450 tys. zł – to średnia jednorazowa strata polskiej firmy z powodu ataku hakerskiego. Na osobach odpowiedzialnych za firmowe finanse spoczywa szczególna odpowiedzialność za bezpieczną autoryzację transakcji.

Oczywistością jest, że nie każdy pracownik w firmie jest upoważniony do płatności. Podobnie oczywiste powinny być podstawowe zasady "higieny" stosowane do autoryzacji przelewu lub innej dyspozycji.

Chodzi o bezpieczeństwo jednorazowych kodów przesłanych SMS-m, wygenerowanym przez token lub z papierkowej karty kodów. Pierwszy sposób autoryzacji jest uznawany za najwygodniejszy. SMS-y są generowane do konkretnej transakcji, więc analiza ich treści pozwoli się upewnić, że złożona przez nas na komputerze dyspozycja jest tą, którą faktycznie autoryzujemy. Bank w SMS-ie podaje rodzaj dyspozycji i rachunek, na który zlecamy przelew. Zaleca się, by mieć w firmie osobny telefon tylko do odbierania takich SMS-ów. Minusem jest to, że telefony też można zainfekować złośliwym oprogramowaniem. Dlatego należy instalować w nich aplikacje antywirusowe lub stosować w tym celu starsze urządzenie, mniej podatne na ataki. Tokeny nie są podłączone do sieci, dlatego ich zhakowanie jest w zasadzie niemożliwe. Ale token wyświetla tylko kody autoryzacyjne. Nic więcej. Dlatego w sytuacji opisanej powyżej możemy nie zauważyć oszustwa.

Papierowej karcie kodów z kolei niestraszny żaden haker, zatem teoretycznie jest najbezpieczniejsza. Jednak ma ten sam minus, co token. Ponadto wiąże się z fatygą, bo po wyczerpaniu kilkudziesięciu kodów trzeba się zwrócić do banku o wydanie nowej karty.

Hakerzy zarzucili przynęty. Dasz się złowić?
Hakerzy zarzucili przynęty. Dasz się złowić?

Zobacz również
Przy każdej okazji zwracam klientom uwagę na odpowiednie zachowania przy wykonywaniu operacji. Kilka ważnych wskazówek:
• w przypadku utraty telefonu komórkowego, na który otrzymujesz kody SMS lub masz zainstalowany token, niezwłocznie skontaktuj się z konsultantem serwisu telefonicznego. Możesz wtedy od razu zmienić rodzaj narzędzia autoryzacyjnego,
• jeśli zgubisz kartę kodów lub stwierdzisz, że osoba nieupoważniona miała do niej dostęp, natychmiast ją zablokuj. Możesz tego dokonać w serwisie internetowym lub przy pomocy konsultanta serwisu telefonicznego,
• jeśli zauważysz nieprawidłowości lub niestandardowe zdarzenia związane z korzystaniem z e-bankowości, niezwłocznie skontaktuj się z bankiem. Pamiętaj, że zawsze możesz zadzwonić bezpośrednio do swojego doradcy w oddziale.


Kamil Góra