Cyberhigiena pieniądza

00:00:00: Podkast Radia Poznani Portfel, magazyn ekonomiczny.

00:00:18: Dwa miliony złotych.

00:00:19: Tyle szacunkowo wynosi kwota kradzieży, który ofiaramy padli klienci Santander Bank Polska.

00:00:27: To zdarzyło się głównie w bankomatach Wielkopolsce.

00:00:30: Warto to dodać.

00:00:31: Natomiast bank już poinformował, że pieniądze oddał Wszystkim poszkadowonym.

00:00:36: zwrot nastąpił automatycznie, no ale jednak pewne ziarno-niepokoju zostało zasiane.

00:00:43: Dziś natomiast chciałbym przypomnieć podstawowe zasady cyberhigieny, które mogłyby sprawić, że będziemy bezpieczniejsi.

00:00:51: I tak jak dokładnie myjemy ręce, tak powinniśmy również skrupulatnie dbać o higieny naszych portfeli, żeby nie zagnieździły się w nich jakieś niebezpieczne, cyfrowe bakterie.

00:01:06: W studiu doktor Daniel Wielusz, Katedra Technologii Informacyjnych, Uniwersytet Ekonomiczny w Poznaniu.

00:01:12: Dzień dobry.

00:01:13: Dzień dobry Panu, dzień dobry Państwu.

00:01:15: Ta historia z sandanderem, ten sposób, w jaki złodziej dostali się dokąd klientów, to jest numer stary jak świat.

00:01:23: I tak i nie, ze skimingiem nie mieliśmy do czynienia od dawna.

00:01:28: Ostatnie duże przestępstwo tego typu było wykryte koło dwa tysiące jedenastego roku, no jego skala zarówno finansowa jak i tutaj zakresu geograficznego była dużo, dużo większa.

00:01:41: Tam przestępcy ukradli pięćdziesiąt milionów euro i to w różnych krajach Unii Europejskiej, u różnych klientów z różnych banków.

00:01:49: Dobrze, skiming, czyli?

00:01:51: czyli odczytanie zawartości paska magnetycznego karty płatniczej.

00:01:55: Zczytanie po prostu, można powiedzieć.

00:01:58: Tak, skopiowanie go.

00:01:59: Gdzie popełniono błąd.

00:02:01: W tej chwili bez szczegółowych informacji systemów informatycznych banków, operatorów kart płatniczych, operatorów bankomatów trudno powiedzieć.

00:02:11: Cym bardziej, że środowisko bankowe od lat wprowadziło zabezpieczenia przed tego typu atakami.

00:02:18: Domyślnie paski magnetyczne są zablokowane, czyli wydając kartę, każdy bank wyłączy możliwość płatności kartą przy pomocy paska magnetycznego, tudzież wypłacenia gotówki z bankom.

00:02:31: też korzystając wyłącznie z paska magnetycznego.

00:02:33: Te paski magnetyczne, one się nadal przydają, gdybyśmy chcieli podróżować do innych krajów.

00:02:38: Na przykład dostaną zjednoczonych, gdzie jest dosyć obszerna infrastruktura, która korzysta wyłącznie z pasków magnetycznych.

00:02:44: W takim przypadku, na przykład w systemie bankowości elektronicznej, możliwość płatności tym paskiem magnetycznym należy włączyć.

00:02:51: Nic.

00:02:51: stąd też to i zdziwienie, bo prawdopodobnie... Weryfikacja blokady tego paska magnetycznego musiała w jakiś sposób zostać pominięta.

00:02:59: No i tutaj czekamy na szczegóły też, które ujawni prawdopodobnie może śledztwo.

00:03:04: Są

00:03:04: różne podejrzenia, że być może zamontowany też jakąś nakładkę na klawiaturę.

00:03:09: Może kamerkę, tylko jest pytanie, czy zwykły klient jest w stanie w ogóle odróżnić, że ma do czynienia z takim bankomatem, który ma takie wyposażenie, które umożliwa złodziejowi zczytanie danych z karty.

00:03:21: identyfikacja takiego urządzenia może nie być prosta.

00:03:25: Bankomaty mają różny wygląd.

00:03:27: To są różnego typu urządzenia produkowane przez wielu dostawców i nawet takie elementy jak szczelina, w którą wkładamy kartę oraz krawiatura numeryczna mogą wyglądać troszeczkę inaczej.

