Temat artykułu jest realizowany w ramach Projektu “Cyberakcja - Bezpieczna Bankowa Aplikacja”, finansowanym z grantu Haki na Cyberataki Fundacji Santander. Szczególne podziękowania dla fundacji Manus za pomoc w realizacji projektu.

Logo Cyberakcja
Logo Manus
Stary telefon marki Nokia

Historia Bankowości Mobilnej:

Telefon jako urządzenie o wielu zastosowaniach stał się, obok kluczy, najważniejszą rzeczą jaką zabieramy z domu. Z upływem czasu komórki stały się nie tylko aparatem do komunikacji, ale również notatnikiem, kalendarzem, prognozą pogody, nieograniczonym źródłem wiedzy wszelakiej. Stały się dla nas drugimi portfelami, którymi możemy dokonywać płatności oraz potwierdzać swoją tożsamość przez wirtualne wersje dokumentów. W jaki sposób powstała bankowość mobilna, która jest nam dzisiaj powszechnie znana? Odpowiedź znajdziecie w tym artykule.

Co ciekawe bankowość mobilna nie jest wcale taka nowa, jakby się mogło wydawać. Oczywiście kiedyś nie funkcjonowała w postaci aplikacji na smartfonach. Początek wszystkiego stanowi oczywiście Internet. Wykorzystując technologie takie jak SMS oraz WAP (Wireless Application Protocol), Wielkopolski Bank Kredytowy jako pierwszy w Polsce (kiedyś Bank Zachodni WBK, dziś bank Santander), w roku 1999 (technologia SMS) oraz 2000 (technologia WAP), mógł poszczycić się dostępem do bankowości przez telefon.

Nie byłoby bankowości mobilnej bez tej elektronicznej. Już w roku 2000 mBank, jako pierwszy wirtualny bank w Polsce, zaprezentował bankowość na miarę przyszłości: nie dysonował żadnymi fizycznymi oddziałami, obsługa odbywała się tylko przez Internet i telefonicznie.

Technologia SMS była jednak tylko powiadomieniami „push”, czyli jedynie informowała o komunikatach z banku. Nie było możliwości aktywnego wprowadzania działań, przez co sam pomysł nie był powszechnie uważany za odkrywczy. Takie rozwiązanie było mało opłacalne, ponieważ za każdy SMS wygenerowany przez bank należało zapłacić, a informacje jakie za pomocą wiadomości można było uzyskać to np. wysokość salda.

Krótko o Protocole WAP:

WAP jako protokół dla bezprzewodowych sieci komunikacyjnych został stworzony, aby realizować proste cele: przyśpieszyć proces wyszukiwania na telefonach komórkowych, a tym samym ograniczyć ilość zużywanych danych. Protokół rozwiązywał problemy z transmisją danych, brakiem pamięci, oraz wprowadzał ekrany LCD. Tym samym w telefonach starszej generacji znajdziemy tzw. mikroprzeglądarki obsługiwane przez język WML (Wireless Markup Language) - uproszczoną wersją języka HTML. To właśnie tę technologię wykorzystała firma Nokia w swoim telefonie Nokia 7110, który jako pierwsza komórka miała możliwość przeglądania Internetu. WAP umożliwiał sprawdzanie salda, zdalne zarządzanie lokatami oraz wykonywanie przelewów. Protokół został wyparty przez Java Micro Edition z racji wysokich marż na produktach tylko jednego producenta. Technologia ta była dostępna tylko dla zamożnych klientów, a same koszty generowane przez operatorów GSM odstraszały od korzystania z możliwości proponowanych przez WAP.

Bezpieczeństwo rozwiązania WAP opierało się na zabezpieczeniach protokołów sieciowych, głownie WTLS, czyli bezprzewodowego wariantu protokołu SSL/TLS. Wykorzystanie szyfrowania asymetrycznego zapewniało poufność komunikacji między serwerem WWW a bramą WAP. To właśnie w bramie WAP, która zachowywała się podobnie jak serwer proxy, dochodziło do zamiany pakietów, które były możliwe do przeczytania w innym protokole sieciowym np. TCP/IP. Sam WTLS miał wiele niedoskonałości, jeśli chodzi o zabezpieczenia. Jeśli interesuje Cię temat bezpieczeństwa WAP w szerszym stopniu zajżyj do tego artykułu - The Wireless Application Protocol.

