baner

Aktualności

ŻĄDANIE UJAWNIANIA INSTRUMENTÓW UWIERZYTELNIAJĄCYCH TOŻSAMOŚĆ KLIENTÓW W INTERNETOWYCH SYSTEMACH TRANSAKCYJNYCH BANKÓW PRZEZ SERWISY OFERUJĄCE PŁATNOŚCI

Komunikat z dnia 29 kwietnia 2016 r.

Szanowni Państwo,

w związku z pojawieniem się na polskim rynku usług płatniczych podmiotu oferującego transfer środków finansowych, który w celu przeprowadzenia płatności pozyskuje instrumenty uwierzytelniające tożsamość klienta w internetowych systemach transakcyjnych banków, Rada Bankowości Elektronicznej ZBP uprzejmie przypomina, że przekazywanie tych informacji w świetle obowiązujących w Polsce regulacji jest zabronione i może wiązać się m. in. z utratą środków finansowych przez klientów banków.

Kwestia ta była wielokrotnie omawiana przez środowisko bankowe i Urząd Komisji Nadzoru Finansowego, jednoznacznie wskazując, że takie praktyki stanowią nie tylko pogwałcenie obowiązującego w Polsce prawa ale również wieloletniej edukacji użytkowników, która miała na celu nie tylko ochronę środków finansowych zdeponowanych przez klientów w bankach ale co równie istotne ochronę ich tożsamości, która w postaci elektronicznej jest „zdeponowana” w bankach.

1. Po raz pierwszy kwestią tą zajęła się Rada Bankowości Elektronicznej w 2012 r, która wydała komunikat w dniu 31 maja 2012 r. „Ujawnienie informacji wrażliwych serwisom oferującym szybkie płatności”. Zgodnie z art. 42 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. Nr 199 poz. 1175 z późn. zm.) użytkownik obowiązany jest do korzystania z instrumentu płatniczego zgodnie z umową ramową zawartą z dostawcą usług płatniczych, czyli w tym przypadku z bankiem. W kontekście bankowości elektronicznej przez instrument płatniczy należy rozumieć zbiór procedur określających zasady korzystania z rachunku bankowego z dostępem przez internet, za pośrednictwem którego użytkownik może składać zlecenia płatnicze. Ustęp 2 tego artykułu wskazuje, że w celu spełnienia obowiązku korzystania ze zbioru procedur określających korzystanie z bankowości internetowej zgodnie z umową ramową użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. Banki zazwyczaj w umowach ramowych korzystania z rachunku bankowego z dostępem przez internet wskazują na tryb postępowania użytkowników, a w szczególności na obowiązek nieujawniania informacji o identyfikacji i uwierzytelnienia tożsamości użytkownika oraz metodach autoryzacji transakcji zlecenia płatniczego, gdyż ujawnienie tych informacji może spowodować brak skuteczności mechanizmów zapewniających bezpieczeństwo zlecanych operacji.

2. Swoje stanowisko w przedmiotowej kwestii przedstawił również Urząd Komisji Nadzoru Finansowego publikując w dniu 18 listopada 2013 r. „Ostrzeżenie przed dopuszczaniem pośredników do rachunku bankowego w płatnościach internetowych”. UKNF w swoim stanowisku wskazał m. in., że po stronie klienta korzystanie z takiej formy płatności wiąże się z ryzykiem naruszenia umowy o prowadzenie rachunku bankowego oraz regulaminu, ryzykiem utraty prawa do reklamacji nieautoryzowanych transakcji oraz ryzykiem nieautoryzowanego przechwycenia danych do logowania. Pełna treść „Ostrzeżenia …” UKNF jest dostępna na stronie internetowej KNF: https://www.knf.gov.pl/Images/KNF_podawanie_danych_dostepu_do_rachunku_18_11_2013_tcm75-36300.pdf.

3. Urząd Komisji Nadzoru Finansowego stwierdził również przypadki pozyskiwania przez banki danych do logowania do rachunków bankowych klientów w innych bankach m. in. w trakcie procesu wnioskowania o produkt kredytowy. Dostęp do rachunku bankowego klienta umożliwiał bankowi, w którym klient aplikował o kredyt, analizę historii operacji na tym rachunku w celu ustalenia zdolności kredytowej. Takie praktyki banków wzbudziły niepokój Urzędu Komisji Nadzoru Finansowego i w związku z tym, wobec banków stosujących kwestionowane praktyki podjęte zostały indywidualne działania nadzorcze zmierzające do zmiany ich postępowania w tym zakresie. Komunikat UKNF w tej sprawie został opublikowany w dniu 14 lipca 2014 r. na stronie internetowej KNF: https://www.knf.gov.pl/Images/KNF_dane_do_logowania_tcm75-38504.pdf.

