Jak bezpiecznie logować się do banku i realizować przelewy - 5 porad
To pięć prostych wskazówek, które warto znać dla bezpiecznego korzystania z bankowości online.
Internet zapewnia szybkie i łatwe korzystanie z usług bankowych. Zlecenia bankowe typu wykonywanie przelewów czy sprawdzanie salda, dostępne są przy pomocy kilku kliknięć. Obowiązkiem użytkowników jest jednak zapewnienie bezpieczeństwa przy połączeniach z bankiem.
Aktualizacje przeglądarki, systemu, aplikacji, antywirusa
Wszystkie przeglądarki z reguły automatycznie wykonują aktualizację. Ma to swoje plusy, jednak przy większych zmianach wizualnych - choć zdarza się to dość rzadko - może zaniepokoić nieświadomego użytkownika i wzbudzić podejrzenia, czy korzysta z "autentycznej" wersji programu.
Przed połączeniem z bankiem warto upewnić się, czy używany komputer lub urządzenie mobilne jest bezpieczne. W przypadku komputera, system operacyjny oraz przeglądarka internetowa - dzięki której przeważnie korzystamy z bankowości online - muszą posiadać zainstalowane najnowsze aktualizacje.
Przeprowadzanie operacji finansowych z poziomu urządzeń mobilnych (Android, iOS, Windows), często odbywa się z wykorzystaniem dostarczanych przez bank aplikacji. Mobilna aplikacja bankowa oraz wykorzystywane oprogramowanie muszą być zawsze aktualizowane do najnowszych wersji.
Stan aktualizacji w Windows 10 sprawdzisz w sekcji: Ustawienia » Aktualizacja i zbeczpieczenia » Windows Update
Korzystając z aktualnego systemu i oprogramowania nie narażamy się na ataki, wykorzystujące większość znanych zagrożeń. Błędy dnia zerowego w oprogramowaniu (nieznane, na które nie ma jeszcze poprawek i aktualizacji) nie są przeważnie wykorzystywane do masowych ataków na użytkowników. Skompromitowanie aktualnego systemu jest więc praktycznie niemożliwe.
Bezpieczny komputer na którym łączymy się z bankiem powinien korzystyać z oprogramownia antywirusowego, a najlepiej również zapory połączenia sieciowego (firewall). Aktualizowane oprogramowanie antywirusowe chroni przed szkodliwym oprogramowaniem (malware), ale równie często przed przekierowaniem na strony, które podszywają się pod strony bankowe w celu wyłudzenia informacji. To zjawisko określane jest nazwą phishing.
Sprawdzamy czy strona banku jest prawdziwa a połączenie bezpieczne
Strona internetowa banku musi zapewniać odpowiedni poziom bezpieczeństwa. Korzystając z bankowości online należy ocenić, czy połączenie pomiędzy przeglądarką internetową, a stroną internetową banku jest szyfrowane. Wystarczy spojrzeć w pasek adresowy przeglądarki i sprawdzić, czy istnieje ciąg znaków "https://" przed adresem strony internetowej banku. Jeżeli istnieje wpis "https://", komunikacja jest szyfrowana.
Pomimo zapewnionego szyfrowania nadal nie możemy być pewni, czy połączyliśmy się z autentyczną stroną banku. Strony szyfrujące połączenia wykorzystują certyfikaty SSL. Atakujący potrafią podszywać się pod strony banków, wykorzystując zbliżone nazwą domeny i spreparowane certyfikaty SSL, podobne do oryginału. Przeglądarki umożliwiają jednak sprawdzenie każdego certyfikatu.
Im więcej znaków szczególnych certyfikatu (nazwa banku zamiast informacji "bezpieczna" w pasku adresowym, szczegółowe dane właściciela certyfikatu, dane wystawcy certyfikatu, ważność certyfikatu), tym większa pewność, że strona banku jest autentyczna i bezpieczna.
Logowanie do banku, hasło, dwuetapowe uwierzytelnianie
Podstawą bezpieczeństwa transakcji bankowych online jest samodzielnie wpisanie adresu strony internetowej banku w pasku adresowym przeglądarki. Nigdy nie klikamy w linki kierujące do strony banku, zawarte w wiadomościach e-mail lub umieszczone na stronach nie należących do banku.
