2016.02.04

Nie daj się okraść w internecie

Bankowość elektroniczna to znak naszych czasów – korzystanie z niej jest wygodne i szybkie, oszczędza nasz czas i pieniądze. Niestety, rosnąca popularność e-bankowości niesie ze sobą również wiele zagrożeń, wynikających z jednej strony ze wzmożonej aktywności przestępców na tym polu, z drugiej zaś z nieznajomości lub lekceważenia przez internautów podstawowych zasad bezpieczeństwa.

Nie daj się okraść w internecie. Fot. shutterstock.com
Fot. shutterstock.com

Jeszcze dwie dekady temu hakerzy nie stanowili zbyt poważnego zagrożenia: wywodzili się głównie z grona ciekawskich nastolatków i pasjonatów. Obecnie większość cyberzłodziei to kryminaliści nastawieni na duże zyski. Są wyposażeni w doskonałe narzędzia i zatrudniają świetnych fachowców. Efekty? Liczba ataków sukcesywnie rośnie. W „darknecie”, czyli czarnej stronie internetu, funkcjonuje swego rodzaju giełda, na której spotykają się zleceniodawcy, pośrednicy i wreszcie wykonawcy nielegalnych zleceń. Wygląda to jak dobrze funkcjonująca firma, dysponująca fachowcami wszelakiej specjalności.

Jak działają cyberprzestępcy?

W arsenale najbardziej niebezpiecznych metod stosowanych przez oszustów znajduje się m.in. infekowanie komputerów użytkowników złośliwym oprogramowaniem. W 2014 roku pojawiło się prawie 6 mln nowych wirusów. Działanie oprogramowania masowo wręcz produkowanego przez cyberprzestępców jest różnorakie – może ono niszczyć lub uszkadzać dane, powodować zakłócenia w działaniu komputera lub telefonu, zmieniać ustawienia, ale również szpiegować wszelkie działania wykonywane przez użytkownika i zapisywać każde wciśnięcie klawisza na jego klawiaturze (a więc także loginy, hasła, kody autoryzacyjne).

Z danych CERT Polska wynika, że każdej doby w Polsce infekowanych jest 280 tys. komputerów. Poziom strat w wyniku cyberataków na całym świecie w 2013 r. szacowany jest pomiędzy 375 a 575 mld dolarów. Skala zjawiska jest więc ogromna i w najbliższej przyszłości nie będzie malała. Nie ma jednak wątpliwości, że hakerzy wciąż będą prowadzili ataki z wykorzystaniem tzw. inżynierii społecznej. Pozyskują poufne dane, manipulując odbiorcą i nakłaniając go do ujawnienia informacji lub wykonania czynności, których w normalnych warunkach by nie wykonał. To jeden z najstarszych sposobów – złodzieje podszywają się pod osoby lub instytucje, którym ufa ofiara (kontrahentów, instytucje publiczne, znane firmy) i w ten sposób wyłudzają dane lub skłaniają ludzi do skierowania płatności na swoje konto. Także spam oraz phishing, czyli wykorzystywanie fałszywych stron www podobnych do oryginałów, wciąż jest popularne i generuje spory dochód cyberprzestępców.

Na co uważać?

Jednym z niebezpieczeństw są trojany bankowe, projektowane przez przestępców z myślą o przejmowaniu poufnych danych klientów banków (loginów, haseł dostępu, kodów autoryzacyjnych) i wykorzystywaniu ich do kradzieży środków z ich kont. Trojany potrafią m.in.: podmienić stronę bankową na fałszywą, dodać do strony dodatkowe pola i treści, wystawić użytkownikowi fałszywy komunikat, np. z prośbą o podanie kodu autoryzacyjnego, zmienić „w locie” numer rachunku, na który przelew jest wykonywany, podmienić kwotę przelewu, a po wszystkim również zafałszować historię rachunku przeglądaną na zainfekowanym komputerze – wszystko po to, aby użytkownik jak najdłużej nie zorientował się, że został okradziony.

Ofiarą powyższych działań przestępców może paść każdy z nas: nie tylko jako właściciel rachunku prywatnego i środków na nim zgromadzonych, ale także jako pracownik odpowiedzialny za finanse swojego pracodawcy lub własnej firmy.

Jak się bronić przed internetowymi złodziejami?

Koniecznie zadbajmy o odpowiednie zabezpieczenie komputerów (a także tabletów, smartfonów, itp.). Korzystajmy wyłącznie z oprogramowania pochodzącego z legalnych źródeł i aktualizujmy je zgodnie z zaleceniami producentów. Bardzo ważne jest również posiadanie programów antyspamowych, antywirusowych i bieżące aktualizowanie bazy wirusów.

W przypadku firm kolejnym krokiem – po zakupie i instalacji oprogramowania chroniącego oraz zapewnieniu nadzoru specjalisty IT nad siecią informatyczną – powinno być podnoszenie świadomości pracowników na temat zagrożeń w sieci oraz sposobów uchronienia się przed nimi.

Postarajmy się, aby stosowanie zasad bezpieczeństwa jak najszybciej weszło nam w krew. Przestępcy czekają bowiem na to, że w pośpiechu przeoczymy nietypowe zachowanie naszego komputera, zlekceważymy komunikat na stronie banku, nie sprawdzimy treści SMS-a autoryzacyjnego. Za tę jedną chwilę nieuwagi można jednak drogo zapłacić: przejęciem przez osoby nieupoważnione haseł, poufnych danych, a nawet dostępu do konta bankowego.

