My OperaPodaj PIN...
Wednesday, October 20, 2010 2:20:54 PM
Każdy, kto otrzymał kartę płatniczą do konta w banku pamięta zapewne ostrzeżenia, żeby nigdy i nikomu nie podawać kodu PIN do tej karty. W szczególności ostrzeżenie to dotyczy Internetu. Oczywiście w bankomacie oraz przy płaceniu kartą w sklepie lub restauracji musimy podać ten kod, ale należy go chronić zasłaniając klawiaturę w ten sposób, żeby nie było widać jaki kod wprowadzamy. Tak na marginesie: stojąc w kolejce do kasy w hipermarkecie nie raz zastanawiałem się dlaczego płacący przede mną ludzie tak bezmyślnie wprowadzają kod PIN nie zasłaniając się przed wzrokiem kasjera i innych osób w kolejce. Mało tego, nie raz miałem wrażenie, że niektórzy podają kod PIN wręcz ostentacyjnie! Jeżeli za taką osobą stanie w kolejce złodziej, to możemy mieć niemal pewność, że kod ten zostanie zapamiętany a przy najbliższej okazji pożegnamy się z portfelem, kartą płatniczą oraz dostępnymi na karcie pieniędzmi ...
Ale wracając do tematu, ostatnio logowałem się na stronę banku Citi Handlowy. Wszedłem na stronę główną banku. Strona była poprawnie zabezpieczona certyfikatem a na samej górze widniało ostrzeżenie:
"Aby zalogować się do systemu podaj jedynie Nazwę Użytkownika oraz Hasło, utworzone podczas pierwszego logowania.
Uwaga! Jeśli na ekranie pojawi się prośba o podanie innych danych przerwij proces logowania, zadzwoń na numer (48 22) 692 2090 i poinformuj nas o takiej sytuacji."
Podałem Nazwę użytkownika oraz hasło i... dostałem informację o tym, że moje dane nie zostały rozpoznane. W dalszej części formularza zostałem poinformowany, że aby uzyskać dostęp do konta online muszę podać numer karty kredytowej oraz PIN do tej karty.
Muszę powiedzieć, że mnie zatkało. Sprawdziłem certyfikat strony - był poprawny. Adres strony również wskazywał na to, że jest to prawdziwa strona banku Citi Handlowy a nie jakaś podstawiona przez hackerów pułapka. Dlaczego więc pojawiło się pytanie o dane, których zgodnie z ostrzeżeniem na pierwszej stronie miałem nie podawać? Zadzwoniłem na podany w ostrzeżeniu numer i po weryfikacji mojej osoby dowiedziałem się, że rzeczywiście muszę podać numer karty kredytowej oraz PIN do niej! Powodem uruchomienia takiej dziwnej procedury był fakt, że zmieniłem kartę płatniczą i było to po zmianie karty pierwsze logowanie do systemu online. Wyraziłem swoją opinię, że jest to absurdalna procedura stanowiąca dla użytkowników poważne zagrożenie. Przecież kartę odbierałem osobiście w banku i nie widzę związku między odbiorem nowej karty a logowaniem do systemu bankowości online – to przecież dwie zupełnie odrębne rzeczy! Konsultant przyjął do wiadomości moje wątpliwości ale ponieważ nie istnieje inna procedura aktywacji dostępu do banku online to nie pozostało mi nic innego jak podać kontrowersyjny zestaw danych. Mój komputer jest bezpieczny, ale przecież nie każdy zajmuje się informatyką i nie każdy wie na tyle dużo o bezpieczeństwie w Internecie, żeby zapobiec nieszczęściu. Wystarczy, że ktoś będzie miał zainstalowanego w systemie key-loggera, który zapisuje wszystkie naciśnięcia klawiszy na klawiaturze i poufne dane mogą wyciec. Niektóre banki przy logowaniu stosują tzw. wirtualne klawiatury, które pozwalają wprowadzać do formularzy dane poprzez kliknięcie myszką na wyświetlonej klawiaturze. Dzięki temu nie trzeba używać klawiatury do logowania się i cały proces dostępu do konta staje się bezpieczny. Niestety Citi takich rozwiązań nie stosuje.
