Pekao to jeden z największych banków w sieci. Spośród prawie 2,2 mln posiadaczy Eurokonta grubo ponad 750 tys. osób sprawdza saldo na rachunku lub wykonuje przelewy za pomocą internetowego serwisu Pekao24. Więcej wirtualnych klientów mają tylko PKO BP i mBank.
Obecne internetowe zabezpieczenia konta w Pekao nie powalają na kolana. Aby się zalogować, wystarczy podać login i krótki, czterocyfrowy PIN przyznawany przez bank.
To stosunkowo łatwa bariera do przejścia np. dla złodziei instalujących na komputerach specjalne programy szpiegujące klawiaturę. Co prawda samo poznanie tych kodów nie pozwoli jeszcze wyczyścić konta (każdy przelew dodatkowo jest zatwierdzany hasłem jednorazowym z przesłanej przez bank listy), ale wystarczy, aby haker dokładnie poznał wszystkie nasze finansowe tajemnice.
Pekao24 po nowemu
Jak dowiedziała się "Gazeta", w systemie logowania do e-kont w Pekao nastąpi istotna zmiana. Czterocyfrowy PIN zastąpi dłuższe hasło, liczące od 8 do 16 znaków, ustalane samodzielnie przez klienta. Logując się do konta, nie będzie trzeba podawać go w całości, ale tylko wybrane cyfry.
To utrudni pracę internetowym szpiegom. Skompletowanie całego hasła nie będzie już możliwe bez dłuższego śledzenia poczynań ofiary. - Przestępca dostanie poszczególne cyferki i literki, ale nie zna długości hasła i kolejności, w jakiej się pojawiają te znaki - mówi Michał Macierzyński z portalu Bankier.pl. Łatwiej też eliminować fałszywe e-maile, których nadawca podszywa się pod bank, prosząc o podanie całego hasła. Podobne rozwiązanie, tzw. hasła maskowane, obowiązują m.in. w ING Banku Śląskim.
Z informacji, które znaleźliśmy na stronie Pekao24, wynika, że nowe zabezpieczenia zostaną wprowadzone 7 grudnia. Przy kolejnym logowaniu do systemu każdy klient zostanie poproszony o wymyślenie i wprowadzenie nowego hasła.
Banki wzmacniają zasieki
Pekao jest już kolejnym bankiem, który w tym roku wzmocnił zabezpieczenia kont w sieci. Latem zdecydował się na to Citibank, a pod koniec ubiegłego roku - BPH. Klienci obu banków należeli do najczęściej atakowanych przez internetowych złodziei. Żeby dostać się do konta, wystarczyło znać dwa kody podawane w całości przy logowaniu, nie było dodatkowych haseł przy zlecaniu przelewów.
Teraz każdy przelew, zarówno w Citibanku, jak i w BPH, trzeba dodatkowo zatwierdzić kodem SMS-owym wysyłanym przez bank. To zabezpieczenie jest zresztą we wszystkich bankach ostatnim krzykiem mody. Niedawno autoryzację przez SMS wprowadziły m.in. mBank i Multibank. Hasła wysyłane na telefony komórkowe powoli wypierają bardziej anachroniczne i mniej bezpieczne papierowe karty kodów (choć np. w mBanku korzysta z nich już co szósty klient, reszta wybiera tradycyjne kody papierowe).
Wciąż tylko nieliczne banki stosują najdroższe, ale i najskuteczniejsze zabezpieczenia e-kont: tokeny, czyli miniaturowe generatory zmieniających się co 30 sekund haseł. Jednak po ostatnich zmianach nie ma już prawie żadnego banku, w którym logowanie i zlecanie przelewów opierałoby się wyłącznie na mało bezpiecznych stałych hasłach. Jedynym bankiem, który wciąż stosuje tylko takie zabezpieczenia, jest grecki Polbank.
W porównaniu z przestępstwami karcianymi (kradzieże lub kopiowanie kart) włamania na e-konta stanowią wciąż mniejszość, ale banki ich nie lekceważą, bo zwykle zagrożone są wyższe kwoty. Banki nie ujawniają wartości ponoszonych strat. Statystyki policji mówią o kilku milionach złotych rocznie, ale według ekspertów są znacznie zaniżone, bo duża część przestępstw nie jest zgłaszana. Banki wolą po cichu załatwiać reklamacje klientów.
