Coraz więcej innowacyjnych rozwiązań w obszarze płatności w bankowości internetowej może ułatwiać cyberataki na jej użytkowników - uważają eksperci Deloitte. Najbardziej narażone na ataki są małe i średnie firmy oraz indywidualni klienci.

"Gwałtowny wzrost wykorzystania bankowości elektronicznej, a także innowacje w obszarze usług płatności są nieuniknione, jednocześnie rosnąca liczba usług powoduje wzrost ryzyka dla banków oraz ich klientów" - powiedział w czwartek na konferencji prasowej dyrektor, lider obszaru cyberbezpieczeństwa Deloitte w Polsce, Marcin Ludwiszewski.

Z analizy ekspertów Deloitte wynika, że obecnie banki udostępniają średnio osiem kanałów umożliwiających dokonywanie transakcji m.in. w oddziale, przez telefon, komputer czy aplikację mobilną na smartfonie i tablecie, przy dziesięciu dostępnych metodach potwierdzenia jej. Są to m.in.: kody SMS, podpis elektroniczny, tokeny sprzętowe, tokeny programowe, kody jednorazowe, kody PIN, pytania kontrolne czy parametry biometryczne (np. odcisk palca lub głos).

„W związku z wieloma kanałami dostępu i metodami autoryzacji istnieje kilkadziesiąt ścieżek, które stwarzają cyberprzestępcom możliwość ataku. Kierunki rozwoju zabezpieczeń, takie jak biometryczne rozpoznawanie głosu czy odcisków palców, daje nadzieję na skuteczniejszą walkę z cyberprzestępcami, ale nie należy się łudzić, że uda się uniknąć ich w stu procentach. Naszym zdaniem ze względu na wysoką profesjonalizację grup przestępczych liczba ataków będzie rosła” – wskazał menadżer w dziale cyberbezpieczeństwa Deloitte Marcin Lisiecki.

Ludwiszewski dodał, że głównym celem przestępców jest kradzież środków finansowych oraz kradzież danych dotyczących tożsamości użytkowników bankowości elektronicznej umożliwiająca m.in. zaciąganie kredytów, czy dokonywanie włamań na konto bankowe.

Jak tłumaczył, aby dostać się do środków finansowych klientów banków, cyberprzestępcy najczęściej wykorzystują różne kombinacje tzw. inżynierii społecznej, np. spam lub e-mail ze złośliwym załącznikiem, linkiem prowadzącym do strony internetowej, która ma na celu zainfekowanie złośliwym oprogramowaniem komputer lub telefon ofiary.

Oprogramowanie to może przechwytywać dane potwierdzające tożsamość lub dane autoryzujące transakcje poprzez atak na poziomie przeglądarki, np. wyświetlając pozornie prawdziwy komunikat w celu przechwycenia danych albo podmieniając wskazany przez klienta numer konta bankowego na wskazany przez cyberprzestępców. Ryzyko ataku może również wynikać ze słabych punktów, które generują niezabezpieczone sieci Wi-Fi lub usługi telekomunikacyjne umożliwiające dostęp do danych takich jak SMS.

Dlatego - jak podkreślił - zwłaszcza małe i średnie firmy, które często borykają się z brakami w zakresie organizacyjnym i technicznym, w obszarze cyberbezpieczeństwa, powinny być szczególnie ostrożne.

"Chcąc zabezpieczyć się przed atakami w sieci firmy powinny zidentyfikować zagrożenia związane z dokonywaniem płatności elektronicznych i umiejętnie nimi zarządzać m.in. poprzez regularne szkolenia pracowników, którzy są szczególnie narażeni na ryzyko ataków np. księgowość. Podobnie jak w przypadku klientów indywidualnych, również osoby zatrudnione w sektorze MŚP powinny unikać wchodzenia na podejrzane i nieznane strony internetowe" - zaznaczył Ludwiszewski.

Dodał, że niezbędne są również rozwiązania technologiczne do wykrywania i usuwania spamu, fałszywych e-maili oraz złośliwego oprogramowania. Eksperci Deloitte zaznaczają, że klienci indywidualni banków również powinni zachować ostrożność.

"Klienci indywidualni powinni kierować się zasadą ograniczonego zaufania w odniesieniu do otrzymywanych wiadomości e-mail, załączników, stron internetowych, jak również instalowanych aplikacji. Ważne jest również, aby dostawcy usług telekomunikacyjnych przy wprowadzaniu nowych produktów, mieli na uwadze ryzyko nieuprawnionego dostępu do danych, które mogą być wykorzystywane przy autoryzacji transakcji” – powiedział Ludwiszewski.

Zaznaczył, że duża odpowiedzialność za bezpieczeństwo spoczywa także na bankach, które poza edukacją klientów powinny na bieżąco testować swoje oprogramowanie i udostępniane aplikacje mobilne pod kątem bezpieczeństwa oraz wykrywać i reagować na nietypowe schematy płatności.

Według danych Związku Banków Polskich (ZBP) w ostatnim kwartale 2015 r. liczba aktywnych klientów indywidualnych bankowości internetowej w Polsce przekroczyła 14,5 mln osób, a w przypadku sektora małych i średnich przedsiębiorstw aktywnych klientów jest 1,3 mln.