Dynamiczny rozwój bankowości

Dobrze znane nam aplikacje bankowe pojawiły się z wejściem na rynek systemu Android. Dopiero w 2004 roku na rynku zadebiutowała pierwsza aplikacja z prawdziwego zdarzenia – R-Mobile. Wypuścił ją Raiffeisen Bank Polska. Jako jedyna w Polsce aplikacja, nie była zależna od operatora telefonii komórkowej (było to dość powszechne zjawisko do tego czasu) przez co nie wymagała wymiany karty SIM. Napisano ją w języku Java 2 Micro Edition i w obecnym czasie budziło to spore kontrowersje ze względu na niestabilność programów napisanych w tym języku. Java ME (zamienna nazwa Javy 2 Micro Edition) posiadała swój własny, okrojony w stosunku do Java SE zbiór klas zwanych konfiguracją (ang. configuration), dzięki czemu idealnie sprawdzała się na telefonach o ograniczonych zasobach obliczeniowych oraz pamięciowych. Aplikacja była wysyłana zdalnie na telefon klienta, a logowanie do niej następowało przez specjalnie wygenerowany kod RPIN. Szyfrowanie transmisji danych odbywało się za pomocą algorytmu 3DES ze zmiennym kluczem, co zagwarantowało wymagany poziom bezpieczeństwa”. Sam przesył pakietów odbywał się dzięki technologii GPRS (General Packet Radio Service), technika była związana z pakietowym przesyłaniem danych w sieciach GSM.

Ciekawostka: GPRS jest często nazywane “technologią” 2.5G, z racji tego, że stanowił element niezbędny do ewolucji GSM a w konsekwencji powstania technologii 3G.

Dzięki usłudze, jaką była R-Mobile, można było między innymi: sprawdzić saldo i dostępne środki, wykonywać przelewy (wewnętrzne oraz zewnętrzne), sprawdzić historię 7 ostatnich operacji na rachunku, wykonać operację spłacenia raty kredytu, założyć lokatę ze środków posiadanych na kontach.

Stary telefon marki Nokia


źródło: https://gsmonline.pl/artykuly/polski-raiffeisen-nadal-liderem-w-m-bankowosci

W 2005 roku Bank Millennium udostępnił klientom bankowość mobilną wykorzystującą kody SMS. Niektóre Banki nadal świadczą usługi związane z SMS bankingiem np. Bank Spółdzielczy w Limanowej. Dzięki specjalnej konstrukcji SMS-a i wysłaniu go na odpowiedni numer można opłacać rachunki czy uzyskać wartość salda. Jednakże bankowość w formie SMS nie do końca spełniała oczekiwania klientów i oczywiście stwarzała wiele kontrowersji, jeśli chodzi o bezpieczeństwo.

Schemat wysyłania wiadomości SMS


źródło: https://www.bs.limanowa.pl/oferta/sms-banking

Pierwsze aplikacje, jakie dobrze znamy, pojawiły się na systemie IOS po wystąpieniu Steve’a Jobsa w 2007 r., Apple zaprezentowało pierwszy model iPhone’a – telefon wyposażony został w rewolucyjny ekran dotykowy, który można obsługiwać za pomocą palców. IPhone’y nie były tak szeroko dostępne w Polsce, dopiero czas miał pokazać potęgę rozwiązania oferowanego przez firmę Apple.

W 2008 roku firma Inteligo wystartowała testowo ze swoją innowacyjną usługą serwis lajt. Serwis był dostosowany do korzystania z niego na urządzeniach mobilnych, charakteryzował się lekkością, był pozbawiony zbędnych reklam oraz grafik. Serwis był dostępny z poziomu przeglądarki, dzięki czemu nie wymuszał na użytkowniku instalowania dodatkowej aplikacji. Specjalnie zaprojektowany serwis lajt ograniczał zużycie danych komórkowych, dzięki czemu korzystanie z Internetu na telefonie stało się bardziej dostępne. Na początku roku 2009 do bankowości lajt dołączyły się m.in. takie banki jak Alior Bank, mBank oraz ING Bank Śląski.

