Bankowość mobilna: duplikaty kart SIM zbyt łatwo dostępne?
Z punktu widzenia banków kody autoryzacyjne dystrybuowane przez SMS jednak nie są idealnym rozwiązaniem, bo wykorzystuje się do ich dystrybucji infrastrukturę innych podmiotów – telekomów dostawców usługi dla klientów. SMS-y są też źródłem dodatkowych kosztów.
Banki wybierają swoje metody autoryzacji
Dlatego coraz więcej banków decyduje się wprowadzić mobilną autoryzację. Wykorzystuje się w niej do wysyłania kodu aplikację bankową i powiadomienia push. W takiej sytuacji cała operacja odbywa się tylko w systemie banku. Taki system mobilnej autoryzacji ma być dostępny np. w Pekao S.A. do końca pierwszego kwartału tego roku. Powinno to zwiększyć bezpieczeństwo, utrudniając przestępcom podszywanie się pod klienta banku.
Obecnie nadal kody przesyłane w wiadomościach SMS są najpopularniejszym sposobem autoryzacji, dlatego niepokoją wszystkie informacje o możliwych zagrożeniach związanych z korzystaniem z nich.
Poproszę o duplikat
Nie wchodząc w szczegóły różnych scenariuszy wyłudzeń, łatwo się domyślić, że osoba mająca telefon (kartę SIM) z numerem zautoryzowanym w serwisie transakcyjnym banku otrzyma wysłany z niego SMS z kodem autoryzacyjnym.
Jak się okazuje, nie trzeba wcale kraść telefonu, by stać się „właścicielem” podanego telefonu z podanym w banku numerem do kontaktu. Wystarczy zgłosić operatorowi utratę, zagubienie karty SIM.
Oczywiście w punkcie obsługi klienta trzeba się wylegitymować dowodem tożsamości i wnieść niewielką opłatę, a otrzymamy nową kartę SIM przypisana do danego numeru. W sieci jest dostępnych wiele ofert tzw. dowodów kolekcjonerskich. Przy pobieżnym sprawdzeniu przez pracownika punktu mogą wystarczyć do uzyskania „duplikatu” karty.
Zapytaliśmy, czy rzeczywiście jest to takie proste?
Jak mówi Marcin Gruszka rzecznik sieci PLAY, trzeba przede wszystkim pamiętać, że P4 jako przedsiębiorca telekomunikacyjny świadczy w zakresie SMS-ów jedynie typową usługę telekomunikacyjną, a nie usługę płatniczą, za co odpowiada bank, jako jedyna strona odpowiedzialna za bezpieczeństwo takiej usługi.
W PLAY wymiana karty SIM możliwa jest jedynie w Punkcie Obsługi Sprzedaży (POS), a tożsamość osoby uprawnionej (zgodnie z danymi zapisanymi w systemach P4) do wymiany karty SIM weryfikowana jest przez pracownika na podstawie dowodu tożsamości (dowód osobisty lub paszport). Należy w tym miejscu zaznaczyć, że potocznie używane określenie „duplikat” jest błędne – abonentowi zostaje wydana nowa karta, do której przypisywany jest ten sam numer telefonu, a stara karta zostaje dezaktywowana.
Jak dodaje, zgłaszane nadużycia w systemach bankowości elektronicznej, związanych z uwierzytelnianiem za pomocą kodów OTP (kody przesyłane SMS-ami) spowodowały wprowadzenie zmian w obowiązujących u przedsiębiorców telekomunikacyjnych procedurach wymiany kart SIM. W P4 wprowadzono m.in.: powiadomienie SMS-em przed aktywacją nowej karty z tym samym numerem w celu umożliwienia abonentowi zatrzymania procesu i zmieniono zasady wymiany kart SIM przez pełnomocników abonenta.
Czy e-SIM rozwiąże problem?
eSIM jest standardem, w którym fizyczną kartę zastąpiono jej elektronicznym odpowiednikiem w samym telefonie. Od kilku lat jest on już coraz powszechniej wykorzystywany przez operatorów telekomów w wielu krajach.
Jak mówi Arkadiusz Majewski z sieci Plus, sieć obecnie weryfikuje technicznie oraz oceniamy biznesowo możliwość stosowania autoryzacji urządzeń bazujących na e-sim, zarówno konsumenckich, jak i m2m, natomiast jest zbyt wcześnie, by składać jakikolwiek deklaracje dotyczące terminu wdrożenia tego rozwiązania.
Jak dodaje, nie wydaje się, by wdrożenie eSIM skutecznie i całkowicie zapobiegło zdarzeniom związanym z przestępstwami elektronicznymi, komputerowymi oraz przez internet, szczególnie w branży finansowej.
Jak z tego widać, na razie pozostaje nam klientom banków i telekomów zachować ostrożność, czytać informacje, które otrzymujemy z banków i od operatorów.