00:03:39: Jeśli korzystamy często czy pobieramy gotówkę z jednego urządzenia i nagle to urządzenie wygląda troszeczkę inaczej.

00:03:46: Coś z niego wystaje, coś jest niestabilnego.

00:03:48: Gdzieś może widać jakieś szczeliny na przykład u góry bankomatu, tak jakieś podświetlenie, które nie jest prosto zamontowane.

00:03:55: może tam być ukryta kamera.

00:03:56: Tak, jeśli nie mamy zaufania do urządzenia, no wygląda podejrzanie, można to zgłosić.

00:04:01: Jeśli to jest przy placówce banku, można to zgłosić pracownikowi.

00:04:04: Jeśli to jest samodzielny bankomat, zadzwonić na numer infolinii operatora bankomatów i powiedzieć, że coś budzi podejrzenia.

00:04:12: Czego na pewno nie powinniśmy robić korzystając z kart płatniczych.

00:04:17: Bankowych, bankomatowych, kredytowych, jak zwał tak zwał.

00:04:21: Tak, sama karta płatnicza powinna być traktowana jako tajemnica.

00:04:24: Powinniśmy ją trzymać schowaną, nie pokazywać jej.

00:04:28: Również kiedy się nią posługujemy, no najlepiej jest ją zakryć.

00:04:32: Nawet sprzedawcy też nie powinniśmy jej dawać do rąk, czy nie wypuszczać jej z rąk, trzymać ją w portfelu.

00:04:38: Jeśli wpisujemy pin, najlepiej go zakrywać, tak żeby jakaś ukryta kamera nie zarejestrowała numeru tej karty.

00:04:45: Też sama zawartość karty.

00:04:47: jej numer oraz też kod CVC albo CVV, który jest na od jej odwrocie, jest też bardzo wrażliwy, ponieważ przy jego pomocy możemy płacić w internecie.

00:04:56: To powiedzmy pierwsze przykazanie cyberhygieny, mogliśmy chyba stworzyć cały dekalot.

00:05:01: mam wrażenie.

00:05:02: Na przykład warto pamiętać też o tym, że my możemy zarządzać naszym kątem, te dzienne płatności możemy nad nimi mieć kontrolę.

00:05:10: Tak, to też jest kluczowe, że do konta, którego mamy pod piętą kartę, to powinniśmy utrzymywać kwotę, która jest nam potrzebna do codziennych płatności, żeby to nie były zbyt duże kwoty, tak zwłaszcza o szczętności całego życia, tak?

00:05:22: Możemy sobie założyć konto o szczętnościowe.

00:05:25: Nawet można korzystać z usług kilku banków, wiele banków ma oferty, w których nawet nie pobiera płat miesięcznych za prowadzenie rachunków, może warto z tego skorzystać.

00:05:36: Dodatkowo jeszcze, z szczególności dla płatności w internecie, gdzie musimy pod... dać numer karty i właśnie ten kod CVC lub CVV to dobrze jest utrzymywać inną kartę.

00:05:46: Zamówić sobie kartę wirtualną do płatności w internecie albo kartę przed płaconą i wtedy możemy przed dokonaniem płatności zrobić przelew z własnego konta na rachunek tej karty i utrzymywać tam saldo zbliżone do zera.

00:05:59: Tak jakąś niewielką kwotę, którą nawet jeśli stracimy no to nie będzie to jakiś duża strata.

00:06:04: Dobrze

00:06:04: mieć osobną kartę do zakupów internetowych, osobną do zakupów w sklepie na przykład.

00:06:09: Tak.

00:06:10: w szczególności, ponieważ, jeżeli ujawnimy w jednym miejscu numer karty oraz cod CVC, CVV, no narażamy się na to, że jakaś baza danych w sklepie internetowym mogłaby zostać naruszona, jeszcze mamy inny obszar ataku, a w szczególności ten problem dotyka płatności poza Unią Europejską, jeśli byśmy kupowali usługi i dostęp do jakichś usług internetowych, na przykład w Stanach Zjednoczonych, tam też jest inne prawo, tak może się okazać, że na przykład ustawa RODO nie będzie obowiązywać.

00:06:38: Jedną

00:06:39: drogą można też ustawić blokady płatności poza Polską, poza konkretnymi krajami, poza Europą.

