Bankowość elektroniczna, w tym bankowość mobilna, rozwija się w błyskawicznym tempie. Według raportu NetB@nk ogłoszonego przez Związek Banków Polskich pod koniec 2018 r. liczba rachunków klientów indywidualnych mających możliwość korzystania z bankowości elektronicznej osiągnęła liczbę 38,09 mln, z czego 45 proc. (17,22 mln) to aktywni użytkownicy bankowości elektronicznej, czyli tacy, którzy przynajmniej raz w miesiącu korzystają z tego kanału dostępu do konta. Z bankowości internetowej aktywnie korzystało też 1,58 mln klientów z sektora MSP. Natomiast liczba użytkowników mobilnych aplikacji bankowych osiągnęła na koniec ubiegłego roku 11,2 mln.
Łatwy dostęp przez Internet, wygoda i funkcjonalność obsługi on-line sprawiają, że coraz chętniej korzystamy z konta za pośrednictwem komputera, tabletu czy smartfona. Banki oferują coraz bardziej zaawansowane technologicznie rozwiązania, które usprawniają obsługę rachunku. Łatwość i komfort korzystania ze zgromadzonych pieniędzy powinny jednak iść w parze z ostrożnością, ponieważ uśpiona czujność użytkowników bankowości elektronicznej ułatwia działania cyberprzestępców. Na ich coraz bardziej wyrafinowane ataki narażone są także serwery i systemy teleinformatyczne banków, ale o tak skierowane działania przestępców klienci banków w zasadzie nie muszą się martwić. Wysoki poziom zabezpieczeń instytucji finansowych, wymagany przez przepisy prawa oraz stworzony na podstawie rekomendacji Komisji Nadzoru Finansowego, jest gwarancją bezpieczeństwa zgromadzonych środków.
Światowe centra cyberbezpieczeństwa
Potężne systemy zabezpieczające, w które inwestują instytucje finansowe, zapewniają wysoki poziom ochrony ich infrastruktury. Banki mogą w tym zakresie liczyć na wsparcie najlepszych specjalistów. Nad bezpieczeństwem cyberprzestrzeni w naszym kraju czuwa m.in. CERT Polska, czyli krajowy zespół reagowania na incydenty cyberbezpieczeństwa. Narodowe CERT-y (z ang. Computer Emergency Response Team), czyli agencje do spraw cyberbezpieczeństwa działają także w innych krajach na całym świecie. Zespoły wyspecjalizowane w dziedzinie ochrony przed zagrożeniami płynącymi z sieci tworzą w swoich strukturach również najważniejsze podmioty z sektora energetycznego, transportowego, ochrony zdrowia i usług finansowych oraz usług cyfrowych.
O wiele łatwiejszym celem ataku dla hakerów są użytkownicy bankowości elektronicznej, a w szczególności ich komputery i urządzenia przenośne, które nie są zabezpieczone tak silnie jak infrastruktura ich banku.
Chociaż determinacja i pomysłowość przestępców nie znają granic i nigdy nie ma gwarancji całkowitego wyeliminowania ryzyka, to istnieje wiele podstawowych zasad, których przestrzeganie może ograniczyć zagrożenie użytkowników bankowości elektronicznej cyberatakiem, a w konsekwencji zwiększyć bezpieczeństwo naszych środków finansowych.
Jak szyfr do sejfu
Co zatem możemy zrobić? Przede wszystkim nie wolno udostępniać nikomu loginu i hasła do systemu bankowości elektronicznej. Te dane – podobnie jak numer PIN karty płatniczej – powinny być znane wyłącznie właścicielowi konta. O ich podanie nie mogą prosić pracownicy ani banku, ani jakiejkolwiek innej instytucji, np. e-mailem lub SMS-em.
Najlepiej jest dane te zapamiętać, ponieważ zapisane w jakimkolwiek miejscu – w postaci elektronicznej lub fizycznej – mogą dostać się w ręce niepowołanych osób i posłużyć do uzyskania dostępu do naszego konta. Z tego względu nie powinno się też zezwalać na zapamiętywanie haseł do bankowości internetowej przez przeglądarkę.
