Zasady bezpiecznego korzystania z konta bankowego przez internet

Zasady bezpiecznego korzystania z konta bankowego przez internet

Konto internetowe, chociaż prowadzone w świecie wirtualnym, jest realnie narażone na rabunek. Cyberprzestępcy znają nasze nawyki, żerują na naszych słabościach, stosują przeróżne socjotechniki, a czasami wykorzystują naszą naiwność – wszystko po to, aby pozbawić nas naszych pieniędzy. Poniżej prezentujemy kilka praktycznych wskazówek, jak się chronić przed cyberkradzieżą i bezpiecznie korzystać z konta internetowego.

Konta internetowe to rozwiązanie, bez którego większości z nas już trudno sobie wyobrazić funkcjonowanie w świecie finansów. Rachunek internetowy jest nowoczesny i wygodny w użyciu do tego stopnia, że korzystamy z niego niemal instynktownie, bez zastanawiania się nad przeprowadzanymi operacjami.

Nowe technologie to nowe szanse, ale i także nowe zagrożenia. Kiedyś, aby wykonać przelew, należało udać się do placówki banku. Dzisiaj nie musimy wychodzić z domu, aby zarządzać naszymi pieniędzmi. Niestety, również przestępcy korzystają z nowoczesnych udogodnień i swój niecny, złodziejski proceder uprawiają w czterech ścianach przy komputerze.

Jak to jest obudzić się rano bez pieniędzy na koncie?

Brzmi to nieco jak science-fiction, ale niestety ten zły sen dla wielu okazał się smutną rzeczywistością. Próbujemy wykonać przelew lub zapłacić kartą w sklepie i ze zdziwieniem dowiadujemy się, że na naszym rachunku nie ma wystarczającej ilości pieniędzy – lub nie ma ich w ogóle. Sytuacje są różne, lecz efekt jest najczęściej podobny: zdumienie, przerażenie, wściekłość i poczucie kompletnej bezradności. "Gdzie się podziały nasze pieniądze?!" i zaraz: "jak to się mogło stać?".

Na to drugie pytanie spróbujemy odpowiedzieć w cyklu artykułów poświęconych bezpieczeństwu w bankowości.

Kowalski w niebezpieczeństwie. Jak zabezpieczyć swoje dane przed wyłudzeniem?

Dziś przestępcy raczej nie koncentrują się na okradaniu samych banków, znaleźli sobie bowiem inną furtkę: tam, gdzie nie zawodzi system bankowych zabezpieczeń, bywa, że zawodzi tzw. czynnik ludzki. Zresztą, niekiedy naprawdę trudno nazwać ten sposób „furtką”, dużo lepszym określeniem byłoby „otwarta brama”.

Hakerzy stosują przeróżne sztuczki, aby wyłudzić od nas informacje o naszych kontach: jedne są mniej wyrafinowane, inne bardziej, ale łączy je jedna przerażająca cecha – zbyt często działają.

Aby kradzież się powiodła, cyberprzestępca musi zdobyć dane, które umożliwią mu:

  1. Dostęp do naszego konta. Tymi danymi są:
    • login,
    • hasło.
  2. Uzyskanie informacji niezbędnych do przelania środków. W tym celu haker spróbuje od nas pozyskać:
    • kody sms;
    • kody zdrapki (coraz rzadziej używane);
    • numer i rodzaj telefonu wraz z oprogramowaniem (np. wersja systemu Android).

Zastanawiasz się, kto przy zdrowych zmysłach udostępnia dane swojego konta hakerom? Zdecydowana większość ofiar cyberprzestępców podaje im swoje dane w dobrej wierze lub w ogóle nie wie, że to robi. Przestępcy rozumieją, z której strony najlepiej podejść ofiarę i wykorzystują w tym celu techniki, które mają nieco przytłumić zdrowy rozsądek, a dać pole do popisu emocjom.

Phishing – jak go rozpoznać i nie dać się oszukać

Dzień dobry, po awarii Twoje konto zostało zablokowane ze względu na nieautoryzowany dostęp: potwierdź swoją tożsamość, wprowadzając kod autoryzacyjny. Przejdź na stronę banku [link].

Tego rodzaju e-maile to typowy przykład narażenia klienta na phishing, czyli próbę wyłudzenia danych. Dostajemy na naszą skrzynkę e-mailową wiadomość, która od razu przyprawia nas o palpitacje serca: ktoś próbował włamać się na nasze konto! Na szczęście „bank” w porę wykrył próbę oszustwa i teraz próbuje zweryfikować, czy my to naprawdę my. Musimy tylko kliknąć w przesłany link i podać swoje dane. Rzecz w tym, że nadawcą takiego maila nie jest nasz bank, lecz grupa przestępcza. Podane przez nas informacje posłużą im do błyskawicznego opróżnienia naszego konta. A jeżeli podaliśmy im również dane karty, to płacąc nią w internecie, dodatkowo mogą nam narobić długów.