4. W 2015 r. trwały prace nad nowelizacją dyrektywy o usługach płatniczych m. in. w zakresie dostępu dla podmiotów trzecich do rachunku bankowego w celu realizacji transakcji płatniczej zleconej przez klienta, za pośrednictwem internetowego serwisu transakcyjnego ww. podmiotów. W związku z tym Rada Bankowości Elektronicznej ZBP opublikowała w dniu 22 kwietnia 2015 r. stanowisko, w którym wskazała, że informacje poufne związane z procesem identyfikacji i uwierzytelnienia tożsamości klientów stanowią klucz dostępu do usług bankowości elektronicznej. Zachowanie ich w całkowitej poufności przez klientów stanowi podstawowy element bezpieczeństwa. Od początku funkcjonowania bankowości elektronicznej w Polsce zasada nieujawniania loginu i hasła oraz ewentualnych dodatkowych informacji potwierdzających tożsamość klienta znajdowała odzwierciedlenie nie tylko w obowiązującym powszechnie prawie, ale stanowiła podstawę budowania pozytywnej świadomości klientów w ramach prowadzonej przez banki edukacji finansowej. Jak dotychczasowa praktyka pokazała, złamanie tej zasady przez klientów było nierozerwalnie związane ze stratami ponoszonymi przez nich wskutek nieuprawnionego posłużenia się przez osoby niepowołane instrumentem płatniczym, jakim jest w tym przypadku procedura dostępu do bankowości internetowej. Ponadto RBE ZBP w komunikacie tym wskazała, że nadrzędnym celem każdej regulacji dotyczącej rachunków płatniczych powinno być zapewnienie wysokiego poziomu bezpieczeństwa klientom oraz środkom finansowym zdeponowanym na rachunkach bankowych. Priorytetem prawodawcy zarówno europejskiego, jak i krajowego, winno być wzmacnianie zaufania klientów do sektora bankowego i budowanie rozwiązań – w tym prawnych – chroniących klientów przed atakami cyberprzestępców. Wspieranie nowych instrumentów płatniczych nie powinno jednocześnie obniżać bezpieczeństwa systemu i generować ryzyka na nieakceptowalnym poziomie, którego materializacja będzie oznaczała dla klientów banków straty finansowe.

5. Komisja Nadzoru Finansowego odniosła się również do omawianej kwestii na poziomie regulacyjnym w Rekomendacji Komisji Nadzoru Finansowego z dnia 17 listopada 2016 r. dotyczącej bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo – kredytowe. W szczegółowym zaleceniu nr 6.2 Komisja: „6.2. Dostawcy usług płatniczych powinni zapewniać, by informacje dostarczane klientom przed skorzystaniem przez nich z danej usługi szczegółowo określały kwestie związane z usługami płatności internetowych, w tym dokonywanie płatności pieniądzem elektronicznym. Powinny one, w stosownych przypadkach, uwzględniać: [tiret drugi] wytyczne dotyczące właściwego i bezpiecznego używania spersonalizowanych danych uwierzytelniających (takich jak hasło, login, kod jednorazowy, hasło/kod sms) służących zapewnieniu bezpieczeństwa, mające na celu zapewnienie zachowania wysokiego poziomu ochrony danych użytkowników, w tym odnoszące się m.in. do zakazu ujawniania (udostępniania) komukolwiek spersonalizowanych danych do logowania (login i hasła) oraz ewentualnych dodatkowych informacji potwierdzających tożsamość klienta;

6. W świetle ostatnich zdarzeń Urząd Komisji Nadzoru Finansowego opublikował w dniu 28 kwietnia 2016 r. na stronie internetowej KNF „Ostrzeżenie przed dopuszczaniem pośredników do rachunku bankowego w płatnościach internetowych”(https://www.knf.gov.pl/Images/ostrzezenie_posrednicy_platnosci_tcm75-46897.pdf), w którym zwraca uwagę na ryzyko związane z podawaniem danych umożliwiających logowanie do rachunku bankowego, zlecanie przelewów oraz pobieranie historii rachunku podmiotom innym niż bank, w którym prowadzony jest dany rachunek. UKNF przypomniał, że podstawową zasadą bezpieczeństwa w bankowości internetowej jest niepodawanie w żadnym wypadku komukolwiek danych pozwalających na dostęp do rachunku bankowego, gdyż grozi to utratą środków.

