Bezpieczeństwo w finansach osobistych – Część II: Bankowość internetowa

Chuck Norris podobno nagrał kiedyś internet na dyskietkę, ale dla większości z nas światowa sieć jest nie do ogarnięcia. I choć ułatwia nam życie tak bardzo, że ciężko byłoby się nam bez niej obejść, to jednak w jej zakamarkach czyhają zasadzki. Dziś zajmiemy się tymi, które zagrażają twoim oszczędnościom.

Bankowość internetowa zrewolucjonizowała nie tylko system finansowy, ale i wszystkie dziedziny życia związane z pieniędzmi, takie jak praca, prowadzenie biznesu, a przede wszystkim handel. Bez bankowości internetowej trudno wyobrazić sobie e-handel w znanej nam dziś postaci. Wyobrażacie sobie drukowanie blankietu przelewu po każdym zakupie w sklepie internetowym i pędzenie z nim do oddziału banku albo na pocztę? Albo wysyłanie w ramach zapłaty czeków zwykłą pocztą, jak robili to Amerykanie, gdy e-handel był w powijakach?

Zresztą to właśnie czeki stały się pierwszą ofiarą bankowości elektronicznej. Wymyślone w erze przedinternetowej, by wygodnie dokonywać przelewów, w Stanach do dziś stanowią bardzo ważny element systemu płatniczego. Wciąż więcej amerykańskich pracowników dostaje od pracodawcy czek, niż przelew bezpośrednio na konto. U nas to nie do pomyślenia, a bankowość internetowa i jej młodsza siostra, bankowość mobilna, wciąż wgryzają się coraz głębiej w nasze życie.

W tej chwili pierwsze banki oferują przelewy na numer telefonu, konto na Facebooku czy adres e-mail. Technicznie możliwe jest już dokonanie przelewu poprzez zetknięcie dwóch smartfonów – nadawcy i odbiorcy. Takie transakcje wciąż stanowią jedynie ułamek rynku, na którym dominują tradycyjne przelewy oraz płatności kartami płatniczymi, ale widać wyraźnie tendencję do coraz głębszej integracji elektronicznych płatności z naszym życiem oraz maksymalnego przyspieszania i upraszczania wszystkich związanych z tym czynności.

Dla banków to oczywiście sama korzyść, bo większy wolumen transakcji to większe przychody. Także państwo aktywnie wspiera rozwój bankowości internetowej, bo transakcje on-line łatwiej śledzić, a dzięki temu opodatkować. Jednak my, konsumenci, musimy zdawać sobie sprawę, że szybsze krążenie elektronicznych pieniędzy wystawia nas na zagrożenia nie znane dwie dekady temu, a ułatwienia dla nas często bywają również ułatwieniami dla cyberprzestępców.

W ostatnim tekście omawiałem zagrożenia płynące z posługiwania się kartami płatniczymi. Dziś skupimy się na atakach, które na nasze pieniądze mogą przeprowadzić internetowi złodzieje. Pamiętaj o dwóch podstawowych zasadach wyłuszczonych w poprzednim tekście:

Raport rynku złota 2016

 

  1. Nie ma zabezpieczeń nie do złamania, ale ich celem jest utrudnienie pracy przestępcy na tyle, by skłonić go do poszukiwania łatwiejszego celu.
  2. Najsłabszym elementem każdego systemu zabezpieczeń jest człowiek i nawet najlepsze oprogramowanie nie pomoże, jeśli sam zaprosisz złodzieja na swoje konto.

Oto podstawowe zagrożenia, które czekają nas w cyberprzestrzeni i sposoby na obronienie się przed nimi.

Phishing

Jedno z najczęstszych i najlepiej znanych zagrożeń. Dlaczego więc przestępcy wciąż posługują się tą metodą? Bo działa, a naiwni klienci banków podają w ten sposób oszustom swoje pieniądze na złotej tacy.

Phishing polega na „zarzuceniu przynęty” (stąd nazwa) w postaci spreparowanego e-maila, który wygląda jak wysłany od banku. Znajdziecie w nim właściwe logo, kolory, krój czcionki, nawet charakterystyczny dla danego działu kontaktu z klientami styl. Zgadzać się będzie nagłówek, czasem nawet adres e-mail. Z treści możecie się dowiedzieć np. że bank zmienia system informatyczny albo że na twoim koncie wykryto podejrzaną aktywność. Pomysły przestępców są niewyczerpane. Na końcu będzie znajdował się link, w który należy kliknąć, by zmienić lub potwierdzić hasło do konta.

Po kliknięciu zostaniesz przeniesiony na stronę do złudzenia przypominającą stronę prawdziwego banku. Tam wpisujesz swój numer klienta, hasło, a następnie, jeśli korzystasz z kodów jednorazowych, musisz go wpisać, by potwierdzić jakąś operację (np. „zmianę ustawień”). Co dzieje się w rzeczywistości?

Oprogramowanie loguje się na twoje konto w banku wykorzystując ujawnione przez ciebie dane. Następnie zleca przelew wszystkich środków na koncie na fikcyjne konto jakiegoś „słupa”, czyli podstawionej osoby, często bezdomnego lub w inny sposób wykluczonego społecznie. Kiedy potwierdzasz operację, przekazujesz przestępcom kod jednorazowy do potwierdzenia tego przelewu. Najczęściej nigdy już nie zobaczysz pieniędzy, a reklamacje nie zostaną uwzględnione, bo w końcu to nie zabezpieczenia banku zawiodły.

Oczywiście to tylko jeden z wariantów ataku phishingowego. Wszystkie jednak przebiegają według schematu: zarzucenie przynęty → wyłudzenie danych → kradzież pieniędzy.

