O autorze
Krzysztof Surgut – CEO firmy Data Space, rozwijającej systemy bezpieczeństwa IT, m.in. usługę Anty DDoS. Ekspert systemów teleinformatycznych (xDSL, DWDM, PON, IPTV, rozsiewczych systemów radiowych, technologii mobilnych oraz sieci IP), autor książki „VoIP – tania telefonia internetowa” (Helion), współautor strategii technologicznej dla Telefonii Dialog na lata 2000 – 2005, współautor strategii technologicznej dla HAWE S.A. na lata 2007 - 2010 podczas debiutu na GPW oraz główny architekt systemów wykorzystywanych w ogólnopolskiej sieci światłowodowej HAWE (teletransmisja, IP, IPTV, zarządzanie i utrzymanie). Szef zespołów budujących ważne węzły teleinformatyczne oraz data center w Polsce, specjalista od uzgodnień międzyoperatorskich.

„Wyższa kultura w bankowości” … inaczej

Bank, w każdej cywilizowanej gospodarce, kojarzony musi być z pewnością, zaufaniem i bezpieczeństwem zdeponowanych pieniędzy. Co jednak, jeżeli bank najlepiej chroni dostęp do pieniędzy … przed ich właścicielem?

Parę miesięcy temu, coś mnie podkusiło i otworzyłem rachunek w kolejnym banku. Motorem tej zmiany było dziwne zachowanie systemu transakcyjnego dotychczasowego banku, który nie pozwolił mi dokonać przelewu w ramach usługi TPay.



Złożyłem stosowne zapytanie do banku, dlaczego nie mam możliwości zapłacenia w ten sposób za towar w jednym ze sklepów internetowych i przez 2-miesiące nie dostałem żadnej zwrotnej informacji (pomimo przypominania się w temacie).

Wniosek był prosty, skoro bank przy tak prostym problemie nie raczy odpowiedzieć na moje zgłoszenie, to co będzie jak rzeczywiście będą jakieś kłopoty w relacjach Ja vs. Bank.

Po krótkiej analizie oferty na rynku wybór padł na Alior Bank. Wtedy jeszcze nie byłem świadom pojęcia „wyższości kultury w bankowości”.

Początki zawsze wymagają czasu
Na początek musiałem się przestawić na kompletnie odmienny interfejs użytkownika – dość pogmatwany, w porównaniu do innych znanych mi banków internetowych. Jednak poświęciłem trochę czasu i udało mi się „odgadnąć” tok myślenia twórców tego interfejsu.

Szału nie ma, choć nie wymagam wiele, ponieważ do konta bankowego loguję się ze 3-4 razy w miesiącu.

W końcu interfejs bankowy to nie gra komputerowa, od której wymaga się … grywalności.

Bezpieczne hasło
Pierwsza odmienność, która rzuciła mi się w oczy to modyfikacja w systemie logowania do platformy internetowej. Po podaniu identyfikatora, przechodzi się do ekranu podania hasła.

Wprowadzając hasło należy podawać wyłącznie wybrane jego znaki. Z punktu widzenia bezpieczeństwa to dość skuteczny mechanizm ochrony jawności hasła.

Jednak dla użytkownika, od którego wymaga się 11-znakowego hasła, taka forma autoryzacji wymaga sporo wysiłku intelektualnego – zwłaszcza, gdy hasło nie jest wierszykiem, tylko alfanumerycznym ciągiem znaków (o sposobie generowania i łatwego zapamiętywania pisałem wcześniej).

Założę się, że połowa użytkowników Alior Banku posiada, albo bardzo proste hasło, które jest refrenem znanego przeboju, albo ma je napisane gdzieś w łatwo dostępnym miejscu, aby zerkać tam i wiedzieć, na której pozycji znajduje się jaki znak.

