Bezpieczeństwo bankowości mobilnej – jak chronić swoje finanse?

Najczęstsze zagrożenia w bankowości mobilnej

Kluczem do bezpiecznego korzystania z aplikacji bankowej jest znajomość zagrożeń i stosowanie podstawowych zasad bezpieczeństwa, takich jak korzystanie z silnych haseł, unikanie podejrzanych linków czy instalowanie oprogramowania tylko ze sprawdzonych źródeł.

Oszustwa wykorzystujące naiwność klientów

Niestety, w większości przypadków to my sami ułatwiamy złodziejom zadanie. Przestępcy bez skrupułów wykorzystują naszą naiwność i lekkomyślność. Doskonale wiedzą, że nie śledzimy bankowych alertów ostrzegających przez zagrożeniami, a co gorsza - często nie mamy pojęcia, jak powinniśmy się zachować w zaaranżowanej przez przestępców nietypowej sytuacji (przykładowo: bank prosi o zainstalowanie aplikacji rzekomo zwiększającej bezpieczeństwo transakcji – czy ma do tego prawo?).

Złodzieje - bazując na naszej niewiedzy i beztrosce – bez trudu wchodzą w posiadanie poufnych informacji umożliwiających im szybkie i sprawne wyczyszczenie konta. Oszustwa polegające na wyłudzaniu danych stanowią obecnie 92% wszystkich przestępstw wymierzonych w użytkowników aplikacji mobilnych, w pozostałych 8% hakerzy wykorzystują luki w oprogramowaniu zainstalowanym w komórce.

Do najpopularniejszych metod stosowanych przez cyberprzestępców należą wiadomości sms i e-maile, podszywające się pod bank i proszące o kliknięcie w link prowadzący do fałszywej strony logowania. Inną formą oszustwa jest telefoniczna próba wyłudzenia kodów autoryzacyjnych, kiedy to przestępcy podszywają się pod pracowników banku i przekonują ofiarę do przekazania poufnych danych.

Fałszywe SMS-y wyłudzające hasła do bankowości elektronicznej (smishing)

W większości przypadków hakerzy włamują się do telefonu ofiary za pomocą sprytnie spreparowanego sms-a. Wiadomość – z reguły utrzymana w kategorycznym, urzędowym tonie - zawiera ważne informacje od banku, np. polecenie zainstalowania najnowszej wersji aplikacji mobilnej. Spełnienie tego żądania umożliwia hakerom zainstalowanie w telefonie złośliwego oprogramowania, które przechwytuje wrażliwe dane, najczęściej login i hasło do konta.

Fałszywe SMS-y „podmieniające” odbiorcę przelewów

Oszustwo polegające na wysłaniu fałszywego sms-a „podmieniającego” odbiorcę przelewów jest jedną z odmian ataku typu man-in-the-middle. W tym przypadku przestępcy przejmują komunikację między użytkownikiem a bankiem i podmieniają informacje, które są przesyłane. Mechanizm działania tego oszustwa jest zazwyczaj następujący:

1. Zainfekowanie urządzenia - nieświadoma niczego ofiara instaluje na swoim telefonie złośliwe oprogramowanie (np. trojana lub aplikację typu spyware). Z reguły infekcja następuje przez kliknięcie w fałszywego linka.
2. Przechwycenie wiadomości sms - program szpiegowski przechwytuje wszystkie sms-y, w tym również te przychodzące z banku. Dzięki temu przestępcy mają dostęp do szczegółów transakcji bankowych, w tym do jednorazowych kodów autoryzacyjnych do potwierdzenia przelewów. Po przejęciu tej kontroli oszust zmienia numer konta odbiorcy przelewu na swoje własne. W rezultacie ofiara wysyła pieniądze na rachunek złodzieja, nie zdając sobie sprawy z podmiany danych.

Ataki z wykorzystaniem kodów QR (quishing)

Ta metoda jest mniej znana, dlatego warto nieco dokładniej ją opisać. Najczęściej fałszywe kody QR są dołączane do przesłanych rzekomo przez bank wiadomości e-mail lub umieszczane na wiarygodnie wyglądających materiałach, np. ulotkach lub prezentacjach handlowych. Haczyk polega na złożeniu klientowi obietnicy, że po zeskanowaniu kodu QR uzyska on dostęp np. do aplikacji umożliwiającej skorzystanie z atrakcyjnych promocji organizowanych przez bank dla obecnych klientów. Następnie nieświadoma niczego ofiara jest proszona o zainstalowanie oprogramowania, które przejmuje kontrolę nad telefonem oraz zawartymi w nim danymi i umożliwia m.in.:

• przekierowanie rozmów,
• podsłuchiwanie rozmów za pomocą mikrofonu w telefonie,
• przekierowanie wiadomości sma (np. z kodami do autoryzacji transakcji),
• przywrócenie ustawień fabrycznych oraz efektywne "wyczyszczenie" telefonu.