Ważne również, aby ustanowione hasło było silne, czyli odpowiednio długie (co najmniej 16 znaków) i składające się z wielkich i małych liter, cyfr i znaków specjalnych oraz nie nawiązywało do związanych z nami czy naszymi bliskimi informacji, takich jak daty urodzenia czy imiona. W przypadku hasła do bankowości mobilnej – służącego do zalogowania się w aplikacji na telefonie lub tablecie – zadbajmy, by różniło się ono od hasła odblokowującego samo urządzenie (np. kodu PIN lub znaku wężyka). W ten sposób tworzymy kolejną barierę dostępu do konta dla przestępcy, któremu uda się ukraść nasz smartfon. Aby nie ułatwiać zadania cyberrabusiom potrafiącym łamać różnorodne kody, hasło należy także cyklicznie zmieniać. W razie wykorzystania naszych danych dostępowych do kradzieży środków z konta bank ma bowiem prawo odmówić uznania reklamacji.
Wszystkie urządzenia, za pomocą których uzyskujemy dostęp do konta bankowego (komputer, tablet, smartfon), mogą być narażone na zainfekowanie wirusami i programami szpiegującymi, pomagającymi przestępcom wykraść nasze dane (w tym loginy, hasła czy kody autoryzujące pozwalające przejąć kontrolę nad operacjami na koncie), dlatego powinny mieć zainstalowane aktualne oprogramowanie antywirusowe, najlepiej z funkcją zapory sieciowej, czyli firewallem. Skanowaniu programem antywirusowym poddajemy także każde urządzenie podłączane do komputera, aby zapobiec przedostaniu się z niego złośliwych aplikacji lub ewentualnie unieszkodliwić je, zanim zaczną działać. Bieżąca aktualizacja systemu operacyjnego naszego urządzenia oraz przeglądarki internetowej to kolejna z podstawowych zasad, które pomogą lepiej zabezpieczyć nasz sprzęt przed włamaniem z sieci. Jeśli pomimo zastosowanych zabezpieczeń nasz komputer i konto bankowe staną się celem udanego cyberataku – to ważne, by przy ewentualnej reklamacji w banku potwierdzić legalne źródło posiadanego oprogramowania.
Do logowania do bankowości internetowej lub mobilnej należy korzystać tylko z własnych, odpowiednio zabezpieczonych urządzeń. Ryzykowne może okazać się przy tym używanie jako źródła dostępu do Internetu nieznanych połączeń, np. publicznej sieci Wi-Fi. Atak za ich pośrednictwem jest dla wirtualnych złodziei o wiele łatwiejszy niż w przypadku prywatnych sieci.
Unikajmy zatem zarówno dostępnych publicznie komputerów, jak i cudzych tabletów oraz telefonów, a także nie udostępniajmy nikomu swojego laptopa czy smartfona, przy użyciu których logujemy się do konta bankowego. Najlepiej także utrwalić sobie nawyk wylogowywania się z urządzeń, paneli zarządzania kontem bankowym, poczty internetowej czy aplikacji od razu po zakończeniu korzystania z nich. Jeśli przekazujemy urządzenia np. do naprawy serwisowej, to najpierw wylogowujemy się z aplikacji bankowych lub najlepiej je usuwamy, kasujemy też SMS-y od banku i historię przeglądarki – informacje te mogą zawierać nasze wrażliwe dane, które przywiodą ewentualnych przestępców wprost przed „drzwi naszego sejfu”.
Pod szczególnym nadzorem
Ostrożność powinni zachować też rodzice lubiący dla kilku chwil spokoju oddawać swoje tablety i telefony w ręce małoletnich, chętnie otwierających przeróżne strony, pliki oraz ściągających gry, które mogą zawierać złośliwe oprogramowanie. Najbezpieczniej jest po prostu nie udostępniać naszych urządzeń i nie instalować na sprzęcie będącym jednocześnie narzędziem do zarządzania rachunkiem bankowym żadnych dodatkowych aplikacji, w tym komunikatorów czy aplikacji mediów społecznościowych. Warto też zadbać, aby w urządzeniu była włączona opcja uniemożliwiająca instalowanie oprogramowania z nieznanych źródeł.
Instalując aplikacje bankowe, sprawdźmy uważnie, czy producentem oprogramowania rzeczywiście jest nasz bank. Uchroni nas to przed pobraniem fałszywej aplikacji, którą cyberprzestępcy mogą wykorzystać do zdobycia danych dostępu do konta lub do przejęcia kontroli nad telefonem i tym samym możliwości odczytu komunikatów z kodami autoryzacyjnymi, co pozwoli im wyprowadzić pieniądze na swoje rachunki. Czujność należy zachować po otrzymaniu w wiadomościach e-mail, SMS lub MMS podejrzanych załączników lub linków do stron internetowych. Mogą one przekierowywać do fałszywego serwisu bankowego albo instalować złośliwe oprogramowanie na naszym urządzeniu.
