Niebezpieczne przelewy przez FB

Im głośniej Alior i BRE mówią o integracji konta bankowego z mediami społecznościowymi, tym głośniej odzywają się specjaliści od bezpieczeństwa w sieci i ostrzegają, że taka integracja nie przyniesie nic dobrego. Janusz Nawrat z polskiego Raiffeisena mówi wprost, że bank jest od tego, żeby być bankiem a Facebook Facebookiem i tak powinno zostać. Nawrat wątpi, czy banki oferujące lub zamierzające zaoferować przelewy za pośrednictwem portali społecznościowych, będą w stanie zagwarantować bezpieczeństwo tego typu transakcji.

Zastanawiałem się, na ile tego typu ostrzeżenia mają rzeczywiście merytoryczne podstawy, a na ile są to „PR-owskie” zagrania, których celem jest osłabienie siły rażenia nowinek, wprowadzanych przez konkurencję. W końcu Nawrat pracuje w banku uderzającym do nowoczesnego klienta, czyli dokładnie tego samego, o którego względy zabiega Alior Sync, czy mBank. Ponadto nikt oprócz niego nie podnosił dotąd tak głośno i wytrwale aspektów bezpieczeństwa przelewów przez portale społeczenościowe. Temat miałem więc gdzieś w tyle głowy, ale w kolejce przed nimi było wiele innych rzeczy do opisania.

I pewnie tak by pozostało na czas jakiś, gdyby nie mejl z jednej z agencji public relations, który zachęcał mnie do rozmowy z jednym z ekspertów firmy produkującej oprogramowanie antywirusowe. W zaproszeniu pojawiło się kilka słów kluczy, a wśród nich Facebook, przelewy i ryzyko. Sprawą postanowiłem się więc zająć czym prędzej.

Ekspert, o którym mowa, to Mateusz Sell z firmy FileMedic. Ani o tym człowieku, ani o tej firmie nigdy wcześniej nie słyszałem. Na marginesie może trochę wstyd to przyznawać, bo nazwisko powinno być mi znane. Ojcem Mateusza Sella był człowiek, który stworzył pierwszy polski program antywirusowy – MKS. Pół żartem pół serio można więc powiedzieć, że agencja PR dobrze wykonała swoją pracę, skoro o jej kliencie piszę na tym blogu. Sprawa wydaje mi się jednak zbyt poważna, aby przejść wobec niej obojętnie.

Sell właściwie powtórzył wszystkie argumenty przeciwko umożliwieniu wykonywania przelewów za pośrednictwem serwisów typu Facebook, które od dłuższego czasu już nagłaśnia Nawrat. Mówił więc o słabych zabezpieczeniach haseł do tego typu serwisów, łatwości podrobienia strony oraz wyłudzenia danych od niczego nieświadomych użytkowników, znanych już cyberatakach na korzystających m.in. z Facebooka itd. Sam wielokrotnie dostawałem od znajomych informacje, że zapraszają mnie do zobaczenia co śliczna dziewczyna robiła po tym, gdy zapomniała wyłączyć kamerę internetową itp. Za większością tego typu mejli stoją źli ludzie, którzy chcą uzyskać dostęp do naszych danych, jak to się mówi, wrażliwych. Domyślać się tylko mogę, jak dużo użytkowników Facebooka nie dostrzega pułapki, i otwiera tego rodzaju listy. Dotychczas takie ataki nie miały poważniejszych konsekwencji. Co najwyżej znajomi ofiary dostali podpisanego przez nią niechcianego mejla. Eksperci ostrzegają jednak, że gdy do profilu na „fejsie” podpięty będzie rachunek osobisty, utrata na rzecz cyberprzestępców loginu i hasła do serwisu, oznaczać będzie właściwie otwarcie na oścież drzwi do bankowego konta.

W tym momencie zdałem sobie sprawę, że ekspert z Raiffeisena stracił miano samotnie wojującego z wiatrakami, ale zyskał ważnego sojusznika w swoich staraniach o uświadomienie zbliżającego się zagrożenia. Myślę, że nie wszyscy bankowcy to zagrożenie dostrzegają. Oczywiście w razie czego, nie będą ponosić skutków finansowych, bo te dotkną ich klientów. Gdy jednak wyłudzenia osiągną dużą skalę, poniosą koszty reputacyjne, a tego zapewne by nie chcieli. W imię interesu własnego i swoich klientów powinni więc sprawę dogłębnie przemyśleć. Na razie jednak problemu nie dostrzegają. Gdy kilka tygodni temu pytałem Cezarego Kocika, wiceprezesa BRE, o bezpieczeństwo przelewów przez Facebooka, stwierdził, że nie widzi zagrożenia. Jego zdaniem integracja konta bankowego z Facebookiem oznacza jedynie, że znajomi danego użytkownika dostaną dostęp do numeru konta konkretnej osoby, czyli informacji, którą mogą zdobyć łatwo na wiele innych sposobów. Wtedy to wyjaśnienie mi wystarczyło. Dziś już mi nie wystarcza. Jestem przekonany, że ryzyko jest zbyt duże, by podpinać swoje konto do profilu na FB.