Jak wygląda kod SMS, który otrzymam z Banku?
Kod SMS zawiera w swojej treści informację na temat wykonywanej dyspozycji, kod jednorazowy, datę i czas.
Przykładowa treść SMS-a:
ING Bank. Sprawdz KWOTE i RACHUNEK. Kod autoryzacyjny dla przelewu z rachunku 79 XXX 981 na kwote 533,00 to: 12345678**RRRR.MM.DD**gg:mm:ss.
UWAGA! Kod należy wpisać bez gwiazdek.
Standardowo kod SMS wysyłany jest przez Bank z numeru z tzw. nadpisem alfanumerycznym czyli "ING".W przypadku operatorów zagranicznej sieci telefonii komórkowej, którzy nie mają możliwości technicznych przekazywania SMS z nadpisem alfanumerycznym (czyli „ING”) lub traktują takie SMS-y jak SPAM - Bank wysyła kod SMS z numeru bez nadpisu +48 661 001 206 lub +48 503 498 127.
Pamiętaj, aby dokładnie porównać czy dane otrzymane wraz z kodem autoryzacyjnym są zgodne z wykonywaną dyspozycją (w przypadku przelewu – numer rachunku, kwota).
W przypadku dyspozycji związanych z numerem rachunku (np. zapisanie przelewu wzorcowego) lub z kartami (np. aktywacja karty) w treści SMS-a nie zostanie podany pełny numer rachunku ani karty. Prezentacja numeru rachunku: 12 XXX 123.
Prezentacja numeru karty: 1234 XXXX XXXX 1234.
Ekran wygląda następująco:
Uwaga! Jeżeli Bank zakwalifikuje transakcję jako „niestandardową”, może wymagać podania drugiego kodu autoryzacyjnego (do tej samej transakcji).
Bank wdrożył nową metodę autoryzacji transakcji za pomocą jednorazowych kodów, ponieważ jest ona lepsza od metody opartej na haśle do klucza. Jej przewaga wynika z poniższych faktów:
-
Użycie kodów autoryzacyjnych zapewnia wysoki poziom bezpieczeństwa transakcji internetowych.
-
Kodem autoryzacyjnym można potwierdzić wyłącznie konkretną, zleconą dyspozycję.
-
Dla każdej dyspozycji, która wymaga autoryzacji, Bank generuje nowy kod autoryzacyjny.
-
Dostarczony przez Bank kod autoryzacyjny zawiera informację jakiej dyspozycji dotyczy, co umożliwia Ci sprawdzenie jaka dyspozycja zostanie wykonana po jej zatwierdzeniu kodem autoryzacyjnym.
Uwaga! Zawsze sprawdzaj czy dostarczony kod autoryzacyjny dotyczy danej, zleconej przez Ciebie dyspozycji.
-
Kod autoryzacyjny jest ważny przez krótki czas. Czas ten wystarczy jednak do odebrania kodu i zatwierdzenia dyspozycji (30 minut liczonych od momentu udostępnienia kodu autoryzacyjnego przez Bank).
-
Systemy oparte o hasła jednorazowe są bardziej odporne na nowe zagrożenia bankowości internetowej niż systemy oparte o hasła stałe.
-
Wprowadzenie nowej metody poprzedziła szczegółowa analiza zagrożeń usług bankowości internetowej, mechanizmów zabezpieczeń oraz ich odporności na te zagrożenia.
O tym, czy dyspozycja wymaga autoryzacji kodem, decyduje Bank. Moduł oceny poziomu ryzyka składanej dyspozycji klasyfikuje każdą transakcję. Ze względu na bezpieczeństwo transakcji internetowych realizowanych przez ING BankOnLine, pełny algorytm, według którego Bank decyduje czy dana dyspozycja wymaga autoryzacji, jest poufny. Niepodawanie algorytmu wybierania transakcji do autoryzacji jest dodatkową zaletą rozwiązania.
W związku z powyższym powinieneś być zawsze przygotowany do autoryzacji dyspozycji za pomocą kodu autoryzacyjnego (możesz otrzymać kod w formie SMS na wskazany wcześniej przez Ciebie numer telefonu komórkowego lub za pośrednictwem serwisu telefonicznego HaloŚląski).
Tak, jeżeli został zdefiniowany zarówno numer telefonu, jak i numer Klienta HaloSląski. W każdym przypadku, po wygenerowaniu żądania wymagającego autoryzacji jednorazowym kodem, kod jest wysyłany na numer telefonu komórkowego i jednocześnie jest dostępny w serwisie HaloSląski. Wygenerowanie kolejnego kodu unieważnia poprzedni, a w serwisie HaloŚląski jest zawsze dostępny tylko ostatni, aktywny kod.
Autoryzacja dyspozycji jest niezależna od miejsca pobytu. Możesz otrzymać kod autoryzacyjny korzystając z telefonu komórkowego polskiego lub zagranicznego operatora bądź też dzwoniąc na numer serwisu HaloŚląski.
