Obsługa SMS-ów w przeglądarce internetowej, to proszenie się o kłopoty
Wiadomości w przeglądarce dopiero się pojawiły, ale Alior wyprzedza ataki i już ostrzega swoich klientów przed możliwymi zagrożeniami.
Niedawno z entuzjazmem witaliśmy pojawienie się Wiadomości (Android Messages) w oknie przeglądarki. Niestety teraz wypada ten entuzjazm nieco ostudzić i poprzynudzać na temat bezpieczeństwa. Eksperci przestrzegają, że to ułatwienie nie tylko dla nas, ale też dla przestępców.
Androidowcy doczekali Wiadomości w przeglądarce.
Użytkownicy Androida wreszcie doczekali się wprowadzenia swojego klienta SMS-ów do przeglądarki. Skonfigurowanie nowej usługi jest dziecinnie proste. Trzeba jedynie otworzyć aplikację na telefonie, wybrać z menu opcję Wiadomości w przeglądarce, a potem na komputerze wejść na stronę https://messages.android.com/ i zeskanować QR kod. Łączenie zajmuje to maksymalnie kilka minut i to biorąc pod uwagę chwilę na odnalezienie ukrywającego się za pustym pudełkiem po chusteczkach telefonu.
Bank ostrzega przed potencjalnymi zagrożeniami.
Alior postanowił ostrzec swoich klientów i wyjaśnić, czym może grozić korzystanie z nowego narzędzia. Bank, który przesyła jednorazowy kod autoryzacji, ma nadzieję, że użytkownik będzie musiał wyciągnąć telefon z kieszeni i przepisać przesłany SMS-em kod do okna przeglądarki. Jeśli przeczyta treść SMS-a w przeglądarce, zakładkę obok zakładki, w której otwarta jest strona banku, to sytuacja przestaje być tak bezpieczna. Weryfikacja dwustopniowa polega na tym, że nie wystarczy nas raz okraść czy zhakować i mieć sprawę z głowy. Trzeba mieć dostęp do dwóch urządzeń, przenoszenie wszystkiego do jednego miejsca pozbawia sensu tę metodę zabezpieczenia.
Konkretnie Alior uczula na instalowanie dodatkowych programów, które miałyby ułatwić pisanie i odczytywanie wiadomości albo stron, które proszą o zeskanowanie QR kodów, obiecując w zamian dostęp do SMS-ów. Dodatkowo zaleca swoim klientom, żeby nie logowali się do banku na tym samym urządzeniu, na którym odbierają SMS-y.
Alior dobrze robi. Branża bankowa od zawsze była na celowniku złodziei. Nie zdziwię się, jeśli będziemy mieć wysyp stron, programów i maili, próbujących przechwycić dane logowania oraz kody należące do mniej ostrożnych użytkowników. Wprowadzenie nowego narzędzia, z którym nikt jeszcze nie jest zaznajomiony, będzie doskonałą okazją, żeby próbować złapać klientów banków na phishing.