Phishing

Jednym z najczęściej spotykanych rodzajów ataków cybernetycznych jest phishing, czyli metoda wykorzystująca techniki socjotechniczne do wyłudzania poufnych danych. Współczesny pishing coraz częściej przybiera formę precyzyjnego, wieloetapowego ataku, ukierunkowanego na konkretną osobę lub firmę. Oszuści wykorzystujący spear phishing w pierwszej kolejności profilują swoje ofiary, a następnie na podstawie zebranych informacji tworzą przekonujące wiadomości, które mają nakłonić wytypowaną osobę do ujawnienia wrażliwych danych.

Typowy atak typu spear phishing jest przeprowadzany przy wykorzystywaniu wiadomości e-mail oraz mediów społecznościowych. Może przybrać formę następujących komunikatów:

• wiadomości podszywającej się pod instytucje finansowe - kliknięcie w link ma rzekomo przywrócić dostęp do konta zablokowanego przez bank po nieudanym ataku hakerskim,
• wiadomości podszywającej się pod firmę kurierską - np. informacji o nieudanej próbie dostarczenia przesyłki,
• wiadomości wysłanej przez urząd skarbowy /ZUS / urząd celny z linkiem do fałszywej strony umożliwiającej spłatę rzekomych zaległości finansowych wobec Skarbu Państwa,
• e-maila od partnera biznesowego z prośbą o szybkie zapłacenie faktury przesłanej w załączniku,
• wiadomości podszywającej się pod serwis społecznościowy z prośbą o natychmiastową zmianę hasła.

Po kliknięciu w link ofiara jest przenoszona do strony internetowej stworzonej przez hakerów. Niestety, próba zalogowania na takiej podrobionej stronie kończy się przekazaniem oszustowi wrażliwych danych umożliwiających dostęp do konta.

Zagrożenia związane z oprogramowaniem

Wraz z rozwojem technologii, rosną również zagrożenia związane z oprogramowaniem. Luki w systemach, fałszywe aplikacje i ataki oparte na sztucznej inteligencji stanowią poważne wyzwanie dla naszego bezpieczeństwa finansowego.

Złośliwe oprogramowanie

Malware, czyli złośliwe oprogramowanie, jest jednym z najbardziej wszechstronnych narzędzi w arsenale cyberprzestępców. Kategoria ta obejmuje różne typy programów (wirusy, trojany, robaki, ransomware, rootkity, spyware, boty). W dzisiejszych czasach malware często łączy cechy różnych typów zagrożeń, tworząc hybrydowe formy zdolne do adaptacji i trudne do wykrycia.

Co gorsza, współczesne ataki malware są skomplikowanym procesem, składającym się z kilku etapów. Pierwszym z nich jest dostarczenie złośliwego oprogramowania, najczęściej za pośrednictwem zainfekowanych załączników w e-mailach lub złośliwych reklamach (malvertising). Następnie rozpoczyna się proces instalacji malware oraz maskowania jego obecności.

Nowoczesne trojany używają zaawansowanych metod ukrywania się, takich jak polimorfizm czy szyfrowanie kodu, co utrudnia ich wykrycie przez systemy zabezpieczeń. Przeciętny czas wykrycia takiego zaawansowanego oprogramowania wynosi aż 287 dni, co daje cyberprzestępcom dużo czasu na realizację swoich celów.

Kolejnym etapem jest nawiązanie łączności z serwerem dowodzenia i kontroli (C&C). Nowoczesne złośliwe oprogramowanie coraz częściej stosuje zaawansowane metody komunikacji, w tym protokoły DNS, HTTPS, a nawet media społecznościowe, by ukryć swoją aktywność w sieci. Z danych wynika, że 67% malware’u korzysta z szyfrowanej komunikacji, co sprawia, że jego wykrycie i zablokowanie staje się znacznie trudniejsze.

Po uzyskaniu kontroli nad systemem, malware przystępuje do realizacji swoich celów, które mogą obejmować kradzież danych, szyfrowanie plików, czy wykorzystywanie zasobów komputera do kopania kryptowalut.