Metoda ta musi być skuteczna, gdyż nie ma miesiąca, żeby ktoś nie skarżył się, że w ten sposób „wyczyszczono” mu konto. Częstotliwość ataków także świadczy o tym, że na tę sztuczkę nabiera się całkiem sporo osób. Przykładowo, w samym tylko marcu mieliśmy kilka takich akcji w popularnych bankach: w PKO BP, Banku Millennium oraz mBanku.

Przestrzegamy jednak przed wyciąganiem pochopnych wniosków co do kondycji czy systemów zabezpieczeń tych banków; instytucje te prawdopodobnie zachowały się odpowiedzialnie i udostępniły informacje o atakach dla dobra swoich klientów. Fakt, że inny bank tego nie robi, nie oznacza, że nie ma podobnych problemów. Poza tym warto pamiętać, że są to bardzo popularne banki, z usług których korzysta dużo osób.

Schemat działania jest zazwyczaj podobny:

  1. Otrzymujemy na naszą skrzynkę alarmujący e-mail, a w nim link do strony i żądanie zalogowania do banku.
  2. Po kliknięciu linka, przekieruje on nas do fałszywej strony internetowej, do złudzenia przypominającej oficjalną stronę naszego banku. Na dodatek strona ta może zawierać elementy graficzne (np. logo i kolorystykę naszego banku), a nawet komunikaty bezpieczeństwa, które mają wzmagać u ofiary poczucie zaufania i „zaopiekowania się” nią przez bank.
  3. Kiedy już zalogujemy się na fałszywej stronie, przestępcy otrzymają nasze dane niezbędne do zalogowania się na naszym prawdziwym koncie (login, hasło) i zaczną szykować się do przelania naszych pieniędzy.
  4. My z kolei zostaniemy przez hakerów poproszeni o potwierdzenie operacji kodem sms, który zostanie wysłany od naszego banku, kiedy hakerzy zechcą wykonać przelew lub zmienić nasze zlecenia stałe.
  5. Kiedy wpiszemy ten kod na fałszywej stronie, nasze pieniądze zostaną przelane tam, gdzie zażyczyli sobie przestępcy.

„Proszę autoryzacji”. O ewolucji technik wyłudzania danych

Podany wcześniej przykład to tylko jeden z wielu sposobów na wyłudzenie od nas informacji koniecznych do okradzenia naszego rachunku. Jeszcze nie tak dawno maile/strony phishingowe napisane były najczęściej fatalną polszczyzną, bez polskich znaków, cały zaś tekst sprawiał wrażenie niechlujnie przetłumaczonego w Tłumaczu Google.

Przykład ataku phishingowego na klientów PKO BP

Źródło: strona PKO BP.

Niestety, taka językowa „prowizorka” odeszła już w zasadzie do lamusa i co niektórym posiadaczom kont naprawdę może wydawać się, że otrzymali oficjalnego e-maila od banku:

Przykład ataku phishingowego na klientów mBanku

Źródło: strona Bankier.pl.

Skąd przestępcy znają nasz adres e-mail? Cóż, zdobycie go jest zazwyczaj bardzo proste (czasami wystarczy wpisać w wyszukiwarce Google), ale często przestępcy rozsyłają wiadomości po prostu losowo.

Smishing, czyli wyłudzanie danych za pomocą wiadomości tekstowej

Jak łatwo można przewidzieć, pomysłowość złodziei nie ogranicza się wyłącznie do e-maili. Równie dobrze możemy otrzymać smsa, który przekieruje nas na stronę, z której – nawet nieświadomie – pobierzemy złośliwe oprogramowanie, umożliwiające przestępcom przechwytywanie naszych kodów autoryzacyjnych do transakcji. Ta metoda nosi "wdzięczną" nazwę "smishing".

Zdarza się, że smsem przychodzi alarm o rzekomej nieautoryzowanej transakcji, a my musimy czym prędzej oddzwonić do „banku” na wskazany w smsie numer telefonu. Po połączeniu jesteśmy proszeni o podanie naszych danych, które mają ponoć pomóc w zweryfikowaniu naszej osoby. Na koniec pojawia się prośba o potwierdzenie przekazanych informacji za pomocą kodu sms, który zaraz zostanie do nas przesłany. Jeżeli to zrobimy, przestępcy zdobędą wszystkie potrzebne informacje, aby wykonać przelew z naszego konta.

PAMIĘTAJ! Nigdy nie przechodź na stronę logowania banku za pomocą linka, którego otrzymałeś w wiadomości pocztowej lub w smsie. Jeżeli otrzymałeś komunikat o zablokowaniu konta ze względów bezpieczeństwa – w pierwszej kolejności skontaktuj się z infolinią swojego banku i upewnij, czy jest to prawdziwa wiadomość!