Jak dla mnie, podnosząc teoretycznie poziom zabezpieczenia przed atakami typu Man’in the’Middle czy keylogerami, w praktyce zmuszono użytkownika do łatwiejszych haseł czy jawnego przechowywania hasła w swoim otoczeniu.

To faktycznie „wyższa kultura”, bo zbyt proste hasło lub przechowywanie hasła w postaci jawnej we własnym otoczeniu zrzuca w 100% odpowiedzialność na użytkownika.

Ale to dopiero pierwszy problem.

Systemy bezpieczeństwa
Całkiem oddzielnym wątkiem jest sposób ochrony dostępu do bankowości elektronicznej, jakie wykorzystują banki.

W Polsce „kultura” w tym zakresie jest bardzo różnorodna. Są banki, których sposób zabezpieczenia dostępu jest raczej … przeciętny. Są też banki, które posiadają rozbudowane systemy bezpieczeństwa.

Wszystko jest pochodną budżetu na ochronę, ryzyka biznesowego vs. nakłady na ochronę, oraz poziomu udziału w rynku. Im mniejszy poziom udziału w rynku, tym zabezpieczenia bardziej przeciętne.

W przypadku Alior Banku po raz pierwszy spotkałem się z podejściem, w którym „bank wie lepiej, ale nie powie dlaczego”.

Już po paru dniach rozpoznawania interfejsu systemu bankowego okazało się, że został mi zablokowany dostęp. Przypuszczałem, że być może przy wpisywaniu hasła, coś mi się przestawiło i po paru błędnych próbach, dostęp został zablokowany.

W tym momencie pojawia się dylemat, jak odblokować dostęp?

W dotychczasowych bankach internetowych wystarczyło zadzwonić na infolinię i uruchomić procedurę uzyskania ponownego dostępu. W paru bankach proces jest w pełni zautomatyzowany przy wykorzystaniu IVR i nawet nie trzeba angażować konsultanta.

W przypadku Alior Banku jest jednak „wyższa kultura”. Tutaj nie wystarczy zadzwonić na infolinię, ale trzeba przejść „procedurę bezpieczeństwa”.

W praktyce sprowadza się to do serii pytań ze strony konsultanta oraz przesłania emailem zrzutu zapisu strony internetowej Alior Banku. Teoretycznie proste zadania, pod warunkiem, że nie trzeba go robić praktycznie co tydzień.

Za pierwszym razem przeszedłem „procedurę bezpieczeństwa” bez szemrania. Zrobiłem wszystko czego oczekiwał konsultant. Przy kolejnym logowaniu było wszystko w porządku, jednak w następnym tygodniu, pomimo pilnowania poprawności wprowadzania hasła, dostęp ponownie został zablokowany.

Ponowny kontakt z infolinią i ponowna ścieżka zdrowia w ramach „procedury bezpieczeństwa”.

W rozmowie z konsultantem dowiedziałem się, ze system bezpieczeństwa banku zakwalifikował mój komputer jako podejrzany o zainfekowanie.

To dość dziwne, ponieważ zawodowo jestem bardzo wyczulony w tym temacie i raczej nie należę do „standardowych użytkowników komputerów”.

Odezwała się we mnie strona anarchisty. Nie chciało mi się poświęcać wielu godzin na skanowaniu platformy internetowej Alior Banku, aby zweryfikować jaki system stoi po drugiej stronie i dokonuje selekcji komputerów na „te dobre i te złe”.

Postanowiłem dostosować się do zaleceń, ale w sposób lekko odmienny.

Pierwszym zaleceniem konsultanta z Alior Banku jest przeinstalowanie mojego systemu operacyjnego, który „prawdopodobnie” jest zainfekowany.

Bardzo dziwne „oczekiwanie banku”, ponieważ 90% Polaków nigdy nie instalowało własnoręcznie jakiegokolwiek systemu operacyjnego. Oczywiście na stronie banku nie ma ani słowa o tym jak dokonać reinstalacji systemu operacyjnego.

