Dodatkową zaletą jest to, że z usługi od razu skorzystają posiadacze kart VISA i Mastercard oraz klienci całkiem sporej liczby banków na początek – Alior, BZWBK, T-Mobile Usługi Bankowe. Wkrótce dołączy też mBank oraz kolejne banki. Warto dodać, że poza szeroką gamą akceptantów AP zapłacimy na Allegro, Ceneo, iTaxi czy w Uberze. Co do bezpieczeństwa to warto wspomnieć, że sama usługa opiera się na tokenizacji. Podczas płacenia prawdziwy numer karty nie jest udostępniany sklepowi, a używany jest numer konta wirtualnego.
Android najbardziej powszechny, więc atakowany
Z najnowszego badania przeprowadzonego przez Kaspersky Lab wynika, że ponad połowa urządzeń mobilnych na całym świecie jest podatna na cyberzagrożenia z powodu braku odpowiedniej ochrony. Większość tych urządzeń ma zainstalowany system operacyjny Android.
Eksperci z Kaspersky Lab wykryli niedawno modyfikację mobilnego trojana bankowego Svpeng, ukrywającego się w sieci reklamowej Google'a — AdSense. Od połowy lipca Svpeng został wykryty na urządzeniach z systemem Android około 318 000 użytkowników, przy czym największy współczynnik infekcji wynosił 37 000 ofiar dziennie. Cyberprzestępcy, których celem była kradzież informacji dotyczących kart bankowych oraz danych osobistych, takich jak kontakty oraz historia połączeń, wykorzystywali błąd w przeglądarce Google Chrome dla systemu Android. Ponieważ firma Google usunęła już tę lukę, Kaspersky Lab może ujawnić pełne szczegóły dotyczące ataku. Pierwszy znany przypadek ataku trojana Svpeng miał miejsce w połowie lipca i dotyczył rosyjskiej internetowej agencji informacyjnej. Podczas ataku trojan ukradkowo pobierał się na urządzenia z systemem Android należące do osób odwiedzających tę stronę.
Jak wygląda dziś bezpieczeństwo płatności mobilnych?
Dla firm finansowych bezpieczeństwo metod płatności stanowi kluczową potrzebę na takim samym poziomie, jak zapewnienie prywatności i wygodę wszystkich transakcji swoim klientom. Jak informowała kilka miesięcy temu firma Bitdefender, zajmująca się dostarczaniem oprogramowania antywirusowego, wraz z rosnącą liczbą próbek szkodliwego oprogramowania i zagrożeń cybernetycznych, wiele banków i instytucji finansowych (czyli ING, Bank of America, Mastercard, PayPal), które przystąpiły do FIDO Alliance (Fast IDentity Online), organizacji wspierającej oraz promującej technologie, dzięki którym użytkownicy będą mogli korzystać z usług online, bez tworzenia wielu kont i nowych haseł, (których niestety nie zmieniają lub stosują w wielu miejscach jednocześnie).
Protokoły te nie używają prostych haseł, a są oparte na kryptografii klucza publicznego i mocno odporne na phishing. Użytkownicy rejestrując swoje urządzenie do usługi online, wybierają lokalny mechanizm uwierzytelniania, taki jak przeciąganie palcem i patrzenie w kamerę, mówienie do mikrofonu, lub wprowadzanie kodu PIN. Po zarejestrowaniu, należy po prostu powtórzyć działania lokalne, w celu uwierzytelnienia i zalogowania do usługi. Użytkownik nie musi wpisywać hasła podczas uwierzytelniania na tym urządzeniu. Uniwersalna ramowa funkcja uwierzytelniania pozwala również na łączenie tych mechanizmów poprzez połączenia odcisku palca i PINu.
Drugie rozwiązanie zwiększa bezpieczeństwo usług online poprzez zastosowanie autoryzacji dwuetapowej, dodając do hasła kolejne silne zabezpieczenie. Użytkownik, tak jak dotąd, loguje się za pomocą nazwy użytkownika i hasła. Usługa może również w każdej chwili poprosić o autoryzację dla drugiego zabezpieczenia (takiego, które wybrał użytkownik). Może być to np. kod sms z numerem PIN wysłany na wskazany numer telefonu. Takie zabezpieczenia już z powodzeniem działają dla np. usług poczty.
Takie protokoły nie dostarczają informacji, które mogą być używane przez różne usługi internetowe do śledzenia użytkowników. Informacje biometryczne nigdy nie opuszczają urządzenia użytkownika.
Podczas zabezpieczania transakcji, dla banków zawsze najwyższym priorytetem jest zachowanie bezpieczeństwa wewnętrznego. Firmy te muszą z góry planować usuwanie awarii oraz mieć możliwość szybkiego zidentyfikowania i zbadania naruszeń bezpieczeństwa, poprzez dobrze zaplanowane procedury reagowania.
W obu powyższych przypadkach płatności największym zagrożeniem bezpieczeństwa może okazać się… człowiek. W wypadku aplikacji wystarczy, aby ustawił zbyt prosty PIN dostępu do aplikacji, nie zabezpieczył telefonu i go zgubił – wtedy może się okazać, że z własnej winy stał się ofiarą.
Ostatnie trzy lata to przykład tego, jak szybko rozwija się rynek technologii mobilnych. Wraz ze wzrostem ilości użytkowników smartfonów rośnie ilość użytkowników korzystających z mobilnych form płatności. Są już pierwsze aplikacje bankowe, które można obsługiwać głosem.
Zabezpieczenia odblokowywane głosem testuje także Google, o czym producent oprogramowania Bitdefender niedawno informował, jednak nadal nie są to w 100 proc. skuteczne metody. Bioinżynieria naczyń krwionośnych palca także jest już wykorzystywana – ta metoda wydaje się niezawodna (układu naczyń nie da się podrobić), jednak kwestią czasu pozostaje jej dopracowanie, gdyż o wielu zabezpieczeniach kiedyś mówiliśmy „niezawodne” – np. o odciskach palców, które także w dość prosty sposób można podrobić.
Zdaniem Bitdefender zdecydowanie metody biometryczne to przyszłość. Jednak należy także pamiętać, że w wypadku przelewów wykonywanych na smartfonach i tabletach także należy instalować oprogramowanie antywirusowe, gdyż pozwoli to wykryć złośliwe aplikacje, które mogą przejąć dane do autoryzacji przelewów i przekazać je w niepowołane ręce. Dodatkowa ochrona nigdy nie zaszkodzi.
Pamiętajmy także, że towar zakupiony i opłacony za pośrednictwem aplikacji w smartfonie możemy reklamować podobnie jak każdą inna rzecz, na podstawie prawa konsumenckiego. W przypadku problemów związanych z samą płatnością należy bezzwłocznie skontaktować się z operatorem systemu oraz bankiem w którym udostępniono rachunek czy kartę kredytową powiązaną z platformą zakupową.
Oprac. T.J.