Niemiłe skutki miłej rozmowy - vishing

Zdarzają się także telefony z „banku”, w których uprzejma pani informuje nas o fantastycznej okazji (promocja, kredyt, pożyczka, nagroda) lub właśnie o rzekomym zagrożeniu. Schemat działania jest podobny, konsekwencje – o ile rozmówca nie zorientuje się w porę, że jest oszukiwany – identyczne jak w poprzednich przykładach. Tego rodzaju akcje nazywamy vishingiem.

RADA! Jeżeli chcesz uniknąć przykrych sytuacji i zawsze mieć pewność, z kim rozmawiasz, zapytaj w swoim banku o możliwość ustalenia hasła do kontaktu. Dzięki temu prostemu zabiegowi będziesz mógł zweryfikować, czy na pewno rozmawiasz z osobą z banku.

Legalne i aktualne oprogramowanie warunkiem koniecznym bezpiecznej bankowości

Socjotechniki w rodzaju phishingu to nie jedyne sposoby przestępców na wyłudzenie danych do naszego konta. Równie łatwo mogą oni „wpuścić” na nasz komputer, tablet czy smartfona wirusa lub tzw. konia trojańskiego (trojana), który informacje, jakie podajemy przy logowaniu się do konta, po prostu prześle hakerowi. Istnieją np. programy, które sczytują hasło z naszej klawiatury w momencie, gdy je wpisujemy.

Dlatego tak ważne jest, abyśmy na bieżąco aktualizowali:

  • program antywirusowy i zaporę sieciową (firewall) - jeżeli korzystasz z systemu Windows, a ich nie posiadasz, dla własnego dobra je zainstaluj;
  • system operacyjny (np. Windows, Android, itd.);
  • przeglądarki internetowe.

Wirusy i trojany, które mogą być niebezpieczne dla naszych pieniędzy, najczęściej nie są pobierane ze stron związanych z bankowością, ale przy okazji np. popularnych programów (plików muzycznych, bezpłatnych gier komputerowych, darmowych aplikacji usprawniających pracę komputera), a także darmowych czy niepewnych operacji w sieci.

  1. Aktualizuj przeglądarki oraz systemy operacyjne (np. Windows, Android na smartfonie) do najnowszych wersji, które są „odporne” na nowe wirusy i trojany – nie tylko w komputerach, ale i w swoich smartfonach i na tabletach.
  2. Używaj aktualnego i legalnego oprogramowania antywirusowego i zapory sieciowej (firewall);
    • specjaliści polecają sprawdzanie komputera programami antywirusowymi przed każdą operacją wykonywaną na swoim koncie internetowym; porada ta dla wielu z nas może się wydawać jednak mało realna. Warto natomiast zastanowić się, czy wkrótce nie nadejdzie czas, w którym będziesz wykonywać większą liczbę przelewów (np. początek miesiąca) – i przed takimi terminami regularnie zeskanuj swój komputer.
  3. Nie ignoruj komunikatów programu antywirusowego.
  4. Pamiętaj, aby zachować szczególną uwagę przy ściąganiu programów niewiadomego pochodzenia czy wchodzenia na podejrzane strony internetowe.

Nie bądź naiwny, czyli o co nasz bank na pewno nas nie zapyta

Jedynym miejscem, w którym jesteśmy proszeni o podanie kluczowych informacji, jakimi są login, hasło, kody jednorazowe czy ewentualnie PIN, jest wyłącznie strona do logowania się do naszego konta. Od tej zasady nie ma żadnych wyjątków.

Pamiętajmy, że bank NIGDY nie prosi o potwierdzenie naszych poufnych danych w żadnych e-mailach, smsach czy w trakcie rozmów telefonicznych. W szczególności bank nigdy nie zażąda od nas podania:

  • loginu do konta;
  • hasła – hasło jest znane tylko i wyłącznie nam. Bank nie zna naszego kodu dostępu, nie może więc w żaden sposób go potwierdzać
    • w przypadku haseł maskowanych (gdzie wpisujemy tylko część znaków z naszego kodu dostępu) bank nigdy nie poprosi nas o podanie całego hasła, jedynie o kilka znaków;
  • kodów sms / kodów jednorazowych poza momentem wykonywania zamierzonej przez nas operacji bankowej (np. przelewu);
  • rodzaju telefonu i jego oprogramowania;
  • danych kart płatniczych i kredytowych;
  • PIN-u do karty.

Żaden bank nie wysyła także:

  • e-maili z linkami kierującymi do strony do zalogowania się na konto internetowe;
  • smsów z odsyłaczami do logowania;
  • aplikacji lub certyfikatów bezpieczeństwa na telefon komórkowy. Jeżeli otrzymałeś taką wiadomość, to znaczy, że ktoś – i to z pewnością nie bank – próbuje zainfekować Twój telefon złośliwym oprogramowaniem, dzięki któremu uzyska dostęp do kodów sms, które są ostatnią zaporą przed kradzieżą.

W tym miejscu należy dodać, że jeżeli sami podaliśmy swoje dane, to naprawdę trudno będzie nam odzyskać pieniądze – ponieważ bank niemal na pewno uzna, że transakcja została przez nas autoryzowana. W takim wypadku jedynym rozwiązaniem jest skierowanie sprawy do sądu, ale jest to droga żmudna, czasochłonna, a jej wynik – niepewny. O procesach w związku z kradzieżami czytaj tutaj.

Autentyczna czy fałszywa? Adresy internetowe serwisów transakcyjnych banków

Jeżeli przyjrzymy się dokładnie, dostrzeżemy znaczące różnice pomiędzy oficjalną stroną do logowania w mBanku, a stroną przygotowaną przez hakerów:

Fałszywa strona mBanku spreparowana przez hakerów. Wygląda identycznie, ale różni się adresem.

Źródło: strona Bankier.pl.

Adres internetowy rzekomej strony banku to mbankweryfikuj.pw, a przy logowaniu: mbanklogowanie.com. Tymczasem adres internetowy mBanku to mbank.pl, uzupełniony przy logowaniu o subdomenę: online.mbank.pl (domena pozostaje jednak taka sama: „mbank”). W podanym powyżej przykładzie rzekomej strony banku występuje dodatkowo rozszerzenie .pw, które jest przypisane do Republiki Palau, wyspiarskiego państwa na Oceanie Spokojnym. Gdy przyjrzymy się adresowi, ten może (i powinien!) wydać się nam podejrzany – o ile to zrobimy. Cyberprzestępcy doskonale wiedzą, że spora część z nas albo o tym nie pamięta, albo pamięta, ale nie zawsze.

Przyznajmy jednak: same banki również utrudniają to zadanie. Ze świecą można szukać strony internetowej banku, której adres nie zmienia się przy próbie zalogowania do serwisu internetowego. Chlubnymi wyjątkami na tle instytucji bankowych są Bank Millennium, Idea Bank i Alior Bank. Inne instytucje dodają subdomeny przed nazwą domeny, podobnie jak mBank: Bank Smart (przedrostek online), Getin Bank (secure), Credit-Agricole (e-bank), Eurobank (online). Niektóre banki w ogóle zmieniają adres do serwisu internetowego: PKO BP na ipko.pl, Pekao S.A. na pekao24.pl, BZ WBK na centrum24.pl – tak więc wchodząc na stronę banku, de facto przechodzimy na kompletnie inny adres przy logowaniu.

Zdecydowanie najtrudniej jednak zapamiętać – nawet pobieżnie – adres strony do serwisu w Deutsche Banku: https://ebank.db-pbc.pl/auth/login.jsp, BGŻ BNP Paribas: https://www.ebgz.pl/detal-web/jbank/unlogged/choose/method.do oraz Eurobanku: https://online.eurobank.pl/nbi/bezpieczenstwo/logowanie.

Oczywiście, mamy jeszcze inne zabezpieczenia, nawet dużo ważniejsze. Przyznajmy jednak, że zauważenie jakichkolwiek zmian we wspomnianych wyżej adresach jest, delikatnie rzecz ujmując, trudne.

Pamiętaj! Jeżeli chcesz zalogować się do swojego konta, zawsze wpisuj pełny adres swojego banku w przeglądarce lub przynajmniej sprawdzaj poprawność tego adresu. Jeżeli adres logowania jest trudny do zapamiętania, możesz przejść na stronę banku, a potem na podstronę logowania.

Procedury postępowania przy logowaniu do konta

Fundamentem bezpiecznej bankowości jest legalne i aktualizowane oprogramowanie. Czy znasz pozostałe podstawowe kroki bezpieczeństwa, jakie powinieneś zrobić przy każdym logowaniu (a już na pewno, gdy chcesz wykonać przelew internetowy)?

Pomyśl o nich przez chwilę, a następnie przeczytaj poniższe podpunkty:

  1. Pamiętamy nazwę strony naszego banku, np. www.mbank.pl lub bezpośredniej strony logowania do bankowego serwisu transakcyjnego.
  2. Wpisujemy pełny adres tej strony w przeglądarce, nigdy w Google czy innej wyszukiwarce. Istnieją bowiem konie trojańskie, które mogą podmienić domyślną wyszukiwarkę i przekierować nas na fałszywą stronę banku.
  3. Sprawdzamy poprawność adresu banku (m.in. pod kątem literówki), a następnie weryfikujemy czy przy adresie URL do strony logowania do serwisu transakcyjnego pojawia się:
    • kłódka,
    • protokół https://.
  4. Sprawdzamy certyfikat bezpieczeństwa. Bank okresowo go zmienia i publikuje na swojej stronie. Porównujemy go z tym, który pojawia się w szczegółach strony do logowania.
  5. Po zalogowaniu sprawdzamy datę ostatniego logowania i ostatniego nieudanego logowania.
  6. Po wykonaniu operacji na koncie wylogowujemy się ze strony i wyłączamy przeglądarkę.

Symbol kłódki i protokół https:// w adresie strony

Oznaczają one, że strona, na którą się logujesz, jest szyfrowana i bezpieczna oraz należy tylko i wyłącznie do Twojego banku. Niektóre banki korzystają z protokołu https:// już przy swojej głównej stronie, inne szyfrują dopiero strony z logowaniem do serwisu internetowego.

Podstawowa zasada przy logowaniu brzmi: kłódka i https:// muszą pojawiać się razem. Od tej reguły nie ma wyjątków, w szczególności w rodzaju: „przebudowa strony”, „chwilowa aktualizacja”, „czasowa awaria” itp. Standardowy protokół, na którym działają strony internetowe, to http://. Pamiętajmy, że literka „s” przy https:// oznacza szyfrowanie, nie może go więc zabraknąć.

Poniżej prezentujemy, gdzie i jak wyświetlane są te informacje w najpopularniejszych przeglądarkach na przykładzie logowania do serwisu transakcyjnego eurobanku.

  • Logowanie do serwisu eurobanku w przeglądarce Firefox:

    Logowanie do serwisu eurobanku w przeglądarce Firefox - protokół https i symbol kłódki

  • Logowanie do serwisu eurobanku w przeglądarce Chrome:

    Logowanie do serwisu eurobanku w przeglądarce Google Chrome

  • Logowanie za pomocą Internet Explorer:

    Logowanie do serwisu eurobanku w przeglądarce Internet Explorer

Jak widać, w trzech najpopularniejszych przeglądarkach internetowych przy logowaniu do naszego konta internetowego pojawiają się jednocześnie i protokół https://, i kłódka.

Uwaga! Jedna z popularnych przeglądarek – Opera – nie wyświetla przy adresie protokołu https://. Po kliknięciu na kłódkę pojawia się komunikat, że połączenie jest potwierdzone i bezpieczne. Twórcy przeglądarki zrezygnowali z informowania o protokole ze względu na – ich zdaniem – większą przejrzystość adresu. Opcję tę można jednak samemu włączyć w zaawansowanych ustawieniach tej przeglądarki. Brak informacji o protokole https:// nie oznacza, że strona nie jest szyfrowana (o szyfrowaniu świadczy również kłódka), niemniej, jeśli strona rzeczywiście NIE BĘDZIE szyfrowana, łatwiej to w Operze przeoczyć.

Na koniec należy wspomnieć, że cyberprzestępcy, chcąc maksymalnie utrudnić nam życie, tworzą także fałszywe strony banków, na których przy adresie www pojawia się zapis: https:// - nie ma za to kłódki. Dlatego kolejny punkt – weryfikacja certyfikatu – jest niezbędnym krokiem przy logowaniu się do konta internetowego.

Weryfikacja certyfikatu strony banku

Certyfikat strony www potwierdza, że naprawdę znaleźliśmy się na stronie naszego banku. Przy każdym logowaniu do swojego konta – a szczególnie w chwili, gdy zamierzamy wykonać przelew internetowy – należy poświęcić nie więcej niż pół minuty i przyjrzeć się certyfikatowi, który został wystawiony dla danej strony. Sprawdzamy przede wszystkim:

  • aktualność certyfikatu (czy nie wygasł i jaka jest data jego obowiązywania),
  • odcisk palca SHA1.

Jak to zrobić? Poniżej prezentujemy, jak zweryfikować certyfikat w kilku prostych krokach, na przykładzie przeglądarki Firefox:

  1. Wchodzimy na stronę logowania do naszego konta.
  2. Klikamy na symbol kłódki.
    Sprawdzanie certyfikatu strony banku w przeglądarce internetowej - krok 1
  3. Rozwijamy pasek „Zabezpieczone połączenie”.
    Sprawdzanie certyfikatu w przeglądarce - krok 2
  4. Wyświetla się nam informacja o tym, że połączenie jest bezpieczne, a strona jest prowadzona przez konkretny bank. Ale my chcemy mieć 100% pewności, więc...
  5. Klikamy na przycisk „Więcej informacji” - wtedy dopiero wyświetli się okno prowadzące do certyfikatu.
    Sprawdzenie certyfikatu w przeglądarce - krok 3
  6. Klikamy na „Wyświetl certyfikat”. Dopiero teraz otrzymujemy informacje, jakich szukaliśmy.
    Widok certyfikatu bezpieczeństwa w przeglądarce internetowej - krok 4

Na czerwono zaznaczyliśmy te dane, które są dla nas istotne: data ważności oraz odcisk SHA1. Skąd mamy wiedzieć, czy są poprawne? To proste: każdy bank publikuje je na swojej stronie internetowej i aktualizuje, kiedy wygasa data ważności danego certyfikatu (dla przykładu, aktualny certyfikat mBanku znajdziesz tutaj).

