Bankowość elektroniczna jest wygodna, bo umożliwia wykonywanie operacji w dowolnym czasie i z dowolnego miejsca – wystarczy tylko smartfon albo dostęp do komputera. To jednak miecz obosieczny, bo łatwość tę doceniają także oszuści, którzy nieustannie udoskonalają sposoby, by zyskać dostęp do naszych pieniędzy.
Naszym przeciwnikiem są rutyna, przyzwyczajenia i brak ostrożności w Internecie. Poznaj najważniejsze zasady, dzięki którym przestępcy nie będą mieli dostępu do Twoich pieniędzy.
Korzystając z bankowości elektronicznej, trzeba zachować ostrożność, bo łatwo jest uchylić oszustom furtkę do kradzieży naszych pieniędzy. Korzystają oni z całego arsenału sposobów, by dotrzeć do środków na koncie, a my często im to ułatwiamy.
Pół biedy, gdy przez nieuwagę przelejemy pieniądze na fałszywe konto, które nam podadzą. Znacznie gorzej, gdy oszuści przechwycą dane do logowania i zyskają dostęp do wszystkich zgromadzonych przez nas środków.
Każdy z nas musi wyrobić sobie pewne nawyki, które pomogą chronić dostęp do konta. Poniżej opisujemy kilka podstawowych zasad.
Chroń hasło do bankowości internetowej i często je zmieniaj
Banki stosują trzy rodzaje haseł zabezpieczających: statyczne, maskowane oraz jednorazowe.
Hasło statyczne każdy ustawia samodzielnie. Są aktywne do momentu, gdy sami je zmodyfikujemy. Co kilka miesięcy banki proponują zmianę hasła, a niekiedy nawet ją wymuszają.
Hasło nie może być proste, musi zawierać cyfry, małe i duże litery oraz znaki specjalne. Najlepiej, by w jego skład nie wchodził konkretny wyraz, ale ciąg niepowiązanych ze sobą liter.
To ważne, bo cyberoszuści nie wpisują ręcznie loginów i haseł w nadziei, że uda im się przełamać zabezpieczenie, ale wypuszczają całe paczki loginów, które składają się z cyfr, i haseł. Mówimy tu o tysiącach kombinacji. Poste hasło, np. Warszawa11, prędzej czy później zostanie przełamane.
Maskowanie polega na wpisaniu wybranych znaków z hasła statycznego. Poprzez podświetlanie pól system pokazuje, który znak należy wpisać. Hasła jednorazowe są z kolei wysyłane smsem i tracą ważność po kilkunastu sekundach.
Niektóre banki stosują też tokeny, czyli karty do zdrapywania, na których zapisane są jednorazowe numery dostępu. Klient dostaje smsem numer pola, które ma zdrapać, a następnie przenosi ukryty tam ciąg cyfr do systemu logowania.
Coraz więcej banków decyduje się na mieszanie sposobów logowania. Wymagają wpisania hasła statycznego, następnie drugiego hasła statycznego, wreszcie – hasła maskowanego. Co które logowanie mogą też wysyłać dodatkowy kod smsem. Może to być uciążliwe, ale ma na celu maksymalne zabezpieczenie dostępu do konta.
Hasłem do konta nie wolno się z nikim dzielić. Oczywiście, można je sobie gdzie zapisać, bo skoro ma być odpowiednio trudne, to zapamiętanie go może okazać się wyzwaniem, ale musi to być miejsce, do którego nie mają dostępu osoby postronne.
Phishing, czyli kto do mnie pisze?
Cyberoszuści nie ograniczają się do prób włamania się na nasz rachunek. Inicjują również działania, które mają skutkować tym, że to my przekażemy im dane dostępowe.
Aby to zrobić, podszywają się pod firmy albo naszych znajomych i proszą o kliknięcie w link, który ma kierować do banku i umożliwiać prawidłową płatność, a w rzeczywistości prowadzi na stronę, którą przygotowali sami oszuści. Nieświadomy niebezpieczeństwa użytkownik wpisuje login i hasło, przez co na tacy podaje dane, które powinny być chronione.