Bankowiki wyjaśnia:

  • Nie ufaj załącznikom i linkom

    Uważaj na załączniki do wiadomości e-mail, w których przestępcy – często podszywając się pod powszechnie znane firmy – informują np. o konieczności dokonania płatności lub o oczekującej przesyłce. Nie otwieraj ich. Jeśli natomiast zdarzy się, że mimo wszystko otworzysz taki załącznik, jak najszybciej poproś o pomoc specjalistę – w przypadku komputera firmowego zgłoś ten fakt informatykom w Twojej firmie.

    Zwróć szczególną uwagę na wiadomości od kontrahentów z prośbą o zmianę numeru rachunku do dokonywania płatności. Upewnij się, czy e-mail bądź pismo zostały wysłane z właściwego adresu, dobrą praktyką będzie nawiązanie kontaktu telefonicznego z kontrahentem w celu potwierdzenia zmiany.

    Dokładnie sprawdzaj dane transakcji!

    Zawsze sprawdzaj przed zleceniem przelewu, czy wprowadzone dane są poprawne. Jeżeli korzystasz z narzędzia autoryzacyjnego „Kody SMS” przeczytaj uważnie treść wiadomości. Upewnij się, że rodzaj dyspozycji i dane transakcji w SMS-ie zgadzają się z tymi, które widzisz na ekranie. Otrzymanie SMS-a z kodem autoryzacyjnym w przypadku, gdy nie zlecałeś żadnego przelewu, powinno wzbudzić Twój niepokój.

    Jeśli jesteś osobą, która dokonuje autoryzacji operacji zlecanych z rachunków firmy, zawsze weryfikuj przelewy, które autoryzujesz, sprawdzaj, czy liczba transakcji, ich kwoty, a także numery rachunków odbiorców są zgodne z żądanymi.

    Uważaj, gdzie podajesz kody autoryzacyjne!

    Pamiętaj, że kody jednorazowe – z karty kodów, SMS czy z tokena – służą wyłącznie do autoryzacji zlecanych w serwisie dyspozycji, np. zlecenia realizacji przelewu, założenia lokaty, dodania odbiorcy itp. Bank nigdy nie prosi o podanie kodu w celu potwierdzenia IP komputera, przy sprawdzaniu historii rachunku, w celu odblokowania dostępu do strony itd.

    Bank nie żąda również podawania podczas korzystania z serwisu transakcyjnego danych karty płatniczej takich jak: numer karty, data ważności, kod CVV2/CVC2.

    Jeśli zgubisz kartę kodów, token sprzętowy lub telefon, na którym zainstalowany jest token lub przychodzą kody SMS, zgłoś to niezwłocznie do banku.

    Strzeż się podejrzanych maili

    Zachowaj ostrożność i ograniczone zaufanie w stosunku do e-maili, w których znajduje się prośba o pilne zalogowanie do serwisu internetowego banku (np. aby odblokować dostęp) poprzez skorzystanie z umieszczonego w nich linku. Nie odpowiadaj na tego typu e-maile, nie korzystaj z podanego linku i nie udostępniaj danych osobowych, loginu i haseł do konta, kodów jednorazowych z narzędzia autoryzacyjnego, numeru telefonu komórkowego, danych dotyczących karty płatniczej, itp.

    Nie instaluj nic pochopnie

    Bank nigdy nie poprosi Cię również o zainstalowanie dodatkowych zabezpieczeń w postaci np. certyfikatu e-security, aplikacji antywirusowej lub innego dodatkowego oprogramowania na komputerze bądź telefonie. Jeśli zostaniesz poproszony o pobranie takiego oprogramowania, skontaktuj się z bankiem – to najprawdopodobniej próba oszustwa.

Każda nietypowa sytuacja zauważona podczas korzystania z serwisu internetowego Banku: podejrzany wygląd strony, dziwny adres, dodatkowe pola, prośby o podanie kodów autoryzacyjnych, komunikaty, które pojawiają się po raz pierwszy, powinna obudzić Twoją czujność – skontaktuj się z Infolinią lub pracownikiem dowolnego oddziału PKO Banku Polskiego: zgłoś swoje zastrzeżenia i ustal, czy dana sytuacja jest normalna.

Justyna Gładecka
Ekspert PKO Banku Polskiego

  • PKO Bank Polski jako pierwszy bank w Europie rozpoczyna współpracę z firmą Microsoft w ramach programu Enterprise Customers Cyber Threat Intelligence Program (ECCTIP). Jego celem jest podnoszenie poziomu bezpieczeństwa w cyberprzestrzeni poprzez wymianę informacji dotyczących potencjalnych zagrożeń. W rezultacie podpisanego porozumienia możliwa będzie szybsza i bardziej skuteczna reakcja na niebezpieczne zdarzenia pojawiające się w sieci. Czytaj więcej.

Czytaj także:

Czy mobilne płatności zbliżeniowe HCE są bezpieczne? Tak! Wszystko co musisz wiedzieć o mobilnych płatnościach zbliżeniowych HCE

Chroń swoją prywatność – unikniesz problemów

loaderek.gifoverlay.png