Artykuł powstał we współpracy z firmą Comarch SA.
Okazuje się, że wcale nie odsetki z kredytów czy kapitał utrzymywany na kontach klientów są najcenniejszymi zasobami, które powinny chronić banki. Budowanie zaufania użytkowników zaczyna się już na samym początku współpracy, kiedy powierzają oni instytucjom finansowym swoje dane osobowe.
7 na 10 klientów banków obawia się wyłudzenia danych
To, jaką wagę klienci banków przykładają do ochrony swoich danych osobowych, odzwierciedla badanie przeprowadzone przez Biuro Informacji Kredytowej. Prawie 70 proc. ankietowanych zadeklarowało, że obawia się, że oszuści podszyją się pod instytucję lub osobę, a oni w dobrej wierze podadzą im swoje dane czy dostęp do konta.
Bankowanie online naprawdę wiele ułatwia i pozwala oszczędzać czas, ale bez bezpośredniego kontaktu z pracownikiem banku w placówce przeciętnemu użytkownikowi naprawdę trudno zweryfikować, czy osoba, podająca się za reprezentanta banku (np. w rozmowie telefonicznej albo w wiadomościach tekstowych), rzeczywiście nim jest.
Na socjotechnikę nie ma mocnych
Jak wyjaśnia Andrzej Karpiński z BIK, typowe przypadki wyłudzeń to przede wszystkim manipulacja socjotechniczna w rozmowie telefonicznej, w której oszust podszywa się pod pracowników banku. Na czym to polega?
Techniki socjotechniczne to metody manipulacji człowiekiem, które mają na celu nakłonienie go do podjęcia określonych czynności. Nawet gdy klienci banków deklarują, że nigdy nie podaliby nikomu swoich danych do konta, a na podejrzaną wiadomość by nie odpowiedzieli albo od razu rzuciliby słuchawką, to statystyki nie kłamią. Jak wynika z raportu firmy Lookout (The Global State of Mobile Phishing), w 2022 r. 27,5% pracowników, korzystających ze służbowych telefonów, przynajmniej raz otworzyło na nich niebezpieczny link. Jest to tym bardziej niepokojące, bo w 2020 r. odsetek ten wynosił zaledwie 8,2% użytkowników. A to oznacza, że oszuści stosują coraz bardziej zaawansowane techniki.
Bardzo często odwołują się oni do poczucia strachu, który w sektorze bankowym jest szczególnie skuteczny, bo na szali jest utrata pieniędzy. Informują, że dostęp do bankowości internetowej został zablokowany, że wykryto nieautoryzowane logowanie albo zalegamy ze spłatą raty kredytu.
Przy tym adresy mailowe wysyłane przez oszustów często są bardzo zbliżone do tych, którymi komunikuje się z klientami bank. Mogą również podszyć się pod numer bankowego centrum obsługi klienta tak, że na ekranie telefonu wyświetli się dokładnie ten sam numer.
Jak zapobiegać wyciekowi danych w sieci? Trendy z sektora bankowego
Piotr Kasprzyk, Dyrektor Business Unit’u Cyber Security z firmy Comarch SA, zauważa, że banki dokładają wszelkich starań, aby zapewnić bezpieczeństwo danych użytkowników. Jednak nie są w stanie wyeliminować tak zwanego czynnika ludzkiego, czyli wpływu oszustów na personalne zachowania klientów.
Podstawą jest oczywiście edukacja użytkowników, ale P. Kasprzyk wyróżnił kilka trendów, które banki powinny stosować, aby ryzyko wycieku danych było jak najniższe:
- Passwordless – metoda uwierzytelniania, gdzie można zalogować się do systemu komputerowego bez konieczności podawania hasła lub innej informacji opartej na wiedzy, zamiast tego wykorzystuje się bezpieczny dowód tożsamości za pomocą zarejestrowanego urządzenia lub tokena.
- Biometria – logowanie jest oparte na indywidualnych cechach każdego człowieka (np. odciska palca, układ twarzy, brzmienie głosu czy geometria tęczówki).
- Zero Trust – model bezpieczeństwa danych oparty na przekonaniu, że każdy użytkownik, urządzenie czy adres IP stanowi potencjalne zagrożenie dopóki nie udowodni, że jest inaczej.
- What You See Is What You Sign – co oznacza „to, co widzisz, jest tym, co podpisujesz”, czyli wygląd dokumentów cyfrowych powinien być spójny we wszystkich systemach komputerowych, a użytkownik powinien mieć gwarancję, że treść dokumentu, który podpisuje, nie może zostać zmieniona przypadkowo lub celowo.
- Kryptografia – to technika, która polega na przekazywaniu informacji w taki sposób, aby były zabezpieczone przed niepowołanym dostępem. Wykorzystuje się w niej klucze, które szyfrują i odszyfrowują wiadomości.
Mimo obecności tych metod w sektorze bankowym, jeszcze jest sporo do poprawy. Aby podnieść poziom bezpieczeństwa świadczonych przez siebie usług, warto polegać na wiedzy i doświadczeniu specjalistów z zakresu cyberbezpieczeństwa.
Firma Comarch SA od 29 lat oferuje produkty dla bezpieczeństwa informacji, z których na przestrzeni lat korzystali i korzystają liderzy bankowości korporacyjnej, czyli ING Bank Śląski, Alior Bank, BNP Paribas czy DnB Nord.
Jej flagowymi produktami w zakresie ochrony zasobów cyfrowych są Comarch Smooth Authentication i Comarch tPro (Transaction Protection), które są adresowane do sektora bankowego.
Comarch Smooth Authentication to oprogramowanie uwierzytelniające, które jest oparte na analizie ryzyka i łączy w sobie rozpoznawanie urządzenia, wykrywanie złośliwego oprogramowania i biometrię behawioralną. Dzięki czemu pozwala wykrywać potencjalne oszustwa w czasie rzeczywistym. Nie wpływa to jednak na wygodę użytkownika w korzystaniu z aplikacji, ponieważ wszystkie procesy toczą się w tle.
Z kolei Comarch tPro pozwala zabezpieczyć zarówno transakcje, jak i logowanie klientów. Składa się z dwóch innowacyjnych rozwiązań (na komputery i urządzenia mobilne), które jednocześnie zapewniają ochronę klienta, ale i pozwalają obniżyć koszty wydane na cyberbezpieczeństwo, bo nie ma konieczności instalowania dodatkowych komponentów, a oprogramowanie działa na wszystkich systemach operacyjnych.
Piotr Kasprzyk podsumowuje, że w zakresie ochrony bezpieczeństwa zasobów cyfrowych klientów w sektorze bankowym nie wystarczą tylko starania banków. Rozwiązania technologiczne ułatwiają zabezpieczenie procesów, ale konieczna jest również edukacja i zaangażowanie samych użytkowników, aby byli świadomi, jakie zagrożenia na nich czekają i jak się przed nimi bronić.
Artykuł powstał we współpracy z firmą Comarch SA.
0 Komentarze