Żeby się przed tym bronić, warto przestrzegać kilku zasad:

  • pamiętaj, że żaden bank nigdy nie będzie od ciebie wymagał podania hasła do konta lub innych wrażliwych danych za pomocą e-maila; traktuj każdy mail z niewiadomego źródła z linkiem do bankowości internetowej jako próbę phishingu i natychmiast kasuj; warto dodatkowo powiadomić bank, który rzekomo rozsyła taką informację
  • nigdy nie podawaj haseł jednorazowych podczas logowania
  • nigdy nie podawaj hasła do bankowości internetowej podczas rozmowy telefonicznej, zwłaszcza jeśli to konsultant banku dzwoni do ciebie; do uwierzytelniania bankowości telefonicznej służą inne dane
  • loguj się do bankowości internetowej tylko poprzez wpisywanie adresu w oknie przeglądarki lub przez bezpieczne odesłania z serwisów płatności w zaufanych sklepach internetowych
  • zmieniaj co jakiś czas hasło do bankowości internetowej; korzystaj z tego hasła tylko w tym jednym przypadku; hasło powinno składać się z wielkich i małych liter, cyfr oraz znaków specjalnych (np. MojeHaslo&69)
  • zawsze sprawdź, czy zgadza się adres internetowy serwisu oraz czy serwis posiada aktywny certyfikat szyfrujący SSL (adres zaczyna się od https:// nie http://, kłódka przy adresie witryny powinna być zielona) ssl_screen
  • jeśli korzystasz z haseł SMS sprawdź w SMS-ie, czy operacja przez ciebie wykonywana zgadza się z tym, co przesłał bank
  • w przypadku jakichkolwiek wątpliwości przerwij transakcję i skontaktuj się z bankiem, np. przez infolinię

Wirusy, trojany i inne złośliwe oprogramowanie

Złośliwe oprogramowanie na komputerze jest znacznie groźniejsze niż phishing, bo do odparcia ataków trzeba znacznie więcej ostrożności niż w tym pierwszym przypadku. Z reguły są to ataki subtelniejsze, a ich efekty dostrzegamy z opóźnieniem, gdy nie ma już szans na odwrócenie transakcji.

Złośliwe oprogramowanie może wykraść nasze dane, zmienić nasz komputer w „zombie” czyli bezwolną maszynę, dokonującą ataków, a nawet podmienić numer konta w zleceniu przelewu, łącznie z numerem, który wyświetla nam przeglądarka internetowa w bankowym potwierdzeniu.

Dobra wiadomość jest taka, że złośliwe oprogramowanie rozprzestrzenia się niemal wyłącznie automatycznie, a to oznacza, że jeśli napotka na opór, poszuka łatwiejszej ofiary. Oto kroki, które należy podjąć, by zabezpieczyć się przed większością zagrożeń:

  • zainstaluj na komputerze program antywirusowy oraz firewall i regularnie je aktualizuj; jest sporo dobrych darmowych programów, które można legalnie ściągnąć do użytku domowego
  • regularnie aktualizuj swój system operacyjny i wszystkie programy, każda aktualizacja zawiera łaty zamykające znane dziury, które wykorzystuje złośliwe oprogramowanie
  • nigdy nie instaluj programów z nieznanego źródła
  • nie korzystaj z pornografii internetowej, torrentów i serwisów z pirackimi plikami na urządzeniu, które wykorzystujesz do łączności z bankiem (a najlepiej w ogóle)
  • pamiętaj, że zainfekowany może zostać również twój tablet czy smartfon; upewnij się, że aplikacja bankowości mobilnej jest wydana przez bank
  • nigdy nie instaluj żadnych certyfikatów uwierzytelniających, banki rejestrują urządzenia mobilne w inny sposób
  • jeśli obracasz naprawdę dużymi pieniędzmi, korzystaj z komputera, na którym jest tylko system operacyjny, antywirusy i przeglądarka internetowa, nie wykorzystuj go do niczego innego
  • adres strony internetowej banku oraz numery konta wpisuj ręcznie, niektóre wirusy potrafią podmienić zawartość „Ulubionych” lub schowka Windows
  • jeśli korzystasz z haseł SMS warto zdefiniować dla nich numer, z którego nie korzystasz na co dzień; idealny będzie stary telefon typu „cegła” z kontem prepaid, któremu niestraszne wyrafinowane wirusy
  • uważnie czytaj wszystkie dane zawarte w SMS-ie potwierdzającym transakcję, zwłaszcza jej rodzaj i numer konta

Inne zagrożenia

To jeszcze nie koniec. Niestety niefrasobliwość użytkowników potrafi stworzyć zagrożenia, o jakich nie śniło się specjalistom ds. bezpieczeństwa. Tu jednak wystarczy zdrowy rozsądek:

  • nigdy nie loguj się do bankowości internetowej na obcym urządzeniu lub przez obcą sieć WiFi
  • po zakończeniu operacji wyloguj się z konta, nawet jeśli pracujesz na własnym, bezpiecznym komputerze
  • sprawdzaj daty ostatniego poprawnego i niepoprawnego logowania na konto; jeśli nie były to twoje logowania, zapewne ktoś próbował dokonać włamania
  • a przede wszystkim nigdy, przenigdy nie podawaj nikomu danych do konta i nie zapisuj ich w łatwo dostępnych miejscach

Pamiętaj, bankowość internetowa to wygodne narzędzie i mimo wszystkich zagrożeń stosunkowo bezpieczne. Większość ofiar oszustów popełniło przynajmniej kilka podstawowych błędów, o których pisałem powyżej. Jednak odrobina ostrożności i zdrowego rozsądku wystarczy, by ochronić swoje oszczędności.

Komentarze

Krzysztof Krzemień