Bezpieczeństwo

mBank utrudnia przestępcom aktywację i przejęcie bankowej aplikacji mobilnej swoich klientów

GU
Grzegorz Ułan
6

mBank poinformował właśnie o wprowadzeniu dość istotnej zmiany przy połączeniu aplikacji mobilnej banku z kontem. Będzie to teraz bardziej czasochłonne dla klientów tego banku, ale i jednocześnie bardziej bezpieczne.

W komunikacie mBanku czytamy wprost, iż to odpowiedź na różnego rodzaju zabiegi przestępców zmierzające do przejęcia i aktywacji aplikacji mobilnych klientów tego banku:

Niestety przestępcy dzięki różnym technikom coraz częściej wyłudzają dane potrzebne do aktywacji/przejęcia aplikacji. Są to różnego rodzaju formatki phishingowe i ataki socjotechniczne. Choć przestępcy „nie śpią”, my stale udoskonalamy nasze systemy. Dlatego jeszcze lepiej zabezpieczamy proces łączenia aplikacji mobilnej z kontem.

Jeszcze do niedawna do połączenia aplikacji mobilnej z kontem ofiary wystarczył numer PESEL ofiary i nazwisko panieńskie matki:

Aktualnie, ścieżka połączenia aplikacji mobilnej mBanku z kontem bankowym jest znacznie dłuższa, tym samym znacznie utrudniająca to przestępcom.

Tak więc, w pierwszej kolejności wpisujemy dane klienta w aplikacji mobilnej, gdy są prawidłowe, aplikacja prosi o wysłanie wiadomości SMS o zdefiniowanej treści z numeru zarejestrowanego w bankowości elektronicznej na naszym koncie w mBanku. Kolejny krok to odsłuchanie kodu z połączenia głosowego i przepisanie go w aplikacji oraz podanie kodu PIN do wcześniej połączonej aplikacji mobilnej lub hasła, którym logujemy się do serwisu transakcyjnego. Przedostatni krok to wpisanie cyfr z dwóch środkowych kolumn numeru dowolnej karty płatniczej podpiętej pod nasze konto w mBanku. Na koniec ustalamy nowy PIN logowania do aplikacji mobilnej.

Oczywiście to nadal nie wyklucza w 100% możliwości przejęcia pełnego dostępu do konta potencjalnej ofiary, ale wydaje mi się, iż obecnie przestępcy muszą spełnić dłuższy szereg warunków w jak najkrótszym czasie, by go uzyskać. Przede wszystkim muszą znać prawidłowe dane do logowania do bankowości elektronicznej ofiary. By uzyskać kody potwierdzające do logowania na nowym urządzeniu i później do potwierdzania transakcji czy zwiększania limitów na koncie, muszą wyrobić duplikat karty SIM na numerze, który dany klient ma zarejestrowany w swoim banku. Dodatkowo, jeśli klient kody autoryzacyjne ma aktywowane poprzez powiadomienia push w aplikacji, przestępca musi powiązać ją z kontem bankowym klienta, a więc oprócz powyższych warunków musi też znać pełen numer jednej z kart płatniczych danego klienta.

Źródło: mBank.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: