Internet czy okienko
Z punktu widzenia użyteczności konta największa różnica pomiędzy omawianymi produktami dotyczy możliwości obsługi konta w okienku bankowym. Paradoksalnie właśnie ta cecha w erze bankowości internetowej stała się wyróżnikiem jakości oferty bankowej, a nie na odwrót, jak było jeszcze kilka lat temu. Czy warto mieć możliwość pójścia do okienka? Na to pytanie trzeba sobie odpowiedzieć samemu. Naszym zdaniem jest to duży atut. Wiele problemów związanych z reklamacjami, odnawianiem kart po zastrzeżeniu, odblokowywaniem zamrożonych na koncie środków, np. w wyniku interwencji urzędu skarbowego (zdarza się to wielu Polakom), łatwej rozwiązać w trakcie bezpośredniej rozmowy z pracownikiem banku niż za pośrednictwem emaila czy infolinii, które są, niestety, obsadzane źle wykwalifikowanymi konsultantami. Wreszcie konto z możliwością obsługi w zwykłym oddziale pozwala na wypłacanie pieniędzy z kasy, co przydaje się w razie zagubienia karty do bankomatu czy konieczności wypłacenia większej ilości gotówki.
W przypadku omówionych produktów tylko oferowane przez banki stricte internetowe (mBank, Inteligo) nie dają możliwości obsługi rachunku w okienku. Wszystkie standardowe produkty pozostałych banków zapewniają możliwość obsługi w oddziale. Oczywiście ofercie wielu z nich są także rachunki czysto internetowe, ale do naszego zestawienia wybieraliśmy produkty uniwersalne.
Wyjątkowe możliwości
Banki, które ujęliśmy w zestawieniu, oferują wszystkie podstawowe funkcje konta, jak definiowanie przelewów i zleceń, zakładanie lokat, przeglądanie wyciągów aktualnych i archiwalnych, kontaktowanie się z bankiem drogą elektroniczną, otrzymywanie informacji o operacjach za pomocą SMS-a.
Powszechnie dostępne jest też inne udogodnienie – możliwość doładowywania telefonów komórkowych bezpośrednio z konta. Nie znaleźliśmy jej tylko w kontach BGŻ, Nordea i Kredyt Bank. Popularna jest także możliwość dokonywania przelewów online do odbiorców zagranicznych, co bardzo przydaje się, jeśli kupujemy przedmioty w zagranicznych serwisach aukcyjnych. Nie oferują jej jedynie: Pekao/Inteligo, Millenium i Getin Bank.
Jest również wiele udogodnień rzadziej spotykanych. Przykładem takiej funkcji okazuje się np. system transakcyjny do telefonów komórkowych, który pozwala na dokonywanie prostych operacji, takich jak przelewy czy sprawdzanie salda rachunku, z poziomu ekranu zaawansowanego telefonu komórkowego. Taką usługę udostępniają swoim klientom banki: Inteligo, Raiffeisen, ING Bank Śląski, Bank BPH i Nordea. W czasach gdy blisko połowa sprzedawanych telefonów oferuje możliwość korzystania z Sieci i uruchamiania wyrafinowanych aplikacji, trudno wyobrazić sobie bardziej przydatną funkcję.
Inną usługą, która nie jest jeszcze powszechnie dostępna, okazuje się zarządzanie kartami za pomocą interfejsu WWW, np. zmiana PIN-u bez konieczności kontaktowania się z centrum obsługi klienta. Kolejny ciekawy dodatek to funkcja samodzielnego zarządzania limitami wypłat z bankomatów czy kwot przelewów online.
Duże znaczenie dla komfortu użytkowania ma także jakość samego interfejsu WWW. Istnieją tu spore różnice. Niektóre instytucje, np. mBank czy Pekao SA, używają dość archaicznych, przynajmniej pod względem graficznym, rozwiązań, co wynika z tego, że systemy transakcyjne wdrożono kilka lat temu. Inne postawiły na rozwiązania najnowocześniejsze, np. Raiffeisen Bank, który ma interfejs bazujący na technologii Flash. Użyteczność poszczególnych rozwiązań w dużej mierze zależy od indywidualnych preferencji. Naszym zdaniem trącący myszką interfejs mBanku obsługuje się przyjemniej niż wspomniany interfejs flashowy. Dlatego przed założeniem konta najlepiej samemu przekonać się, czy dany sposób nam odpowiada. Każdy bank, z wyjątkiem Getin Banku i BPH, oferuje jakąś formę interfejsu demo. W większości wypadków jest to autentyczna aplikacja, z publicznym kontem testowym, co stanowi modelowe rozwiązanie. W innych natomiast mamy do czynienia tylko z prezentacją flashową, znacznie mniej użyteczną, bo dzięki niej poznamy jedynie wygląd, ale nie szybkość działania interfejsu.
