Wiele się słyszy o tym, że ktoś się komuś włamał na konto bankowe przez internet i ukradł mu pieniądze. Czy to prawda? Niestety prawda, ale równie dobrze mógłbyś być napadnięty pod bankomatem. Media niestety szukają sensacji i nagłaśniają to co wzbudza sensacje a nie zachwalają zalet banków internetowych (nikt o tym nie mówi w TV, że można płacić rachunki bez stania na poczcie, bo to nie jest tak ciekawe jak informacja o kradzieży). Osobiście uważam, że bardziej prawdopodobne jest być napadniętym pod bankomatem niż ofiarą włamania się na konto bankowe. W tym artykule opiszę jak banki zabezpieczają się przed nieupoważnionymi osobami.
Otóż najprościej by było zainstalować na komputerze ofiary program, który by informował autora (owego programu, czyli złodzieja) o tym co użytkownik pisze na klawiaturze (z pewnością prędzej czy później zostałoby przechwycone hasło). Jednak dzisiaj sama znajomość loginu i hasła w większości banków internetowych nic nie daje. Nawet jak poznasz moje hasło (i login) to możesz jedynie zobaczyć ile pieniędzy mam na koncie, oglądnąć historię rachunku itp. Aby zrobić przelew trzeba już znać inne hasło. Jednak tutaj sprawa jest skomplikowana. Np. w banku BPH do niedawna było to po prostu drugie hasło, które można było przechwycić i robić przelewy do woli. Teraz BPH się ucywilizował i wysyła jednorazowe hasła na komórkę w formie SMSa o treści: Kod autoryzacji nr 1: 431xxx (ze względów bezpieczeństwa będę cenzurował niektóre dane 
Tak więc zrobienie przelewu wymaga albo zdobycia Twojej komórki albo odgadnięcia 6-cyfrowego kodu (szansa jest jak 1 do miliona).
W mBanku jest karta kodów jednorazowych, jest to zwykła kartka papieru (zobacz zdjęcie poniżej) wysłana listem na której są cyferki. Każdy przelew wymaga podania danego kodu. Po zużyciu 50 kodów trzeba zamówić następną kartę (można to zrobić w dowolnej chwili, zawsze lepiej mieć w zapasie jedną taką kartę z kodami bo zanim ją dostaniesz to od chwili zamówienia minie około 7 dni). Tutaj złodziej musiałby znać Twój login i hasło i ukraść Tobie kartę z kodami jednorazowymi. Za każdym razem się podaje inny kod (kolejny) a szansa odgladnięcia kodu jest jak 1 do 100000
Karta kodów jest wysyłana listem w specjalnej kopercie której nie da się otworzyć bez uszkodzenia (to nie jest zwykła koperta którą nad czajnikiem z parą otworzysz i potem ponownie zakleisz). Mało tego, aby nikt nie prześwietlił jej światłem z drugiej strony kodów jest specjalna farba która uniemożliwia odczytanie kodów pod silnym strumieniem światła
mBank niedawno wprowadził też kody SMSowe (na razie działa to w trybie testowym, nieliczne osoby mają szczęście testować tą usługę). Podczas wykonywania przelewu dostałem takiego SMSa: Operacja nr 1 z dn. 14-12-2005 Przelew z rach.: …xxxx4370 na rach.: 8410…395xxx kwota: 100,00 PLN haslo: xxxx0078 mBank. Zanim zacząłem dostawać SMSy z kodami jednorazowymi musiałem podać konsultantowi numer komórki i w ustawieniach konta zmienić sposob weryfikowania przelewów z haseł jednorazowych na SMS. Pare sekund po dokonaniu tej zmiany dostałem takiego SMSa: Zmiana sposobu potwierdzania operacji w internecie na hasla smsowe. Podaj 47 haslo jednorazowe z listy nr. 0001474xxx mBank. Jak widzisz nawet zmieniając metodę weryfikacji potwierdzeń przelewów nie ma słabego punktu, który mogłaby wykorzystać osoba niepowołana!
Podobne rozwiązanie stosuje bank Inteligo – ale tutaj karta kodów jest plastikowa (rozmiaru jak zwykła karta kredytowa) i jest w postaci karty-zdrapki. Ta karta jest estetyczniejsza od tej z mBanku; a poza tym zawsze złodziej mógłby np. na chwilę pożyczyć od Ciebie kartę kodów z mBanku i skserować a karta kodów jednorazowych z inteligo ma to zabezpieczenie, że aby odczytać kod trzeba go zdrapać, więc jak byś zauważył zbyt wiele zdrapanych pól to wiesz, że coś jest nie tak. Oczywiście raczej jest mało prawdopodobne, aby ktoś na chwilę zdobył Twoją kartę kodów jednorazowych bez zauważenia tego z Twojej strony.
Inne banki zamiast SMSów czy kart z kodami jednorazowymi oferują tokeny. Token to małe urządzenie które co minutę generuje inny kod. Kod zna tylko właściciel tokena i bank. Każdy token generuje inne kody w danej chwili więc można powiedzieć, że token to jakby taka karta z kodami jednorazowymi (niestety nigdy nie miałem styczności z tokenami więc nie ma tutaj zdjęcia tokena)
Wcześniej mówiłem, że znając login i hasło można oglądać np. stan konta. Ale tu też banki się trochę zabezpieczają. Chyba każdy bank generuje każdemu unikalny login np. w mBanku i Inteligo jest to ciąg cyfr a w BPH jest to ciąg znaków i cyfr. Ma to na celu uniemożliwienie komuś odgadnięcia loginu (np. trudniej jest odgadnąć jakiś losowy ciąg znaków niż np. zwykłe janek). Dodatkowo w BPH przy logowaniu podaje się kilka wybranych przez skrypt liter z hasła.
Jak widać poniżej bank prosi o podanie 1,3,4,5,7 i 9 znaku hasła. Nawet jeśli ktoś ma program, który czyta znaki wprowadzane z klawiatury to nie przyda mu się, bo pozna tylko niektóre litery hasła a gdy nieupoważniona osoba będzie się chciała zalogować, to z dużym prawdopodobieństwem komputer wylosuje inny zestaw znaków z hasła jakie trzeba wprowadzić
5 sierpień 2008 o 06:20
fajny artykul… czekam na wiecej