Chociaż sprawdzanie protokołu i certyfikatów może na pierwszy rzut wyglądać na zadanie zawiłe i czasochłonne, to po dwóch-trzech próbach z pewnością wykonanie takiej weryfikacji będzie proste i szybkie.

Bezpieczeństwo przelewów internetowych

W celu uniknięcia kradzieży podczas wykonywania przelewu należy wyrobić w sobie kilka pożytecznych nawyków:

  1. Okresowo sprawdzajmy historię konta – będzie w niej widać wszystkie transakcje, również te, które nie były przez nas autoryzowane.
  2. Po zalogowaniu sprawdzajmy datę ostatniego udanego i nieudanego logowania.
  3. Starajmy się nie kopiować numeru konta przy wypełnianiu przelewu – tak, jest to dość uciążliwe, ale istnieje złośliwe oprogramowanie, które podmienia wskazany numer konta na rachunek hakera. Jeżeli już nie chcemy rezygnować z kopiowania, pamiętajmy, aby za każdym razem sprawdzać wprowadzony numer. Zasada ta dotyczy w szczególności przelewów wykonywanych za pomocą urządzeń mobilnych, np. smartfona.
    • Faktem jest, że istnieją wirusy/trojany, które potrafią tak podmienić numer rachunku, że nie będzie widać żadnej różnicy w przeglądarce. O takim niepożądanym „dodatku” do przeglądarki Firefox, który zmienia numery kont w przelewach, było dość głośno kilka miesięcy temu. Wirus ten był szczególnie niebezpieczny, ponieważ nie wykrywały go programy antywirusowe, i bardzo sprytny, gdyż zmieniał odbiorcę przelewu tylko w przypadkach, gdy przelewana kwota nie była ani za mała, ani... za duża (dzięki temu trudniej zwrócić na niego uwagę). Można go było ściągnąć przez zupełny przypadek razem z zainfekowanymi instalatorami popularnych programów w rodzaju Winamp. Więcej o wirusie czytaj tutaj. Przed takim oszustem można się ustrzec dzięki skrupulatnej weryfikacji numeru odbiorcy przelewu z numerem przesłanym w smsie z kodem do autoryzowania transakcji.
  4. Zawsze dokładnie czytajmy sms z kodem autoryzacyjnym od banku: podaną kwotę i nr konta (pierwsze i ostatnie znaki). Jest to ostatnia zapora, która może uchronić nas przed kradzieżą, gdyż w informacji od banku widoczny jest rzeczywisty nr konta i rzeczywista kwota, na którą wykonujemy przelew (w sytuacji, gdy nasz komputer jest zainfekowany złośliwym oprogramowaniem).
  5. Regularnie zmieniajmy hasła dostępu i starajmy się je maksymalnie skomplikować. Im bardziej skomplikowane hasło, tym mniejsza szansa na łatwe i szybkie złamanie go przez hakera.
    • O hasłach, technikach ich tworzenia i zapamiętywania więcej piszemy w artykule, który niebawem zostanie opublikowany na łamach naszego serwisu.

Co warto jeszcze zrobić, aby nasz przelew był „bezpieczny”?

Dodatkowo, aby zmniejszyć ryzyko utraty naszych pieniędzy, należy stosować się do poniższych wskazówek:

  1. Zawsze wpisujmy pełne dane odbiorcy: imię, nazwisko lub nazwę firmy, adres.
  2. Nie logujmy się do swojego konta ani tym bardziej nie zlecajmy przelewów w miejscach, co do których nie mamy 100% pewności, w szczególności w kafejkach internetowych, w pracy, w szkole czy na uczelni. Nigdy nie wiemy, jakie oprogramowanie jest zainstalowane na obcych komputerach ani kto z nich korzysta.
  3. Realizując operację bankową nie korzystajmy z publicznego wifi ani z żadnej sieci, co do której bezpieczeństwa nie ma mamy całkowitej pewności.
  4. Korzystajmy wyłącznie z legalnego oprogramowania antywirusowego. Jeżeli bank odkryje, że oprogramowanie było nielegalne, możesz być pewien, że nie odzyskasz skradzionych pieniędzy.
  5. Nie otwierajmy żadnych linków – w e-mailach oraz w smsach – których źródła nie jesteśmy całkowicie pewni. Ta zasada dotyczy zresztą nie tylko bankowości, ale i ogólnie korzystania z internetu i innych kanałów elektronicznych.