Dopiero Rok 2009 był przełomowy dla polskiego rynku bankowego, ponieważ pojawiła się pierwsza aplikacja bankowa napisana na system iOS – był to Mobilny Bank wdrożony przez Raiffeisen Bank Polska. Natomiast w tym samym roku, po raz pierwszy, ukazał się w Polsce telefon z systemem android HTC Dream, sprzedawany pod marką Era G1.

Różnorodność związana z systemami operacyjnymi na smartfonach nowej generacji spowodowała rozwój konkurencyjności marek, dzięki czemu szybko uzyskaliśmy nowe, coraz bardziej zaawansowane aplikacje i technologie. Najbardziej pomocne dla bankowości elektronicznej było pojawienie się sklepów internetowych. Polski rynek e–commerce równolegle do elektronicznych rozwiązań bankowych rozwija się od 1999r.. To właśnie w tym roku pojawił się najbardziej rozpoznawalny serwis aukcyjny Allegro.pl. W miarę powstawania coraz to nowszych sklepów internetowych, wzrosła też potrzeba bezpiecznego zaksięgowania płatności. Tym samym narodziły się takie systemy płatności jak: PayU, PayPal, Przelewy24 oraz dobrze nam znany rodzimy Blik - technologia ułatwiająca nam rozliczanie się, obecnie nawet w większości sklepów stacjonarnych.

Przegląd metod płatności internetowych:

  • PayU - Pierwszą transakcją z PayU 3.06.2002 r. w Polsce było doładowanie telefonu na 20zł. W roku 2005 PayU zostało zaprezentowane przez Allegro jako funkcja “Płatności Allegro”, dzięki czemu system ten zyskał wielu zwolenników z racji wygody oraz oczywiście zaufania, gdyż wiele osób zaczęło z niego korzystać. Od 2012 roku platforma ta staje się Instytucją Płatniczą, uzyskuje pierwszą tego typu licencję wydaną przez KNF w Polsce, a tym samym rozpoczyna działalność centrum autoryzacyjno - rozliczeniowe PayU.

  • PayPal - Nie jest naszym rodzimym systemem, wywodzi się z amerykańskiego rynku. PayPal działa na zasadzie wirtualnej skarbonki (cyfrowy portfel). W systemie PayPal klienci mogą płacić przy użyciu karty kredytowej bądź salda konta PayPal, które można zasilać przelewami z konta bankowego lub innego konta PayPal.

  • Przelewy24 - Serwis powstał w roku 2004, wspiera różne metody płatności od Blika po przelewy, realizuje system portfeli elektronicznych oraz jest połączony z Google Pay, oraz Apple Pay. Jest pośrednikiem płatności między sklepem internetowym np. Allegro a klientem. System natychmiast księguje płatność klienta, który dokonuje ją jedną z dostępnych metod np. przelewem natychmiastowym (tzw. pay by link), przelewem zwykłym lub kartą płatniczą. Dana wpłata zostaje przydzielona w systemie pośrednika do odpowiedniej firmy, rozliczając się co pewien okres czasowy. Oczywiście serwisy pośredniczące funkcjonują pobierając drobną opłatę za wykonanie transakcji. W przypadku Przelewów24 jest to kwota zaczynająca się od 1.90%, natomiast PayU pobiera 2.3% kwoty.

Co ciekawe, dodatkowe 30gr doliczane przy płatności kartą u dwóch największych gigantów rynku pośredników płatności wynikają ze specjalnego opodatkowania transakcji. Opłaty interchange są różne co do poszczególnych krajów i tyczą się każdej płatności, która jest dokonywana kartą, zarówno w sklepie stacjonarnym, jak i internetowym. W Polsce jest to opłata w wysokości 0.2% na karty debetowe i 0.3% na karty kredytowe i obciążeniowe. Wszystkie krajowe stawki opłaty interchange znajdziesz tutaj: Krajowe stawki opłaty interchange (visa.pl)

Porównanie płatności online

źródło: https://zalecamy.pl/porownanie-platnosci-online

  • Blik - System płatności mobilnych dostępny dla użytkowników od lutego 2015 r. Jednak prace nad systemem rozpoczęły się już w 2013 r. kiedy firma Polski Standard Płatności oraz sześć największych polskich banków (Alior Bank, Bank Millennium, Bank Zachodni WBK (teraz Santander), ING Bank Śląski, mBank i PKO Bank Polski) zostali zainspirowani do pracy nad nowym projektem. Blik na początku został tworzony wykorzystując do tego system IKO PKO Banku Polskiego.