Z tego samego powodu w trakcie logowania do systemu bankowości elektronicznej przez przeglądarkę internetową zawsze trzeba się upewnić, czy mamy otwartą właściwą witrynę (jej adres najlepiej jest wprowadzić samodzielnie), która stosuje połączenie zabezpieczone kryptograficznie. Adres internetowy widoczny w oknie przeglądarki powinien zaczynać się od „https://”, a w oknie przeglądarki obok adresu powinna pojawić się ikona zamkniętej kłódki. Certyfikat potwierdzający, że strona jest zaufana, możemy sprawdzić, klikając na tę kłódkę. Programiści, którzy swoje umiejętności wykorzystują do celów przestępczych, potrafią stworzyć strony internetowe do złudzenia wyglądem i adresem przypominające prawdziwe bankowe panele logowania, służące do tzw. phishingu, czyli przechwytywania danych. Dlatego trzeba mieć się na baczności i w razie jakichkolwiek wątpliwości co do oryginalności strony zaprzestać próby logowania oraz niezwłocznie powiadomić o tym bank.
Czujność powinniśmy zachować także podczas płacenia kartą płatniczą za zakupy w nieznanych sklepach internetowych, zwłaszcza kiedy te kuszą ofertami o zaskakująco niskich cenach. Może się bowiem okazać, że taka witryna jest tylko przykrywką dla złodziei, którzy pod pozorem okazyjnych promocji wyłudzają dane karty płatniczej użytej do rzekomej zapłaty. Znacznie ograniczymy ryzyko, robiąc zakupy tylko w sprawdzonych i zaufanych miejscach w sieci. Płatności w Internecie najlepiej wykonywać przez serwisy certyfikowanych pośredników. Warto też włączyć usługę 3D-Secure podnoszącą bezpieczeństwo transakcji kartami w Internecie, jeśli jest ona dostępna w ramach naszego konta. Umożliwia ona generowanie dodatkowego, jednorazowego kodu 3D-Secure, który otrzymujemy SMS-em na swój telefon i którym potwierdzamy transakcję w sieci. Aby zapłacić w ten sposób, funkcja ta musi być jednak dostępna także u agenta rozliczeniowego, za którego pośrednictwem dokonujemy płatności.
Chronieni limitem i SMS-em
Aby lepiej chronić oszczędności, warto także skorzystać z oferowanych przez banki narzędzi zabezpieczających operacje na rachunku. Należą do nich limity transakcyjne, które można na wzór limitów dla transakcji kartą ustalić oddzielnie dla przelewów, płatności w Internecie, płatności kartą, operacji mobilnych czy płatności zbliżeniowych bez użycia kodu PIN. Dla bezpieczeństwa najlepiej ustawić jak najniższe kwoty limitów, by nie narażać się na straty większe niż tak ograniczona kwota. W każdej chwili można też tymczasowo zablokować dany kanał – np. płatności w Internecie, jeśli nie planujemy w najbliższym czasie zakupów on-line. W ten sposób za sprawą kilku kliknięć w aplikacji lub w internetowym panelu zarządzania naszym kontem minimalizujemy ryzyko nieuprawnionego wykorzystania naszych pieniędzy.
Kolejnym przydatnym narzędziem są powiadomienia w postaci SMS-ów lub komunikatów w aplikacji mobilnej. Są to potwierdzenia, które otrzymujemy na telefon po każdej operacji na naszym koncie – takiej jak np. przelew, logowanie do konta czy zmiana limitów transakcyjnych. Umożliwiają one pełną kontrolę nad stanem rachunku i pozwalają łatwo wykryć wszelkie nieautoryzowane przez nas ruchy na koncie. W takiej sytuacji szybka reakcja może uchronić przed utratą zgromadzonych na rachunku środków. Warto przy tym pamiętać, by uważnie czytać każdą wiadomość od banku. Dotyczy to zarówno potwierdzeń operacji, jak i kodów SMS będących narzędziem autoryzacji przelewów i dyspozycji zmian ustawień konta. Ważne także, by nie używać przy dokonywaniu przelewu opcji kopiuj-wklej do wpisania numeru rachunku odbiorcy. Należy wpisać go samodzielnie, by tym samym uniemożliwić podmianę numeru konta przez złośliwe oprogramowanie. Przed potwierdzeniem np. przelewu przesłanym przez bank kodem należy upewnić się, że kwota operacji i numer rachunku odbiorcy są zgodne ze zleceniem przelewu. Jeśli bowiem nie zastosowaliśmy się do reguł dotyczących właściwej ochrony urządzenia używanego w bankowości elektronicznej, to może się okazać, że przestępcy mający podgląd otrzymywanych od banku kodów autoryzujących wykorzystają je do zlecenia przelewu na własne konto, a my nieuważnie własnoręcznie potwierdzimy tę operację.