Luki w systemie operacyjnym

O ile opisane wcześniej metody często wykorzystują lekkomyślność użytkowników bankowej aplikacji mobilnej, o tyle w przypadku pozostałych ataków trudno mówić o ich nieostrożności czy braku rozwagi. Cyberprzestępcy mogą bowiem wykorzystać luki w oprogramowaniu zainstalowanym w telefonie komórkowym i w ten sposób zyskać dostęp do wrażliwych danych.

Przykładem takiego działania był atak hakerski znany jako Bug Stagefright - luka w bibliotece odpowiedzialnej za obsługę multimediów w systemie Android. Umożliwiała ona oszustom zdalne przejęcie kontroli nad telefonem poprzez wysłanie specjalnie spreparowanej wiadomości multimedialnej ze złośliwym kodem (często w formie pliku MP3 lub MP4 bądź zabawnej aplikacji). Kiedy ofiara odbierała tę wiadomość, złośliwy kod automatycznie uruchamiał się na jej urządzeniu i eksplorował jego zawartość. Celem tego ataku mogło być przejęcie kontroli nad urządzeniem, kradzież danych lub zainstalowanie złośliwego oprogramowania.

I chociaż luka Stagefright została już naprawiona, ta historia pokazuje, jak ważne jest regularne aktualizowanie systemu operacyjnego i zachowanie ostrożności podczas korzystania z urządzeń mobilnych. Producenci oprogramowania i sprzętu stale pracują nad poprawą bezpieczeństwa, jednak użytkownicy również muszą podejmować odpowiednie środki ostrożności, aby chronić swoje dane.

Ataki wykorzystujące luki w protokołach

Protokół komunikacyjny to zbiór reguł określających, w jaki sposób urządzenia komunikują się ze sobą. Niestety, może się zdarzyć, że protokół zawiera błędy projektowe lub implementacyjne, które umożliwiają hakerom przejęcie kontroli nad systemem, kradzież danych lub zakłócenie działania urządzeń.
Przykładem tego typu cyberprzestępstwa może być atak na protokół Wi-Fi, znany jako KRACK (Key Reinstallation Attack). Luki w protokole WPA2 (odpowiadającym za szyfrowanie danych w sieciach bezprzewodowych), pozwalały atakującym na manipulowanie procesem ustanawiania połączenia, co umożliwiało im przechwycenie ruchu sieciowego, w tym danych osobowych czy haseł.

Fałszywe aplikacje bankowe

Użytkownicy bankowych aplikacji powinni szczególnie uważać na tzw. atak nakładkowy (overlay attack), który polega na nałożeniu fałszywego interfejsu na oryginalną apkę. Nakładka doskonale imituje wygląd oryginału, co ułatwia przestępcom wykradzenie danych do logowania. Zwykle schemat oszustwa na "fałszywą apkę" jest następujący:

Ofiara otrzymuje e-mail lub sms-a zawierającego link do fałszywej aplikacji. W wiadomości może znajdować się informacja o „nowej funkcji aplikacji bankowej” lub „pilnej aktualizacji”, która ma przekonać użytkownika do pobrania złośliwego oprogramowania,

Logowanie do fałszywej aplikacji

Źródło: Strona Urzędu Komisji Nadzoru Finansowego

Po zalogowaniu się do apki, użytkownik jest proszony o podanie swoich danych logowania, numeru karty lub innych poufnych informacji. Te dane są następnie przesyłane do cyberprzestępców, którzy w tym momencie mają już otwartą drogę do naszych oszczędności.

Zagrożenia związane z AI

Współczesna cyberprzestępczość ewoluuje w niepokojącym tempie. Systemy AI są używane do automatyzacji ataków, generowania przekonujących wiadomości phishingowych i omijania tradycyjnych zabezpieczeń. W 2023 roku zaobserwowano skokowy wzrost liczby ataków wykorzystujących zaawansowane modele językowe do tworzenia spersonalizowanych kampanii phishingowych.

Szczególnie niepokojący jest rozwój systemów AI zdolnych do automatycznego wykrywania luk w oprogramowaniu. Badania pokazują, że zaawansowane modele AI potrafią analizować kod źródłowy 100 razy szybciej niż człowiek, identyfikując potencjalne luki bezpieczeństwa, które mogą być wykorzystane w atakach.

