Felietony

Przy takim stanowisku prezesa UOKiK nigdy nie pozbędziemy się ataków typu phishing

Grzegorz Ułan
6

Wczoraj prezes UOKiK opublikował swoje obszerne stanowisko w sprawie nieautoryzowanych transakcji płatniczych przez klientów banków w Polsce. Przyznam, że mam nieco mieszane uczucia, co do niektórych uzasadnień tegoż stanowiska.

Według danych firm analitycznych Radicati i Statista, każdego dnia na całym świecie wysyłanych jest prawie 3,5 miliarda wiadomości phishingowych. Oznacza to, że niemal co drugi z nas codziennie jest obiektem próby ataku typu phishing. Można więc powiedzieć, iż nie ma możliwości, abyśmy choć raz nie otrzymali takiej wiadomości.

Atak typu phishing ma najczęściej postać wiadomości e-mail, w której przestępcy podszywający się pod nasz bank, różnymi technikami próbują nakłonić swoje ofiary do zalogowania się do bankowości elektronicznej na fałszywej stronie, dzięki czemu uzyskują dane logowania, czyli login i hasło.

Tu się zatrzymajmy, uznając tę część ataku za wielce skuteczną - myślę, że na te 3,5 miliarda wiadomości znaczna część odbiorców nie zwróci uwagi, że loguje się na fałszywej stronie banku. Co ważne, nie można tu mówić jeszcze o niedbalstwie korzystania z instrumentów płatniczych - jesteśmy tylko ludźmi. Jednak przecież to nie wystarczy do kradzieży środków z konta, i tu zajrzyjmy do wspomnianego stanowiska prezesa UOKiK.

Prezes UOKiK powołując się na art. 46 ustawy o usługach płatniczych utrzymuje, iż dostawcy usług płatniczych mają obowiązek do następnego dnia roboczego zwrócić klientom kwotę z transakcji, której autoryzacji on zaprzecza. Wyjątkiem są tylko dwa przypadki:

  • płatnik zgłosił nieautoryzowaną transakcję po upływie 13 miesięcy od jej dokonania – w tym przypadku jego roszczenie wygasa,
  • dostawca usług płatniczych zawiadomił na piśmie policję lub prokuraturę, że ma uzasadnione i udokumentowane podejrzenie, że konsument poprzez nieprawdziwe zgłoszenie i żądanie zwrotu kwoty transakcji próbuje dokonać oszustwa – w tej sytuacji obowiązek zwrotu zostaje zawieszony do czasu ustalenia przez odpowiednie organy, jak było naprawdę.

Co zwykle robią banki w takich sytuacjach? W przypadku reklamacji klientów, co do transakcji, której nie autoryzowali, banki odpowiadają, że uwierzytelnienie przebiegło prawidłowo, więc w ich ocenie nie muszą przywracać konta konsumenta do stanu sprzed nieautoryzowanej transakcji.

Mamy więc tu dwa pojęcia - uwierzytelnienie i autoryzacja. UOKiK stoi na stanowisku, iż transakcję płatniczą uważa się za autoryzowaną jedynie wówczas, gdy płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.

Z kolei uwierzytelnienie, na które powołują się banki, to procedura umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających.

W szczegółowym uzasadnieniu, prezes UOKiK zwraca uwagę dodatkowo, że w przypadku uwierzytelnienia, aby było ono prawidłowe, musi być dokonane w sposób przewidziany w umowie pomiędzy dostawcą usług płatniczych a płatnikiem.

Przekładając to na prosty język, będzie to więc login i hasło do bankowości elektronicznej, karta płatnicza i jej PIN, transakcje dokonane przy użyciu aplikacji bankowości mobilnej, dane biometryczne itp., to jest chyba jasne dla wszystkich.

Jednak w uzasadnieniu UOKiK zabrakło mi informacji czym jest dokładnie autoryzacja, mamy tylko daleko idące uogólnienie i tak szerokie pojęcie tego terminu, że nie dziwię się bankom na odmowne odpowiedzi w reklamacjach - Odnośnie do zgody na wykonanie transakcji płatniczej należy wskazać, że płatnik składając dostawcy usług płatniczych zgłoszenie nieautoryzowanej transakcji płatniczej tym samym składa oświadczenie, że nie wyraził zgody na dokonanie danej transakcji.

