12

Toyota Bank: tokeny sprzętowe i kody SMS-y nie spełniają pełnych wymogów bezpieczeństwa PSD2

Pod wczorajszym wpisem o zmianie sposobu logowania do bankowości internetowej i mobilnej dla klientów Santander Bank Polska, jeden z naszych Czytelników zwrócił mi uwagę, bym zapoznał się ze zmianami dla klientów Toyota Bank Polska. Cóż, odszukałem informacji i sprawdziłem, jak oni to rozwiązali.

Przyznam, że ominęła mnie ta informacja, nie jest to duży bank, więc też specjalnie nie zabiegałem o nią, ale nasz Czytelnik skutecznie mnie do tego zachęcił.

Zobaczcie co Toyota Bank Polska odstawili (…), jaki sposób na logowanie i tu opiszcie, jak skończycie się śmiać.

Śmiać, to się nie śmiałem, ale z uwagą zapoznałem się ze zmianami i w tym banku.

Toyota Bank Polski proces zmian rozpoczął pod koniec kwietnia 2019, informując klientów o czekających ich zmianach związanych z wejściem w życie przepisów unijnej dyrektywy PSD2. Zmiany te zostały wdrożone wraz z udostępnieniem nowej bankowości internetowej.

Nowa bankowość zapewnia dostęp poprzez API (Application Programming Interface) dla tzw. TPP (Third Party Providers), którzy na mocy dyrektywy PSD2 od dnia 14 września 2019 r. mogą realizować za zgodą klienta usługi płatnicze bezpośrednio w bankowości internetowej. Obowiązywać będą również przepisy dotyczące m.in. weryfikacji klienta, obowiązku stosowania przez banki mechanizmów tzw. silnego uwierzytelniania klienta (ang. strong customer authentication – SCA) oraz mechanizmów dynamicznego powiązania (ang. dynamic linking). Wprowadzane rozwiązania mają w szczególności zminimalizować ryzyko wykonywania nieautoryzowanych transakcji płatniczych, inicjowanych przez przestępców chcących nielegalnie przywłaszczyć środki klientów banków.

Nowa bankowość internetowa jest tu kluczowa do zastosowanych rozwiązań związanych z PSD2, gdyż bank ten nie posiada własnej aplikacji mobilnej. Stworzyli więc responsywny serwis bankowości elektronicznej, dostosowujący wyświetlanie się na różnych urządzeniach i ekranach.

Do silnego uwierzytelniania brakowało im jeszcze niezależnego od komputera urządzenia, do dodatkowej autoryzacji klienta. Z SMS-ów i tokenów sprzętowych ich dział prawny zabronił korzystać.

Małgorzata Wachowska, Członek Zarządu, Dyrektor Pionu Wsparcia Biznesu i Procesów w Toyota Bank Polska:

Na podstawie analiz prawnych wykonanych przez Toyota Bank, aplikacja mobilna w bankowości elektronicznej jest obecnie jedynym sposobem na pełną realizację wymogów bezpieczeństwa, określonego nowymi przepisami. Nie spełniają ich zarówno stosowane dotychczas tokeny sprzętowe – z uwagi na brak powiadamiania o kwocie transakcji oraz danych odbiorcy, jak i również SMS-y – szczególnie w zakresie wypełnienia wymogu, aby wszelkie zmiany kwoty lub odbiorcy skutkowały unieważnieniem wygenerowanego kodu uwierzytelniającego z powodu braku kontroli nad raz wysłanym kodem SMS. Z tego względu, ta forma autoryzacji nie była brana pod uwagę w trakcie analiz nad wdrożeniem wymogów ustawy. Wcześniejsze wdrożenie zapewnia klientom elastyczne przejście na nową formę autoryzacji transakcji. Jednocześnie zapewniamy, że zarówno teraz, jak i po 14 września nasi klienci wciąż będą mieli dostęp do bankowości w formie telefonicznej.

Stworzyć aplikację mobilną do bankowości elektronicznej, to nie jest taka prosta sprawa, stworzyli więc osobną aplikację mobilną do autoryzacji logowania i transakcji dokonywanych przez klientów. – Mobilna Autoryzacja Toyota Bank, dostępną w Google Play i App Store. Klienci po jej pobraniu i uruchomieniu, rejestrują swojego smartfona, czyli dodają do zaufanych urządzeń, dzięki czemu będą mogli autoryzować się przy logowaniu i dokonywaniu płatności. Od 14 września, to będzie jedyny sposób, na korzystanie z bankowości elektronicznej w tym banku.

Czy to oznacza, że kody SMS czy tokeny sprzętowe rzeczywiście nie spełniają pełnych wymogów bezpieczeństwa? Zaznaczam, że teraz będą tylko moje przypuszczenia, bo żaden bank nie udzieli mi informacji o stosowanych zabezpieczeniach w swoich systemach, a w szczególności o braku jakichś zabezpieczeń.

Nie wydaje mi się, aby największe banki w Polsce wciskały nam kody SMS do autoryzacji, bez zastosowania dodatkowych zabezpieczeń. Wiem, że zdarzały się ataki na duplikat karty SIM i dowód kolekcjonerski, ale w tym ataku tyle czynników musi się zgrać w jednym czasie, w tym czynnik ludzki, z którymi żadne zabezpieczenia nie wygrają, że ciężko tu nawet rozpatrywać tę kwestię.

Poza tym zabezpieczenia po stronie klienta, to nie jedyne zabezpieczenia, są też te, których nie widać, bo są po stronie banków, które analizują korzystanie z bankowości przez swoich klientów w czasie rzeczywistym i reagują przy anormalnych sytuacjach. Opisywałem Wam to szerzej w przypadku mBanku i ich weryfikacji behawioralnej.

Na jej podstawie, wprowadzony system będzie tworzył profil klienta i porównywał go podczas każdorazowego, późniejszego korzystania z konta. Co będzie sprawdzane? Między innymi dynamika korzystania z klawiatury, czyli na przykład siła nacisku na klawisze czy szybkość pisania na klawiaturze, również sposób korzystania z myszki czy z panelu dotykowego.

Wydaje mi się więc, że Toyota Bank Polska zdecydował się na taki, a nie inny sposób autoryzacji swoich klientów, na podstawie posiadanych zasobów, możliwości i środków, które pozwalają im zabezpieczyć transakcje na względnie wysokim poziomie, przewidzianym nowymi przepisami.

Pamiętajmy też, że to na bankach spoczywa odpowiedzialności za nieautoryzowane transakcje, po nowemu – od kwoty przekraczającej 50 euro, aktualnie próg ten wynosi jeszcze 150 euro.

Photo: rsedlacek/Depositphotos