Sztuczna inteligencja wprowadza również nowe zagrożenia w postaci deepfake’ów. Przestępcy wykorzystują zaawansowane modele generatywne do tworzenia realistycznych nagrań audio i wideo, które są wykorzystywane w atakach wycelowanych w przedsiębiorstwa. W 2023 roku odnotowano pierwszy przypadek skutecznego wyłudzenia 25 milionów dolarów przy użyciu sfałszowanego nagrania wideo dyrektora finansowego międzynarodowej korporacji w Hongkongu.

Podstawowe zasady bezpieczeństwa w bankowości mobilnej

W codziennej obsłudze aplikacji bankowych warto pamiętać o kilku podstawowych zasadach bezpieczeństwa. Ich wdrożenie jest łatwe i nie wymaga specjalnych umiejętności, a może Cię uchronić przed poważnymi konsekwencjami.

Pobieraj aplikacje tylko z oficjalnych źródeł

Aplikacje mobilne pobieraj wyłącznie z oficjalnych sklepów: App Store (dla systemu iOS), Google Play (dla Androida). Unikaj instalowania aplikacji z nieznanych źródeł, w tym z linków przesyłanych w wiadomościach e-mail, sms-ach czy komunikatorach internetowych.

Przed pobraniem dokładnie sprawdź, jakich uprawnień wymaga apka (w Google Play znajdziesz te informacje jeszcze przed zainstalowaniem). Jeśli aplikacja domaga się dostępu do danych, które nie są niezbędne do jej prawidłowego funkcjonowania, na przykład do sms-ów czy internetu, natychmiast przerwij instalację.

Kolejną czerwoną flagą może być prośba o nieskanowanie apki za pomocą oprogramowania antywirusowego. Skanowanie to standardowa procedura, która pomaga w identyfikacji potencjalnych zagrożeń. Prośba o jej pominięcie sugeruje, że aplikacja może zawierać malware.

Aktualizuj aplikacje i system operacyjny

Aby zminimalizować ryzyko utraty pieniędzy, ustaw w telefonie automatyczną aktualizację systemu oraz aplikacji. Każda aktualizacja wprowadza zmiany, które mają usprawniać jej działanie - czy to w zakresie funkcjonalności, czy bezpieczeństwa. W aktualizacjach często dodawane są specjalne protokoły chroniące Twój smartfon przed wirusami czy atakami hakerów.

Zabezpiecz swoje urządzenie mobilne

Wdrażając proste, ale skuteczne środki, takie jak blokada ekranu i oprogramowanie antywirusowe, możesz znacząco zwiększyć bezpieczeństwo swojego urządzenia mobilnego.

Blokada ekranu

W przypadku, gdy telefon zostanie zgubiony lub skradziony, to właśnie blokada ekranu stanowi Twoją pierwszą linię obrony. Blokada może przybierać różne formy, od tradycyjnych kodów PIN czy haseł, poprzez bardziej zaawansowane rozwiązania biometryczne, takie jak odcisk palca czy rozpoznawanie twarzy, aż po graficzne wzory.

Choć wszystkie te metody zwiększają bezpieczeństwo Twojego urządzenia, to nie każda z nich jest równie skuteczna. Najbardziej niezawodne są zabezpieczenia biometryczne, najgorzej wypada odblokowywanie ekranu za pomocą wzoru (ruch palca zostawia na urządzeniu smugi, które ułatwiają odgadnięcie szyfru). Pamiętaj również, aby unikać oczywistych kodów PIN i zawsze sprawdzać otoczenie przed odblokowaniem telefonu, zwłaszcza jeśli przebywasz w publicznym miejscu.

Oprogramowanie antywirusowe i antymalware

Korzystanie z oprogramowania antywirusowego i antymalware na urządzeniach mobilnych jest jednym z kluczowych elementów ochrony przed zagrożeniami. Choć smartfony są mniej podatne na wirusy niż komputery, złośliwe oprogramowanie wciąż stanowi realne zagrożenie, zwłaszcza na urządzeniach z systemem Android, który umożliwia instalację aplikacji spoza oficjalnych sklepów.

Dobre oprogramowanie antywirusowe powinno oferować nie tylko skanowanie plików i aplikacji, ale także ochronę w czasie rzeczywistym, wykrywanie phishingu oraz funkcję zdalnego blokowania i usuwania danych w przypadku kradzieży telefonu.