Polecane rachunki
mBank: eKonto
Oferta mBanku jest najbardziej atrakcyjna pod względem cenowym. Zarówno prowadzenie konta, jak i przelewy są bezpłatne. Mamy także dostęp do bardzo dużej liczby bankomatów, a zabezpieczenia – kody SMS – są w stanie stawić czoło współczesnym zagrożeniom. Wadą jest jedynie brak możliwości korzystania z konta w sieci oddziałów, ale to jest cena, którą płacimy za niskie koszty utrzymania rachunku. Poważną wadą, jak na rachunek internetowy, jest brak systemu transakcyjnego dla komórek.ING Bank Śląski: Konto z lwem
Tym, którzy chcą korzystać z rachunku zarówno online, jak i tradycyjnie w okienku, polecamy konto w ING Banku. Koszty utrzymania rachunku są niewygórowane (8 zł), przelewy bezpłatne, poza tym mamy dostęp do dużej liczby bankomatów i sporej sieci oddziałów. Jednak najważniejszą zaletą tego produktu jest funkcjonalny system transakcyjny dla telefonów komórkowych, który pozwala obsługiwać konto bez dostępu do komputera.
Zabezpieczenia
Skuteczne zabezpieczenia to kluczowa cecha dobrego konta online. Można pogodzić się z brakiem możliwości doładowania telefonu, ale ryzyko kradzieży pieniędzy jest dyskwalifikujące. Chociaż banki prześcigają się w komunikatach marketingowych podkreślających skuteczność zabezpieczeń, tak naprawdę możliwości poszczególnych instytucji w tym zakresie bardzo się różnią.
Na polskim rynku wykorzystywanych jest przynajmniej pięć różnych mechanizmów zabezpieczających systemy transakcyjne online przed nieautoryzowanym dostępem. Wszystkie banki używają kombinacji przynajmniej dwóch z nich.
– Login i hasło
To standardowe zabezpieczenie we wszystkich serwisach internetowych. Niestety, dość słabe. Łatwo je złamać nie tylko z wykorzystaniem phishingu czy bardziej wyrafinowanych form ataku, jak man in the middle. Hasła łatwo też wykraść – wystarczy zainstalować w komputerze ofiary keyloggera czy po prostu zerknąć przez ramię. Niektóre banki (np. Pekao, Fortis czy BPH) zwiększają bezpieczeństwo przez udostępnienie klawiatury ekranowej, która utrudnia przechwytywanie hasła podczas pisania. Niekiedy hasło jest też maskowane (jesteśmy proszeni o wpisanie wybranych znaków) – niestety, gdy w komputerze ofiary zainstalowano malware, ta metoda tylko odsuwa odkrycie hasła w czasie.
– Karta kodów
Z uwagi na słabą skuteczność ochrony hasłem banki do autoryzacji transakcji używają dodatkowych zabezpieczeń. Do niedawna najbardziej powszechnym była karta kodów jednorazowych. To zabezpieczenie także jest mało odporne na ataki phishingowe. Okazuje się, że użytkownicy bardzo chętnie przepisują całe listy kodów do formularzy na fałszywych stronach WWW, dzięki czemu złodzieje mogą bez problemu oczyścić im konto. Kody są również nieodporne na ataki polegające na przechwytywaniu i fałszowaniu wymiany danych z bankiem. Klientowi można podsunąć fałszywą stronę z transakcją, a kod wykorzystać do autoryzacji innego przelewu, np. podmienić numer konta i kwotę.
– Token
Bardziej nowoczesną formę listy haseł stanowi token elektroniczny, który generuje kody. Może być to osobne urządzenie, program na komórkę. Jest skuteczniejszy niż karta kodów, ale tylko trochę. Niestety, nawet jeśli termin ważności kodu bywa krótki, np. do 5 minut, złodziej ma dostatecznie dużo czasu, by po przechwyceniu go, np. w wyniku ataku man in the middle, autoryzować przelew na własne konto. Token jest natomiast odporny na rozciągnięty w czasie atak phishingowy.
