Niebezpiecznik dość szybko studzi emocje: to nie atak, tylko technika fingerprintingu usług. W praktyce chodzi o to, że system bezpieczeństwa banku próbuje sprawdzić, czy na komputerze nie działają programy potencjalnie zwiększające ryzyko oszustwa – np. TeamViewer, AnyDesk, RDP, VNC.
Jeśli wykryje ślady takiego oprogramowania, wskaźnik ryzyka klienta (tzw. risk-score) rośnie. I tu ważne zastrzeżenie: „podejrzane” w języku banku nie oznacza od razu złośliwe. Wiele osób korzysta z narzędzi do zdalnego pulpitu w pełni legalnie i świadomie. Problem w tym, że dla algorytmów bezpieczeństwa mogą wyglądać jak sygnał, że ktoś niepowołany zdalnie steruje komputerem klienta. Efekt? Czasem blokada logowania lub utrudnienia w dostępie do rachunku.
Na X (dawniej Twitterze) posypały się komentarze:
Sprawdź polecane oferty
Allegro 1200 - Wyciągnij nawet 1200 zł do Allegro!
Citi Handlowy
Telewizor - Z kartą Simplicity możesz zyskać telewizor LG!
Citi Handlowy
RRSO 20,77%
- The CEO Cat: „Sprawdza, czy na komputerze są uruchomione takie usługi jak VNC czy RDP. W celu bezpieczeństwa. To nie jest zagrożenie”.
- Andrzej: „Heurystyka do wykrywania dostępu zdalnego do komputera, zwiększająca ryzyko”.
- Łukasz: „Port 5939 służy m.in. do wykrywania TeamViewera. Dla banku to sygnał, że możliwy jest zdalny dostęp do konta”.
Sprawa ma jednak drugie dno
Jeden z naszych redaktorów na redakcyjnym czacie opisał, że przeglądając ofertę kredytu na stronie mBanku (bez logowania), po kilkunastu sekundach otrzymał powiadomienie w aplikacji mobilnej o dokładnie tej samej ofercie. „Nigdy wcześniej tego nie było – to było zaskakujące” – pisze. Jeśli dodać do tego ruchy na localhost, rodzi się pytanie, czy bank nie wykorzystuje tych mechanizmów także do profilowania i marketingu, a nie wyłącznie do ochrony konta. Użytkownik Dariusz pytał:
a apka banku nie otwiera któregoś tych portów? chyba któryś znany portal szpiegowski tak robił i dzięki temu powiązywał zalogowanego użytkownika na aplikacji z tym co robi w przeglądarce.
Z punktu widzenia banków sprawa jest prosta – walczą o bezpieczeństwo i chcą minimalizować ryzyko przejęcia rachunku przez oszustów. Ale dla użytkownika wygląda to inaczej: nagle okazuje się, że instytucja finansowa zagląda w nasze porty sieciowe i łączy to z profilem klienta. Granica między troską o bezpieczeństwo a nadmiernym śledzeniem robi się cienka.
Problem w tym, że banki nie tłumaczą tego klientom wprost
Zmiana logowania pojawia się z dnia na dzień, a użytkownik zamiast jasnego komunikatu dostaje poczucie, że „coś mu grzebie w komputerze”. To kiepska komunikacja – a właśnie zaufanie jest kluczowe w relacji klienta z bankiem.
Czy zatem należy się obawiać? Raczej nie – takie techniki stosują dziś różne instytucje finansowe. Ale warto wiedzieć, co się dzieje „pod maską” i że to niekoniecznie oznacza, że ktoś próbuje nas hakować. Z drugiej strony – warto też patrzeć bankowi na ręce. Bo jeśli mechanizm bezpieczeństwa zaczyna być równocześnie narzędziem marketingowym (czego nie udowodnimy, to tylko podejrzenie), to mamy problem znacznie poważniejszy niż kilka pakietów danych wysyłanych na localhost.