W przypadku systemu iOS sytuacja wygląda nieco inaczej. Ze względu na zamkniętą architekturę i ścisłą kontrolę nad aplikacjami w App Store, tradycyjne programy antywirusowe nie są konieczne. Apple stosuje zaawansowane mechanizmy zabezpieczeń, które ograniczają możliwość działania złośliwego oprogramowania. Jednak mimo to użytkownicy iPhone'ów powinni zachować ostrożność, unikając podejrzanych linków oraz potencjalnie niebezpiecznych połączeń Wi-Fi w przestrzeni publicznej.

Używaj silnych i unikalnych haseł

Czy wiesz, że hasła, które jeszcze kilka lat temu były uważane za bezpieczne, dziś stanowią łatwy łup dla hakerów? Współcześni hakerzy - wykorzystując zaawansowane techniki, takie jak rainbow tables czy ataki słownikowe wspomagane przez sztuczną inteligencję - potrafią złamać 8-znakowe hasło zbudowane z małych liter w czasie krótszym niż godzina. Dlatego obecnie dominuje pogląd, że długość hasła ma większe znaczenie niż jego złożoność. Hasło składające się z 16 znaków, nawet jeśli są to tylko małe litery, jest trudniejsze do złamania niż 8-znakowe hasło zawierające różne typy znaków. Współczesne standardy bezpieczeństwa zalecają stosowanie haseł o długości minimum 14 znaków, najlepiej w formie łatwych do zapamiętania fraz.

Unikaj publicznych Wi-Fi

Nie korzystaj z aplikacji bankowej, używając połączenia z publicznymi, otwartymi sieciami Wi-Fi. Takie sieci są szczególnie narażone na ataki hakerskie, ponieważ nie oferują żadnej formy szyfrowania, co oznacza, że przesyłane dane mogą być łatwo przechwycone przez cyberprzestępców.

Monitoruj stan konta i ustaw limity transakcji

Zdefiniuj dzienne limity transakcyjne w bankowości internetowej. W sytuacji, w której złodziej będzie chciał przekroczyć ten limit, dostaniesz komunikat o konieczności kontaktu z konsultantem banku i zostaniesz poproszony o weryfikację zlecenia.

Zachowaj ostrożność wobec podejrzanych wiadomości i linków

Pamiętaj, że bank nigdy nie prosi swoich klientów o instalację dodatkowych aplikacji lub certyfikatów e-security za pośrednictwem sms-ów lub komunikatów w serwisie banku! Jeżeli spotkasz się z tego typu żądaniem, zignoruj je i skontaktuj się z infolinią swojego banku.

Jak banki dbają o bezpieczeństwo mobilnych transakcji?

Także banki zdają sobie sprawę z istniejącego zagrożenia, dlatego wprowadzają szereg rozwiązań, które mają utrudnić hakerom przejęcie hasła i wyczyszczenie konta klientów. Oto kilka wybranych przykładów zabezpieczeń używanych przez instytucje finansowe:

Dwuskładnikowa autoryzacja (2FA)

Dwuskładnikowa autoryzacja transakcji (2FA) w aplikacji mobilnej to proces, który polega na konieczności potwierdzenia tożsamości użytkownika za pomocą dwóch różnych elementów przed wykonaniem transakcji.

Pierwszym składnikiem jest coś, co użytkownik wie – najczęściej jest to hasło lub PIN, który pozwala na zalogowanie się do aplikacji bankowej. Jest to podstawowy element zabezpieczający dostęp do rachunku. Drugim składnikiem jest coś, co użytkownik ma – może to być jednorazowy kod wygenerowany przez aplikację mobilną banku bądź też zatwierdzenie transakcji za pomocą biometrii.

Dzięki tej metodzie nawet jeśli oszust zdobędzie hasło użytkownika (np. poprzez phishing), nie będzie w stanie zakończyć transakcji bez drugiego składnika – np. dostępu do telefonu, na który wysyłany jest kod lub też potwierdzenia transakcji biometrycznie. Dwuskładnikowa autoryzacja znacząco zmniejsza ryzyko przejęcia konta przez osoby trzecie, chroniąc zarówno środki na koncie, jak i dane wrażliwe użytkownika.

Szyfrowanie i tokenizacja

Tokenizacja zamienia wrażliwe dane, np. numer karty płatniczej, na losowy ciąg cyfr zwany tokenem. Token jest bezużyteczny poza systemem, który go wygenerował, co minimalizuje ryzyko wycieku danych.