– Hasło SMS z opisem transakcji
Znacznie lepszym zabezpieczeniem jest hasło SMS, czyli kod przysyłany na telefon komórkowy po zatwierdzeniu transakcji, który oprócz hasła zawiera dokładny opis transakcji. Ta metoda jest odporna na phishing i wszelkie ataki polegające na przechwyceniu i fałszowaniu komunikacji między bankiem a klientem. Kodu nie można wykorzystać do kradzieży, bo w trakcie innej transakcji niż ta, do której został wygenerowany, jest nieważny. Jedynym znanym sposobem złamania tego zabezpieczenia jest wyłudzenie od operatora drugiej karty SIM do numeru telefonu zgłoszonego bankowi – po to by móc potwierdzić nielegalną transakcję. Hasła SMS bez opisu transakcji są równie skuteczne, co token.
– Generator kodów na bazie danych o transakcji.
Najskuteczniejszym zabezpieczeniem używanym na naszym rynku jest rozwiązanie wdrożone w Eurobanku (nie ma go w naszym zestawieniu, bo nie zmieścił się w pierwszej 15 największych banków). Bazuje na generatorze tokenów zainstalowanym w komórce. Kod jednorazowy w tym przypadku nie jest przesyłany przez sieć. Do telefonu wędrują tylko dane o transakcji. Użytkownik musi się z nimi zapoznać i je zatwierdzić. Jeśli to nastąpi, algorytm w telefonie generuje unikalny kod, wykorzystując dane o transakcji. To rozwiązanie eliminuje możliwość przechwycenia kodu z banku za pomocą fałszywej karty SIM.
Scenariusze ataku na konta bankowe
Phishing
Pułapka:użytkownik otrzymuje email zachęcający do zalogowania się na stronie banku. W wiadomości jest zazwyczaj odnośnik do fałszywej strony WWW, która udając witrynę banku, służy do wyłudzania loginów i haseł jednorazowych.
Obrona: Zdrowy rozsądek. Do witryny banku należy wchodzić wyłącznie przez wpisanie adresu w przeglądarce, a przed zalogowaniem sprawdzić certyfikat. Pomaga także skuteczne zabezpieczenie antyspamowe, które eliminuje większość wiadomości phishingowych.Man in the middle
Pułapka: haker przechwytuje w czasie rzeczywistym komunikację pomiędzy bankiem a klientem i zmienia jej treść tak, by dzięki przechwyconemu loginowi i kodowi autoryzować transakcję oraz wejść w posiadanie pieniędzy ofiary.
Obrona: Weryfikowanie certyfikatu strony WWW – jeśli są z nim jakieś problemy, może to oznaczać próby naruszenia integralności wymiany danych z bankiem.Man in the browser
Pułapka: Haker instaluje na komputerze użytkownika szkodliwe oprogramowanie, które fałszuje komunikację z bankiem na poziomie przeglądarki WWW. Pozwala to np. sfałszować certyfikat – dokładnie: wyświetlić fałszywe potwierdzenie jego zgodności. Malware może także służyć do przechwytywania znaków wpisywanych za pomocą klawiatury albo do wykradania całych zrzutów ekranu.
Obrona: Troska o zabezpieczenia systemu operacyjnego, instalacja pakietu antywirusowego z funkcją wykrywania szkodników przesyłanych za pomocą protokołów komunikacyjnych (m.in. POP3, HTTP, komunikatory), używanie mniej popularnychsystemów i przeglądarek (unikać Windows i IE).
Na czym polegać?
Jeśli decydujemy się na założenie nowego konta, najlepiej wybrać bank, który po pierwsze oferuje zabezpieczenie przynajmniej w postaci kodów SMS. Warto zwrócić uwagę, czy kody są bezpłatne. Niektóre banki, np. Pekao SA, udostępniają kody, ale za dodatkową opłatą. To podnosi koszt przelewu online, na szczęście tylko wtedy, gdy dokonujemy wymagającego autoryzacji przelewu zewnętrznego, bo – jak wiadomo – do realizacji przelewów wcześniej zdefiniowanych nie trzeba używać kodu.