00:06:44: To też jest możliwe.

00:06:45: Podobnie zresztą jak, bo może ktoś jednak chce mieć jedno konto, bo za dużo tego dla niego w tym codziennym pośpiechu, ale może tam również ustawić limit dziennych płatności.

00:06:55: Tak.

00:06:56: To też warto na to zwrócić uwagę.

00:06:59: Limity ustawić na tyle, żeby ta płatność, czy potencjalne ograniczyć możliwość radzieży skąta przez limit płatności.

00:07:09: Nawet jeśli byśmy planowali wyższe zakupy, zawsze w bankowości elektronicznej można podwyższyć ten limit, ale go ustawić na taką kwotę, która jest mniej więcej taką standardową płatnością dzienną za zakupy na przykład w supermarketcie.

00:07:22: i wiemy, że to nam nie utrudni z jednej strony.

00:07:25: funkcjonowania i płatności.

00:07:27: z drugiej strony ogranicza właśnie wpływ potencjalnego incydentu.

00:07:32: Porozmawiajmy o czymś co, co rzadko robimy.

00:07:36: Mam wrażenie, że bardzo się przyzwyczajem do naszych haseł, na jednak regularna zmiana haseł jest ważna.

00:07:43: Spotkałem się kiedyś z taką historią, że informatyk powiedział do jednego z klientów, pan to mi wygląda na jeden, dwa, trzy, cztery.

00:07:50: Oczywiście chodzi o hasło.

00:07:52: Tak, czy to właśnie hasło do bankowości online, czy też pin do karty.

00:07:57: Więc raczej no ustawienie pinu na cztery jedynki, tak czy jeden, dwa, czy cztery nie jest dobrym pomysłem.

00:08:04: Też grupy przestępcze, które zbierają dane o kartach, nawet jeśli im się nie uda nagrać pinów i mają tylko skopiowane paski magnetyczne, one mogą wykonać atak, który powoduje użycie pewnego powszechnie stosowanego hasła, pinu, na przykład jeden, dwa, czy cztery.

00:08:21: dla kilkudziesięciu wtedy zadziała.

00:08:23: Czyli

00:08:24: statystycznie musi paść na którąś skar, która taki właśnie będzie miała.

00:08:28: Jeśli ja ustawię dość skomplikowane hasło, czy to jest mocne utrudnienie dla przestępcy?

00:08:34: Tak, zwłaszcza jeśli chodzi o atak słownikowy, tak, bo przestępcy będą raczej próbować haseł, które się często pojawiają.

00:08:42: Pewny też haseł, które przechwycili z innych baz danych, tak, to też mówimy o tym, żeby nie stosować hasła takiego samego w różnych usługach, tak, czyli jeśli mamy hasło do... banku, no to absolutnie nie powinniśmy mieć takiego samego do usługi poszty elektronicznej albo w sklepie internetowym, z którego korzystamy, bo może się okazać, że atakujący przejęli bazę danych z hasłami na skutek włamania, tak podatności w jednej z organizacji, w których mamy konto użytkownika i dalej będą próbować je wykorzystać.

00:09:11: Jest jeszcze możliwość bardzo precyzyjnego ustawienia weryfikacji naszych płatności, transakcji wszelkiego rodzaju.

00:09:18: Może być ona wieluetapowa.

00:09:20: Znaczy

00:09:20: uwierzytelnianie wieloetapowe jest w tej chwili standardem prawnie wymaganym.

00:09:26: To dyrektywa o płatnościach elektronicznych, PSD-II, wręcz nakłada obowiązek, czyli my transakcję musimy potwierdzić, na przykład czynnikiem posiadania, jak mówimy o kartach, to ten czynnik posiadania to jest ta fizyczna karta.

00:09:39: Ona ma zapisane swoje szczegóły, zwłaszcza karty mikroprocesorowe.

00:09:43: One mają zapisany unikalny klucz kropotograficzny, przy pomocy którego identyfikują się wobec banku, on jest tajemnicą.

00:09:49: z raną wewnątrz tego mikrochipa, no i tej części pamięci nie można sobie w prosty sposób skopiować jak paska magnetycznego, więc jest to bardzo dobre zapisanie.

00:09:58: To już jest jakiś etap w zaryfikacji.

00:09:59: A

00:09:59: drugi etap to jest coś, co wiemy, czyli PIN, który znamy.

