Ostrożnie z autoryzacją

Oczywistością jest, że nie każdy pracownik w firmie jest upoważniony do płatności. Podobnie oczywiste powinny być podstawowe zasady "higieny" stosowane do autoryzacji przelewu lub innej dyspozycji.

Chodzi o bezpieczeństwo jednorazowych kodów przesłanych SMS-em, wygenerowanych przez token lub z papierowej karty kodów. Pierwszy sposób autoryzacji jest uznawany za najwygodniejszy. SMS-y są generowane do konkretnej transakcji, więc analiza ich treści pozwoli się upewnić, że złożona przez nas na komputerze dyspozycja jest tą, którą faktycznie autoryzujemy. Bank w SMS-ie podaje rodzaj dyspozycji i rachunek, na który zlecamy przelew. Zaleca się, by mieć w firmie osobny telefon tylko do odbierania takich SMS-ów. Minusem jest to, że telefony też można zainfekować złośliwym oprogramowaniem. Dlatego należy instalować w nich aplikacje antywirusowe lub stosować w tym celu starsze urządzenie, mniej podatne na ataki.

Tokeny nie są podłączone do sieci, dlatego ich zhakowanie jest w zasadzie niemożliwe. Ale token wyświetla tylko kody autoryzacyjne. Nic więcej. Dlatego w sytuacji opisanej powyżej możemy nie zauważyć oszustwa.

Papierowej karcie kodów z kolei niestraszny żaden haker, zatem teoretycznie jest najbezpieczniejsza. Jednak ma ten sam minus, co token. Ponadto wiąże się z fatygą, bo po wyczerpaniu kilkudziesięciu kodów trzeba się zwrócić do banku o wydanie nowej karty.

@RY1@i02/2015/238/i02.2015.238.18300030c.101.jpg@RY2@

Beata Podleś, doradca MPS, oddział PKO Banku Polskiego w Warszawie

Przy każdej okazji zwracam klientom uwagę na odpowiednie zachowania przy wykonywaniu operacji. Kilka ważnych wskazówek:

- w przypadku utraty telefonu komórkowego, na który otrzymujesz kody SMS lub masz zainstalowany token, niezwłocznie skontaktuj się z konsultantem serwisu telefonicznego. Możesz wtedy od razu zmienić rodzaj narzędzia autoryzacyjnego,

- jeśli zgubisz kartę kodów lub stwierdzisz, że osoba nieupoważniona miała do niej dostęp, natychmiast ją zablokuj. Możesz tego dokonać w serwisie internetowym lub przy pomocy konsultanta serwisu telefonicznego.

- jeśli zauważysz nieprawidłowości lub niestandardowe zdarzenia związane z korzystaniem z e-bankowości, niezwłocznie skontaktuj się z bankiem. Pamiętaj, że zawsze możesz zadzwonić bezpośrednio do swojego doradcy w oddziale.

NIE DAJ SIĘ ZŁOWIĆ. PAMIĘTAJ!

● W przypadku kradzieży lub zgubienia telefonu, tokenu lub karty kodów należy natychmiast poinformować o tym bank.

● Jeśli korzystamy z kodów SMS, telefon przeznaczony do ich odbierania powinien posiadać oprogramowanie antywirusowe.

● Nie korzystajmy na telefonie, którym autoryzujemy przelewy, z linków, zwłaszcza otrzymywanych w e-mailach lub SMS-ach od nieznanych nadawców.

Kamil Góra