klienta oznacza, że dużo jest miejsca na zwiększanie wiedzy o wiążących się z takim zachowaniem zagrożeniach. A potrafią być one bardzo istotne, gdyż mogą nie ograniczyć się tylko do utraty wszelkich środków na koncie, ale doprowadzić także do wyłudzenia kredytu na znaczną kwotę. Wówczas taki problem jak konieczność zastrzeżenia karty i uzyskanie nowej staje się mniej istotny. Z badania WIB wynika również, że 20 proc. Polaków deklaruje większe przywiązanie do płatności gotówkowych, a tylko 8 proc. zapewniało, że zupełnie nie korzysta ani z bankomatów, ani z gotówki, czyli stosuje wyłącznie płatności bezgotówkowe.

Nie daj się podejść oszustom

Producenci smartfonów i innych urządzeń mobilnych wciąż starają się utrudnić życie złodziejom nie tylko samych urządzeń, ale również i zawartych w nich danych. Dziś narzędzia pozwalające na zdalne zablokowanie i skasowanie zawartości telefonu są już standardem. Wciąż jednak wielu posiadaczy telefonów nie ma świadomości, że ich urządzenie ma taką funkcję. Jedną z pierwszych rzeczy, które należy zrobić uruchamiając nowy smartfon lub tablet, jest ustawienie blokady ekranu. Wielu użytkowników nie stosuje tego podstawowego sposobu ochrony. Jeśli ich urządzenie trafi w obce ręce, łatwo można przeglądać nie tylko zdjęcia czy wiadomości sms, ale także czytać e-maile oraz uruchomić aplikacje do płatności zbliżeniowych. Brak blokady tej ostatniej funkcji umożliwi przestępcy dokonywanie drobnych zakupów i w konsekwencji może spowodować poniesienie przez właściciela finansowej straty (maksymalnie do równowartości 50 euro czyli ok. 200 zł). Tymczasem prosty wymóg np. narysowania wzoru na ekranie lub uruchamianie urządzenia dopiero po przyłożeniu palca do coraz powszechniejszych czytników linii papilarnych znacznie utrudniłby niepowołany dostęp do naszych danych oraz pieniędzy. Niestety, nie zawsze nawet znani dostawcy aplikacji finansowych dbają o wystarczająco czytelne dla użytkowników zasady bezpieczeństwa. Okazuje się np., że aby zapłacić telefonem z funkcją zbliżeniową oferowaną przez jedną z popularnych aplikacji, wystarczy podświetlić ekran telefonu i zbliżyć go do terminala. Po nawiązaniu połączenia przez oba urządzenia, na ekranie telefonu pojawi się ikona potwierdzająca dokonanie transakcji. Użytkownicy aplikacji zwracali na tę kwestię uwagę w komentarzach dotyczących jej działania, obawiając się o bezpieczeństwo realizowanych transakcji.

Bezpieczniej niż z gotówką

Wraz z upowszechnianiem się handlu internetowego rozwijają się i popularyzują nowe metody płatności. Tradycyjne przelewy, a tym bardziej płatności gotówkowe przy odbiorze przesyłki to dla wielu młodych klientów już zamierzchła przeszłość. Preferują oni szybkie i wygodniejsze, ale też bezpieczne formy płatności. Jedną z odpowiedzi na ich oczekiwania stały się wirtualne karty płatnicze. Służą wyłącznie do płatności na odległość, podczas robienia zakupów w sklepach internetowych. Chociaż karty wirtualne nie istnieją fizycznie, to mają jednak datę ważności, numer i kod CVC2/CVV2, służący do autoryzacji transakcji. Działają podobnie jak przedpłacone karty płatnicze (pre-paid). Zapłacenie za zakupy możliwe jest tylko wówczas, gdy rachunek karty został wcześniej zasilony środkami. Płatności kartą, spośród wielu metod zapłaty za produkty w sklepach internetowych, są jednymi z najbezpieczniejszych. Zdecydowanie przewyższają one pod tym względem płatności gotówkowe. Takie czynności, jak wypłata środków z konta czy przelew, wymagają autoryzacji transakcji za pomocą numeru PIN. Jest on znany wyłącznie posiadaczowi karty. Gdy stracimy kartę, wystarczy ją niezwłocznie zablokować, korzystając np. z uniwersalnej infolinii czynnej non stop pod numerem (+48) 828 828 828 (system zastrzegania kart – zastrzegam.pl). Ponadto banki mają własne systemy zabezpieczeń i gdy zarejestrują podejrzaną aktywność związaną z kartą, np. kilka dużych transakcji wykonywanych jedna po drugiej, automatycznie ją zablokują. Gubiąc portfel możemy raczej pożegnać się z gotówką, która się w nim znajdowała, chyba że trafimy na uczciwego znalazcę.

