Uwaga na oszustów. Podwójne uwierzytelnianie elektronicznych płatności

Katarzyna Paczewska

Podejrzenia powinny wzbudzić wszelkiego rodzaju wiadomości e-mailowe, SMS oraz próby kontaktu telefonicznego powołujące się na wejście w życie nowych rozwiązań, gdzie klient proszony jest o przekazanie informacji zawierających dane wrażliwe

14 września weszła w życie dyrektywa w sprawie usług płatniczych w Unii Europejskiej. Nakłada ona na banki i instytucje płatnicze, w tym pośredników w płatnościach internetowych, m.in. konieczność wprowadzenia tzw. silnego (podwójnego) uwierzytelniania w trakcie dokonywania płatności elektronicznych.

Dla kupujących i płacących przez internet nowe przepisy oznaczają zmiany w procesie weryfikacji tożsamości podczas e-zakupów. Silne uwierzytelnianie wymagać będzie zastosowania co najmniej dwóch z trzech elementów: czegoś, co klient zna (np. PIN lub hasło), czegoś, co klient ma (np. telefon) i czegoś, czym klient jest (np. odcisk palca, rozpoznawanie twarzy lub głosu) - wyjaśniają eksperci z PayU.

Przy płatnościach przelewem typu pay-by-link podwójne uwierzytelnianie będzie polegało np. na zalogowaniu do bankowości elektronicznej (coś, co klient zna - hasło) oraz, dodatkowo, np. na przepisaniu kodu otrzymanego w wiadomości SMS (coś, co klient ma - telefon). Warto zatem przy e-zakupach mieć przy sobie telefon. Dla określonych wyjątków (np. transakcji niskiego ryzyka lub transakcji poniżej 30 euro) bank będzie mógł nadal decydować o uwierzytelnianiu transakcji na starych zasadach (np. bez konieczności wpisywania kodu SMS).

Użytkownicy płacący kartą kredytową lub debetową mogą się spodziewać zmian w przechodzeniu przez procedurę 3D Secure tak, by spełniała ona w pełni wymogi silnego uwierzytelniania. Oznaczać to może np., oprócz wpisania kodu z wiadomości SMS (coś, co klient ma), konieczność zalogowania się do bankowości elektronicznej banku - wydawcy karty (coś, co klient zna - hasło) lub zatwierdzenie płatności za pomocą biometrii poprzez zalogowanie się do aplikacji mobilnej banku - wydawcy karty (coś, czym klient jest - odcisk palca). Jednak nadal agenci rozliczeniowi mogą zastosować wyjątki od silnego uwierzytelniania, umożliwiające dokonanie płatności zapisaną kartą bez konieczności stosowania procedury 3D Secure.

Najmniej zmian zauważą użytkownicy BLIK-a, bo to rozwiązanie już dziś wykorzystuje podwójne uwierzytelnianie, czyli jednorazowy kod generowany w aplikacji mobilnej (coś, co klient ma) oraz logowanie do aplikacji mobilnej banku (coś, co klienta zna - hasło lub coś, czym klient jest - odcisk palca, jeśli do logowania wykorzystywana jest biometria).

Z silnego uwierzytelniania zwolnione będą także płatności za usługi oparte na subskrypcji, czyli powtarzające się płatności o tej samej lub różnej wartości na rzecz wskazanego akceptanta. Tylko moment wyrażenia zgody na cykliczne obciążenie i zapisanie karty będzie wymagał silnego uwierzytelniania. Nadal można tworzyć także listy zaufanych odbiorców czy składać zlecenia stale i tutaj silne uwierzytelnianie będzie wymagane jednorazowo.

Wprowadzane zmiany mają zwiększyć bezpieczeństwo transakcji online. Szczególnie w ostatnim czasie, gdy są coraz częstsze próby wyłudzenia przez oszustów danych kartowych lub do logowania do e-bankowości.

Co zmienia się w bankach?

Jak podają eksperci portalu Bankier.pl, np. klienci PKO BP mogą korzystać z autoryzacji mobilnej w aplikacji IKO i dwuetapowego logowania do systemu e-bankowości iPKO i Inteligo. Po jej włączeniu, podczas logowania do e-bankowości, oprócz podania standardowo hasła do iPKO/ Inteligo, klient będzie zatwierdzał logowanie także w aplikacji mobilnej. Tak jak do tej pory, można korzystać z różnych form autoryzacji, np. z kodów SMS lub jednorazowych z karty kodów.

