Bezpieczeństwo w sieci

mBank sprawdzi czy to Ty płacisz w internecie po sposobie pisania na klawiaturze

Grzegorz Ułan
mBank sprawdzi czy to Ty płacisz w internecie po sposobie pisania na klawiaturze
2

Jak wiemy, dotychczasowe sposoby weryfikacji płatności dokonywanych w sieci są zawodne. Przestępcy w atakach typu phishing i pochodnych, potrafią różnymi zabiegami socjotechnicznymi ominąć te zabezpieczenia. Stąd zrodził się pomysł w mBanku na dodatkowe zabezpieczenia, oparte na biometrii behawioralnej.

Oczywiście ataki typu phishing bywają złożone, samo wykradzenie danych do logowania nie wystarczy, ale jak pokazuje historia, nawet dodatkowa autoryzacja płatności SMS czy mobilna w aplikacji banku również jest do przejścia dla przestępców - więcej o tym w tym wpisie.

Biometria behawioralna w bankowości elektronicznej mBanku

Podlinkowany wpis powstał w 2018 roku, w tym samym roku mBank we współpracy z Digital Fingerprints zaprezentował pierwsze efekty wdrożenia biometrii behawioralnej w systemie bankowości elektronicznej tego banku. Miałem przyjemność być na konferencji prasowej, gdzie mogłem się przekonać na żywo jak ona działa - więcej o tym w tym wpisie.

Po wyrażeniu zgody przez uczestnika, w serwisie transakcyjnym mBanku uruchamiać się będzie specjalny kod. Zmierzy on typowe zachowania użytkownika w trakcie korzystania z bankowości on-line, oparte na: sposobie poruszania myszy, przycisku „scroll” oraz „touchpada”, dynamice korzystania z klawiatury komputera, a w przyszłości używaniu ekranu smartfona. Na tej podstawie zostanie zbudowany „obraz” użytkownika, czyli jego indywidualny profil behawioralny. System będzie identyfikować użytkowników, porównując ich bieżące interakcje z gotowym profilem.

Początkowo do testów tego rozwiązania dopuszczono 50 tys. ochotników, ale już rok później - w 2019, mBank poinformował, że przystąpiło do niego aż 400 tys. klientów banku (źródło: mBank).

Już w tej początkowej fazie projektu, system ten działał nadspodziewanie dobrze, potrafił rozpoznać zarówno logowanie do bankowości elektronicznej dokonane przez inną osobę niż właściciel konta, jak i w przypadku kradzieży sesji. Czyli w sytuacji, gdy logowanie wykonał właściciel, a transakcji już ktoś inny.

Biometria behawioralna mBank u przy płatnościach kartą w sieci

Jednak od tego czasu niewiele było słychać o postępach we wdrażaniu tego rozwiązania, aż do dzisiaj, kiedy to mBank poinformował o jego rozszerzeniu na płatności kartą za zakupy dokonywane w sieci przez klientów tego banku.

Aktualnie klienci mBanku mogą autoryzować transakcje przy pomocy aplikacji mobilnej lub kodem SMS. Najwyraźniej mBank upatruje w tej ostatniej metodzie najsłabsze ogniowo, bo właśnie tylko przy weryfikacji kodem SMS będzie obowiązywała - tak ja to rozumiem, dodatkowa autoryzacja płatności oparta na biometrii.

Polegać ona będzie na przepisaniu na klawiaturze udostępnionych wyrazów. Początkowo będzie ich pięć, a z chwilą zbudowania na tej podstawie odpowiedniego profilu biometrycznego klienta, liczba wyrazów do przepisania ma się zmniejszyć.

Profil biometryczny klienta będzie powstawał na podstawie tego:

  • w jaki sposób klient używa klawiszy na klawiaturze (czy są to klawisze alfanumeryczne, nawigacyjne, manipulacyjne);
  •  jaki jest czas kliknięć w poszczególne klawisze.

Biometria behawioralna albo mobilna autoryzacja

Skąd moje przypuszczenie, że to będzie obowiązkowa weryfikacja? Otóż w swoim komunikacie mBank podaje, iż kodem SMS potwierdza swoje transakcje obecnie jeszcze tylko 15% z wszystkich klientów detalicznych (miesięcznie autoryzują tak około 245 tys. transakcji internetowych), i to tylko dla takich klientów będzie dodatkowa forma weryfikacji biometrycznej.

Jeśli klient nie chce, aby mBank zbierał i przetwarzał dane biometryczne, może nie wyrazić na to zgody. W takiej sytuacji bank poprosi go o zmianę sposobu autoryzacji płatności na aplikację mobilną - z wykorzystaniem mobilnej autoryzacji.

Z kolei w przypadku, gdy dany klient nie wyrazi zgody na zbieranie i przetwarzanie danych biometrycznych, będzie musiał zmienić sposób autoryzacji płatności na aplikację mobilną. Tak więc może to być takie trochę na siłę przekonanie tych klientów, którzy trwają przy autoryzacji kodem SMS, na przejście do potwierdzania transakcji z wykorzystaniem mobilnej autoryzacji.

Nadmienię jeszcze przy tym, iż "zachętę" dla klientów do rezygnacji z kodów SMS, na początku tego roku zastosował też największy bank w Polsce - PKO Bank Polski.

Źródło: mBank.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu