Bezpieczeństwo w finansach osobistych – Część II: Bankowość internetowa

Chuck Norris podobno nagrał kiedyś internet na dyskietkę, ale dla większości z nas światowa sieć jest nie do ogarnięcia. I choć ułatwia nam życie tak bardzo, że ciężko byłoby się nam bez niej obejść, to jednak w jej zakamarkach czyhają zasadzki. Dziś zajmiemy się tymi, które zagrażają twoim oszczędnościom.

Bankowość internetowa zrewolucjonizowała nie tylko system finansowy, ale i wszystkie dziedziny życia związane z pieniędzmi, takie jak praca, prowadzenie biznesu, a przede wszystkim handel. Bez bankowości internetowej trudno wyobrazić sobie e-handel w znanej nam dziś postaci. Wyobrażacie sobie drukowanie blankietu przelewu po każdym zakupie w sklepie internetowym i pędzenie z nim do oddziału banku albo na pocztę? Albo wysyłanie w ramach zapłaty czeków zwykłą pocztą, jak robili to Amerykanie, gdy e-handel był w powijakach?

Zresztą to właśnie czeki stały się pierwszą ofiarą bankowości elektronicznej. Wymyślone w erze przedinternetowej, by wygodnie dokonywać przelewów, w Stanach do dziś stanowią bardzo ważny element systemu płatniczego. Wciąż więcej amerykańskich pracowników dostaje od pracodawcy czek, niż przelew bezpośrednio na konto. U nas to nie do pomyślenia, a bankowość internetowa i jej młodsza siostra, bankowość mobilna, wciąż wgryzają się coraz głębiej w nasze życie.

W tej chwili pierwsze banki oferują przelewy na numer telefonu, konto na Facebooku czy adres e-mail. Technicznie możliwe jest już dokonanie przelewu poprzez zetknięcie dwóch smartfonów – nadawcy i odbiorcy. Takie transakcje wciąż stanowią jedynie ułamek rynku, na którym dominują tradycyjne przelewy oraz płatności kartami płatniczymi, ale widać wyraźnie tendencję do coraz głębszej integracji elektronicznych płatności z naszym życiem oraz maksymalnego przyspieszania i upraszczania wszystkich związanych z tym czynności.

Dla banków to oczywiście sama korzyść, bo większy wolumen transakcji to większe przychody. Także państwo aktywnie wspiera rozwój bankowości internetowej, bo transakcje on-line łatwiej śledzić, a dzięki temu opodatkować. Jednak my, konsumenci, musimy zdawać sobie sprawę, że szybsze krążenie elektronicznych pieniędzy wystawia nas na zagrożenia nie znane dwie dekady temu, a ułatwienia dla nas często bywają również ułatwieniami dla cyberprzestępców.

W ostatnim tekście omawiałem zagrożenia płynące z posługiwania się kartami płatniczymi. Dziś skupimy się na atakach, które na nasze pieniądze mogą przeprowadzić internetowi złodzieje. Pamiętaj o dwóch podstawowych zasadach wyłuszczonych w poprzednim tekście:

  1. Nie ma zabezpieczeń nie do złamania, ale ich celem jest utrudnienie pracy przestępcy na tyle, by skłonić go do poszukiwania łatwiejszego celu.
  2. Najsłabszym elementem każdego systemu zabezpieczeń jest człowiek i nawet najlepsze oprogramowanie nie pomoże, jeśli sam zaprosisz złodzieja na swoje konto.

Oto podstawowe zagrożenia, które czekają nas w cyberprzestrzeni i sposoby na obronienie się przed nimi.

Phishing

Jedno z najczęstszych i najlepiej znanych zagrożeń. Dlaczego więc przestępcy wciąż posługują się tą metodą? Bo działa, a naiwni klienci banków podają w ten sposób oszustom swoje pieniądze na złotej tacy.

Phishing polega na „zarzuceniu przynęty” (stąd nazwa) w postaci spreparowanego e-maila, który wygląda jak wysłany od banku. Znajdziecie w nim właściwe logo, kolory, krój czcionki, nawet charakterystyczny dla danego działu kontaktu z klientami styl. Zgadzać się będzie nagłówek, czasem nawet adres e-mail. Z treści możecie się dowiedzieć np. że bank zmienia system informatyczny albo że na twoim koncie wykryto podejrzaną aktywność. Pomysły przestępców są niewyczerpane. Na końcu będzie znajdował się link, w który należy kliknąć, by zmienić lub potwierdzić hasło do konta.

Po kliknięciu zostaniesz przeniesiony na stronę do złudzenia przypominającą stronę prawdziwego banku. Tam wpisujesz swój numer klienta, hasło, a następnie, jeśli korzystasz z kodów jednorazowych, musisz go wpisać, by potwierdzić jakąś operację (np. „zmianę ustawień”). Co dzieje się w rzeczywistości?

Oprogramowanie loguje się na twoje konto w banku wykorzystując ujawnione przez ciebie dane. Następnie zleca przelew wszystkich środków na koncie na fikcyjne konto jakiegoś „słupa”, czyli podstawionej osoby, często bezdomnego lub w inny sposób wykluczonego społecznie. Kiedy potwierdzasz operację, przekazujesz przestępcom kod jednorazowy do potwierdzenia tego przelewu. Najczęściej nigdy już nie zobaczysz pieniędzy, a reklamacje nie zostaną uwzględnione, bo w końcu to nie zabezpieczenia banku zawiodły.

Oczywiście to tylko jeden z wariantów ataku phishingowego. Wszystkie jednak przebiegają według schematu: zarzucenie przynęty → wyłudzenie danych → kradzież pieniędzy.

Żeby się przed tym bronić, warto przestrzegać kilku zasad:

  • pamiętaj, że żaden bank nigdy nie będzie od ciebie wymagał podania hasła do konta lub innych wrażliwych danych za pomocą e-maila; traktuj każdy mail z niewiadomego źródła z linkiem do bankowości internetowej jako próbę phishingu i natychmiast kasuj; warto dodatkowo powiadomić bank, który rzekomo rozsyła taką informację
  • nigdy nie podawaj haseł jednorazowych podczas logowania
  • nigdy nie podawaj hasła do bankowości internetowej podczas rozmowy telefonicznej, zwłaszcza jeśli to konsultant banku dzwoni do ciebie; do uwierzytelniania bankowości telefonicznej służą inne dane
  • loguj się do bankowości internetowej tylko poprzez wpisywanie adresu w oknie przeglądarki lub przez bezpieczne odesłania z serwisów płatności w zaufanych sklepach internetowych
  • zmieniaj co jakiś czas hasło do bankowości internetowej; korzystaj z tego hasła tylko w tym jednym przypadku; hasło powinno składać się z wielkich i małych liter, cyfr oraz znaków specjalnych (np. MojeHaslo&69)
  • zawsze sprawdź, czy zgadza się adres internetowy serwisu oraz czy serwis posiada aktywny certyfikat szyfrujący SSL (adres zaczyna się od https:// nie http://, kłódka przy adresie witryny powinna być zielona) ssl_screen
  • jeśli korzystasz z haseł SMS sprawdź w SMS-ie, czy operacja przez ciebie wykonywana zgadza się z tym, co przesłał bank
  • w przypadku jakichkolwiek wątpliwości przerwij transakcję i skontaktuj się z bankiem, np. przez infolinię

Wirusy, trojany i inne złośliwe oprogramowanie

Złośliwe oprogramowanie na komputerze jest znacznie groźniejsze niż phishing, bo do odparcia ataków trzeba znacznie więcej ostrożności niż w tym pierwszym przypadku. Z reguły są to ataki subtelniejsze, a ich efekty dostrzegamy z opóźnieniem, gdy nie ma już szans na odwrócenie transakcji.

Złośliwe oprogramowanie może wykraść nasze dane, zmienić nasz komputer w „zombie” czyli bezwolną maszynę, dokonującą ataków, a nawet podmienić numer konta w zleceniu przelewu, łącznie z numerem, który wyświetla nam przeglądarka internetowa w bankowym potwierdzeniu.

Dobra wiadomość jest taka, że złośliwe oprogramowanie rozprzestrzenia się niemal wyłącznie automatycznie, a to oznacza, że jeśli napotka na opór, poszuka łatwiejszej ofiary. Oto kroki, które należy podjąć, by zabezpieczyć się przed większością zagrożeń:

  • zainstaluj na komputerze program antywirusowy oraz firewall i regularnie je aktualizuj; jest sporo dobrych darmowych programów, które można legalnie ściągnąć do użytku domowego
  • regularnie aktualizuj swój system operacyjny i wszystkie programy, każda aktualizacja zawiera łaty zamykające znane dziury, które wykorzystuje złośliwe oprogramowanie
  • nigdy nie instaluj programów z nieznanego źródła
  • nie korzystaj z pornografii internetowej, torrentów i serwisów z pirackimi plikami na urządzeniu, które wykorzystujesz do łączności z bankiem (a najlepiej w ogóle)
  • pamiętaj, że zainfekowany może zostać również twój tablet czy smartfon; upewnij się, że aplikacja bankowości mobilnej jest wydana przez bank
  • nigdy nie instaluj żadnych certyfikatów uwierzytelniających, banki rejestrują urządzenia mobilne w inny sposób
  • jeśli obracasz naprawdę dużymi pieniędzmi, korzystaj z komputera, na którym jest tylko system operacyjny, antywirusy i przeglądarka internetowa, nie wykorzystuj go do niczego innego
  • adres strony internetowej banku oraz numery konta wpisuj ręcznie, niektóre wirusy potrafią podmienić zawartość „Ulubionych” lub schowka Windows
  • jeśli korzystasz z haseł SMS warto zdefiniować dla nich numer, z którego nie korzystasz na co dzień; idealny będzie stary telefon typu „cegła” z kontem prepaid, któremu niestraszne wyrafinowane wirusy
  • uważnie czytaj wszystkie dane zawarte w SMS-ie potwierdzającym transakcję, zwłaszcza jej rodzaj i numer konta

Inne zagrożenia

To jeszcze nie koniec. Niestety niefrasobliwość użytkowników potrafi stworzyć zagrożenia, o jakich nie śniło się specjalistom ds. bezpieczeństwa. Tu jednak wystarczy zdrowy rozsądek:

  • nigdy nie loguj się do bankowości internetowej na obcym urządzeniu lub przez obcą sieć WiFi
  • po zakończeniu operacji wyloguj się z konta, nawet jeśli pracujesz na własnym, bezpiecznym komputerze
  • sprawdzaj daty ostatniego poprawnego i niepoprawnego logowania na konto; jeśli nie były to twoje logowania, zapewne ktoś próbował dokonać włamania
  • a przede wszystkim nigdy, przenigdy nie podawaj nikomu danych do konta i nie zapisuj ich w łatwo dostępnych miejscach

Pamiętaj, bankowość internetowa to wygodne narzędzie i mimo wszystkich zagrożeń stosunkowo bezpieczne. Większość ofiar oszustów popełniło przynajmniej kilka podstawowych błędów, o których pisałem powyżej. Jednak odrobina ostrożności i zdrowego rozsądku wystarczy, by ochronić swoje oszczędności.

Komentarze

Krzysztof Krzemień