Spójrzmy na liczby:

W raporcie za IV kw. 2017 r. PRNews.pl umieszcza informację o ilości otwartych kont indywidualnych wśród 19 najpopularniejszych banków w Polsce. Co ciekawe, w przeciągu roku, tzn. porównując z okresem IV kw. 2016 r., liczba kont wzrosła o 764 tys. Natomiast od roku 2017 do 2021 liczba kont w Polsce wzrosła o 3,3 mln. Świadczy to o wysokiej ufności Polaków do instytucji bankowych. Dodatkowo, technologie dostarczania paczek za pomocą paczkomatów wykorzystywane przez firmę InPost zrewolucjonizowały sposób odbierania przesyłek. Z raportu Gemius „E-commerce w Polsce 2020” z połowy 2020 r. wynika, że ​​aż 73% internautów robi zakupy online, a ich liczba wzrosła o 11 punktów procentowych, w porównaniu z danymi z lat poprzednich - 62% ankietowanych internautów, którzy zostali przebadani w 2019 roku, 56% w 2018 roku i 54% w 2017 roku. Raporty można znaleźć pod tymi odnośnikami: Raport PRNews.pl: Rynek kont osobistych – IV kw. 2017 Raport PRNews.pl: Rynek kont osobistych – IV kw. 2021 E commerce w Polsce (3 najważniejsze statystyki + RAPORT) - UniqueSEO

Co sprawia, że płatności są bezpieczne?

Przejdźmy do zabezpieczeń, które są wykorzystywane w obecnym czasie. W dalszej części artykułu skupię się na płatnościach internetowych takich jak: przelewy wykonywane w banku, czy u pośredników płatniczych. Fizyczne płatności kartą są tematem na osobny artykuł.

SSL (Secure Socket Layer) - Standard szyfrowania danych w Internecie, zapewnia bezpieczne połączenie między serwerem a klientem. TLS jest często zamienne w użytkowaniu z SSL, nie jest to jednak protokół tożsamościowy. TLS jest rozwinięciem standardu SSL, przez co jest bezpieczniejszy. Obecnie nie mamy już do czynienia z SSL-em, a tylko z jego nazwą, która wykorzystywana do dzisiaj kojarzy się z bezpieczeństwem. Całość szyfrowania TLS opiera się na szyfrowaniu asymetrycznym. Dzięki generowaniu klucza publicznego (po stronie serwera) oraz klucza prywatnego (po stronie klienta), zapewnia poufność pakietów przesyłanych w internecie. Oznacza to, że osoby trzecie nie są w stanie rozszyfrować naszych danych, tym samym jesteśmy odporni na atak typu man-in-the-middle.

UWAGA: Szyfrowane połączenia są bezpieczne, jednak tylko, gdy mamy pewność, że serwer, do którego się łączymy, jest stroną, za którą się podaje. Pamiętajmy, że przestępcy często wykorzystują naszą nieuwagę i podsyłają nam strony do złudzenia przypominające witryny np. naszego banku. Więcej o tym czym jest phishing i jak sobie z nim radzić znajdziesz w artykule Phishing - White Hats (pwr.edu.pl).

Zawsze upewnij się, że jesteś w docelowej witrynie przed wprowadzeniem jakichkolwiek informacji!

