BLIK, czyli fajna, szybka i przyjemna płatność zarówno w sklepie jak i w sieci. Trzeba przyznać, że ułatwia nam codzienne zakupy, jednak należy podkreślić, że część nas też rozleniwia - do płatności wystarczy zainstalowana aplikacja bankowa i zatwierdzenie płatności PINem. Pozwala nam to uniknąć znacznie dłuższego procesu logowania się do banku czy podawania długiego numeru konta czy karty. Czy jednak fakt, że rozwiązanie jest tak przyjemne w obsłudze gwarantuje jednocześnie, że jest bezpieczne? Niestety w zakresie bezpieczeństwa w internecie to człowiek jest zazwyczaj najsłabszym ogniwem.
Kilka tygodni temu Policja ogłosiła sukces przy okazji zatrzymań członków grupy, którzy wykorzystywali m.in. płatności BLIKiem do wyłudzania środków finansowych. Co jakiś czas pojawiają się w mediach informacje, że próbowano kogoś oszukać prosząc o podanie kodu BLIK.
Nasza redakcja bliżej zainteresowała się tematem, kiedy na telefonie pojawiła się wiadomość od kolegi z treścią „cześć, masz może BLIKA?”. Nie ukrywamy, że trochę się pobawiliśmy w wymianę korespondencji z tym „po drugiej stronie” i pomimo, że ostatecznie kończąc zabawę zadaliśmy „mu” (używał formy męskiej przy odmianie czasowników) pytanie - „stary to jeszcze na kogoś działa?” a po uprzejmej prośbie, aby skończył zabawę i opuścił konto, wyszliśmy z sytuacji w glorii chwały „bo się nie daliśmy” – to jednak kilka godzin po tym jak właściciel odzyskał kontrolę nad kontem, przeprosił wszystkich, otrzymał jeszcze jedną wiadomość z pytaniem – „to kiedy mogę liczyć na zwrot pieniędzy?”. I tu zaczyna się problem……
Zwróciliśmy się bezpośrednio do BLIKA z prośbą o rozmowę i wyjaśnienie kilku kwestii - co do przebiegu płatności i skali przestępstw z wykorzystaniem BLIKA. Naszym rozmówcą był Krzysztof Stępień ekspert ds. cyberbezpieczeństwa BLIK.
BLIK – czyli szybka i przyjemna płatność, ale czy bezpieczna?
„Dajemy użytkownikom łatwy i prosty sposób na płatności, jednak zawsze dodajemy do tego opisu jeszcze jedno słowo – bezpieczny. Dokładamy wszelkich starań, żeby nie stracić na bezpieczeństwie - czyli aby stworzyć kompromis pomiędzy używalnością, a wysokim poziomem bezpieczeństwa. Cały koncept bezpieczeństwa opiera się w BLIKU na tym, jak płatność jest zaprojektowana - czyli tak, aby za każdym razem użytkownik swoją operację potwierdził w aplikacji mobilnej banku. Jest to ten element, który z perspektywy użytkownika może zrodzić pytanie czy jest to dobre rozwiązanie, skoro przy wykorzystaniu karty płatniczej jedynie przykładamy ją do terminala i płacimy. Interakcja z aplikacją mobilną stanowi fundament płatności BLIKIEM” – stwierdził w trakcie rozmowy Krzysztof Stępień.
Dlaczego jest to fundament bezpieczeństwa? „Dlatego, że bankowa aplikacja mobilna sama w sobie jest tym elementem, który właściwie jest najbezpieczniejszy - banki jak wiadomo bardzo poważnie podchodzą do bezpieczeństwa, tak samo jest z ich aplikacjami mobilnymi, które udostępniają swoim użytkownikom. Aplikacje te przechodzą szereg testów bezpieczeństwa zanim zostaną udostępnione użytkownikom. Ich działanie banki monitorują na bieżąco pod kątem anomalii i odstępstw i reagują na tego typu zdarzenia” – odpowiedział ekspert. „Za aplikacją bankową w trakcie płatności BLIK stoją różne systemy: bankowe, BLIK i akceptacyjne ze strony agentów, którzy dostarczają użytkownikom płatności w terminalach, płatności w e-commerce czy operacje w bankomatach. Jest to dość spory organizm technologiczny, który jest mocno uregulowany” - dodał.
