Z uwagi na wygodę, a także łatwość i szybkość dostępu oraz niskie koszty, bankowość internetowa przyciągnęła już miliony klientów.

W ślad za bankami usługi finansowe zaczęły udostępniać w internecie również inne instytucje, co sprawia, iż obecnie dane ogromnej liczby użytkowników są przetwarzane w różnego rodzaju aplikacjach internetowych. W tym kontekście niepokojący staje się fakt, że wielu klientów tych aplikacji pada ofiarą przestępców komputerowych, którzy stale doskonalą techniki ataków prowadzonych w celu uzyskania korzyści materialnych. Niemal codziennie docierają do nas z całego świata informacje o nowych atakach na klientów popularnych serwisów bankowości internetowej. Skala powstałych w ten sposób strat finansowych jest trudna do oszacowania z uwagi na brak upublicznienia tych informacji przez instytucje finansowe.

Do przeprowadzenia skutecznych ataków przestępcy komputerowi najczęściej wykorzystują najsłabszy element bezpieczeństwa, jakim jest człowiek – użytkownik serwisu internetowego. Ludzie z natury są podatni na manipulację, czyli tak zwane ataki socjotechniczne. Celem tych ataków jest zdobycie zaufania ofiary i nakłonienie jej do wykonania wskazanych przez atakującego czynności. W przypadku ataków na klientów bankowości internetowej działania te przybierają często wyrafinowaną, skomplikowaną formę i mają na celu przede wszystkim wyłudzenie danych uwierzytelniających. Wsparte narzędziami i usługami informatycznymi mają bardzo szerokie pole rażenia i mogą być niezwykle skuteczne.

Phishing

Ataki mające na celu wyłudzenie haseł dostępowych klientów nazywane są powszechnie terminem phishing. Często przybierają formę masowej wysyłki poczty elektronicznej pochodzącej rzekomo od instytucji finansowej. Zamieszczone w wiadomościach odnośniki prowadzą do nieautoryzowanej repliki aplikacji internetowej, której podstawowym celem jest rejestracja wprowadzonych przez ofiary ataków danych uwierzytelniających. Z uwagi na powszechne wykorzystanie w serwisach bankowości internetowej dodatkowych, silnych metod uwierzytelnienia – np. haseł jednorazowych, ofiary ataku są bardzo często dodatkowo proszone o ich wprowadzenie. Statystycznie część osób, głównie z mniejszą świadomością odnośnie do występujących zagrożeń, pada ofiarą takiego ataku i wprowadzając dane uwierzytelniające otwiera przed atakującymi możliwość przejęcia pieniędzy z rachunków bankowych.

W ostatnich latach rośnie złożoność ataków phishingowych. W celu ochrony przed tego rodzaju zagrożeniami nie wystarczy już weryfikacja poprawności certyfikatu prezentowanego przez serwer. W przypadku przejęcia przez atakującego kontroli nad komputerem osobistym klienta bankowości internetowej jego przeglądarka internetowa prezentuje nieautoryzowane strony wyłudzające hasła dostępowe bez konieczności łączenia się z repliką serwera banku. W takim przypadku zarejestrowanie sekwencji wprowadzanych klawiszy (np. hasła dostępowego) również nie stanowi żadnego problemu.

Potencjalnie, skrajnie wyrafinowane formy ataku mogą pasywnie oczekiwać na realizację przez klienta operacji wymagającej wprowadzenia jednorazowego kodu dostępowego, przy czym kod ten zostaje przejęty w celu autoryzacji innej nieautoryzowanej operacji wybranej przez atakującego. Dlatego tak istotne jest, aby na przykład przy uwierzytelnianiu za pomocą kodów SMS-owych weryfikować, czy nadesłany kod dotyczy realizowanej właśnie operacji.