Mechanizm chargeback

Jest wiele argumentów przemawiających za korzystaniem z kart płatniczych podczas dokonywania zakupów w sieci. Wśród sklepów internetowych zdecydowana większość przyjmuje już płatności kartami, bo to najbardziej uniwersalne rozwiązanie. Użycie karty chroni też wydane przez klienta pieniądze. Użytkownicy kart nie zawsze zdają sobie sprawę z tego, że każda transakcja, która przeprowadzana jest za pomocą karty Visa lub MasterCard, jest zabezpieczona usługą tzw. chargeback. Chargeback, czyli tzw. obciążenie zwrotne, pozwala na odzyskanie pieniędzy przy błędnie zrealizowanych transakcjach lub transakcjach niezrealizowanych, za które zapłacono kartą płatniczą. To swojego rodzaju gwarancja zwrotu wydatku dla poszkodowanych nabywców, bez względu na to, czy nieuczciwemu sprzedawcy zapłacili kartą kredytową, debetową czy przedpłaconą. Zapewnia też ochronę w przypadku wycieku danych dotyczących naszej karty i jej nieautoryzowanego użycia.

Oszustwa phishingowe

Z badania przeprowadzonego w I połowie 2019 r. na zlecenie jednego z banków wynika, że aż 30 proc. Polaków w ogóle nie wie, czym jest phishing, a 32 proc. ma wrażenie, że wie, ale nie jest pewnych. W tej metodzie chodzi o uzyskanie dostępu do konta bankowego użytkownika po to, aby przelać środki na konto oszusta za pomocą wyłudzenia poufnych danych od użytkownika, a więc jego hasła i loginu. Hakerzy bazują na popularnym zachowaniu, że mechanicznie podążamy za oficjalnymi komunikatami wyświetlającymi się na ekranie komputera, nie zadając sobie trudu ich zweryfikowania czy dokładnego przeczytania. Przestępcy rozsyłają więc fałszywe maile, wyglądające łudząco podobnie jak oficjalne powiadomienia z instytucji finansowych, a niespodziewający się oszustwa użytkownik uruchamia załączony odsyłacz. Zostaje wówczas przekierowany na podrobioną stronę, będącą kopią oryginalnej witryny bankowej. Gdy wpisze tam swój login i hasło, dane te zostają przekazane cyberprzestępcom. Ofiary oszustów tracą często niemałe pieniądze tylko przez chwilową nieuwagę albo przez brak świadomości takich zagrożeń. Ataki phishingowe są coraz bardziej zaawansowane i wykorzystują różne metody. Oszuści chcą wywołać w użytkowniku natychmiastową, nie do końca przemyślaną reakcję. Posługują się komunikatami takimi jak „zaktualizuj swoje dane osobowe, w przeciwnym przypadku Twój dostęp do konta zostanie zablokowany” lub „Twoje konto zostało zaatakowane, zaktualizuj dane i zmień hasło”. Na widok takich komunikatów często tracimy chłodną ocenę sytuacji i postępujemy zgodnie z instrukcjami. Dlatego trzeba być naprawdę ostrożnym i uważnie czytać każdą wiadomość, która została rzekomo wysłana przez bank, operatora telefonii czy inną znaną firmę. Przede wszystkim jednak pamiętajmy, że nasze dane do logowania w systemie bankowym powinny być traktowane ze szczególną ostrożnością. Nawet najlepsze systemy antywirusowe czy bankowe nie uchronią nas przed naszymi nieostrożnymi zachowaniami w sieci. Złośliwe oprogramowanie od lat jest niezmiennie rozprzestrzeniane przez e-mail, który wciąż pozostaje najpopularniejszym kanałem komunikacji. Ten sposób jest szczególnie skuteczny, gdy wiadomość zawierająca złośliwy kod jest odczytywana w pośpiechu, a adresat automatycznie wypełnia zawarte w niej wskazówki.

Mail lub sms z banku?

Korzystając z płatności bezgotówkowych, przed potwierdzeniem przelewu trzeba zawsze dokładnie sprawdzać dane odbiorcy, w tym głównie numer konta. Ważne jest również, aby nie traktować wszystkiego, co wyświetla się na ekranie naszego urządzenia, jako polecenia, które trzeba natychmiast zrealizować bez żadnej weryfikacji. Nie będąc uważnym łatwo można paść ofiarą podmiany numeru konta. Dokonuje tego wirus, który na stronie internetowej zmienia numer rachunku bankowego. Jego działanie bazuje na fakcie, że często dla wygody przy dokonywaniu przelewu kopiujemy numer rachunku z maila bądź faktury. Gdy skopiowany przez nas numer trafia do schowka, swoją pracę rozpoczyna szkodliwe oprogramowanie. Wirus tego rodzaju trafia na urządzenia użytkowników zazwyczaj z powodu uruchomienia odnośnika do strony internetowej podesłanego jako bankowa informacja. Jeśli taki wirus się zainstaluje, dokonuje zamiany wklejanego numeru konta na numer rachunku przestępcy i do niego trafia przelew. Instytucje finansowe wielokrotnie już informowały klientów korzystających z bankowości elektronicznej, że nie wysyłają wiadomości z odsyłaczami do stron internetowych. Najlepiej nigdy nie otwierać żadnych załączników oraz nie uruchamiać odsyłaczy z maili od podejrzanego lub nieznanego nadawcy. Warto też uważać na aplikacje do urządzeń mobilnych. Jeden z polskich banków poinformował w ubiegłym roku, że pojawiło się nowe złośliwe oprogramowanie na telefony z systemem Android. Podszywało się pod zupełnie niegroźne oprogramowanie. Tym, co powinno zwracać szczególną uwagę są uprawnienia, do których dostępu żąda aplikacja. Bywa, że nie zwracamy uwagi, czego tak naprawdę wymaga od nas dany program instalowany w naszym urządzeniu. Może to być np. prawo do działania w tle czy dostęp do wiadomości SMS. Złośliwe aplikacje potrafią też udawać, że są stronami banków. W ten sposób przestępcy internetowi pozyskują login i hasło użytkownika.