W związku z powyższym Rada Bankowości Elektronicznej ZBP zaleca bankom:

1. analizę zaistniałej sytuacji oraz monitorowanie aktywności serwisów oferujących płatności poprzez pozyskiwanie przez nie instrumentów uwierzytelniających do internetowych systemów transakcyjnych banków,

2. edukowania klientów w zakresie obowiązku zachowania w poufności i nieprzekazywanie osobom trzecim instrumentów uwierzytelniających ich tożsamość, wskazując regulacje prawne obowiązujące w Polsce oraz warunki w tym zakresie określone w umowach ramach i regulaminach.

Rada Bankowości Elektronicznej Związek Banków Polskich

 


NIE MA ATAKU NA POLSKIE BANKI

Komunikat z dnia 26 kwietnia 2016 r.

Szanowni Państwo,

w dniu 25 kwietnia 2016 r. pojawiły się w mediach informacje o rzekomym ataku na 17 banków komercyjnych i na ponad 200 banków spółdzielczych. Źródłem informacji jest oficjalny BLOGNiebieski IBM Polska Sp. z o.o.

W odniesieniu do tych informacji, Rada Bankowości Elektronicznej Związku Banków Polskich informuje, że pieniądze naszych klientów są bezpieczne. Należy zaznaczyć, że banki na bieżąco podejmują działania zmierzające do neutralizacji tego typu ataków. W tym celu, banki podejmują współpracę z wyspecjalizowanymi firmami i instytucjami, które zapewniają wsparcie w zakresie neutralizacji pojawiających się cyberzagrożeń, bez względu czy celem ataku są banki czy ich klienci.

Malware opisany na blogu, został zidentyfikowany przez sektor bankowy już w grudniu 2015 r. pod nazwą Vawtrak.V1. W styczniu 2016 r. została wykryta jego nowa wersja Vawtrak.V2. Nowa wersja w porównaniu do poprzedniej różni się w zakresie schematu raportowania malware do serwera zarządzającego oraz techniki ukrywania pliku konfiguracyjnego podczas przeprowadzania ataku na stronę internetową. Struktura pliku konfiguracyjnego pozostała bez zmian, wszystkie elementy scenariusza ataku pozostały identyczne jak w poprzedniej wersji tego malware’u (Vawtrak.V1). Oto przykładowy atak:

kliknij aby powiększyć

Źródło: Prebytes

Niestety, ostatnie informacje przekazywane przez firmy komercyjne mediom złamały zasadę Responsible disclosure, czyli odpowiedzialnego komunikowania, co uniemożliwiało sektorowi bankowemu zbadanie zagrożenia przed jego publikacją i wykluczenie sytuacji, w której informacja o zagrożeniu byłaby myląca lub wprowadzałaby nieuzasadniony niepokój wśród klientów banków.

Rada Bankowości Elektronicznej ZBP zwraca się z gorącym apelem, aby w przyszłości dokładać należytej staranności i zachowania profesjonalizmu w zakresie przekazywania informacji przez firmy na temat cyberzagrożeń. Banki są podmiotami profesjonalnymi, działającymi w obszarze bankowości elektronicznej. Opiera się to na bezpiecznym poruszaniu się w cyberprzestrzeni, zarówno dla własnego bezpieczeństwa banków, jak również klientów i powierzonych przez nich depozytów. Na tym zostało zbudowane zaufanie do banków. W związku z tym, każda informacja, która mogłaby podważać ten stan powinna być wnikliwie sprawdzana i weryfikowana, w pierwszej kolejności z sektorem bankowym.

Rada Bezpieczeństwa Banków, Związek Banków Polskich



ZŁOŚLIWE OPROGRAMOWANIE NA SMARTFONY Z SYSTEMEM OPERACYJNYM ANDROID

Komunikat z dnia 12 kwietnia 2016 r.