W takim przypadku transakcję możesz zautoryzować za pośrednictwem serwisu HaloŚląski, pod warunkiem, że został wcześniej zdefiniowany aktywny numer Klienta HaloŚląski do pozyskiwania kodów jednorazowych.
Powodów jest kilka. Najważniejszy to kwestia bezpieczeństwa transakcji. Kradzież zdrapki lub wyłudzenie hasła jednorazowego technikami phishingu daje możliwość wykonania dowolnej transakcji w Twoim imieniu. W przypadku kodu SMS sytuacja jest zupełnie inna. Kod związany jest z konkretną transakcją i nie może służyć do zatwierdzenia żadnej innej. Wraz z kodem SMS otrzymujesz informacje o szczegółach wykonywanej transakcji, zatem dokładnie wiesz, co zatwierdzasz. Możesz porównać czy dane wyświetlane na monitorze odpowiadają temu, co rzeczywiście dotarło do Banku.
Równie ważna jest wygoda. Telefon komórkowy masz zawsze przy sobie. Nie musisz pamiętać o zabraniu listy haseł, nie musisz nosić żadnych dodatkowych urządzeń.
Próby wyłudzenia pieniędzy z kont Klientów są realizowane zdalnie. Przestępca internetowy nie ma bezpośredniego kontaktu ze swoją ofiarą. Często znajduje się w zupełnie innym mieście, a nawet kraju. Ryzyko jednoczesnego przejęcia hasła dostępu i włączonego telefonu komórkowego jest niewielkie. W przypadku kradzieży telefonu powinieneś zgłosić ten fakt do Banku.
Dowolność doboru przez Klienta transakcji, które miałyby być autoryzowane kodem SMS, nie gwarantowałaby bezpieczeństwa tych transakcji. Niektórzy Klienci mogliby całkowicie zrezygnować z kodów SMS i nie potwierdzać żadnych dyspozycji.
Rozwiązanie zaimplementowane przez Bank zapewnia zarówno bezpieczeństwo, jak i wygodę. Do ogólnej zasady "SMS do każdej transakcji" dołożono drugą, związaną z profilowaniem zachowań Klienta i dynamicznym wyborem transakcji małego ryzyka. Tylko takie transakcje nie wymagają zatwierdzania dodatkowym kodem.
Bank chce zabezpieczyć wszystkich swoich Klientów przed możliwością nadużyć. Nowatorskie jeszcze niedawno mechanizmy bezpieczeństwa dezaktualizują się. Stale rośnie lista zagrożeń internetowych, zmieniają się metody, jakimi posługują się przestępcy. Bank regularnie dokonuje analizy zagrożeń i aktualizuje systemy zabezpieczeń. Kody SMS-owe są w tej chwili, w ocenie Banku, jednym z najbezpieczniejszych sposobów potwierdzania transakcji. Kod otrzymujesz zupełnie niezależnym od internetu kanałem komunikacji. Jesteś w stanie zweryfikować na podstawie zamieszczonych w wiadomości SMS szczegółów płatności, czy to, co otrzymał Bank, jest tym, co zleciłeś.
Ogólna zasada działania algorytmu nie jest poufna. Bank profiluje zachowanie Klienta i bazując na kluczowych parametrach transakcji (numer konta, kwota, rodzaj dyspozycji, historia transakcji, suma kwot kolejnych dyspozycji, itd.) ustala, czy realizowana transakcja należy do grupy transakcji małego ryzyka.
Szczegóły algorytmu nie są udostępniane, aby przy okazji nie przekazywać wiedzy przestępcom internetowym. Co ważne, reguły systemu nie są ustalone raz na zawsze – są dostosowywane do nowych typów zagrożeń.
Dla Twojej wygody. Bezpieczeństwo nie idzie w parze z wygodą i prostotą. Staraliśmy się znaleźć rozwiązanie zarówno bezpieczne, jak i wygodne. Transakcje zaliczone do grupy małego ryzyka nie wymagają potwierdzeń.
Ochronę wiadomości SMS gwarantują umowy o zachowaniu poufności z operatorami telekomunikacyjnymi. Transmisja na drodze pomiędzy stacją bazową, a Twoją komórką jest kodowana. Dodatkowo, aby zapobiec nadużyciom, Bank ustalił krótki czas ważności kodu SMS. Kod ważny jest jedynie przez 30 minut.
Metoda autoryzacji za pomocą kodów jednorazowych jest lepsza nawet w przypadku, gdy nie dostajesz kodów SMS. Decyzja czy dyspozycja wymaga potwierdzenia kodem SMS jest poprzedzona analizą każdej realizowanej dyspozycji. Tylko dyspozycje małego ryzyka nie wymagają kodów. Wszystkie pozostałe wymagają potwierdzeń.
Dyspozycję odblokowania dostępu do systemu ING BankOnLine możesz złożyć:
Klienci indywidualni