W bankowości mobilnej tokenizacja znajduje zastosowanie w kilku obszarach. Są to:

• mobilne płatności (Google Pay, Apple Pay, Garmin Pay) – podczas płatności smartfonem rzeczywisty numer karty płatniczej nie jest przechowywany na urządzeniu ani przesyłany do sklepu. Zamiast tego system płatniczy banku generuje unikalny token, który jest używany do autoryzacji transakcji,
• autoryzacja transakcji online – w niektórych bankach zamiast wpisywać pełne dane karty, użytkownik może skorzystać z tokenizacji, dzięki której transakcja jest realizowana bez ujawniania numeru karty,
• zabezpieczenie logowania i biometrii – tokenizacja może być wykorzystywana do maskowania identyfikatorów użytkownika, takich jak ID klienta lub identyfikatory biometryczne, co dodatkowo podnosi poziom bezpieczeństwa.

Z kolei szyfrowanie to proces przekształcania danych w zaszyfrowaną formę, która jest niemożliwa do odczytania bez odpowiedniego klucza deszyfrującego. W bankowości mobilnej szyfrowanie jest wykorzystywane na wielu poziomach:

• szyfrowanie transmisji danych – w momencie, gdy użytkownik loguje się do aplikacji bankowej lub wykonuje transakcję, wszystkie przesyłane informacje (np. dane logowania, numer konta, kwota przelewu) są szyfrowane za pomocą protokołu TLS (Transport Layer Security). Zapobiega to przechwyceniu poufnych informacji przez cyberprzestępców,
• szyfrowanie danych przechowywanych na urządzeniu – aplikacje bankowe często przechowują niektóre dane użytkownika (np. identyfikatory logowania czy historię transakcji). Są one szyfrowane, aby w przypadku kradzieży lub zgubienia smartfona osoba trzecia nie mogła ich odczytać.
• szyfrowanie haseł i PIN-ów – dane uwierzytelniające użytkownika (np. PIN do aplikacji czy hasło) są przechowywane w postaci zaszyfrowanej, dzięki czemu nie mogą być łatwo przejęte przez malware.

Obie technologie uzupełniają się nawzajem – szyfrowanie zapewnia ochronę danych w trakcie ich transmisji i przechowywania, natomiast tokenizacja eliminuje konieczność przechowywania rzeczywistych danych użytkownika tam, gdzie nie jest to konieczne. Dzięki temu bankowość mobilna staje się bardziej odporna na ataki hakerskie, phishing oraz przechwytywanie poufnych informacji przez złośliwe oprogramowanie.

Monitorowanie podejrzanych transakcji, czyli jak banki wykrywają oszustwa

Banki, aby skutecznie monitorować podejrzane transakcje, wykorzystują zaawansowane systemy analityczne. Elementy takich systemów obejmują m.in. rozbudowaną bazę danych oszukańczych transakcji, mechanizmy oceny ryzyka, systemy alarmowe, a także narzędzia analityczne, które wspierają pracę zespołów odpowiedzialnych za monitorowanie. Współpraca tych wszystkich elementów umożliwia bankom wykrywanie nielegalnych działań w czasie rzeczywistym, co znacząco zmniejsza ryzyko finansowe i chroni interesy zarówno instytucji, jak i jej klientów.

Aby system skutecznie działał, konieczne jest zbudowanie wzorców podejrzanych zachowań na podstawie danych zbieranych przez dłuższy czas (przynajmniej przez rok). Z kolei wzorce oparte są na tzw. regułach, które określają, czy dana transakcja jest legalna, czy nie. Wśród tych reguł znajdują się zarówno tzw. „mocne kryteria” (np. każda transakcja powyżej określonej kwoty, np. 15 tys. euro, wymaga weryfikacji), jak i reguły oparte na śledzeniu anomalii w zachowaniu klienta, które mogą sugerować nielegalne działania (dziwne lokalizacje geograficzne, zakupy w nietypowych miejscach, próba wypłaty wszystkich oszczędności).

Po wykryciu podejrzanych przypadków system automatycznie generuje alert i oznacza daną transakcję jako próbę fraudu. Konsekwencją alarmu może być np. zablokowanie karty albo konta lub też telefon od pracownika banku z prośbą o potwierdzenie płatności.

Co robić w przypadku ataku lub podejrzenia oszustwa?

W przypadku cyberataku lub podejrzenia oszustwa kluczowe jest natychmiastowe działanie. Szybka reakcja i wiedza na temat tego, jak postąpić w takiej sytuacji, mogą uchronić Cię przed poważnymi konsekwencjami.

