700 zł od Santandera800 zł od mBanku1070 zł od BNP Paribas1000 zł za kartę Citi650 zł od Millennium500 zł od ING

12.06.2015

Czy Twoje pieniądze są w banku bezpieczne? 12 przykazań bezpiecznego korzystania z bankowości internetowej

W sieci zawrzało.  Idzie jednak o bezpieczeństwo naszych danych i bezpieczeństwo pieniędzy, które powierzamy bankowi.

Zaczęło się od doniesień jednego z serwisów zajmujących się tematyką bezpieczeństwa w Internecie. Haker miał złamać zabezpieczenie jednego z banków, skraść dane i hasła klientów oraz ingerować w transakcje. Postawa banku: bagatelizowanie hakera, jak i próba blokowania publikacji, ale przede wszystkim słabość zabezpieczeń sprawiły, że artykuł zyskał rozgłos.

W pierwotnym wpisie, autor Zaufanej Trzeciej Strony nie podawał nazwy banku, którego systemy miały być zaatakowane przez hakera. Śledztwo Internatów szybko wskazało na Plus Bank. O sprawie zaczęły pisać inne blogi, temat pochwyciły portale informacyjne. Bank zareagował ogólnikowym oświadczeniem. Haker zażądał pieniędzy za milczenie i grozi ujawnieniem danych. Najbliższe dni przyniosą zapewne rozwój sprawy.

Bez wątpienia jest to jednak sprawa bezprecedensowa. Dotąd informowano nas o wykradanych pieniądzach z banków, gdzie powodem było wyłudzenie danych, wynikające z braku ostrożności klienta. Przypadek Plus Banku może wskazywać na ewentualną słabość zabezpieczeń na które my, jako klienci nie mamy już wpływu. Jeśli jest faktem powinien wstrząsnąć bankowcami, a konsekwencje wyciągnięte przez organy nadzoru wobec winowajcy - mam nadzieję - będą przykładne.

Niemniej w tych okolicznościach warto również samemu przyjrzeć się swemu podejściu do bezpieczeństwa.

1) Sprawdź adres strony internetowej serwisu bankowości internetowej


Adres strony internetowej swego banku zapamiętaj. To na niej znajdziesz zakładkę do logowań. Unikaj wyszukiwarek internetowych w celu odnalezienia strony logowania do systemu bankowości internetowej. Może się zdarzyć, że wyniki wyszukiwania będą zmanipulowane. O znalezieniu się na właściwej stronie internetowej informuje nas pasek adresu, na którym powinna być widoczna informacja o zweryfikowaniu. Adres musi zaczynać się od "https://". Widoczny powinien być również symbol zamkniętej kłódki. Tak to wygląda na przykładzie strony PKO BP:


Przestępcy próbując wyłudzić dane zazwyczaj chcą wykorzystać naszą nieuwagę. W adresach stosują więc literówki, które mogą nam łatwo umknąć, gdy litera "m" podmieniona jest na "n" albo gdy w adresie znajduje się dodatkowo myślnik lub kropka.

2) Aktualizuj system i przeglądarkę internetową


Hakerzy wyszukują luk w oprogramowaniu. To przez nie najłatwiej się włamać. Ale luki odkrywają nie tylko hakerzy, ale również użytkownicy i programiści. Po to są właśnie aktualizacje oprogramowań i przeglądarek, by dotychczasowe wersje nie tylko usprawniać, ale i zabezpieczać. Dobra i aktualna przeglądarka powinna ostrzegać przed stronami, które są podejrzane.

3) Korzystaj, nie wyłączaj i aktualizuj program antywirusowy


Dobry program antywirusowy to drogi program? Niekoniecznie. Można posiadać dobry, darmowy program. Należy jednak dawać mu możliwość sprawnego działania. Nie wyłączaj więc aktualizacji programu. Dawaj mu również możliwość skanowania, by na bieżąco wykrywał zagrożenia. Program antywirusowy należy również pobrać z zaufanej strony - najlepiej producenta.