Odpowiedzialność leży również po stronie klienta

Wielu posiadaczy internetowych kont bankowych przekonanych jest o tym, że za bezpieczeństwo ich pieniędzy odpowiada w zasadzie wyłącznie bank. Nie jest to prawdą: takie same obowiązki względem bezpieczeństwa nałożone są jednocześnie na instytucję, jak i na klienta. W przypadku kradzieży z konta wiele instytucji może stosunkowo łatwo zarzucić nam niedbalstwo bądź przyczynienie się do zaistniałej szkody (więcej o tego typu sytuacjach znajdziesz w tym artykule). Warto o tym pamiętać, gdyż niewypełnienie tych obowiązków może spowodować niemal pewną stratę pieniędzy BEZ możliwości ich odzyskania (o odpowiedzialności banków i klientów za nieautoryzowane transakcje piszemy w artykule „Jak zastrzec kartę”, który wkrótce zostanie opublikowany na łamach serwisu).

Komentarz redakcji

Bankowość internetowa jest znakomitym wynalazkiem, większość z nas nie ma co do tego wątpliwości. Jednak jak w przypadku niemal każdego wynalazku warto poznać sposób jego działania i zasady bezpieczeństwa. Jeżeli przechodzimy krótki kurs obsługi komputera czy samochodu, dlaczego nie mielibyśmy tego robić w przypadku bankowości internetowej? Choć liczba zamieszczonych powyżej porad i wytycznych może nieco przytłaczać, wskazane jest, aby każdy z nas stosował się do tych zasad. Nie zapewnią nam one całkowitego bezpieczeństwa, ale znacznie zminimalizują ryzyko padnięcia ofiarą cyberprzestępstwa.

Zaufajmy własnej intuicji. Jeżeli coś nas niepokoi, wyda się nam nietypowe czy podejrzane (albo w drugą stronę: nadzwyczaj atrakcyjne) – przerwijmy transakcję / akcję logowania / rozmowę. Lepiej być przewrażliwionym niż szukać swoich pieniędzy gdzieś na azjatyckich rachunkach bankowych. Natomiast w przypadku dużych kwot być może dobrym – choć niezbyt „nowoczesnym” – rozwiązaniem byłoby trzymanie środków nie na kontach internetowych, lecz tradycyjnych.

Warto również w kwestiach bezpieczeństwa przeglądać okresowo stronę swojego banku oraz jego ofertę. Bywa, że sama instytucja może nam pomóc, np. udostępniając specjalną usługę (np. Alerty24 w BZ WBK), w ramach której zostaniemy powiadomieni o wszelkich transakcjach na naszym koncie. Możemy także rozważyć samodzielne wprowadzenie limitów dziennych na podstawowe operacje bankowe, dzięki czemu nawet jeżeli padniemy ofiarą przestępstwa, to złodzieje będą mogli ukraść nam tylko „dozwoloną” przez nas kwotę.

Niestety, musimy przyznać, że na polu bezpieczeństwa również i banki nie są bez skazy (czego zresztą wymagają od nas-klientów). Często podawane przez nie komunikaty są po prostu trudne do zrozumienia dla przeciętnego klienta lub mało konkretne. Jeżeli dostaniemy sms z alertem od banku i w wiadomości tej przeczytamy, że właśnie przeprowadzono jakąś operację na naszym koncie, to co prawda wiemy, że coś się dzieje, ale nie mamy pojęcia, co takiego. Ponadto banki same przestrzegają przed niecodziennymi komunikatami itp., po czym po zalogowaniu się na nasze konto nieoczekiwanie wyskakuje nam okienko z... reklamą np. promocji. A w przypadku skomplikowanych adresów niektórych stron do logowania rekomendacja pamiętania adresu strony może być uznana za kpinę.

Wydaje się, że bezpieczeństwo bankowości internetowej, a zwłaszcza mobilnej, oprze się już wkrótce na biometrii: skanowaniu naszych odcisków palców czy siatkówki. Do takiego rozwiązania szykuje się w Polsce już kilka banków, m.in. Millennium. Niemniej nawet takie funkcje nie uchronią nas przed cyberprzestępcami, jeżeli sami nie będziemy przestrzegać zasad bezpieczeństwa.

