Bezpieczne konto internetowe - test 20 polskich ebanków

Sprawdziliśmy poziom bezpieczeństwa 20 polskich banków umożliwiających dostęp do konta przez Internet i telefon. W trakcie testu oceniliśmy odporność stosowanych zabezpieczeń na popularne obecnie ataki: phishing, man-in-the-middle (przechwycenie rozmowy), man-in-the-browser (szkodliwe oprogramowanie atakujące przeglądarkę) oraz czynniki zewnętrzne, takie jak kradzież urządzenia zabezpieczającego. Chcesz wiedzieć, w którym banku konto internetowe gwarantuje największe bezpieczeństwo? Oto odpowiedź!

Jak ocenialiśmy?

Przy ocenianiu bezpieczeństwa banków wzięliśmy pod uwagę stosowane metody ochrony dostępu do konta przez Internet i telefon oraz zabezpieczenie wykonywania przelewów. Na ocenę mniejszy wpływ miały drobne zabezpieczenia i wady systemów umożliwiające obejście najważniejszych zabezpieczeń.

Za najważniejsze uznaliśmy zabezpieczenia procedury wykonywania przelewu przez Internet i telefon. Przyznawaliśmy oceny za obecność lub brak następujących zabezpieczeń: hasło statyczne i maskowane, lista haseł jednorazowych, hasło SMS, token opart o czas, podpis elektroniczny, SMS z opisem transakcji, token Challenge-Response.

Zobacz również:

Jeśli bank oferuje kilka możliwości logowania lub potwierdzenia przelewu, to do oceny wybraliśmy najbezpieczniejszą z nich, nawet jeśli nie jest to opcja domyślna. W przypadku wykonywania przelewów przez telefon często stosowany jest serwis automatyczny i rozmowa z konsultantem. Serwis automatyczny jest zwykle słabiej zabezpieczony, ale pojawiają się ograniczenia, np. w mBanku można w ten sposób wykonać tylko przelewy zdefiniowane. Przestępca może jednak przelać wszystkie środki na zdefiniowany przez użytkownika rachunek pozbawiając go pieniędzy. Dlatego uznaliśmy zabezpieczenie części automatycznej za równie ważne, co połączenie z konsultantem i odejmowaliśmy punkty jeśli zabezpieczenie było słabsze.

W przypadku haseł zabezpieczających dostęp do całego konta, banki stosowały różne wariacje - od sześciocyfrowego hasła wybieranego przez użytkownika (mniej bezpieczne) do narzuconych przez bank losowych haseł zawierających wielkie litery i znaki specjalne (bardziej bezpieczne). Mimo to, wszystkie hasła statyczne potraktowaliśmy jako równie bezpieczne, gdyż sposób ich wykradnięcia jest taki sam bez względu na to jak jest skomplikowane - cyberprzestępcy nie odgadują go, lecz starają się wyciągnąć od klienta. Równie mało istotny jest sposób tworzenia loginu, ponieważ on także jest wyłudzany od klientów. Poza tym ważniejsze jest zabezpieczenie samych transakcji.

W przypadku ataków phishingowych często wykorzystywane są klikalne hiperłącza, których tekst jest adresem strony banku, ale rzeczywiście przenosi na fałszywą stronę. Dlatego przyzwyczajanie klientów do takich odnośników w oficjalnej korespondencji uznaliśmy za niebezpieczne. Nawet jeśli dzieje się to czasami, to klienci i tak nie znają dokładnych zasad, więc mogą kliknąć w każdy odnośnik.

W Fortisie nie można wykonywać żadnych operacji przez telefon. Pod względem bezpieczeństwa jest to najlepsze rozwiązanie, więc przyznaliśmy mu tyle punktów, ile otrzymał najlepszy bank w danej kategorii.

Test bezpieczeństwa banków - tabela porównawcza

Kliknij aby powiększyćKliknij, aby powiększyćKliknij aby powiększyć

Kto zwyciężył

Ogólnie poziom bezpieczeństwa polskich banków uznaliśmy za nie najgorszy. Wszystkie informują klientów o zagrożeniach, we wszystkich przypadkach transmisja była też szyfrowana. Większość z nich wycofała się już ze stosowania prostych list haseł jednorazowych i oferuje bezpieczniejsze rozwiązania. Coraz częściej są to hasła przesyłane na telefon komórkowy z opisem transakcji, co skutecznie zabezpiecza przed phishingiem.

W teście zwyciężył Eurobank. Jako jedyny zabezpiecza przed wszystkimi popularnymi atakami dzięki wykorzystaniu tokena z funkcją Challenge-Response, instalowanego jako aplikacja w telefonie komórkowym. Trzeba jednak pamiętać, że kiedy pojawi się więcej wirusów atakujących telefony komórkowe, aplikacja mobilna może okazać się niewystarczająca i konieczne będzie wymienienie jej na dedykowane urządzenie. Bank trzyma się dobrych zasad: nie wysyła do klientów e-maili z klikalnymi hiperłączami, chociaż nie brakuje drobnych błędów, np. można dokonać przelewu do zdefiniowanego odbiorcy bez konieczności dodatkowego autoryzowania transakcji.

Tuż za Eurobankiem znalazł się Bank Pekao, z nową wersją usługi Pekao24. Również i ten bank zdecydował się na wprowadzanie tokena z funkcją Challange-Response. Tak jak Eurobank wykorzystano aplikacje instalowane w telefonach. Główna różnica między tymi bankami to logowanie: w Pekao wystarczy znajomość hasła (chociaż jest maskowane). Na plus należy za to zaliczyć wykorzystanie haseł jednorazowych podczas potwierdzania operacji przez telefon. Różnice w systemach są jednak minimalne i obydwa należy uznać za wyjątkowo bezpieczne.

Na podium zagościł także Fortis Bank Polska. Jako jeden z niewielu banków stosuje silne zabezpieczenie zarówno do zalogowania się na konto, jak i potwierdzenia transakcji. W obydwu przypadkach wysyłana jest wiadomość SMS z hasłem jednorazowym. Przy potwierdzaniu przelewu przesyłane są dokładne informacje o transakcji. Fortis nie pozwala na wykonywanie operacji przez telefon. Może to być utrudnienie dla części klientów, ale eliminuje ataki socjotechniczne.

Piotr Flader, Specjalista ds. Sieci w Voice Contact Center:

Transakcje "w okienku" wbrew pozorom nie są bardzo bezpieczne - w trakcie ich dokonywania dane mogą "wyciec", np. ktoś je może podsłuchać. W transakcjach online zaś poziom bezpieczeństwa jest dużo wyższy. Musi być jednak spełnione kilka warunków.

Po pierwsze, użytkownicy nie powinni stosować ułatwień takich jak zapamiętywanie haseł w przeglądarce internetowej, używanie jednego hasła do wielu działań, haseł o niskiej sile itd. Po drugie aspekty bezpieczeństwa powinny być brane pod uwagę już w fazie projektowania systemów obsługi transakcji online. Chodzi tu głównie o błędy w kodach, które są największym problemem - w niektórych przypadkach użytkownicy mogą być nieświadomie przekierowani na strony łudząco podobne do stron, na których chcieliby dokonać transakcji.

Po trzecie zaś infrastruktura IT powinna być zabezpieczona systemami detekcji włamań, systemami "antyintruzowymi" itd. Ważne, by dostawcy usług outsourcingowych, którzy mają dostęp do danych klientów (np. firmy call center) również posiadały takie zabezpieczenia. Wówczas nie ma mowy o zagrożeniu utraty danych wrażliwych.