Wprawdzie należę do tej mniejszości, która wie jak przeinstalować system operacyjny, jednak wiedząc co trzeba zrobić oraz ile to zajmuje czasu, postanowiłem pójść na skróty.
Na swoim firmowym komputerze postawiłem wirtualną wersję nowego systemu operacyjnego. Wybrałem system Linux’a w wersji KALI – to odmiana wykorzystywana przez pentesterów do testowania zabezpieczeń.

O dziwo, zalogowanie się z tego nowego systemu Linux przeszło bez problemu. Systemowi bankowemu nie przeszkadza wersja systemu operacyjnego stworzonego dla hakerów. Mogłem się zalogować parę razy bez żadnego problemu. Jakieś parę tygodni później moja próba zalogowania się do konta była niemożliwa.
Więc ponowny kontakt z infolinią i ... ponowna „procedura bezpieczeństwa”.

Kolejny raz zastosowałem się do zaleceń konsultanta i wyjąłem innego laptopa, sformatowałem dysk, posadziłem całkiem surowy system operacyjny. Do konta logowałem się wyłącznie z tego komputera. Efekt?

Po 2 logowaniach system banku zablokował dostęp. WTF?

Kolejny raz infolinia i tym razem poprosiłem konsultanta, abym w ramach odblokowania otrzymał klarowną informację, co takiego wykrywa system banku, co dyskwalifikuje ten komputer?

Odpowiedź bardzko kulturalna: „nie udzielamy takiej informacji”.

Po przejściu procedury bezpieczeństwa, która zajmuje z 10-15min. rozmowy + wysyłanie zrzutu strony WWW, uzyskałem dostęp do własnego konta. Radość trwała przez 2 logowania. Z początkiem bieżącego tygodnia ciąg przyczynowo-skutkowy miał swój kolejny cykl.

Kontakt z infolinią i informacja zwrotna – musimy przejść procedurę bezpieczeństwa.
Przeszedłem kolejny raz serię pytań, które zaczynam znać na pamięć. W ramach procedury wysyłam zrzut strony WWW Alior Banku. Po 2 dniach dostaję zwrotnie maila ze stwierdzeniem.

"W nawiązaniu do otrzymanej korespondencji uprzejmie proszę o doprecyzowanie, do którego Pracownika Banku powinna zostać przekazana Pana wiadomość."

WTF? Wysyłam maila z adresu e-mail, który podałem przy rejestracji konta. Niejednokrotnie podczas procedury bezpieczeństwa pytano mnie o podanie autoryzowanego adresu e-mail. A tu bach - mam znać na pamięć nazwisko konsultanta, z którym rozmawiałem! (zaznaczam, że za każdym razem jest to inny konsultant).
Kulturalnie odpisałem:

"Nie mam pojęcia do kogo ma trafić ta inforamcja. Wysłałem ją, z uwagi na rozmowę z inforlinią w sprawie odblokowania dostępu internetowego."

W odpowiedzi kolejnego dnia zastaję maila, w którego treści znajduję:

"W nawiązaniu do otrzymanej korespondencji uprzejmie informuję, że w zaistniałej sytuacji rekomendujemy kontakt z infolinią Banku celem wyjaśnienia zaistniałej sytuacji oraz uzyskania danych osobowych konsultanta z którym przeprowadził Pan rozmowę telefoniczną."

Po lekturze odpowiedzi lekko mnie poniosło i kulturalnie odpisałem:

"Dlaczego mam dzwonić na infolinię, skoro odpowiedź dostaję od Zespołu Obslugi Zdalnej? Co mam powiedzieć konsultantowi, którego wylosuje mi system IVR?
Czy na moje maile odpoiadają boty?

