W dzisiejszych czasach, gdy kryptowaluty stały się coraz bardziej popularne, pojawiło się również wiele zagrożeń związanych z oszustwami w tej przestrzeni. Cyberprzestępcy nieustannie poszukują nowych sposobów wyłudzania pieniędzy od nieświadomych inwestorów, wykorzystując złożoność i brak regulacji w branży kryptowalutowej. Jednym z najbardziej rozpowszechnionych i niebezpiecznych scenariuszy jest problem związany z autoryzacją mobilną w bankowości internetowej.
Luka w zabezpieczeniach autoryzacji mobilnej
Autoryzacja mobilna, choć powszechnie postrzegana jako bezpieczniejsza alternatywa dla tradycyjnych metod potwierdzania tożsamości, może okazać się podatna na ataki w przypadku, gdy przestępcy uzyskają dostęp do duplikatu karty SIM ofiary. Badania przeprowadzone przez portal Niebezpiecznik.pl wykazały, że niektóre banki w Polsce nie zapewniają wystarczających zabezpieczeń, aby skutecznie chronić klientów przed tego typu atakami.
Schemat ataku z wykorzystaniem duplikatu karty SIM wygląda następująco:
-
Uzyskanie dostępu do loginu i hasła ofiary: Przestępca zdobywa dane logowania do bankowości internetowej ofiary, najczęściej poprzez phishing lub inne formy oszustwa.
-
Wyrobienie duplikatu karty SIM: Wykorzystując luki w procedurach weryfikacji tożsamości u operatorów telefonii komórkowej, przestępca uzyskuje duplikat karty SIM ofiary.
-
Podpięcie aplikacji mobilnej banku: Mając dostęp do numeru telefonu ofiary, przestępca może powiązać aplikację mobilną banku ze skradzionymi danymi logowania. Następnie otrzymuje kod autoryzacyjny SMS, który pozwala mu na dokończenie procesu.
-
Zwiększenie limitów transakcji: Wykorzystując podpięcie aplikacji mobilnej, przestępca może zwiększyć limity transakcyjne, aby móc dokonywać większych przelewów.
-
Kradzież środków: Gdy wszystko jest już przygotowane, przestępca może bez problemu dokonywać nielegalnych przelewów z rachunku ofiary.
Według badań, w mBanku ten schemat ataku okazał się skuteczny, ponieważ bank nie informował klienta o podpięciu nowej aplikacji mobilnej na innym urządzeniu. Co więcej, zmiana limitów transakcji była potwierdzona jedynie kodem otrzymanym przez duplikat karty SIM, a nie na urządzeniu klienta z aktywną autoryzacją mobilną.
Raport Agencji Bezpieczeństwa Wewnętrznego wskazuje, że problem ten dotyczy nie tylko mBanku, ale także innych instytucji finansowych w Polsce. Luki w zabezpieczeniach sprawiają, że klienci mogą stać się ofiarami niezauważonych ataków, prowadzących do poważnych strat finansowych.
Porównanie metod autoryzacji
Aby lepiej zrozumieć zagrożenia związane z autoryzacją mobilną, warto przyjrzeć się różnym metodom potwierdzania tożsamości stosowanym w bankowości internetowej:
| Metoda autoryzacji | Odporność na ataki |
|---|---|
| Karty zdrapkowe | Niska – przestępca może wykorzystać kod z karty bez wiedzy ofiary |
| Kody SMS | Średnia – kody SMS można przechwycić przy użyciu ataku na sieć GSM |
| Autoryzacja mobilna | Wysoka – aplikacja mobilna szyfruje komunikację i pozwala na weryfikację transakcji |
Jak widać, autoryzacja mobilna jest najlepszym rozwiązaniem pod względem bezpieczeństwa, o ile jest prawidłowo wdrożona przez bank. Niestety, niektóre instytucje finansowe w Polsce nie zadbały o odpowiednie zabezpieczenia, co umożliwia przestępcom kradzież środków za pomocą ataku z duplikatem karty SIM.
Luki w zabezpieczeniach mBanku
Szczególnie niepokojące są ustalenia dotyczące zabezpieczeń wdrożonych w mBanku. Badania przeprowadzone przez serwis Business Insider wykazały, że w tym banku:
-
Brak powiadomień o aktywacji nowej aplikacji mobilnej: mBank informuje klienta o podpięciu nowej aplikacji mobilnej wyłącznie przez SMS, co umożliwia przestępcy przejęcie autoryzacji bez wiedzy ofiary.
-
Możliwość zwiększania limitów transakcji: Przestępca, mając dostęp do duplikatu karty SIM, może bez problemu zwiększyć limity transakcyjne w aplikacji mobilnej, co pozwala na dokonywanie większych kradzieży.
-
Brak blokady na nowe urządzenia: mBank nie wymaga fizycznej wizyty w oddziale, aby zablokować możliwość podpięcia nowych urządzeń do konta. Oznacza to, że przestępca może w łatwy sposób powiązać aplikację mobilną ze skradzionymi danymi.
Te luki w zabezpieczeniach sprawiają, że autoryzacja mobilna w mBanku nie chroni klientów przed atakami z użyciem duplikatu karty SIM. Choć sama metoda autoryzacji jest bezpieczniejsza niż tradycyjne rozwiązania, nieprawidłowe wdrożenie niweluje jej skuteczność.
Wnioski i rekomendacje
Na podstawie przeprowadzonych analiz możemy wyciągnąć następujące wnioski:
- Autoryzacja mobilna jest potencjalnie najlepszą metodą zabezpieczenia, ale wymaga prawidłowej implementacji.
- Banki muszą zapewnić odpowiednie powiadomienia i mechanizmy blokady, aby skutecznie chronić klientów przed atakami z użyciem duplikatu karty SIM.
- Operatorzy telefonii komórkowej również muszą poprawić procedury weryfikacji tożsamości, aby utrudnić przestępcom uzyskanie nielegalnych duplikatów kart SIM.
Aby skutecznie zabezpieczyć się przed kryptowalutowymi oszustwami, należy regularnie monitorować doniesienia na temat bezpieczeństwa w bankowości elektronicznej. Warto również zapoznać się z wskazówkami dotyczącymi ochrony przed cyberprzestępcami i zastosować je w codziennym korzystaniu z usług finansowych.
Ciągły rozwój technologii i kreatywność przestępców sprawiają, że banki oraz użytkownicy muszą być czujni i gotowi do dostosowywania się do zmieniających się zagrożeń. Tylko w ten sposób możemy skutecznie chronić swoje dane i środki finansowe przed coraz bardziej wyrafinowanymi atakami.