Hakerzy często wykorzystują linki w treści e-mail, aby skierować użytkownika na podmienioną stronę banku, co pozwala przechwycić dane logowania i doprowadzić do kradzieży pieniędzy. Żaden szanujący się bank nie wysyła linków do systemu bankowego w niezamawianych wiadomościach e-mail. Jeżeli otrzymamy wiadomość e-mail, która wygląda jak informacja od banku - z dużym prawdopodobieństwem będzie to atak typy phishing, wyłudzający informacje.
Logując się korzystamy z silnego i unikalnego hasła, składającego się z małych i wielkich liter, cyfr, znaków specjalnych. Warto wystrzegać się użycia znanych słów lub fraz w hasłach. Nie jest dobrym pomysłem tworzenie haseł zawierających imiona i nazwiska, czy inicjały właściciela. Używamy loginu i hasła wyłącznie na oficjalnych stronach banków. Dobrą praktyką jest wylogowanie się z sesji bankowej po zakończeniu pracy w banku online.
Warto korzystać z usług, które zapewniają uwierzytelenienie dwuetapowe. Logując się do banku podajemy przeważnie login (numer klienta) oraz hasło (często z zamaskowaną częścią znaków hasła).
Realizując operacje na wyższym poziomie, dodatkowo zostaniemy poporoszeni o podanie kodu jednorazowego (dostarczanym przez sms, token, kartę kodów). Jeżeli płacimy kartą kredytową warto sprawdzić czy istnieje dodatkowy element zabezpieczeń, przykładowo Verified by Visa lub MasterCard SecureCode, umożliwiający dodatkowe jednorazowe potwierdzenie transakcji.
Zaufanie i kontrola
Wykonując przelewy online, zawsze należy sprawdzić stan konta po przeprowadzonej transakcji. Należy zweryfikować czy odpowiednia kwota została pobrana z konta. Jeżeli zauważymy nieprawidłowości, natychmiast należy poinformować bank. Jeżeli jest dostępna możliwość ustawienia powiadomień na e-mail lub sms o aktywności przeprowadzanej na koncie, należy aktywować opcję. Warto ustawić limity transakcyjne.
W przypadku wątpliwości, większość systemów bankowych pokazuje dane na temat logowania i przeprowadzonych operacji. Istotna jest szczegółowość danych - potrzebne będą nie tylko dane o wykonanych operacjach, czy dacie i godzinach logowania, ale również informacja o adresach IP logujących się maszyn na nasze konto bankowe online.
Nieznany komputer, nieznany dostęp do Internetu, podejrzany telefon...
Nie należy transferować pieniędzy przez komputery dostępne w pracy, publicznie, czy u znajomych. Podstawowa zasada brzmi - nigdy nie wykonujemy operacji bankowych przez komputery, których w pełni nie kontrolujemy. Jeżeli atakujący zastosuje program zapisujący znaki wpisywane z klawiatury (keylogger) na publicznym komputerze, może poznać dane dostępowe do banku.
Czasami zachodzi konieczność dostępu z prywatnego komputera do banku z nieznanej lokalizacji, przykładowo korzystając z ogólnodostępnego połączenia Wi-Fi, czy dostępu do sieci w hotelu. Powinniśmy wówczas zabezpieczyć się tworząc połącznie VPN, szyfrujące komunikację komputera.
Warto być ostrożnym odbierając rozmowy telefoniczne, w których konsultant przedstawia się jako pracownik banku. Bank nigdy nie będzie pytał o hasła czy PINy. Bank również nigdy nie prosi o dane osobiste klientów w tym loginy i hasła, przykładowo w celu weryfikacji.
Na koniec, koniecznie zobacz najciekawsze w tym roku przypadki nietypowych zagrożeń i ataków, pośrednio lub bezpośrednio związanych z bezpiecznym logowaniem do banku:
Uważaj z przelewami - na początku wszystko idzie dobrze, a potem...
Keylogger w laptopach HP - zagrożone modele i rozwiązanie problemu
Trojan bankowy Nymain znów grasuje, CERT Polska analizuje zagrożenie
Komentarze
10Pewnie chodziło o słowo "to compromise", czyli tutaj w znaczeniu "złamanie zabezpieczeń".