Ile zatem PSP (Polski Standard Płatności) otrzymuje reklamacji w związku z brakiem możliwości przeprowadzenia płatności? Jak się prezentują liczby, jeśli chodzi o wyłudzenia środków? „BLIK jest mało awaryjnym systemem płatności - patrząc z perspektywy wszystkich spraw związanych z niedziałaniem BLIKA, potocznie nazywanych reklamacjami, to od początku działalności nie zanotowaliśmy ich więcej niż 0,004% wszystkich operacji (1 na 25000). Warto podkreślić, że notujemy już ponad milion operacji płatniczych dziennie. Gdzieś w tych promilach jest wręcz odsetek spraw, które mają w tle element oszustwa. Dla porównania – według danych NBP w drugim półroczu 2019 roku odnotowano prawie 112 tysięcy oszustw z użyciem kart płatniczych” – stwierdził Stępień.
„Patrząc z perspektywy liczb - trafiają do nas sprawy związane z oszustwami Facebookowymi czy SMSowymi - w zeszłym roku trafiło do nas około 200 zapytań od organów ścigania o przekazanie metadanych z naszego systemu, które były potrzebne do ustalenia sprawcy w związku z prowadzonymi sprawami. Współpracujemy z organami ścigania. Z naszych informacji wynika, że w 2019 roku Policja prowadziła ok. 3 tysięcy spraw w całej Polsce, w których gdzieś w tle pada słowo BLIK - ponieważ za pomocą naszego rozwiązania ktoś podjął środki w trakcie oszustwa, czy to wcześniejszym przejęciu dostępu do rachunku bankowego, czy właśnie oszustwa >>na znajomego z Facebooka<<” - dodał ekspert.
Z tych danych wynika, że jest to niewielka skala. „Z naszej perspektywy, jest to naprawdę margines. Zdecydowanie lepiej wypadamy na tle innych instrumentów płatniczych, jeżeli chodzi o wszelkiego rodzaju oszustwa i wyłudzenia. BLIK jednoznacznie wpływa na poprawę bezpieczeństwa płatności elektronicznych na rynku, a w szczególności w Internecie” – określił.
Sposób „na BLIKa” czy raczej „na znajomego z Facebooka”?
„Skalę zjawiska możemy poznać tylko i wyłącznie po zgłoszeniach od organów ścigania. Te oszustwa, które czasami również Policja nazywa >na BLIKA< nie wynikają z samego BLIKA - dlatego próbujemy to prostować. Z perspektywy naszego systemu i naszych transakcji są to poprawne transakcje, bo dopiero po czasie poszkodowany orientuje się, że przekazał pieniądze osobie, która podszywała się pod znajomego. Co ważne – nie wynikało to z żadnej luki bezpieczeństwa samego systemu płatności” – stwierdził rozmówca.
„Tak jak nauczyliśmy się, aby nie dać się nabrać na pomoc dla >cioci Marysi< i nie zostawiać pieniędzy na ławce w parku, tak samo wiemy, że nie należy przekazywać naszej karty płatniczej innym osobom, bo można spodziewać się, że zostanie ona wykorzystana, aby przejąć nasze środki. Nowoczesnych instrumentów płatniczych wciąż się uczymy – a ścieżka uczenia się jest bardzo szybka. Z własnej strony, ale robią to również banki, prowadzimy różnego rodzaju akcje edukacyjne. Dużą inicjatywą wykazuje się w tym zakresie również Policja, która wspiera intensywnie te działania edukacyjne. Działamy wszędzie tam, gdzie możemy zamieszczać nasze materiały. Chcemy nauczyć kilku podstawowych zasad funkcjonowania, które szybko i łatwo wchodzą w krew i powinny dla każdego stać się dobrym nawykiem – aby nawet tą marginalną skalę oszustw wyeliminować zupełnie, bo jest to możliwe” – określił ekspert w ramach odpowiedzi na pytanie, jakie działania są podejmowane, aby zwalczać tego typu nadużycia, które bezpośrednio uderzają jednak w wizerunek BLIKa.
„Współpraca z Policją trwa od początku ubiegłego roku. Wypuszczamy wspólne komunikaty dla mediów, które są sygnowane zarówno jako Policja i jako PSP. Działania są prowadzone w regularnych odstępach czasu, aby przypominać o tych zasadach. Staramy się wszędzie podkreślać, że samo nazywanie procederu >na BLIKa< jest już pewnym nadużyciem i odejściem od istoty problemu, bo jest to tak naprawdę oszustwo >na znajomego z Facebooka< – głównym problemem jest łatwość, z jaką można przejąć konto na Facebooku i się pod kogoś podszyć. Cały >przekręt< opiera się więc na socjotechnice, a pierwszym elementem jest właśnie przejęcie kontroli nad kontem. W całej tej komunikacji edukacyjnej, którą my prowadzimy podkreślamy, aby użytkownicy pamiętali o uwierzytelnianiu dwuskładnikowym na swoich profilach społecznościowych. Oprócz tego, że prowadzimy wspólną komunikację z Policją, sami również przypominamy o tych zasadach np. poprzez przesyłanie komunikatów do dziennikarzy czy akcje w naszych kanałach społecznościowych” – dodał ekspert.