Natychmiastowy kontakt z bankiem

Po wykryciu podejrzanej aktywności na Twoim koncie bankowym, takiej jak nieautoryzowane transakcje, dziwne wiadomości e-mail lub telefony od osób podających się za konsultantów, natychmiast skontaktuj się ze swoim bankiem. Wyjaśnij sytuację i postępuj zgodnie z otrzymanymi instrukcjami. Pamiętaj, aby dzwonić tylko na oficjalny numer infolinii, który znajdziesz na stronie internetowej banku lub na karcie płatniczej.

Zmiana haseł i kodów PIN

Jeśli przypuszczasz, że Twoje hasła lub kody PIN zostały skradzione, zmień je tak szybko, jak to jest możliwe. Dotyczy to zarówno haseł do bankowości internetowej, jak i kodów PIN do kart płatniczych. Wybierz silne hasło, które składa się z co najmniej 14 znaków. Hasło być łatwe do zapamiętania dla Ciebie, ale trudne do odgadnięcia przez osoby trzecie.

Nie używaj tych samych haseł do różnych kont, np. do Facebooka i rachunku w banku. Choć takie rozwiązanie może wydawać się wygodne, w rzeczywistości stanowi poważne zagrożenie dla Twoich pieniędzy. Jeśli jedno z takich kont zostanie zhakowane, cyberprzestępcy mogą bez trudu uzyskać dostęp do rachunku, na którym używasz tego samego hasła.

Zablokowanie karty i dostępu do bankowości mobilnej/internetowej

Zablokowanie karty i dostępu do bankowości mobilnej jest kluczowym działaniem w przypadku nieautoryzowanego dostępu do Twojego konta.

Kartę możesz zablokować na kilka sposobów: dzwoniąc pod numer czynnej całą dobę infolinii lub dezaktywując plastik za pomocą aplikacji mobilnej bądź systemu transakcyjnego (o ile nasz bank udostępnia taką możliwość). Możesz też skorzystać ze specjalnej infolinii udostępnionej przez Zintegrowany System Zastrzegania Kart Płatniczych. Numer: 828 828 828 jest dostępny przez 24 godziny na dobę, 7 dni w tygodniu, z każdego miejsca na świecie.

Zablokowanie dostępu do bankowości mobilnej/internetowej przebiega podobnie, co trwałe zablokowanie karty.

W większości bankowych apek znajdziesz opcję "Ustawienia" lub "Bezpieczeństwo", gdzie powinna być dostępna funkcja blokady dostępu do bankowości elektronicznej. Wystarczy wybrać tę opcję i potwierdzić swoją decyzję.

Alternatywnie możesz skorzystać z bankowości internetowej. Zaloguj się na swoje konto za pośrednictwem przeglądarki i poszukaj opcji związanej z bezpieczeństwem lub ustawieniami. Tam również powinna znajdować się możliwość zablokowania dostępu do bankowości mobilnej.

Możesz również zablokować dostęp do bankowości mobilnej poprzez infolinię. Zadzwoń na numer swojego banku i postępuj zgodnie ze wskazówkami konsultanta. Przygotuj się na podanie danych identyfikacyjnych, aby potwierdzić swoją tożsamość.

Zgłoszenie incydentu na policję lub do CERT Polska (w zależności od sytuacji)

W przypadku podejrzenia oszustwa zgłoś incydent do odpowiednich służb, takich jak policja lub CERT Polska, które zajmują się monitorowaniem i reagowaniem na incydenty cyberbezpieczeństwa. Możesz to zrobić za pośrednictwem strony incydent.cert.pl, wysyłając e-mail na adres [email protected] lub dzwoniąc pod numer 8080.

Czy możesz odzyskać skradzione pieniądze?

Najprawdopodobniej tak, chyba że wykazałeś się "rażącym niedbalstwem". Banki definiują rażące niedbalstwo jako brak zachowania podstawowych zasad bezpieczeństwa. Przykładem takiego zachowania może być ujawnienie danych do logowania osobom trzecim, klikanie w podejrzane linki w wiadomościach e-mail lub sms-ach, brak regularnej aktualizacji oprogramowania, instalowanie aplikacji z nieznanych źródeł. Reasumując, jeżeli dopuścisz się rażącego niedbalstwa, bank może Ci odmówić zwrotu środków utraconych w wyniku oszustwa.

W pozostałych przypadkach odzyskanie pieniędzy jest jak najbardziej możliwe. Musisz jednak napisać reklamację do banku, w której opiszesz okoliczności kradzieży środków.

