Kompleksowa bankowość mobilna w założeniu ma umożliwić poruszanie się po mieście bez karty płatniczej. Docelowo jedną z opcji będzie możliwość pobierania gotówki z bankomatów za pomocą aplikacji w telefonie. Jednak tam gdzie innowacje, tam i cyberprzestępcy. Przekonali się o tym na własnej skórze klienci brytyjskiego banku NatWest.
Pobieranie gotówki z bankomatu bez użycia karty opiera się na wygenerowanym przez aplikację kodzie. Takie rozwiązanie wykorzystują już elektroniczne portmonetki typu SkyCash czy Hal-Cash. Prawdopodobnie pojawi się ono także w bankowości mobilnej, nad którą pracuje PKO Bank Polski. Oczywiście bankomat musi być też dostosowany do możliwości wypłacania środków bez użycia karty płatniczej. Taką opcję mają już bankomaty Euronetu i maszyny BZWBK.
Zasada działania jest prosta i dobrze ilustruje ją poniższy film:
SkyCash – wypłaty bez karty w bankomatach Euronet from SkyCash on Vimeo.
Podobny system wprowadził w czerwcu brytyjski bank NatWest. Za pomocą aplikacji GetCash klient może wypłacić z bankomatu od 10 do 100 funtów. Generowany przez aplikację kod jest ważny przez trzy godziny i można go wykorzystać w bankomatach sieci NatWest, RBS lub Tesco. Kod można użyć osobiście lub przekazać np. SMS-em innej osobie. Okazuje się jednak, że aplikacja może zostać użyta w nieuprawniony sposób, bo od kliku dni klienci banku donoszą o kradzieży pieniędzy z ich kont właśnie za pomocą usługi GetCash. Jeden z klientów podał, że ściągnięto mu z konta 950 funtów, dokonując 11 wypłat w bankomatach, mimo że nie był zalogowany w aplikacji. Bank stwierdził, że klient musiał podać swoje dane nieuprawnionym osobom i odmówił wypłaty odszkodowania. Dopiero po interwencji w mediach obiecał zwrócić pieniądze, ale wyłącznie jako gest dobrej woli. Inny klient poskarżył się, że oszuści za pomocą aplikacji wycofali mu z konta oszczędnościowego i przelali na ROR 1500 funtów, a później pobrali 830 funtów z bankomatów. Bank zapewnia, że wszystko jest pod kontrolą, ale mimo tego chwilowo wycofał aplikację z marketu. Sytuacja nie jest do końca jasna. Nie wiadomo jak złodzieje dostali się do danych klientów i wykorzystali je do wypłat gotówki. Usługa GetCash jest bowiem częścią składową aplikacji mobilnej banku. Oficjalna przyczyna zablokowania aplikacji jest taka, że bank pracuje nad jej aktualizacją i zmianą limitów wypłat. Nie ma to jednak ponoć nic wspólnego z fraudami.
Sprawa jest ciekawa, bo pokazuje, jak przestępcy podążają za najnowszymi trendami w bankowości. Do tej pory skupiali się głównie na wyłudzaniu danych od użytkowników e-bankingu, infekowaniu komputerów trojanami wyciągającymi hasła lub skanowaniu danych z kart płatniczych. Jak widać, dziś na ich celowniku są już także aplikacje mobilne. Tu bowiem zwrot z „inwestycji” jest bardziej pewny. Nie muszą kombinować z phishingiem, przelewami i całą resztą, bo mogą dostać gotówkę do ręki. Można zatem oczekiwać, że w przyszłości tego typu usługi gotówkowe będą szczególnie narażone na ataki.
Przeciętny użytkownik smartfona ma w swoim telefonie ogromną bazę danych na swój temat. Można sobie wyobrazić, co do ilu usług i serwisów można zyskać dostęp na przykład kradnąc telefon (w większości jesteśmy przecież zalogowani non-stop). W przypadku bankowości mobilnej sprawa jest dodatkowo niebezpieczna. Telefon służy bowiem jednocześnie jako narzędzie do logowania na rachunek i jako narzędzie do autoryzacji transakcji (tu przychodzą SMS-y autoryzacyjne). Otwartym pytaniem pozostaje, ilu klientów trzyma w swoich elektronicznych notatnikach na smartfonie niezaszyfrowane dane do logowania do bankowości mobilnej. Można z dużą dozą prawdopododobieństwa założyć, że wielu. Przecież do dziś niektórzy zapisują PIN do karty i trzymają go w portfelu razem z plastikiem.
wboczon@prnews.pl