4) Loguj się na własnym komputerze


Banki przekonują nas, że dzięki bankowości internetowej z usług banku możemy korzystać 24 godziny na dobę z każdego miejsca na ziemi. Z tym warto jednak uważać. Nie loguj się do swego konta z urządzeń, które mogą być niedostatecznie zabezpieczone: komputera w kafejce internetowej, w pracy czy w hotelowym lobby podczas urlopu. Nie rób tego również na swoim komputerze, ale korzystającym z sieci Wi-Fi w restauracji, centrum handlowym czy w hotelu.

Najlepiej logować się na własnym urządzeniu. Zyskasz dzięki temu jeszcze jeden sposób potwierdzający Twe bezpieczeństwo. W bankowości internetowej często można znaleźć rejestr zdarzeń: wskazywane są tam czynności, takie jak czas logowania (zarówno udane, jak i nieudane próby) oraz IP urządzenia z którego to nastąpiło. Jeśli znajdziesz tam inne IP lub nieudane próby logowań, będzie to sygnał, że zdarzyło się coś niepożądanego. Tak rejestr zdarzeń wygląda w BZ WBK:


5) Zapamiętaj login, ustaw silne hasło i zmieniaj je


Loginy 8-, a nawet 10-cyfrowe. Ogromna ilość haseł, PINów, numerów. Jak to zapamiętać? Wytrawni bankobiorcy wiedzą, że - posiadając wiele kont - jest to bardzo trudne.

Co zrobić z loginami? Na pewno nie zapisuj ich na komputerze, w chmurze lub na poczcie elektronicznej. Bezpieczniej będzie, gdy zapiszesz je na kartce - wówczas wirtualny przestępca do niej nie zajrzy. Przeglądarki internetowe często posiadają opcję zapamiętywania danych do logowania (w tym hasła) - gdy przeglądarka pyta Cię o zapamiętanie tych danych wybierz opcję "Nigdy dla tej witryny".

Hasło ustal długie, w miarę możliwości skomplikowane - stosuj więc małe oraz wielkie litery, cyfry lub/i dopuszczalne znaki specjalne. Unikaj również stosowania takiego samego hasła do logowania we wszystkich bankach. Wydaje Ci się to nierealne by oprócz wszystkich loginów zapamiętywać również różne hasła? Znajdź na to sposób. Do stałego trzonu hasła możesz dodawać dodatkową literę według Tobie znanej zasady. Może to być np. druga litera nazwy banku. I tak nie będziesz się już logować za pomocą takiego samego hasła: Haslo_123, ale w PKO BP będzie to Haslo_123k, a w BZ WBK: Haslo_123z. Znajdź swój system - dla Ciebie stanie się on oczywisty, dla włamywacza już niekoniecznie.

Co jakiś czas systemy bankowości internetowej przypominają, a niektóre wręcz wymuszają zmianie hasła. Korzystaj z tej opcji. Bank informuje wtedy również o tym jak powinno wyglądać hasło i kiedy jest ono słabe, a kiedy mocne. Tak wygląda to na przykładzie BZ WBK:


Bezapelacyjnie unikaj ustalania takich samych haseł do bankowości internetowej, jak do swej skrzynki mailowej, serwisu społecznościowego czy logowania na komputer w pracy.

6) Nie podawaj zbyt wiele (hasło maskowane/kody potwierdzające transakcję)


Hasło maskowane, czyli podawanie wyłącznie wybranych znaków z hasła czasem bywa uciążliwe, bo trzeba odliczać którą literę lub cyfrę wpisać, ale hasło takie ma zapobiegać wyłudzeniom całego hasła. Choć i to nie jest rozwiązanie idealne. Na fałszywych stronach do logowania wykorzystywany jest mechanizm połowicznego maskowania. Za pierwszym razem system prosi o podanie hasła w konfiguracji _X_X__X, po czym informuje o błędzie i żąda podania X_X_XX_.

Wyłudzenie danych do logowania lub wykonania transakcji często odbywa się też prośbą o podanie kilku kodów weryfikacyjnych (zazwyczaj w przypadku korzystania z kart z kodami), które przestępcy mają pomóc w wykonaniu transakcji.