Podstawowe zasady bezpiecznego korzystania z kont internetowych i wykonywania przelewów:

  1. Dbajmy o legalne i aktualne oprogramowanie: antywirus, firewall, zaktualizowany system operacyjny i przeglądarki na komputerze, tablecie i w smartfonie. Aplikacje mobilne ściągamy tylko z autoryzowanych sklepów (bank nigdy nie przesyła żadnej aktualizacji oprogramowania).
  2. Nigdy nie podawajmy swoich danych do konta: loginu, hasła, rodzaju telefonu, numeru karty, PIN-u, kodów sms, nikomu, co do którego osoby nie mamy 100% pewności. Bank nigdy nie żąda od nas podania hasła do konta czy kodu sms w miejscu innym niż serwis transakcyjny.
  3. Nie logujmy się do naszego rachunku za pomocą linków przesłanych w e-mailach czy smsach.
  4. Jeżeli coś budzi naszą wątpliwość (np. kilkukrotna prośba o podanie hasła), przerwijmy operację i skontaktujmy się z bankiem za pomocą oficjalnej strony internetowej.
  5. Pamiętajmy prawidłowy adres internetowy naszego banku i - o ile to możliwe - strony do logowania. Nie wpisujmy strony naszego banku w wyszukiwarkach typu Google, lecz bezpośrednio w pasku adresu przeglądarki.
  6. Zawsze sprawdzajmy, czy na stronie do logowania przy adresie internetowym naszego banku znajduje się symbol kłódki i protokół "https://".
  7. Każdorazowo weryfikujmy certyfikat (datę i "odcisk palca").
  8. Okresowo sprawdzajmy historię operacji na koncie.
  9. Dokładnie czytajmy wiadomości sms od banku przy wykonywaniu przelewu: kwotę przelewu, numer konta odbiorcy (pierwsze i ostatnie znaki) itd.
  10. Nie łączmy się z naszym bankiem za pomocą cudzego komputera czy telefonu ani za pośrednictwem ogólnodostępnej sieci wi-fi.

Jeżeli uważasz, że powyższe porady są wartościowe, udostępnij ten artykuł w swoich serwisach społecznościowych. W ten sposób poinformujesz znajomych, że powinni zwrócić większą uwagę na bezpieczeństwo swojego konta bankowego.

Jeżeli masz jakieś uwagi lub komentarze dotyczące treści, napisz do nas. Każde polubienie/udostępnienie/sugestia są dla nas ważną wskazówką, że poruszanie tematu bezpieczeństwa na łamach serwisu ma sens.

P.S. Już niedługo opublikujemy kolejną część serii "bankowanie bez ryzyka". Tym razem skupimy się na zasadach korzystania z haseł do konta. Jeżeli chcesz być na bieżąco, odwiedź nasz profil na Facebooku.

Z ostatniej chwili

  • 2.12.2016 13:30

    NBP: zysk sektora bankowego w Polsce od stycznia do października 2016 r. wyniósł 12,12 mld zł. Oznacza to systematyczny wzrost zysków na przestrzeni lat.

  • 1.12.2016 09:42

    Bank Pocztowy zaplanował przerwę w systemach internetowych od 2 grudnia (od 22:00) do 4 grudnia (do 6:00). W sobotę nieczynna będzie także infolinia banku.

  • 1.12.2016 09:22

    Promocja MasterCard i sieci Multikino: w każdy grudniowy weekend możesz zapłacić za bilet do kina kartą MasterCard, a drugi bilet otrzymasz wtedy gratis.

  • 1.12.2016 08:23

    mBank przedłużył promocje mBiznes Konta Standard; za założenie rachunku do 26 grudnia można uzyskać gwarancję braku opłat, premię lub 2% na koncie.

  • 30.11.2016 15:27

    Idea Bank uruchomił pierwszy mobilny wpłatomat z opcją wpłacania bilonu. Bank oferuje niemal 20 mobilnych wpłatomatów w największych miastach Polski.

  • 30.11.2016 15:22

    Posiadacze abonamentu w Play mogą teraz oszczędzić co miesiąc 5 zł na rachunkach, o ile będą opłacać faktury za pomocą karty MasterCard. 

  • 30.11.2016 15:20

    Koniec deflacji w Polsce? Jak podaje GUS, pierwszy raz od lipca 2014 r. roczna dynamika cen wynosi zero.

  • 30.11.2016 15:15

    Ostatni dzień atrakcyjnych promocji kont firmowych w mBanku: mBiznes Start i mBiznes Standard. Możesz zyskać 600 zł na ZUS, 100 zł premii lub 2% na koncie 

  • 30.11.2016 15:10

    Do 30 listopada obowiązuje oferta specjalna ING, w której za otwarcie konta osobistego z kartą w tym banku można otrzymać stuzłotowy bonus.

  • 30.11.2016 15:06

    Jeszcze tylko dziś można wziąć udział w akcji Money Mania 9, w której za założenie Konta Godnego Polecenia w BZ WBK można zyskać 100 zł premii.

Pominęliśmy coś ważnego? Napisz do nas!

Wiadomości

Ta strona korzysta z ciasteczek. Dalsze korzystanie z serwisu oznacza, że zgadzasz się na ich użycie. Więcej szczegółów w polityce prywatności.