„Staramy się poprzez nasze przekazy spowodować, aby w mediach przestać używać terminu >oszustwo na BLIKA< i pokazać użytkownikom, prawdziwą przyczynę. Oni nie tracą tych pieniędzy bo BLIK nie jest bezpieczny, tylko dają się namówić na przekazanie środków poprzez rozmowę z oszustem podszywającym się pod znajomego na Facebooku, która doprowadza do tego, że użytkownik małymi kroczkami oddaje kontrolę nad swoim narzędziem płatniczym. Mówiąc, oszustwo >na BLIKa<, użytkownikom zapala się czerwona lampka nie w tym miejscu, gdzie powinna. Naszym celem jest skupić uwagę tam, gdzie jest problem, a nie tam, gdzie przypadkowo pada nazwa BLIK. Dlatego raz jeszcze apelujemy do każdego: jeśli ktoś przez komunikator prosi o pieniądze – sprawdźcie czy to na pewno Wasz znajomy. Najprościej jest zadzwonić do takiej osoby” – dodaje Krzysztof Stępień.
Czy jedyną możliwością jest zgłoszenie sprawy na Policję?
A jeśli jednak instynkt nas zawiedzie i zostaniemy oszukani? Co możemy zrobić? „Użytkownik powinien się zgłosić do swojego banku i poinformować, że operacja, którą wykonał ma oszukańczy charakter. Bank zapewne będzie wymagał złożenia zawiadomienia do organów ścigania z uwagi na fakt, że przestępstwo dzieje się w obszarze, w którym ani bank, ani my, jako PSP nie mamy swojego zasięgu” – odpowiedział ekspert ds. cyberbezpieczeństwa.
„My nie wiemy w jaki sposób użytkownicy na Facebooku się komunikują pomiędzy sobą i w wyniku jakich zdarzeń udostępniają kody BLIK - równie dobrze mogą w ten sam sposób udostępniać sobie numery karty płatniczej wraz z kodem bezpieczeństwa CVV/CVC. My tych danych nie widzimy - nie widzimy użytkowników ani po jednej stronie ani po drugiej. Dla nas jest to operacja z pewnym opisem i kwotą, która w kontekście kodu BLIK jest przesyłana przez nasz system pomiędzy tą stroną, gdzie kod się wprowadza a bankiem, który przekłada tę informację na Jana Kowalskiego w swojej instytucji i numer rachunku. W naszym systemie poza tymi pełnymi danymi transakcji, jest jeszcze szereg metadanych, które nie prowadzą do jednego klienta – ze swojej strony nie możemy bezpośrednio pomóc właśnie temu Kowalskiemu, ale możemy pomóc organom ścigania, które w kontekście zawiadomienia i prowadzonego śledztwa mają pewne tropy, są w stanie zgłosić się do operatora serwisu WWW po dane teleinformatyczne czy również po nagrania z bankomatów. Policja na początku musi znaleźć przestępcę, aby później móc zastanowić się w jaki sposób zrekompensować szkodę poszkodowanemu” – dodał ekspert.
O jakie dane proszą organy ścigania? „Użytkownik, który zgłasza się na Policję dysponuje przybliżonymi danymi - bank przy dokonywaniu operacji albo na saldzie rachunku podaje klientom przybliżone dane - że konkretnego dnia, ale np. bez podania dokładnej godziny, minuty, sekundy w bankomacie została zrobiona wypłata. Dla Policji nie są to wystarczające dane, aby zwrócić się do konkretnego operatora bankomatu z prośbą o udostępnienie nagrań, ponieważ potrzebuje dokładnej godziny czy sekundy - te wszystkie dane przechodzą przez nasz system. Mamy zapisane niektóre informacje dotyczące miejsca wprowadzenia kodu BLIK np. o wewnętrznym identyfikatorze systemowym bankomatu, którego użytkownik nie widzi” – odpowiedział Stępień. „Współpracując z Policją wiemy, że jest ona na tropie grup, które zajmują się tego typu wyłudzeniami. Skuteczność działania Policji w tym zakresie bardzo wzrasta. Organy ścigania zwracają się do nas z zapytaniami o charakterystyczne operacje, w specyficznych godzinach, w pewnych miejscach miasta czy serwisach internetowych. Możemy również wskazać z jakiego banku pochodzi użytkownik i jaki został nadany techniczny identyfikator transakcji. Te dane są później analizowane w kontekście prowadzonego śledztwa, a śledczy wiedzą, gdzie się zwrócić po dalsze szczegóły np. do samego poszkodowanego - w jakich sytuacjach, jakimi kanałami przekazał kod” – dodał.