Szanowni Państwo,

Rada Bankowości Elektronicznej Związku Banków Polskich ostrzega przed nasilającymi się atakami na użytkowników smartfonów z systemem Android. W ostatnim okresie odnotowano nowe kampanie rozsyłania wiadomości SMS mających na celu infekcję smartfona złośliwym oprogramowaniem.

Osoba, która odebrała SMS i kliknęła na link faktycznie instaluje złośliwe oprogramowanie.

Źródło: PREBYTES

Po kliknięciu na link przesłany w wiadomości SMS, otwierana jest strona prezentująca instrukcję instalacji oprogramowania (w szczególności, wykonania w telefonie zmiany opcji umożliwiającej instalację z niezaufanych źródeł).  W celu wzbudzenia większego zaufania i uwiarygodnienia oprogramowania, cyberprzestępcy prezentują również producenta smartfona i wyświetlają odpowiednie logo.

Źródło: PREBYTES

Zadaniem trojana zainstalowanego w systemie Android jest jego uaktywnienie w momencie korzystania przez użytkownika telefonu z aplikacji bankowości mobilnej i wygenerowanie specjalnego okna z prośbą o podanie loginu i hasła. Lista aplikacji, na które reaguje trojan została zawarta w jego pliku konfiguracyjnym i obecnie dotyczy 68 aplikacji różnych instytucji finansowych, w tym polskich banków .

Poniżej przykłady działania trojana.

Źródło: PREBYTES

Wyżej widoczne okna pojawiają się nad uruchomioną aplikacją, powodując jej przysłonięcie. Powoduje to, wrażenie, iż to aplikacja bankowa żąda informacji. Nieświadomy użytkownik może odnieść wrażenie, iż komunikat jest efektem działania oryginalnego oprogramowania.  Złośliwe oprogramowanie oprócz pozyskiwania danych posiada również funkcjonalność odczytywania i wysyłania SMS, w tym również bankowych kodów SMS. Trojan wyłudza również numery kart płatniczych poprzez generowanie w odpowiednim czasie specjalnych komunikatów proszących o podanie wrażliwych informacji.

Źródło: PREBYTES

Inną funkcją jest również  wykradanie danych personalnych, w tym zdjęć dokumentów tożsamości, jak również zdjęcia użytkownika wraz z dokumentem tożsamości trzymanym przy twarzy.

Prawdopodobnie dane mogą być wykorzystywane do otwierania różnego rodzaju dostępów do serwisów z wykorzystaniem skradzionej tożsamości.

Źródło: PREBYTES

Rada Bankowości Elektronicznej Związku Banków Polskich przestrzega użytkowników smartfonów z systemów Android przed pobieraniem i uruchamianiem aplikacji pochodzących z niezaufanego źródła.

Należy mieć na uwadze, że treści SMS pochodzących od nieznanych nadawców mogą nakłaniać do podejmowania określonych działań takich jak klikanie na linki w nich zawarte, a otwarcie odnośnika prowadzącego do niebezpiecznej treści może skutkować zainfekowaniem smartfona i w konsekwencji utratą nad nim kontroli.

Użytkowników bankowych aplikacji mobilnych uczula się na wszystkie nietypowe komunikaty i prośby generowane w telefonie komórkowym. W przypadku jakichkolwiek wątpliwości należy skontaktować się z infolinią danego banku.

Rada Bankowości Elektronicznej

Związek Banków Polskich

wydrukuj stronę

ZAGROŻENIE DLA PRZEDSIĘBIORCÓW - OSZUKAŃCZE ZLECANIA WYKONANIA WYSOKOKWOTOWYCH POLECEŃ PRZELEWU + rozwiń
Komunikat z dnia 4 marca 2016 r.

ANTYFRAUDOWE DZIAŁANIA PODEJMOWANE PRZEZ BANKI + rozwiń
Komunikat z dnia 29 czerwca 2015 r.

ZŁOŚLIWE OPROGRAMOWANIE EMOTET + rozwiń
Komunikat z dnia 12 czerwca 2015 r.

ATAK HACKERSKI NA BANK + rozwiń
Komunikat z dnia 12 czerwca 2015 r.

ZŁOŚLIWE OPROGRAMOWANIE TINBA I VAWTRAK + rozwiń
Komunikat z dnia 5 maja 2015 r.