Logując się do bankowości internetowej i mobilnej, Bank Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient musi podawać kod też w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. W razie konieczności silnego uwierzytelnienia podczas logowania w aplikacji mobilnej PeoPay, klient zostanie poproszony o podanie PIN-u nawet dla ustawionego logowania biometrią. Dla transakcji płatniczych zastosowanie będzie miał szereg wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub do zdefiniowanych odbiorców.

Bank ten podjął decyzję o wycofaniu metod autoryzacji niezgodnych z silnym uwierzytelnieniem (karta kodów jednorazowych, token) i pozostawieniu metod autoryzacji opartych o kody SMS oraz wiadomości push (z aplikacji PeoPay).

Santander Bank Polska będzie zawsze wymagać silnego uwierzytelnienia. Dodatkowym zabezpieczeniem (poza hasłem) są token, smsKod lub mPodpis (wybór klienta). Nowością jest możliwość zdefiniowania komputera jako urządzenia zaufanego. Wtedy dodatkowe zabezpieczenie będzie wymagane jedynie co jakiś czas.

W trakcie logowania do bankowości internetowej mBank poprosi klientów o podanie hasła SMS lub potwierdzenie operacji mobilną autoryzacją. Wyjątkiem będzie sytuacja, w której klient doda komputer do zaufanych. Wtedy bank poprosi tylko czasami o dodatkowe potwierdzenie logowania.

W ING Banku system w trakcie logowania może poprosić o wpisanie kodu autoryzacyjnego z SMS-a. Zatem nie będzie konieczności potwierdzania każdego logowania dwuetapowo - SMS będzie wymagany przy niektórych logowaniach. Gdy użytkownik będzie się logować, system bezpieczeństwa oceni, czy dodatkowa autoryzacja jest konieczna. Bank nie będzie używał do logowania na rachunek autoryzacji mobilnej. Dodatkowe potwierdzenie logowania może się też pojawić w aplikacji mobilnej. Wówczas bank poprosi nie tylko o odcisk palca lub PIN, ale równocześnie o oba zabezpieczenia.

Uważaj poza Unią

- Wyjeżdżając za granicę do krajów spoza UE, sprawdź jakie dodatkowe sposoby uwierzytelnienia są wymagane przez bank od 14 września i wybierz taki, który nie wymaga włączenia transferu danych, np. potwierdzenia SMS. Koszty odebrania wiadomości przychodzących z reguły pokrywa sieć - podaje ZBP. Szczegóły na zbp.pl.

Zmiany mogą wykorzystać oszuści

Komisja Nadzoru Finansowego zwraca uwagę na konieczność zachowania szczególnej ostrożności oraz apeluje do klientów instytucji finansowych o postępowanie zgodne z ustalonymi przez te instytucje standardami w zakresie komunikacji. Podejrzenia powinny wzbudzić wszelkiego rodzaju wiadomości e-mailowe, SMS oraz próby kontaktu telefonicznego powołujące się na wejście w życie nowych rozwiązań, gdzie klient proszony jest o przekazanie informacji zawierających dane wrażliwe, w szczególności: dane logowania do bankowości elektronicznej, kody autoryzacyjne i kody PIN, dane osobowe; lub informowany jest o zablokowanym koncie albo proszony o kliknięcie w przesłany mailem lub SMS-em link, zmianę hasła lub innych danych do logowania za pomocą przesłanego linku, otworzenie podejrzanego załącznika, uruchomienie lub instalację przesłanej aplikacji, wykonanie podejrzanej płatności lub przelewu internetowego.

W przypadku wątpliwości, kontaktujmy się ze swoim dostawcą usług płatniczych.

Podatek cukrowy. Podreperuje budżet czy zdrowie Polaków?

Więcej na temat:

Komentarze

4000/4000

Ta strona jest chroniona przez reCAPTCHA i obowiązują na niej polityka prywatności oraz warunki korzystania z usługi firmy Google. Dodając komentarz, akceptujesz regulamin oraz Politykę Prywatności.

18.09.2019 15:06:29

Przecież miało być bezpieczniej. To jak oszuści mogą wykorzystać poprawę bezpieczeństwa?

Jeśli uważasz, że któryś z komentarzy łamie regulamin, to wyślij nam link do tego artykułu na demaskator24@polskapress.pl

Masz materiał do sprawdzenia?

Prześlij do nas informacje, które weźmiemy pod lupę

Czytaj także

Polecane dla Ciebie