00:10:03: Możemy też jeszcze poprosić o kolejny na przykład o to, żeby przeszło potwierdzenie na nasz telefon i wpisanie kodu, który przyjdzie na ten numer.

00:10:11: To też jest jeszcze jeden etap.

00:10:13: Tak, jeśli klient banku już posiada aplikację mobilną, potrafi z niebezpieczniej korzystać, to z pewnością warto ustawić sobie powiadomienia dla każdej transakcji.

00:10:24: w przypadku nieuprawnionego użycia karty, od razu dostaniemy informację, że coś się stało.

00:10:29: Jeśli pojawi się takie powiadomienie, możemy zalogować je do bankowości elektronicznej i tam w ustawieniach karty ją na przykład zablokować czasowo albo nawet trwale ją unieważnić.

00:10:40: Jeśli jesteśmy zdenerwowani i mamy problem z tym, żeby posługiwać aplikację internetową, można zadzwonić na numer infolinii.

00:10:48: Na tyle każdej karty płatniczej znajdziemy numer telefonu, po której można zadzwonić.

00:10:54: kiedy coś się stanie.

00:10:55: Tak podejrzewamy, że ona mogła zostać wykradziona i wtedy podamy szczegóły konsultantowi, który taką kartę zablokuje.

00:11:01: Jeszcze na koniec na fali tej historii z Santanderem pojawiły się też takie sygnały, że może w ogóle nie płacić kartami fizycznymi, tylko przejść na aplikacje różnego rodzaju, które mamy na przykład w smartfonach.

00:11:13: Patności kartami są metodą bardzo dojrzałą i dobrze zabezpieczoną.

00:11:18: Tutaj ta sytuacja, która miała miejsce jest raczej incydentalnym wypadkiem.

00:11:24: Prawdopodobnie incydent polegał na wykorzystaniu specyficznej implementacji rozwiązania, możliwe, że po stronie bankomatu.

00:11:33: Tutaj problemem mogą stanowić urządzenie fizyczne, możliwe, że protokół komunikacji tego bankomatu z organizacją kartową może też wykorzystanie protokołu, który pozwolił na pominięcie weryfikacji karty przez bank.

00:11:48: To się rzadko zdarza, ale organizacje kartowe, które działają na całym świecie, to są operatorzy międzynarodowi, mają w ofercie taką możliwość.

00:11:57: To jest pytanie, czy to miało miejsce.

00:11:59: Używanie

00:11:59: smartfonu niekoniecznie musi być bezpieczniejsze niż fizyczne karty.

00:12:03: Jeśli używamy aplikacje na telefonie, no to wtedy skimink nie będzie miał miejsca, ale możemy się narazić na innego rodzaju ataki.

00:12:12: mogą, a grupy wykorzystać inne podatności.

00:12:15: Tutaj pamiętajmy, że korzystamy z aplikacji mobilnych, to po naszej stronie leży konieczność zadbania o bezpieczeństwo urządzenia.

00:12:22: To my jesteśmy posiadaczami smartfonu, na którym instalujemy aplikacje i musimy zadbać aktualizację systemu o zainstalowanie o programowanie antywirusowego.

00:12:32: to aby powstrzymać o odinstallowanie oprogramowania, które jest niezaufane, podejrzane i takie wymagania wręcz wprost są w umowach o wydanie tego instrumentu płatniczego.

00:12:43: Karta płatnicza jest urządzeniem prostszym i o którego bezpieczeństwo łatwiej jest zadbać użytkownikowi.

00:12:50: Doktor Daniel Wilusz, Katedra Technologii Informacyjnych, Uniwersytet Ekonomiczny w Poznaniu.

00:12:56: Dziękuję za rozmowę.

00:12:57: Dziękuję Panu, dziękuję Państwu.

00:13:01: Polecam Państwu jak najczęściej zaglądać na nasze konto, na historię transakcji, bo to czasami są bardzo drobne operacje, których możemy nawet nie zauważyć w mnogości wydatków w ciągu danego miesiąca.

00:13:15: Jeśli podobał się Państwu ten odcinek podcastu, zachęcamy do obserwowania naszego kanału.

00:13:22: Dodania odcinka do swojej listy lub pozostawienia komentarza.

00:13:25: Zapraszamy też do osłuchania programów Radio Poznań i na stronę www.radiopoznanfm.