Technologia – Miliony klientów banków poszkodowanych. AppTAN jest używana przez wielu klientów banków. Sąd uznał ją jednak za zbyt mało bezpieczną, więc sytuacja może się wkrótce zmienić. Miliony klientów uznaje się za poszkodowanych.
PRZECZYTAJ: Najsłynniejszy włoski producent samochodów wprowadził płatność kryptowalutami
Miliony klientów banków poszkodowanych
Sekcja 1 (24) ustawy o nadzorze nad usługami płatniczymi (Zahlungsdiensteaufsichtsgesetz, ZAG) reguluje, jak musi wyglądać silne uwierzytelnianie klienta w bankowości internetowej. Kluczową kwestią jest to, że muszą być stosowane co najmniej dwa czynniki, co jest również wymagane przez obecnie obowiązującą dyrektywę PSD2 w sprawie usług płatniczych.
Sprawdź: Wspaniała wiadomość dla milionów emerytów: oto kto dostanie w grudniu więcej pieniędzy
Nawet do zalogowania się na stronie bankowej nie wystarczy już nazwa użytkownika i hasło; potrzebny jest drugi czynnik, a każdy przelew musi być również zatwierdzony, zwykle za pomocą numeru transakcji (TAN).
W przeszłości używano do tego celu drukowanych list TAN, ale było to bardzo niebezpieczne i zostało obecnie zakazane, a smsTAN również musiał zniknąć. Obecnie aplikacje zazwyczaj generują numery transakcji dynamicznie. Istnieją różne procedury, z których najpopularniejszą jest PushTAN, zwany także AppTAN.
Większość banków oferuje ją jako darmową opcję TAN. Niedawne orzeczenie sądu potwierdza jednak, że procedura AppTAN ma „zwiększony potencjał ryzyka” i odmawia jej niezbędnego bezpieczeństwa. Jest to problem, ponieważ wiele banków sprzedaje AppTAN jako bardzo bezpieczny sposób na bankowość mobilną.
Spór prawny dotyczył w rzeczywistości fałszywego połączenia telefonicznego, w którym klient banku ujawnił dzwoniącemu numery TAN z aplikacji. Zgodnie z orzeczeniem, bank nie musi zwracać skradzionej kwoty. Interesujące było jednak to, że sąd uznał, że połączenie aplikacji bankowej i aplikacji TAN na jednym urządzeniu ma zwiększony potencjał ryzyka.
Ta dyskusja nie jest nowa, ponieważ łączy się dwa czynniki z AppTAN na jednym urządzeniu. Jeśli atakującemu uda się przejąć telefon komórkowy, na przykład poprzez infekcję złośliwym oprogramowaniem, nic nie jest już bezpieczne. Obecnie dość powszechne jest korzystanie z dwóch aplikacji na tym samym telefonie komórkowym, które obsługują bankowość i generowanie TAN.
Ponieważ jednak aplikacja TAN działa w oderwaniu od innych aplikacji i jest z kolei chroniona hasłem lub funkcjami biometrycznymi, została sklasyfikowana jako zgodna z prawem w PSD2, co już wtedy krytykowali eksperci ds. bezpieczeństwa. Jednak niezależnie od tego, jak na to spojrzeć, AppTAN są używane miliony razy i nie oferują najwyższego standardu bezpieczeństwa.
Zwiększenie bezpieczeństwa bankowości mobilnej
Zdaniem Chip.de AppTAN nie jest niebezpieczny, jednak nie ma separacji urządzeń dla używanych czynników. W związku z tym BSI zaleca również zwiększenie bezpieczeństwa poprzez korzystanie z dwóch urządzeń do bankowości i generowania TAN. Można to łatwo zrobić, otwierając stronę bankową na komputerze i zlecając wygenerowanie numeru TAN na telefonie komórkowym. Istnieją również alternatywy dla AppTAN, z których można korzystać:
- chipTAN: W przypadku chipTAN używane jest dodatkowe urządzenie, do którego wkładana jest karta girocard, a które następnie generuje numer TAN pasujący do przelewu.
- PhotoTAN: Również w tym przypadku banki oferują dodatkowe urządzenia, za pomocą których skanowana jest grafika z ekranu, a następnie generowany jest numer TAN.
- Bez TAN: Nie można stracić tego, co nie zostało wygenerowane. Na przykład PostBank oferuje procedurę z BestSign, w której nie trzeba już w ogóle obsługiwać numeru TAN.
Niestety, nie wszystkie banki oferują wspomniane alternatywy. Dopiero okaże się, czy ocena orzeczenia wywoła większe poruszenie i czy wymagania dotyczące procedur TAN zostaną ewentualnie zaostrzone w następnej dyrektywie w sprawie usług płatniczych. Źródło: Chip.de, PolskiObserwator.de