Nie tylko fałszywe maile

Według CERT Polska, a jest to specjalny zespół reagowaniana incydenty (z ang. Computer Emergency Response Team), dziwne lub podejrzane SMS-y od nieznanych nadawców powinny wzbudzić czujność użytkownika. Takimi sytuacjami są niespodziewane zmiany obserwowane podczas użytkowania aplikacji mobilnych. „Bądź podejrzliwym w stosunku do wszelkich wiadomości, szczególnie tych, które wymagają od Ciebie natychmiastowego działania. Jeśli otrzymujesz wiadomość o problemie z kontem bankowym, z kartą kredytową, skontaktuj się bezpośrednio ze swoim bankiem lub firmą, która obsługuje Twoją kartę kredytową. Numer telefonu znajduje się na oficjalnej stronie internetowej banku lub na odwrocie karty kredytowej. Nasza czujność oraz logiczne myślenie jest najlepszą linią obrony przed wszelkimi atakami i oszustwami” – apelują specjaliści z CERT. Jak oceniają eksperci od bezpieczeństwa informatycznego, pewien odsetek płatności elektronicznych stanowią wyłudzenia danych i kradzieże pieniędzy z rachunków bankowych. Jednak spowodowane jest to nieostrożnością, a czasami nieświadomością użytkowników. Banki także stale ostrzegają swoich klientów przed różnymi zagrożeniami i sugerują, w jaki sposób chronić się w sieci. Jednym z takich prostych zaleceń jest ręczne wpisywanie adresu do logowania do bankowości internetowej. Dopóki nie mamy pewności, że znajdujemy się na zaufanej stronie serwisu bankowego, nie powinniśmy podawać żadnych danych uwierzytelniających. Do dobrych praktyk należy też sprawdzanie numeru konta odbiorcy i kwoty, jaką przelewamy. Takie informacje pojawiają się w każdym SMS-ie potwierdzającym transakcję, warto zatem być czujnym i sprawdzać, czy na pewno przelew przesyłamy na właściwą kwotę i do odpowiedniego odbiorcy. Wtedy zautoryzujemy hasłem SMS tylko te transakcje, których faktycznie chcieliśmy dokonać.

Instytucje płatnicze pod kontrolą

Na rynku płatności działają sprawdzeni usługodawcy, dzięki którym transakcje w sieci mogą dochodzić do skutku. Oferują oni wiele rozmaitych metod płatności, które klienci mogą wybrać w zgodzie ze swoimi oczekiwaniami i potrzebami. Należą do nich przelewy online z rachunku bankowego lub karty płatniczej, płatności w aplikacjach lub specjalnie tworzone wirtualne konta, zasilane uprzednim przelewem z banku. Takie firmy, świadczące w Polsce usługi płatnicze, mają status krajowej instytucji płatniczej lub biura usług płatniczych i objęte są kontrolą Komisji Nadzoru Finansowego (KNF). KNF dokładnie weryfikuje, czy dane przedsiębiorstwo rzeczywiście spełnia wymagane normy bezpieczeństwa. Dopiero po tym zostaje ono wpisane do specjalnego rejestru. Jeśli zatem chcemy bezpiecznie płacić online, przed skorzystaniem z usług danego operatora możemy sprawdzić, czy widnieje on w rejestrze KNF. Jeśli nie, dla pewności poszukajmy innego pośrednika. Proces realizacji transakcji w sieci powinien być prosty oraz bezpieczny. Operatorzy płatności oferują cały szereg rozmaitych metod płacenia. Charakteryzują się one różnym poziomem bezpieczeństwa, ale w wielu przypadkach klienci powinni także sami zatroszczyć się o pieniądze na swoich kontach, stosując sprawdzone zasady, np. nieużywanie do realizowania transakcji publicznych sieci wifi. Dbałość o bezpieczeństwo w sieci to absolutna konieczność, szczególnie dla przedsiębiorstw. Dla nich przerwy w działalności biznesowej wywołane cyberatakami to, jak wynika z Barometru Ryzyk Allianz 2019, największe zagrożenie w sieci. Tylko w 2018 r. działania cyberprzestępców kosztowały firmy na całym świecie aż 550 mld euro.

Przeczytaj pozostałe artykuły.

Ładuję…

     

SUBSKRYBUJ aby mieć dostęp do wszystkich tekstów gpcodziennie.pl

Masz już subskrypcję? Zaloguj się

* Masz pytania odnośnie subskrypcji? Napisz do nas prenumerata@gpcodziennie.pl

W tym numerze