7) Uważaj na maile i fałszywe strony




Podany w mailu adres www.ingbank.pl jest nawet adresem prawidłowym. Ale de facto jest on podlinkowany do innej strony przez co kliknięcie w niego powoduje przekierowanie do fałszywej witryny. Strzeż się przed klikaniem w linki w takich wiadomościach. Banki nie rozsyłają tego typu maili. A jeśli dochodzi do zablokowania konta zazwyczaj jego odblokowanie nie jest możliwe przez Internet - właśnie ze względów bezpieczeństwa wymagana jest wówczas wizyta w placówce lub kontakt z infolinią banku.

Takie maile, jak powyższy otrzymywałem nie tylko od "ING Banku Śląskiego", ale i od "mBanku" i od "PKO BP". Nazwy celowo piszę w cudzysłowie, bo nadawcami wiadomości nie były banki. Skąd jednak przestępcy próbujący wyłudzić moje dane wiedzieli, że akurat ten adres e-mail mam podany w danym banku? Ano najprawdopodobniej nie wiedzieli. Zdarzyło się, że w moim przypadku trafili, ale tego typu mailing wysyłany jest masowo. Dotyczy on zazwyczaj największych banków (PKO BP, Pekao SA, BZ WBK, mBank, ING Bank Śląski), bo to one mają największe rzesze klientów, a tym samym rośnie prawdopodobieństwo trafienia do osób, które mogą zareagować na mail.

8) Sprawdzaj kopiowany numer rachunku 


Może zdarzyć się, że na Twym komputerze lub innym urządzeniu zainstalował się trojan podmieniający numer rachunku na który chcesz wykonać przelew. Do podmiany dochodzi, gdy kopiujesz numer z faktury lub innego miejsca i wklejasz w systemie bankowości internetowej w polu dyspozycji przelewu. Niektóre banki zastosowały już mechanizm zabezpieczający - po wklejeniu numeru rachunku żądają odręcznego wpisania wybranych cyfr. Ma to wzbudzać naszą czujność i wymuszać ostrożność. Tak to wygląda na przykładzie ING Banku Śląskiego:


9) Sprawdzaj dane w SMSie z hasłem


Metodą podpisu dyspozycji przelewu czy innej transakcji w bankowości internetowej jest hasło, które bank przesyła na numer telefonu dedykowany weryfikacji. Warto w tym momencie porównać dane z ostatniego etapu z danymi w SMSie. Zazwyczaj jest to numer rachunku, tytuł przelewu, a często też dane odbiorcy (imię, nazwisko, rzadziej adres). To dodatkowy sposób na upewnienie, że kod uwierzytelni Twą transakcję, a nie inną odbywającą się poza Twą wiedzą.



10) Nie trzymaj wszystkich pieniędzy na jednym koncie


Stara zasada mówi o nienoszeniu wszystkich jajek w jednym koszyku. Ludowe mądrości przekładają się też na inne aspekty życia. Wszystkich oszczędności nie trzymaj na jednym koncie. Załóż lokaty (to zawsze dodatkowe transakcje, które przy niepożądanym dostępie do bankowości internetowej przestępca musiałby wykonać i uwierzytelnić). Najlepiej pieniądze trzymaj jednak podzielone na różnych rachunkach w różnych bankach - to zawsze dywersyfikacja ryzyka.

11) Limituj do własnych potrzeb


Część banków daje możliwość samodzielnego ustalenia limitów na transakcje. Dotyczą one zarówno kart płatniczych, ale i transakcji w elektronicznych kanałach dostępu. Dzięki temu możesz nadać różny pułap maksymalnych kwot jednorazowych transakcji lub dziennej sumy wszystkich przelewów. To zmniejszy ryzyko utraty wszystkich środków, gdy wiesz, że nigdy całości nie przelejesz. Limity można ustanawiać odrębnie dla bankowości internetowej, mobilnej i telefonicznej.

Ustalane limity maksymalne mogą być różne. Często "the sky's the limit", ale na przykład w Banku Millennium za pomocą bankowości internetowej największą kwotą (lub sumą) transakcji jaką możesz wykonać w ciągu dnia jest 50 000 zł.