Możesz również z skorzystać z procedury chargeback, która jest szczególnie przydatna w przypadku oszustw związanych z płatnościami kartą kredytową lub debetową. Chargeback to proces, który pozwala na ubieganie się o zwrot środków za transakcje, które zostały dokonane niezgodnie z Twoją wolą, np. w przypadku oszustwa, nieautoryzowanej transakcji lub niewłaściwego wykonania usługi. Procedura ta jest stosowana w przypadku transakcji, które miały miejsce w ciągu ostatnich 120 dni od ich wykonania. Aby skorzystać z chargebacku, należy zgłosić sprawę do banku i udokumentować, że transakcja była nieautoryzowana. Bank na podstawie zgłoszenia przeprowadza dochodzenie, a jeśli uzna roszczenie za zasadne, zwróci Ci środki. Ważne jest, aby jak najszybciej zgłosić podejrzaną transakcję, ponieważ procedura wymaga dotrzymania określonych terminów, a opóźnienia mogą skutkować utratą możliwości odzyskania pieniędzy.

Pamiętaj o zasadach bezpieczeństwa mobilnego bankowania!

Oto 10 podstawowych zasad bezpieczeństwa mobilnego bankowania:

1. Pobieraj aplikacje tylko z oficjalnych źródeł – Google Play, App Store lub z oficjalnej strony banku.
2. Stosuj blokadę telefonu za pomocą wzoru lub hasła – złodziej będzie miał znacznie bardziej utrudnione zadanie.
3. Używaj silnych i unikalnych haseł – do każdego konta wybieraj inne, skomplikowane hasło, które trudno zgadnąć.
4. Włącz dwuskładnikową autoryzację (2FA) – korzystaj z dodatkowego poziomu bezpieczeństwa przy logowaniu do bankowości mobilnej.
5. Nie korzystaj z aplikacji mobilnej banku, używając połączenia z publicznymi, otwartymi sieciami Wi-Fi.
6. Jeśli sprzedajesz lub oddajesz swój telefon komórkowy innej osobie, pamiętaj o wcześniejszej dezaktywacji aplikacji bankowej na tym urządzeniu.
7. Używaj legalnego oprogramowania antywirusowego do ochrony urządzeń mobilnych. Nigdy nie instaluj na swoim telefonie antywirusa, do którego link otrzymasz w SMS-ie od „banku”. Banki nie wysyłają takich SMS-ów!
8. Aktualizuj aplikacje i system operacyjny – regularnie instaluj dostępne aktualizacje, które poprawiają bezpieczeństwo.
9. Uważaj na phishing – nie klikaj w podejrzane linki ani załączniki w wiadomościach e-mail, SMS-ach czy komunikatorach.
10. Monitoruj transakcje i stan konta – regularnie sprawdzaj historię transakcji i natychmiast reaguj na podejrzane operacje.

Te zasady pomogą Ci w bezpiecznym korzystaniu z bankowości mobilnej i ochronie Twoich danych przed cyberzagrożeniami.

Ranking aplikacji mobilnych - luty 2025

1.

Aplikacja mBank

• Logowanie
  (5)
• Transakcje
  (5)
• Ustawienia
  (5)
• Przydatne funkcje
  (4.5)

Ocena w Google Play: 4,6 / 5 (400 tys.). Ocena w App Store: 4,8 / 5 (325 tys.).

510 zł za eKonto do usług + 100 zł za konto dla dziecka lub nastolatka + 7% na lokacie w mBanku

Przeczytaj recenzję

4.9

Przejdź na stronę banku

2.

IKO

• Logowanie
  (5)
• Transakcje
  (5)
• Ustawienia
  (5)
• Przydatne funkcje
  (5)

Ocena w Google Play: 4,7 / 5 (820 tys.). Ocena w App Store: 4,8 / 5 (475 tys.).

500 zł moneyback za konto osobiste z oferty PKO BP

Przeczytaj recenzję

4.9

Przejdź na stronę banku

3.

Moje ING mobile

• Logowanie
  (5)
• Transakcje
  (5)
• Ustawienia
  (5)
• Przydatne funkcje
  (5)

Ocena w Google Play: 4,8 / 5 (400 tys.). Ocena w App Store: 4,9 / 5 (245 tys.).

500 zł premii za Konto z Lwem Direct lub Komfort w ING Banku Śląskim + 100 zł w programie poleceń + 7% dla oszczędności

Przeczytaj recenzję

4.9

Przejdź na stronę banku

Przejdź do pełnego rankingu