„Bankomaty są najczęstszym miejscem wypłacania środków z tych Facebookowych czy SMSowych oszustw, gdzie poszkodowany przekazuje kod, a następnie autoryzuje transakcje BLIK w swojej aplikacji mobilnej. Wypłaty w bankomatach stanowią nawet 80% tych wszystkich prowadzonych spraw, jednak coraz częściej zdarza się, że środki trafiają do portfeli elektronicznych, gdzie kod jest wykorzystywany do tego, aby zakupić np. kryptowaluty – zazwyczaj robi to słup, który ma za zadanie wprowadzić kod w kantorze krptowalutowym - te pieniądze de facto znikają” - stwierdził ekspert.
Łatwe i szybkie płatności nas rozleniwiają?
W sieci co chwila można natrafić na ostrzeżenia przed oszustwami – robią to banki, robi to Policja a jednak wciąż wiele osób bagatelizuje podstawowe zasady bezpieczeństwa w sieci. Czy możemy określić złote zasady dokonywania płatności w sieci?
„Naczelną kwestią jest zasada ograniczonego zaufania. I możemy rozwijać ją na zasady praktyczne. Kiedy pewne sygnały mówią, że ktoś lub coś może nam nie do końca pasować - czy jest to jakaś super okazja w ecommerce, czy osoba, której nigdy byśmy nie podejrzewali, że będzie się z nami kontaktować w sprawach finansowych poprzez takie kanały komunikacji jak Messenger i wreszcie SMSy, które są zupełnie niezwiązane z usługą, którą zawarliśmy – po prostu nie autoryzujmy płatności”.
„Pierwszą zasadą praktyczną, która powinna stać się naszym dobrym nawykiem, jest stosowanie mocnych haseł i podwójnego uwierzytelniania wszędzie tam, gdzie mamy do czynienia z naszą tożsamością - czy to będzie rachunek bankowy, czy w mediach społecznościowych. Brak silnego uwierzytelniania jest kluczem do przejmowania kont w mediach społecznościowych. Zacznijmy od siebie - to jest pierwszy duży krok, a jeśli namówimy znajomych to liczba osób, których konta są przejmowane i wykorzystywane do oszusta będzie malała lawinowo”.
„Drugą zasadą praktyczną jest stosowanie oprogramowania antywirusowego. W obecnych czasach nie jest to tylko oprogramowanie, które szuka wirusów, ale analizuje odwiedzane przez nas strony i pomaga nam w wykryciu czy nie weszliśmy na fałszywą stronę banku czy sklepu. Użytkownicy nie mają w zwyczaju sprawdzać certyfikatów, na co dzień >Kowalski< po prostu tego nie robi. Warto podkreślić, że oszuści też sporo się nauczyli i teraz na pierwszy rzut oka trudno jest ocenić autentyczność strony. Idąc dalej - nie wierzmy wszelkim okazjom, im coś jest bardziej okazyjne tym powinno być dla nas bardziej podejrzane”.
„Następna zasada to nie klikać - nie klikać bezmyślnie. Bo robiąc to możemy wylądować w miejscach, których nie zamierzaliśmy odwiedzić - możemy się znaleźć na fałszywych stronach, sklepach czy niechcący pobrać szkodliwe oprogramowanie, które zacznie sobie działać w tle. Czyli nie klikać! Nie klikać w załączniki do maili, zwłaszcza jeśli nie mamy pewności skąd one pochodzą i co zawierają”.
„Na ślepo najlepiej niczego nie rozsyłać pośród znajomych. Przeróżne łańcuszki wciąż krążą w sieci więc poza tym, że sami możemy dać się oszukać to jeszcze możemy spowodować, że nasi znajomi, którzy otrzymają korespondencję od nas podejdą z większym zaufaniem do tej korespondencji i też dadzą się nabrać” - wyliczył Stępień.
Zasady niby proste i wszystkim znane - ale zabrzmiało groźnie. „Tak poza tymi zasadami, to po prostu warto korzystać z elektronicznych metod płatności, bo one są generalnie dużo bardziej bezpieczne niż wcześniej używane instrumenty płatnicze, które są daleko za nowoczesnymi metodami płatniczymi. Każdy przecież już wie, że dziś o wiele trudniej jest okraść bank, niż nasze mieszkanie i dlatego to tam lepiej trzymać pieniądze.” – dodał ekspert w ramach podsumowania.