Nierozgarnięci online

Początkowo metody były prymitywne. W listach wysyłanych z podrobionego adresu banku do potencjalnych ofiar z prośbą o podanie haseł do konta roiło się od błędów i literówek. Do klientów niemieckiego Postbanku przestępcy wysyłali listy po angielsku, mimo że bank nigdy nie komunikował się z nimi w obcym języku! W porównaniu z nigeryjskimi naciągaczami pionierzy phishingu okazywali się marnymi amatorami. Tyle że ich skala rażenia była ogromna. Na milion wysłanych na ślepo listów jakiś odsetek trafiał rzeczywiście do klientów Citibanku lub Bank of America. W tym gronie zawsze znalazła się grupa naiwnych, którzy niczego nie podejrzewając, ujawnili przestępcom hasła. Od phishingu bardziej niebezpieczny jest pharming, polegający na przekierowywaniu użytkownika na stronę będącą atrapą prawdziwego serwisu bankowego. Nieświadoma ofiara próbuje się logować i odsłania przed przestępcą wszystkie karty.

"Od pewnego czasu obserwuje się coraz większą indywidualizację ataków. Zamiast słać maila do milionów odbiorców, koncentrują się na starannie wyselekcjonowanych grupach, np. członkach klubu golfowego" - mówi Paweł Krawczyk, prowadzący serwis Bezpieczeństwo Computerworld.pl. Pomysłowość phisherów nie zna granic. Kiedy o phishingu zrobiło się głośno i część ludzi zorientowała się, że listy zalewające ich skrzynki e-mailowe to fałszywki, pojawiły się próby naciągania ofiar za pomocą faksu.

Na problem braku wyobraźni użytkowników, ich winy za kradzieże itp. można spojrzeć też z innej strony. Krzysztof Kowalski, odpowiedzialny m.in. za technologię w MultiBanku, występuje w roli adwokata użytkowników, których inni zwykli nazywać "nierozgarniętymi". Uważa, że klienci korzystający z bankowości internetowej otrzymali do dyspozycji narzędzie, którego do końca nie rozumieją. Banki niewiele zaś zrobiły, by im działanie tego narzędzia wytłumaczyć. "Stosowany obecnie model bezpieczeństwa zakłada, że użytkownicy będą postępować racjonalnie z punktu widzenia IT. Takie założenie okazało się zbyt optymistyczne" - mówi Krzysztof Kowalski. Systemy bankowości internetowej narzucają schematy sprzeczne z naturalnym zachowaniem. "Czy to użytkownik jest najsłabszym ogniwem systemu bezpieczeństwa? Tak, ale to my dostarczamy mu rozwiązań, które to powodują" - konkluduje dyrektor MultiBanku.

Idąc dalej tym tropem, podnoszenie bezpieczeństwa przez dodawanie kolejnych szczebli ochrony w postaci tokenów czy podpisu elektronicznego spowoduje jeszcze większą konfuzję wśród użytkowników. Wszyscy mówią o konieczności poszukiwania złotego środka między wygodą a bezpieczeństwem, ale wiedzą chyba, że upragnionego kompromisu będą poszukiwać w nieskończoność. Doniośle podnoszone są postulaty edukacji użytkowników. Portale dedykowane bezpieczeństwu, szkolenia w oddziałach banków, akcje marketingowe z pewnością przyniosą efekt w stosunku do jakiegoś odsetka klientów. Czy jednak trafią do tych "najbardziej szkodliwych", którzy nadal wierzą, że dotarcie do nigeryjskich skarbów odmieni ich życie?

Niezaprzeczalny spokój

Zaufanie i dobra reputacja to kanon bankowości. Klient powierza swoje pieniądze wierząc, że będą one w bezpiecznym sejfie. Bank czerpie z faktu przechowywania pieniędzy określone korzyści. Dzieli się zyskiem z klientem, wypłacając mu premię z odsetek. Czasem też pobiera od klienta opłatę za to, że zapewnia bezpieczeństwo jego środkom. Zasady reguluje wiele przepisów ustawowych i umownych.

Kiedy powstawały pierwsze banki internetowe, powszechną praktyką było zawieranie w regulaminach możliwie wielu zastrzeżeń wyłączających odpowiedzialność banku. Tak niestety pozostało. Jak ktoś słusznie zauważył, trudno mieć pretensje do klientów za to, że nie analizują dokładnie umów, skoro nie można z nich niczego wyczytać. Tymczasem klient chcący korzystać z usług internetowych renomowanego banku ma prawo myśleć, że ten nie będzie chciał go nieuczciwie wykorzystać. "Klienci chcieliby wierzyć, że bank umie sprawić, iż nie zostanie im przypisana fałszywa transakcja" - mówi Antoni Hanusik, kierownik wydziału systemów bankowości internetowej w ING Banku Śląskim. Posługuje się przy tym terminem "niezaprzeczalności". Obowiązujące ustawodawstwo i regulaminy bankowe nie zapewniają klientom spokoju, że jeśli dochowali zwykłej staranności i działali w dobrej wierze, to nie poniosą strat w wyniku internetowej kradzieży.

Remigiusz Kaszubski ze Związku Banków Polskich zapewnia, że w przypadku przestępstw w bankowości internetowej banki przymykają oko na przychylne im regulaminy i w 100% pokrywają straty klienta. Jest to jednak niczym nieskodyfikowana praktyka, dobra wola banku kierowana troską o dobre imię. Czy trudno wyobrazić sobie sytuację, w której bank odstąpi od dobrej praktyki?

Niestety, ustawodawca nie bierze w ochronę klienta banku internetowego. Ustawa o elektronicznych instrumentach płatniczych z 2002 r. nakazuje bankom zwracać klientom pieniądze za transakcje skradzioną kartą powyżej sumy 150 euro. Remigiusz Kaszubski zapewnia, że trwają prace nad unijną dyrektywą, która podobną praktykę wprowadziłaby do bankowości internetowej. Tyle że to perspektywa kilku lat. Na razie więc klienci muszą liczyć na to, że banki trzymają rękę na pulsie, dobrze chronią ich pieniądze przed hakerami, a w razie kradzieży bez zbędnych formalności zwrócą pełną kwotę każdemu okradzionemu klientowi.

"Bankowość internetowa przez lata była promowana jako tania alternatywa dla tradycyjnej. Nie brano pod uwagę wszystkich ryzyk" - zauważa Radosław Kaczorek, menedżer ds. zarządzania ryzykiem w Deloitte. Czy przy rosnących wydatkach na bezpieczeństwo informatyczne, edukację klientów i reasekurację na wypadek nadużyć uda się zachować atrybut niskich kosztów kanału internetowego? Bo niezależnie od wszystkich zagrożeń i problemów, z którymi muszą sobie radzić bankowcy, informatycy i użytkownicy, od banków online nie ma odwrotu.

W artykule wykorzystano fragmenty wystąpień z konferencji Internet Banking Security, zorganizowanej przez Software Konferencje w Krakowie.