Media wielokrotnie informowały o oszustwach „na kuriera”, „na dopłatę”, „na PGNiG”. Łączy je mechanizm działania, choć scenariusze były różne. Ofiary otrzymywały sms z informacją, że muszą dopłacić jakąś symboliczną kwotę, bo w przeciwnym razie zamówiona paczka nie zostanie doręczona, albo wystąpiła niedopłata na rachunku za gaz i trzeba ją natychmiast uregulować.
W smsie znajduje się link do płatności. Niektórzy automatycznie zakładają, że skoro dostali ponaglenie, to muszą zareagować – i to nawet w sytuacji, gdy żadnej paczki nie zamawiali! Klikają w link i przechodzą na stronę, która do złudzenia przypomina stronę do wykonywania płatności.
Nie dość, że po zalogowaniu się w tym serwisie przekazują login i hasło oszustom, to jeszcze mogą zainfekować swój telefon, tak że oszuści przechwycą smsy autoryzacyjne. Wyposażeni w komplet informacji cyberprzestępcy w kilka minut będą mogli przekierować wszystkie pieniądze na swoje rachunki w zagranicznych bankach. Niestety, szansa na odzyskanie ich jest mała, bo oszuści działają profesjonalnie, szybko i doskonale zacierają ślady.
Opisane powyżej przestępstwo to phishing. Wiadomości rozsyłane przez cyberprzestępców wyglądają na autentyczne i mają skłonić odbiorcę do ujawnienia poufnych informacji, zawierać link do strony internetowej rozprzestrzeniającej szkodliwe oprogramowanie (często przestępcy używają podobnych do autentycznych nazw witryn) lub mieć zainfekowany załącznik.
Jak się bronić przed phishingiem?
Wiadomości phishingowe przypominają te od dostawcy gazu czy firmy kurierskiej, ale nie trzeba bardzo wprawnego oka, by zorientować się, że od nich nie pochodzą. Nadawcą jest numer prywatny, a smsy z bramek firmowych mają oznaczenie tej firmy. Bardzo często wiadomości phishingowe zawierają też błędy ortograficzne lub napisane są z użyciem niepoprawnej składni.
Jeśli do tej pory informacje o braki płatności za prąd czy Internet otrzymywaliśmy mailem z oficjalnego adresu dostawcy, to krótki sms z prywatnego numeru powinien, a wręcz musi wzbudzić podejrzenia.
Urzędy administracji publicznej nigdy nie wzywają smsem do zapłaty podatku od nieruchomości czy złożenia jakiegoś oświadczenia.
Zwróćmy uwagę na adres strony, poprzez którą musimy dokonać płatności. Nawet jeśli jest ona uderzająco podobna do adresu banku, to nie będą zgadzały się pojedyncze litery w adresie lub domena. Uważajmy na skrócone linki. Jeśli nie mamy pewności, dokąd poprowadzi nas link, najedźmy na niego wskaźnikiem myszy (bez klikania!), a na dole przeglądarki zostanie wyświetlony pełen adres linku.
Nie działaj pośpiesznie. Oszuści żerują na ludzkiej uczciwości i zakładają, że adresatom zrobi się głupio, że nie uregulowali płatności, więc natychmiast klikną w link i dokonają zapłaty. Daj sobie chwilę na przemyślenie, czy naprawdę istnieje ryzyko, że nie opłaciłeś rachunku. Pośpiech może okazać się zgubny.
Weryfikuj bezpieczeństwo formularza
Chcemy zalogować się do banku, więc wpisujemy w pasku przeglądarki jego nazwę i wchodzimy w pierwszy lub drugi wynik, jaki podpowiada nam wyszukiwarka? Istnieje ryzyko, że to strona stworzona przez oszustów. Wygląda tak samo jak oryginalna strona banku, ale zalogowanie się będzie równoznaczne z przekazaniem oszustom danych dostępowych.
Aby tego uniknąć, po wejściu na stronę, ale przed zalogowaniem się, sprawdźmy na pasku adresowym przeglądarki, czy na pewno jest to domena firmy (jeśli to strona oszustów, to adres choćby minimalnie będzie się różnił). Upewnijmy się też, czy obok adresu strony w przeglądarce widać symbol kłódki gwarantujący bezpieczne połączenie.
Zwróćmy także uwagę, czy adres strony zaczyna się od „https://”. Czas na ostatni ruch: kliknijmy kłódkę, by zobaczyć komunikat o właścicielu domeny. Jeśli jest nim nasz bank, to możemy się spokojnie logować.