...
Nie obchodzi mnie jak nazywał się konsultant, z którym rozmawiałem, bo za każdym razem jest ktoś inny.
Proszę sprawdzić sobie te informacje w swoim systemie CRM i przekazać przesłane dane odpowiedniej osobie, abym uzyskał dostęp do konta.
"

Po tej wiadomości dostałem praktycznie natychmiast odpowiedź:

"This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

formularz_cc@alior.pl
host mail01.alior.pl [195.182.52.71]
SMTP error from remote mail server after RCPT TO::
550 5.7.1 Service unavailable; Client host [88.198.26.249] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=88.198.26.249; Mail from 88.198.26.249 deferred using Trend Micro Email Reputation database. Please see
"

Ja nie mam problemu, aby dowiedzieć się z tej odpowiedzi co się stało. Co ma zrobić przeciętny zjadacz chleba, który prowadzi korespondencję, ze swojego prywatnego konta mailowego i nagle dostaje KULTURALNĄ informację w obcym języku, że jego mail nie został dostarczony?

W dodatku z maila dowiadujemy się jakiego systemu używa bank do monitorowania poczty -> Trend Micro.

Tylko co ma zrobić przecięty Polak?
Wysłał maila do Alior Banku, dostał na niego odpowiedź, po czym ponownie wysłał swoją odpowiedź i zwrotnie, praktycznie natychmiast, dostaje odpowiedź po angielsku, z której niewiele rozumie.
Do tej pory mail był OK, ale teraz TRACH - nie działa.
Z kim należy teraz korespondować? Z TrendMicro? Z firmą hostującą pocztę? Z AliorBankiem?
Tego nie dowie się nikt, bez kolejnego kontaktu z infolinią i ... procedury bezpieczeństwa.

No i weź sie kliencie KULTURALNIE wyraź na temat tego banku po takiej historii....

Tym razem powiedziałem „Dość !!”. Efekt?

Spędziłem 35 min. na dyskusji z konsultantką, która jak mantrę powtarzała „musi Pan przejść procedurę bezpieczeństwa”.

Gdy pytam o informację: „Na jakiej podstawie system bankowy Alior Banku dyskwalifikuje dostęp mojemu komputerowi?”, otrzymuję odpowiedź „Nie udzielamy takich informacji”.

Kiedy pytam: „Jak to się dzieje, że korzystając z tego samego komputera, uzyskuję dostęp do 3-ch innych systemów bankowych”, odpowiedź jest tylko jedna „musi Pan przejść procedurę bezpieczeństwa”.

Nie pomaga potwierdzenie faktu, że procedurę przechodzę praktycznie co tydzień, co potwierdzają rejestry konsultanta. Jednak nie ma żadnej innej ścieżki, która pozwalała by uzyskać dostęp do moich pieniędzy.
Już teraz wiem, że po przejściu kolejnej procedury bezpieczeństa wynik calej operacji będzie znany - za kolejny 1-2 tygodnie będę kontaktował się infolinią.

Oczywiście mogę zlecić przelew telefonicznie, jednak jest to czynność dodatkowo płatna. Mogę udać się do oddziału banku i wypłacić pieniądze – ale ja chcę zrobić przelew. Taka czynność w banku - poza kanałem internetowym - także nie jest darmowa. Jeżeli chciałbym tak dysponować swoimi pieniędzmi to nie wybierałbym banku z bankowością internetową.

Złożyłem reklamację, w której żądam przekazania szczegółowej informacji technicznej, która zdefiniuje powód odrzucania moich urządzeń komputerowych.
W ciągu 30-dni mam dostać odpowiedź. Spodziewam się „kulturalnej odmowy”.

Co isottne, wciąż nie mam dostęu do własnych pieniędzy !!!

Podsumowanie
Nie wiem co w briefie marketingowym opisała agencja marketingowa tworząc hasło „Wyższa kultura bankowości” dla Alior Banku.
W praktyce przekonałem się o jednym: „bank wie lepiej, ale nie powie – i co nam zrobisz?”.
Trwa ładowanie komentarzy...