Podsumowując stanowisko prezesa UOKiK:

Na autoryzację składają się zatem łącznie 2 elementy – po pierwsze zgoda płatnika na dokonanie transakcji, po drugie prawidłowe uwierzytelnienie, mające na celu potwierdzenie tożsamości płatnika, tj. w praktyce wykonanie określonych czynności technicznych w sposób przewidziany w umowie pomiędzy dostawcą a płatnikiem. Aby stwierdzić autoryzację transakcji, niezbędne jest wykazanie wystąpienia łącznie dwóch powyższych przesłanek. Wykazanie wystąpienia tylko jednej z nich nie stanowi wykazania autoryzacji transakcji płatniczej i w konsekwencji transakcję taką należy uznać za nieautoryzowaną.

Wróćmy teraz do momentu uzyskania przez przestępców danych logowania do bankowości elektronicznej, to jest moment uwierzytelnienia, uzgodniony z bankiem, dzięki któremu bank wie, że to my się logujemy.

Od dłuższego czasu, dzięki dyrektywie PSD2 banki mają obowiązek zastosowania dwuskładnikowego uwierzytelniania, więc po wprowadzeniu loginu i hasła musimy podać jeszcze kod z wiadomości SMS lub zatwierdzić logowanie mobilną autoryzacją w aplikacji mobilnej. To też jest łatwe do obejścia, gdyż cały czas mamy przekonanie, że to my logujemy się do konta, więc wprowadzamy ten kod czy potwierdzamy w aplikacji chęć zalogowania.

Przestępca jest już w tym momencie zalogowany do naszej bankowości elektronicznej. Zgadzam się więc z UOKiK, że do tej chwili samo wykazanie prawidłowego uwierzytelnienia klienta nie jest wystarczające do odrzucenia reklamacji.

Idziemy jednak dalej, trzeba wykonać jeszcze przelew. Tutaj przestępca musi wykonać jeszcze kilka operacji, by doszło do przelewu. Przede wszystkim musi dodać zaufanego odbiorcę, by wykonać przelew na nowy numer konta, ewentualnie dokonując przelewu na takie konto potwierdzić taką transakcję na telefonie.

I tak, musi albo potwierdzić dodanie nowego odbiorcy na swoim telefonie, albo potwierdzić przelew na nowy numer konta. Czym innym takie działanie jest, jak nie potwierdzeniem woli, autoryzacją, wyraźną zgodą klienta na dokonanie takiej transakcji? Na pewno nie jest to już zwykłe roztargnienie, jak w przypadku zalogowania się na fałszywej stronie banku.

Trudno mi sobie wyobrazić sytuację, w której nie robiąc aktualnie żadnego przelewu, potwierdzam jego dokonanie na swoim telefonie. To jest równoznaczne przecież z sytuacją, gdy ktoś podchodzi do mnie na ulicy i pyta czy chce mu dać 3 tys. zł, ja odpowiadam tak i daję. Czy bank w takiej sytuacji też ma mi oddać te pieniądze następnego dnia roboczego?

Jakie więc w takiej sytuacji udokumentowanie ma bank przedstawić na policji? W ich systemach widać jedynie prawidłowe uwierzytelnienie się klienta i później autoryzację przelewu, dokonaną na jego telefonie. Przecież nie wystąpią do jakiegoś specjalisty, który by mógł stwierdzić, co dany klient miał dokładnie w głowie w tamtej chwili, gdy ją autoryzował.

Jeszcze kilka lat temu znane były przypadki ataku phishing połączonego z atakiem na duplikat karty SIM i dowód kolekcjonerski. W takim przypadku rzeczywiście mogła być mowa o braku autoryzacji samego klienta. Dawno jednak nie pojawiły się kolejne, bo są zbyt trudne do przeprowadzenia i odznaczają się niskim prawdopodobieństwem ich skuteczności. Wymagają bowiem niemal w jednej chwili wyrobienie takiego duplikatu karty SIM u operatora i przeprowadzenie skutecznego ataku phishing.