Certyfikaty TLS - certyfikaty pozwalające nam sprawdzić wiarygodność strony internetowej. Dzięki nim wiemy jaka firma lub instytucja odpowiada za wiarygodność danej witryny. W celu zweryfikowania certyfikatu należy kliknąć na kłódkę przy pasku wyszukiwania. Można sprawdzić jaki urząd certyfikacji go wydał. W przypadku braku certyfikatu, przez przeglądarkę zostanie wyświetlone ostrzeżenie. Niestety obecnie sama ‘kłódka’ nie świadczy o wiarygodnym urzędzie certyfikacji, certyfikat można kupić i dodać do swojej strony internetowej, dlatego warto przede wszystkim zadbać o bezpieczne wchodzenie na stronę banku np. z zapisanego adresu w karcie ‘ulubione’.

Dzięki algorytmom kryptograficznym nasze połączenia z serwerami banku są zabezpieczone przed osobami trzecimi i jesteśmy w stanie bezpiecznie wykonywać m.in. przelewy za pośrednictwem banku.

Jak korzystać z aplikacji, aby zadbać o bezpieczeństwo naszych danych?

Wiele osób nie jest pewnych bezpieczeństwa bankowości mobilnej, przez co rezygnuje z niej. Dostęp do bankowości z poziomu “kieszeni” ma jednak zdecydowanie więcej zalet, niż wad. Deweloperzy aplikacji bankowych na telefon są w pełni świadomi zagrożeń związanych z cyberprzestępczością. Odpowiednie algorytmy kryptograficzne gwarantują nam bezpieczne połączenie end-to-end.

Klika prostych zasad, których warto przestrzegać korzystając z internetu, aby nie zostać ofiarą oszustwa:

  • Dbaj o higienę skrzynki pocztowej Newslettery, które nie są Ci potrzebne, można usunąć z poczty, anulując swoją subskrypcję. Pamiętaj, że usunięcie z listy newslettera nie znaczy, że dana firma nie kolekcjonuje twoich danych. Upewnij się czytając, regulamin i podejmij odpowiednie kroki, aby wypisać się z bazy klientów.

  • Regularnie aktualizuj oraz restartuj swoje urządzenia Aby chronić klientów przed hakerami, którzy wykorzystują podatności i luki w systemie, chcąc dostać się do naszych prywatnych informacji, aktualizujemy systemy do najnowszych wersji. Naprawione błędy i sprawniej działające urządzenia to coś, z czego nie należy rezygnować.

  • Czyść ciasteczka Czy zdarzyło Cii się, że szukałeś idealnego prezentu dla swojej mamy i gdy w końcu udało Ci się go znaleźć, każda reklama, wyświetlana na odwiedzanych przez Ciebie stronach, zawiera właśnie ten produkt? Są to bardzo tzw. pliki “ciasteczka” (ang. cookies), które zbierają informację na temat użytkowników strony internetowej i są przechowywane przez przeglądarki nawet do tygodnia w pamięci. Często zebrane dane są przekazywane lub sprzedawane do innych instytucji w celach profilowania konsumentów. Dlatego koszyk w sklepie, do którego nawet się nie zalogowałeś, jest nadal pełny.

  • Uważnie korzystaj z ważnych funkcji w telefonie” Emocje, zmęczenie, alkohol, stres,czy przebodźcowanie, to czynniki, które osłabiają zdolność realnej oceny sytuacji. Wykorzystują to socjotechniczne ataki phishingowe, które mają na celu wyłudzenie naszych danych lub pieniędzy. Łatwiej jest popełnić błąd np. literówkę, lub kliknąć w nurtujący szkodliwy odnośnik.

Materiały wykorzystane w artykule:

https://prnews.pl/r-mobile-wygoda-i-niezaleznosc-63206

https://www.bankier.pl/wiadomosc/Historia-bankowosci-mobilnej-w-Polsce-7284816.html

https://mlodytechnik.pl/eksperymenty-i-zadania-szkolne/wynalazczosc/30372-aplikacje-mobilne

https://www-geeksforgeeks-org.translate.goog/wireless-application-protocol/

https://prnews.pl/nowosc-w-ofercie-millennium-przelewy-przez-smsy-79382

https://surebety.pl/artykul/przelewy24/

https://www.bankrate.com/banking/best-security-practices-for-mobile-banking

https://www.cashbill.pl/blog/bezpieczenstwo/bezpieczenstwo-platnosci-internetowych-i-certyfikaty-ssl/

https://www.esat.kuleuven.be/cosic/publications/article-549.pdf