12) Ostrzegaj innych przed tym co Tobie niemiłe


Jeśli dostaniesz podejrzany mail, trafisz na fałszywą stronę lub - co już najgorsze - zostaniesz ofiarą oszustwa koniecznie zgłoś to do banku. Wystarczy telefon lub mail. Odpowiedzialny bank zareaguje na tą wiadomość - zawnioskuje o zablokowanie fałszywej witryny, jak i rozbuduje mechanizmy zabezpieczające. Na szerszą skalę będzie mógł też ostrzec swych klientów o aktywności przestępców i stosowanych przez nich sposobach.


Źródło grafiki nr 1: freedigitalphotos.net

16 komentarzy:

  1. Długi wpis, ale na pewno się przyda. Przynajmniej zmienię hasła, bo miałem te same.

    OdpowiedzUsuń
  2. Z tym Plus Bankiem to historia zatrważająca. A niedawno mieli lokatę 3,5% i już miałem zakładać, ale ofertę wycofali po dwóch dniach. Teraz nie żałuję, cieszę się, że nic u nich nie otworzyłem. Swoją drogą ciekawe ilu klientów wycofuje teraz swe środki z Plus Banku?

    OdpowiedzUsuń
    Odpowiedzi
    1. Nic mi nie mów. Jestem takim klientem. Zerwałem lokatę i jestem 3 tygodnie w plecy. Ale wolę nie ryzykować 50k.

      Usuń
  3. ciekawe, że na innym blogu finansowym wczoraj pojawił się niemal identyczny artykuł...

    OdpowiedzUsuń
  4. Gdzie w BZ WBK można znaleźć taki rejestr zdarzeń??

    OdpowiedzUsuń
    Odpowiedzi
    1. ustawienia => rejestr zdarzeń (po lewej, przedostatnia opcja)

      Usuń
  5. dane z plusbanku wyciekły! http://zaufanatrzeciastrona.pl/post/wlamywacz-spelnil-grozbe-i-publikuje-dane-klientow-plus-banku/

    OdpowiedzUsuń
    Odpowiedzi
    1. Jednak to taki wyciek kontrolowany, wyłącznie dla wtajemniczonych w TOR. Ale może znajdzie się jakiś 100noga który puści to dalej.

      Usuń
  6. A ja mam pytanie własnie o bezpieczeństwo płatności kartą w internecie. Chciałem zapłacić kartą za ubezpieczenie OC w link4 i konsultant powiedział że można kartą zapłacić ja się pytam w jaki sposób a konsultant że podaje dane karty i on wprowadza i płaci. Ale czy to bezpieczne takie podawanie numeru karty daty jej ważności i nr cvv przez telefon ? Czy ktoś tego nie wykorzysta w przyszłości zwłaszcza że chciałbym zapłacić z konta BPH gdzie takie transakcje nie są zabezpieczane dodatkowym kodem sms.
    Płacił ktoś w ten sposób ? Czy to bezpieczne jest ?

    OdpowiedzUsuń
  7. absolutnie nie jest to bezpieczne! podając nr cvv tak jakbys upubliczniał hasło

    OdpowiedzUsuń
  8. No niebezpieczne aczkolwiek w USA to normalna praktyka płatności za ubezpieczenia, bilety lotnicze, hotele itp.

    OdpowiedzUsuń
  9. W czwartek właśnie po zalogowaniu do bankowości elektronicznej BZWBK chciało wymusić na mnie zmianę hasła (nie dało się nic zrobić poza zmianą hasła lub wylogowaniem się). Wystraszony dzwoniłem na infolinię czy przypadkiem to nie jest jakaś podstawiona strona przez cyberprzestępców. Okazało się, że WBK obowiązkowo wymaga zmiany hasła co rok ;)

    OdpowiedzUsuń
  10. Przydatne wskazówki. Hasło do konta internetowego zmieniać najlepiej co miesiąc bo wtedy zyskujemy większość pewność i bezpieczeństwo swoich funduszy.

    OdpowiedzUsuń
  11. dzieki za te wszystkie info,śpiesze pozmieniac hasla,nigdy za wiele ostrożnosci a,szczególnie przy pieniądzach.Pozdrawiam.,j

    OdpowiedzUsuń
  12. Najbezpieczniej jest zawsze w sejfie :)

    OdpowiedzUsuń