Nowelizacja Dyrektywy o usługach płatniczych - dostęp do rachunku bankowego przez podmioty trzecie + rozwiń
stanowisko Rady Bankowości Elektronicznej Związku Banków Polskich z dnia 22 kwietnia 2015 r.

ATAK ZŁOŚLIWYM OPROGRAMOWANIEM – SZYFRUJĄCYM PLIKI UŻYTKOWNIKA I ŻĄDAJĄCYM OKUPU + rozwiń
Komunikat z dnia 17 lutego 2015 r.

ATAK PHISHINGOWY – KRADZIEŻ TOŻSAMOŚCI ZWIĄZKU BANKÓW POLSKICH + rozwiń
Komunikat z dnia 29 stycznia 2015 r.

LUKA W PROTOKOLE SSL V. 3.0 – NOWE ZAGROŻENIE ATAKAMI HAKERSKIMI + rozwiń
Komunikat z dnia 20 października 2014 r.

WŁAMAMANIA DO SKRZYNEK POCZTY ELEKTRONICZNEJ + rozwiń
Komunikat z dnia 7 października 2014 r.

TROJAN BANATRIX – PRZEGLĄDARKI INTERNETOWE + rozwiń
Komunikat z dnia 7 października 2014 r.

ZAGROŻENIE DLA PRZEDSIĘBIORCÓW - OSZUKAŃCZE ZLECANIA WYKONANIA WYSOKOKWOTOWYCH POLECEŃ PRZELEWU + rozwiń
Komunikat z dnia 30 września 2014 r.

OSTRZEŻENIE PRZED ATAKAMI NA SMARTFONY KLIENTÓW UŻYWANE W BANKOWOŚCI ELEKTRONICZNEJ + rozwiń
Komunikat z dnia 1 sierpnia 2014 r.

OSTRZEŻENIE PRZED ATAKAMI NA KOMPUTERY KLIENTÓW UŻYWANE W BANKOWOŚCI ELEKTRONICZNEJ + rozwiń
Komunikat z dnia 1 sierpnia 2014 r.

WYKORZYSTYWANIE KART PŁATNICZYCH DO POTWIERDZANIA TOŻSAMOŚCI KONSUMENTÓW + rozwiń
Komunikat z dnia 9 lipca 2014 r.

ZAGROŻENIE SPOWODOWANE LUKĄ W OPROGRAMOWANIU OpenSSL + rozwiń
Komunikat z dnia 14 kwietnia 2014 r.

ZAGROŻENIE DLA KLIENTÓW BANKOWOŚCI INTERNETOWEJ KORZYSTAJĄCYCH Z ROUTERÓW WIFI + rozwiń
Komunikat z dnia 6 lutego 2014 r.

NOWE ZAGROŻENIE DLA KLIENTÓW KORZYSTAJĄCYCH Z KART MIKROPROCESOROWYCH I eTOKENÓW + rozwiń
Komunikat z dnia 30 stycznia 2014 r.

FIKCYJNE UMOWY O PRACE – JAK NIE ZOSTAĆ „MUŁEM”? + rozwiń
KOMUNIKAT Z DNIA 20 GRUDNIA 2013 R.

TROJAN BANAPTER – PODMIENIAJĄCY RACHUNKI BANKOWE WKLEJANE ZE „SCHOWKA” + rozwiń
Komunikat z dnia 17 października 2013 r.

TROJAN CITADEL ATAKUJE PC – TROJAN ZITMO INFEKUJE TELEFONY KOMÓRKOWE + rozwiń
Komunikat z dnia 24 kwietnia 2013 r.

ZŁOŚLIWE OPROGRAMOWANIE – TROJANY CITADEL ORAZ ZEUS P2P + rozwiń
Komunikat z dnia 28 września 2012 r

UJAWNIANIE INFORMACJI WRAŻLIWYCH SERWISOM OFERUJĄCYM SZYBKIE PŁATNOŚCI + rozwiń
Komunikat z dnia 31 maja 2012 r.

ZŁOŚLIWE OPROGRAMOWANIE W PLIKACH PDF + rozwiń
Komunikat z dnia 11 kwietnia 2011 r.

NOWE ZAGROŻENIE DLA TELEFONÓW KOMÓRKOWYCH – TROJAN ZEUS + rozwiń
Komunikat z dnia 16 marca 2011 r.