Czy brak zabezpieczenia w postaci kodu SMS powinien być powodem do rozglądania się za nową, lepiej zabezpieczoną usługą? Naszym zdaniem – nie. Jeśli z głową będziemy stosować nawet prostsze zabezpieczenia, np. kartę kodów jednorazowych, nasze pieniądze będą bezpieczne. Trzeba tylko przestrzegać trzech prostych zasad:
– Przed wpisaniem kodu weryfikować ważność certyfikatu strony, co pozwoli uniknąć ataków zarówno phishingowych, jak i man in the middle.
– Dbać o bezpieczeństwo komputera, tak by nie pojawił się na nim żaden trojan, poprzez instalację programu antywirusowego. Nie musi być to płatna aplikacja typu internet Security, wystarczy np. darmowa Avira.
– Unikać obsługi konta przy użyciu publicznych komputerów – jeśli to konieczne, to tylko po uruchomieniu na nich własnego środowiska, np. Linuksa zainstalowanego na kluczu USB (patrz ramka)
Oczywiście proste zabezpieczenia nie ustrzegą nas przed wyrafinowanym atakiem spersonalizowanym, ale ten raczej nam nie zagraża, dopóki na koncie internetowym nie będziemy mieli sumy rzędu setek tysięcy dolarów. A to większości z nas wszak nie grozi.
Koszt użytkowania konta
Najtańsze są konta bez możliwości korzystania z obsługi w oddziale banku. W naszym zestawieniu w tej kategorii są dwa produkty: konta Inteligo i mBank. W pierwszym przypadku tylko wtedy, gdy saldo jest wyższe od 100 zł/niezbyt jasne/. W obydwu przypadkach utrzymanie konta jest bezpłatne. W przypadku pozostałych usług miesięczne opłaty za użytkowanie wahają się od 4 zł (Nordea) do 20 zł (Raiffeisen), przeważnie jednak nie przekraczają 10 zł. Czy to dużo? Miesięcznie, oczywiście nie, ale jeśli spojrzeć na koszt utrzymania konta w skali roku, robi się z tego zauważalna suma. W przypadku najdroższego konta w zestawieniu koszt utrzymania będzie wynosił aż 240 zł rocznie.
Oceniając koszt utrzymania konta, koniecznie zwróćmy uwagę także na koszty operacji. Co z tego, że w Kredyt Banku za konto zapłacimy tylko 7 zł, skoro za każdy przelew online usługodawca żąda od nas dodatkowo 1 zł, tak samo za każde stałe zlecenie. W przypadku Getin Banku przelew kosztuje aż 1,50 zł. Z kolei będąc posiadaczami drogiego konta Raiffeisen, wszystkie najważniejsze operacje mamy wliczone w koszt miesięcznej opłaty. Dobrym kompromisem – między opłatą miesięczną a prowizjami – wydaje się być konto Pekao: opłata wynosi 6 zł, a za przelew jest pobierane 50 gr.
Bezpieczny system
Największym zagrożeniem dla bezpieczeństwa transakcji bankowych są infekcje komputera szkodliwym oprogramowaniem. Dzięki temu haker może zyskać pełny wgląd w to, co dzieje się na naszym komputerze. To pozwala mu przechwycić i sfałszować komunikację z bankiem. Najlepiej bronić się przed takim atakiem, tworząc izolowane, bezpieczne środowisko do przeprowadzania transakcji, w którym nie będziemy instalować przypadkowych programów ściąganych z Sieci. Polecamy Linuksa, który jest znacznie rzadziej atakowany niż Windows.
Nie trzeba do tego osobnej partycji. Taki system zmieści się na pendrivie, z którego będzie można uruchomić każdego peceta. Stworzymy w dystrybucji Ubuntu.
Aby przekopiować system na pendrive, po starcie systemu Ubuntu (może być z płyty) z menu wybierz »System | Administracja | USB startup disk creator«. Uruchomi się prosty w obsłudze konfigurator startowych dysków USB. Następnie na liście »USB disk to use« wskaż partycję na pendrive. Domyślnie narzędzie zainstaluje na niej ten system, którego właśnie używasz. Jeśli nie zamierzasz korzystać z bezpiecznego systemu poza domem, z powodzeniem możesz zainstalować go na maszynie wirtualnej VirtualBox, gdzie Linuks będzie działał odizolowany od Windows.