Mam za złe Citi Handlowemu, że tak lekceważy sobie bezpieczeństwo swoich klientów. Skoro w mediach mówi się o nie podawaniu w Internecie kodów PIN do kart płatniczych, skoro na pierwszej stronie banku otrzymujemy takie samo ostrzeżenie to tworzenie procedury, która jest sprzeczna z ostrzeżeniami miesza ludziom w głowach i naraża ich na niebezpieczeństwo. Bo może za chwilę trafią na spreparowaną przez hackerów stronę, na której ktoś poprosi ich o podanie numeru karty kredytowej i kodu PIN?
Ale wracając do tematu, ostatnio logowałem się na stronę banku Citi Handlowy. Wszedłem na stronę główną banku. Strona była poprawnie zabezpieczona certyfikatem a na samej górze widniało ostrzeżenie:
"Aby zalogować się do systemu podaj jedynie Nazwę Użytkownika oraz Hasło, utworzone podczas pierwszego logowania.
Uwaga! Jeśli na ekranie pojawi się prośba o podanie innych danych przerwij proces logowania, zadzwoń na numer (48 22) 692 2090 i poinformuj nas o takiej sytuacji."
Podałem Nazwę użytkownika oraz hasło i... dostałem informację o tym, że moje dane nie zostały rozpoznane. W dalszej części formularza zostałem poinformowany, że aby uzyskać dostęp do konta online muszę podać numer karty kredytowej oraz PIN do tej karty.
Muszę powiedzieć, że mnie zatkało. Sprawdziłem certyfikat strony - był poprawny. Adres strony również wskazywał na to, że jest to prawdziwa strona banku Citi Handlowy a nie jakaś podstawiona przez hackerów pułapka. Dlaczego więc pojawiło się pytanie o dane, których zgodnie z ostrzeżeniem na pierwszej stronie miałem nie podawać? Zadzwoniłem na podany w ostrzeżeniu numer i po weryfikacji mojej osoby dowiedziałem się, że rzeczywiście muszę podać numer karty kredytowej oraz PIN do niej! Powodem uruchomienia takiej dziwnej procedury był fakt, że zmieniłem kartę płatniczą i było to po zmianie karty pierwsze logowanie do systemu online. Wyraziłem swoją opinię, że jest to absurdalna procedura stanowiąca dla użytkowników poważne zagrożenie. Przecież kartę odbierałem osobiście w banku i nie widzę związku między odbiorem nowej karty a logowaniem do systemu bankowości online – to przecież dwie zupełnie odrębne rzeczy! Konsultant przyjął do wiadomości moje wątpliwości ale ponieważ nie istnieje inna procedura aktywacji dostępu do banku online to nie pozostało mi nic innego jak podać kontrowersyjny zestaw danych. Mój komputer jest bezpieczny, ale przecież nie każdy zajmuje się informatyką i nie każdy wie na tyle dużo o bezpieczeństwie w Internecie, żeby zapobiec nieszczęściu. Wystarczy, że ktoś będzie miał zainstalowanego w systemie key-loggera, który zapisuje wszystkie naciśnięcia klawiszy na klawiaturze i poufne dane mogą wyciec. Niektóre banki przy logowaniu stosują tzw. wirtualne klawiatury, które pozwalają wprowadzać do formularzy dane poprzez kliknięcie myszką na wyświetlonej klawiaturze. Dzięki temu nie trzeba używać klawiatury do logowania się i cały proces dostępu do konta staje się bezpieczny. Niestety Citi takich rozwiązań nie stosuje.
Mam za złe Citi Handlowemu, że tak lekceważy sobie bezpieczeństwo swoich klientów. Skoro w mediach mówi się o nie podawaniu w Internecie kodów PIN do kart płatniczych, skoro na pierwszej stronie banku otrzymujemy takie samo ostrzeżenie to tworzenie procedury, która jest sprzeczna z ostrzeżeniami miesza ludziom w głowach i naraża ich na niebezpieczeństwo. Bo może za chwilę trafią na spreparowaną przez hackerów stronę, na której ktoś poprosi ich o podanie numeru karty kredytowej i kodu PIN?