Z tego mechanizmu korzystają też złodzieje, którzy wyspecjalizowali się w głośnej ostatnio tzw. metodzie na BLIK. Przejmują oni kontrolę nad kontami osób z grona znajomych ofiary w mediach społecznościowych lub w inny sposób podszywają się pod kogoś bliskiego, po czym wysyłają ofierze prośbę o kod BLIK potrzebny do rzekomo pilnej transakcji (np. wypłaty z bankomatu lub zapłaty za leki w aptece). Należy więc zachować szczególną ostrożność w reakcji na każdą taką prośbę i zawsze weryfikować jej źródło. Pamiętajmy także, że transakcja przy użyciu kodu BLIK musi być potwierdzona przez użytkownika bankowości mobilnej, dlatego nawet jeśli już przekażemy kod, który zostanie wykorzystany do nieuprawnionej operacji (powiadomienie otrzymane w aplikacji pokaże kwotę i rodzaj transakcji), to powinniśmy w odpowiedzi odmówić autoryzacji takiej transakcji.
Dobrym zwyczajem jest regularne sprawdzanie nie tylko historii operacji na rachunku, lecz także daty ostatnich logowań do bankowości mobilnej i internetowej – zarówno tych udanych, jak i nieudanych, co może pomóc odkryć nieuprawnione próby dostania się na nasze konto. O wszelkich niepokojących sytuacjach niezwłocznie powinien być informowany bank.
Ostrożnie z kartą
Warto dbać nie tylko o cyfrowe zabezpieczenia. Korzystając z kart płatniczych i bankomatów, które nadal są obiektem zainteresowania przestępców, pamiętajmy, aby nosić kartę dobrze schowaną, aby uniemożliwić osobom postronnym odczyt zapisanych na niej danych (zwłaszcza numeru karty oraz numerów CVV2 lub CVC2, czyli trzech cyfr umieszczonych na odwrocie karty, służących do potwierdzania płatności kartą w Internecie). Nie traćmy też karty z rąk i z oczu podczas dokonywania płatności, np. za obiad w restauracji.
Bankomat natomiast zawsze dokładnie oglądamy, zanim włożymy do niego kartę, i sprawdzamy, czy nie ma na nim podejrzanych i niepasujących elementów – nakładek, miniaturowych kamer, wystających części obudowy lub klawiatury. Urządzenia te mogą służyć do przestępstwa zwanego skimmingiem, czyli nielegalnego skopiowania informacji zapisanych na karcie i zarejestrowania wpisywanego kodu PIN. W razie jakichkolwiek obaw co do bezpieczeństwa danego urządzenia szukamy innego, a o swoich podejrzeniach informujemy operatora bankomatu. Jeśli bankomat nie budzi żadnych zastrzeżeń – to numer PIN zawsze wpisujemy w nim tak, aby nikt postronny go nie widział.
Jeśli zaś ukradziono nam kartę płatniczą, to należy jak najszybciej ją zastrzec. Najwygodniej i najszybciej zrobimy to, dzwoniąc na całodobową infolinię banku albo korzystając z serwisu bankowości internetowej lub aplikacji mobilnej. Można także udać się do placówki banku, jeżeli jest czynna – wtedy należy mieć przy sobie dowód osobisty.
Dla osób, które utraciły kartę jednego z banków będących uczestnikami Systemu Zastrzegania Kart, możliwe jest także bezpłatne zastrzeżenie karty pod uruchomionym przez Związek Banków Polskich wspólnym numerem telefonu +48 828 828 828. Po połączeniu się z tym numerem klienci przekierowywani są na infolinię właściwego banku. Lista banków i instytucji kredytowych biorących udział w projekcie znajduje się na stronie zastrzegam.pl.
Bardzo ważnym elementem dbałości o bezpieczeństwo naszych pieniędzy jest ochrona danych osobowych. Imię i nazwisko w powiązaniu z numerem PESEL lub numerem dowodu osobistego to dane, które mogą ułatwić przestępcom drogę do wzbogacenia się naszym kosztem. O zagrożeniach związanych z kradzieżą tożsamości oraz o sposobach ich uniknięcia napiszemy już w następnym odcinku tego cyklu.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy tygodnika Do Rzeczy.
Regulamin i warunki licencjonowania materiałów prasowych.