Przestępcy decydują się więc na najbardziej skuteczną formę phishing czy ostatnio vhishing, gdzie przestępca podający się za na przykład pracownika banku, namawia ofiarę do instalacji aplikacji na swoim komputerze i szeregu późniejszych działań opisanych już w przypadku phishingu.

Nie staje tu oczywiście po stronie banków, nie chcę ich bronić, ale też nie chcę, by takie ataki zostały z nami już na zawsze. A takie stanowiska i interpretacja przepisów temu sprzyjają. Od kilkunastu lat słyszymy o nich, piszemy, rozmawiamy i przekazujemy dalej, do tego kampanie informacyjne, nawoływania, prośby i zakazy, a i tak niemal codziennie słyszymy o udanych atakach, przeprowadzanych skutecznie w ten sposób, że aż trudno uwierzyć, że się udały.

Nie chce mi się wierzyć, że u ofiar nie ma żadnego zawahania czy podejrzenia podczas takiego ataku, że coś jest nie tak. Jednak jak ma z tyłu głowy, że w przypadku jak te działania, na które się godzi okażą się fałszywe, to i tak dostanie zwrot tych kwot już następnego dnia, to zawsze wybierze ten ryzykowny krok.

Cieszę się, że UOKiK dba o konsumentów, tę słabszą stronę relacji klient-bank, ale nie może to być robione dowolną i jednostronną interpretacją przepisów. Jakie to przepisy? UOKiK powołuje się tu na dwa z unijnej dyrektywy PSD2:

  • art. 64 PSD2 w ust. 1 stanowi, że „Państwa członkowskie zapewniają, aby transakcję płatniczą uznawano za autoryzowaną tylko pod warunkiem udzielenia przez płatnika zgody na wykonanie transakcji płatniczej. Transakcja płatnicza może być autoryzowana przez płatnika przed wykonaniem transakcji płatniczej lub, jeżeli płatnik i dostawca usług płatniczych tak uzgodnili, po jej wykonaniu.”
  • ust. 2 tego artykułu PSD2, wskazuje się, że „Udzielenie zgody na wykonanie jednej transakcji płatniczej lub kilku transakcji płatniczych odbywa się w sposób uzgodniony pomiędzy płatnikiem a dostawcą usług płatniczych. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy lub dostawcy świadczącego usługę inicjowania płatności.”.

Osobiście w obu przepisach unijnych widzę jedno pojęcie - autoryzacja/zgoda płatnika, udzielona w uzgodniony sposób przez obie strony. Tak więc płatnik podpisujący umowę na usługi bankowości elektronicznej i korzystanie z aplikacji mobilnej, uzgadnia w niej sposób korzystania z nich, dokonywania płatności przy ich użyciu i ich autoryzacji.

Z kolei na podstawie tych samych dwóch przepisów, UOKiK rozróżnił dwa pojęcia - uwierzytelnienie i autoryzacja. Przy czym to, co w przepisach unijnych jest nazwane autoryzacją, UOKiK nazywa uwierzytelnieniem. Brakuje mi więc szczegółowego uzasadnienia i interpretacji czym jest w takim razie autoryzacja?

Jak dla mnie, korzystając z analogii - idę do banku wypłacić pieniądze, przedstawiam swój dowód, czym się uwierzytelniam, a na wydruku składam swój podpis, czym autoryzuje swoją wypłatę.

Zawierając umowę na bankowość elektroniczną i mobilną (to nie jest wymóg - nie musimy jej podpisywać, phishing czy vhising dla nas nie będzie istniał), zgadzam się na uwierzytelnianie mojej osoby poprzez nadany login i stworzone hasło, a autoryzuje same transakcje przez ich potwierdzanie na telefonie.

Oczywiście w powyższych rozważaniach pomijam tak oczywiste kwestie jak kradzież karty czy transakcje nią za Ubera w Bangladeszu, kiedy akurat jadłem hamburgera u McDonalda w Suwałkach, za którego zapłaciłem tą samą kartą. Składamy zawiadomienie o takim fakcie na policji i bank z takim zawiadomieniem powinien zwracać wszystkie środki z transakcji po tym zdarzeniu w tym samym dniu.

Stock Image from Depositphotos.
Źródło: UOKiK.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu