Chuck Norris podobno nagrał kiedyś internet na dyskietkę, ale dla większości z nas światowa sieć jest nie do ogarnięcia. I choć ułatwia nam życie tak bardzo, że ciężko byłoby się nam bez niej obejść, to jednak w jej zakamarkach czyhają zasadzki. Dziś zajmiemy się tymi, które zagrażają twoim oszczędnościom.
Bankowość internetowa zrewolucjonizowała nie tylko system finansowy, ale i wszystkie dziedziny życia związane z pieniędzmi, takie jak praca, prowadzenie biznesu, a przede wszystkim handel. Bez bankowości internetowej trudno wyobrazić sobie e-handel w znanej nam dziś postaci. Wyobrażacie sobie drukowanie blankietu przelewu po każdym zakupie w sklepie internetowym i pędzenie z nim do oddziału banku albo na pocztę? Albo wysyłanie w ramach zapłaty czeków zwykłą pocztą, jak robili to Amerykanie, gdy e-handel był w powijakach?
Zresztą to właśnie czeki stały się pierwszą ofiarą bankowości elektronicznej. Wymyślone w erze przedinternetowej, by wygodnie dokonywać przelewów, w Stanach do dziś stanowią bardzo ważny element systemu płatniczego. Jeszcze do niedawna więcej amerykańskich pracowników dostawało od pracodawcy czek, niż przelew bezpośrednio na konto. U nas to nie do pomyślenia, a bankowość internetowa i jej młodsza siostra, bankowość mobilna, wciąż wgryzają się coraz głębiej w nasze życie.
W tej chwili banki oferują przelewy na numer telefonu, konto na Facebooku czy adres e-mail. Technicznie możliwe jest już dokonanie przelewu poprzez zetknięcie dwóch smartfonów – nadawcy i odbiorcy. Jeszcze niedawno takie transakcje stanowiły ułamek rynku, na którym dominowały tradycyjne przelewy oraz płatności kartami płatniczymi, obecnie brak możliwości płacenia czy wykonania przelewu telefonem świadczy o dużym konserwatyzmie.
Dla banków to oczywiście sama korzyść, bo większy wolumen transakcji to większe przychody. Także państwo aktywnie wspiera rozwój bankowości internetowej, bo transakcje on-line łatwiej śledzić, a dzięki temu opodatkować. Jednak my, konsumenci, musimy zdawać sobie sprawę, że szybsze krążenie elektronicznych pieniędzy wystawia nas na zagrożenia nie znane dwie dekady temu, a ułatwienia dla nas często bywają również ułatwieniami dla cyberprzestępców.
W ostatnim tekście omawiałem zagrożenia płynące z posługiwania się kartami płatniczymi. Dziś skupimy się na atakach, które na nasze pieniądze mogą przeprowadzić internetowi złodzieje. Pamiętaj o dwóch podstawowych zasadach wyłuszczonych w poprzednim tekście:
- Nie ma zabezpieczeń nie do złamania, ale ich celem jest utrudnienie pracy przestępcy na tyle, by skłonić go do poszukiwania łatwiejszego celu.
- Najsłabszym elementem każdego systemu zabezpieczeń jest człowiek i nawet najlepsze oprogramowanie nie pomoże, jeśli sam zaprosisz złodzieja na swoje konto.
Oto podstawowe zagrożenia, które czekają nas w cyberprzestrzeni i sposoby na obronienie się przed nimi.
Dowiedz się, co daje weryfikacja konta bankowego w Goldsaverze
Phishing
Jedno z najczęstszych i najlepiej znanych zagrożeń. Dlaczego więc przestępcy wciąż posługują się tą metodą? Bo działa, a naiwni klienci banków podają w ten sposób oszustom swoje pieniądze na złotej tacy.
Phishing polega na „zarzuceniu przynęty” (stąd nazwa) w postaci spreparowanego e-maila, który wygląda jak wysłany od banku. Znajdziecie w nim właściwe logo, kolory, krój czcionki, nawet charakterystyczny dla danego działu kontaktu z klientami styl. Zgadzać się będzie nagłówek, czasem nawet adres e-mail. Z treści możecie się dowiedzieć np. że bank zmienia system informatyczny albo że na twoim koncie wykryto podejrzaną aktywność. Pomysły przestępców są niewyczerpane. Na końcu będzie znajdował się link, w który należy kliknąć, by zmienić lub potwierdzić hasło do konta.
Po kliknięciu zostaniesz przeniesiony na stronę do złudzenia przypominającą stronę prawdziwego banku. Tam wpisujesz swój numer klienta, hasło, a następnie, jeśli korzystasz z kodów jednorazowych, musisz go wpisać, by potwierdzić jakąś operację (np. „zmianę ustawień”). Co dzieje się w rzeczywistości?
Oprogramowanie loguje się na twoje konto w banku wykorzystując ujawnione przez ciebie dane. Następnie zleca przelew wszystkich środków na koncie na fikcyjne konto jakiegoś „słupa”, czyli podstawionej osoby, często bezdomnego lub w inny sposób wykluczonego społecznie. Kiedy potwierdzasz operację, przekazujesz przestępcom kod jednorazowy do potwierdzenia tego przelewu. Najczęściej nigdy już nie zobaczysz pieniędzy, a reklamacje nie zostaną uwzględnione, bo w końcu to nie zabezpieczenia banku zawiodły.
Oczywiście to tylko jeden z wariantów ataku phishingowego. Wszystkie jednak przebiegają według schematu: zarzucenie przynęty → wyłudzenie danych → kradzież pieniędzy.
Żeby się przed tym bronić, warto przestrzegać kilku zasad:
- pamiętaj, że żaden bank nigdy nie będzie od ciebie wymagał podania hasła do konta lub innych wrażliwych danych za pomocą e-maila; traktuj każdy mail z niewiadomego źródła z linkiem do bankowości internetowej jako próbę phishingu i natychmiast kasuj; warto dodatkowo powiadomić bank, który rzekomo rozsyła taką informację;
- nigdy nie podawaj haseł jednorazowych podczas logowania;
- nigdy nie podawaj hasła do bankowości internetowej podczas rozmowy telefonicznej, zwłaszcza jeśli to konsultant banku dzwoni do ciebie; do uwierzytelniania bankowości telefonicznej służą inne dane;
- loguj się do bankowości internetowej tylko poprzez wpisywanie adresu w oknie przeglądarki lub przez bezpieczne odesłania z serwisów płatności w zaufanych sklepach internetowych;
- zmieniaj co jakiś czas hasło do bankowości internetowej; korzystaj z tego hasła tylko w tym jednym przypadku; hasło powinno składać się z wielkich i małych liter, cyfr oraz znaków specjalnych (np. MojeHaslo&69). A najlepiej zacznij używać menedżera haseł, który potrafi generować naprawdę złożone hasła;
- zawsze sprawdzaj, czy zgadza się adres internetowy serwisu oraz czy serwis posiada aktywny certyfikat szyfrujący SSL (adres zaczyna się od https:// nie http://, kłódka przy adresie witryny powinna być zielona);
- jeśli korzystasz z haseł SMS sprawdź w SMS-ie, czy operacja przez ciebie wykonywana zgadza się z tym, co przesłał bank;
- w przypadku jakichkolwiek wątpliwości przerwij transakcję i skontaktuj się z bankiem, np. przez infolinię.
Sprawdź, jak zaplanować domowy budżet
Wirusy, trojany i inne złośliwe oprogramowanie
Złośliwe oprogramowanie na komputerze jest znacznie groźniejsze niż phishing, bo do odparcia ataków trzeba znacznie więcej ostrożności niż w tym pierwszym przypadku. Z reguły są to ataki subtelniejsze, a ich efekty dostrzegamy z opóźnieniem, gdy nie ma już szans na odwrócenie transakcji.
Złośliwe oprogramowanie może wykraść nasze dane, zmienić nasz komputer w „zombie” czyli bezwolną maszynę, dokonującą ataków, a nawet podmienić numer konta w zleceniu przelewu, łącznie z numerem, który wyświetla nam przeglądarka internetowa w bankowym potwierdzeniu.
Dobra wiadomość jest taka, że złośliwe oprogramowanie rozprzestrzenia się niemal wyłącznie automatycznie, a to oznacza, że jeśli napotka na opór, poszuka łatwiejszej ofiary. Oto kroki, które należy podjąć, by zabezpieczyć się przed większością zagrożeń:
- zainstaluj na komputerze program antywirusowy oraz firewall i regularnie je aktualizuj; jest sporo dobrych darmowych programów, które można legalnie ściągnąć do użytku domowego;
- regularnie aktualizuj swój system operacyjny i wszystkie programy, każda aktualizacja zawiera łaty zamykające znane dziury, które wykorzystuje złośliwe oprogramowanie;
- nigdy nie instaluj programów z nieznanego źródła;
- nie korzystaj z pornografii internetowej, torrentów i serwisów z pirackimi plikami na urządzeniu, które wykorzystujesz do łączności z bankiem (a najlepiej w ogóle);
- pamiętaj, że zainfekowany może zostać również twój tablet czy smartfon; upewnij się, że aplikacja bankowości mobilnej jest wydana przez bank;
- nigdy nie instaluj żadnych certyfikatów uwierzytelniających, banki rejestrują urządzenia mobilne w inny sposób;
- jeśli obracasz naprawdę dużymi pieniędzmi, korzystaj z komputera, na którym jest tylko system operacyjny, antywirusy i przeglądarka internetowa, nie wykorzystuj go do niczego innego;
- adres strony internetowej banku oraz numery konta wpisuj ręcznie, niektóre wirusy potrafią podmienić zawartość „Ulubionych” lub schowka Windows;
- jeśli korzystasz z haseł SMS warto zdefiniować dla nich numer, z którego nie korzystasz na co dzień; idealny będzie stary telefon typu „cegła” z kontem prepaid, któremu niestraszne wyrafinowane wirusy;
- uważnie czytaj wszystkie dane zawarte w SMS-ie potwierdzającym transakcję, zwłaszcza jej rodzaj i numer konta.
Dowiedz się, czym jest i jak działa Goldsaver
Inne zagrożenia
To jeszcze nie koniec. Niestety niefrasobliwość użytkowników potrafi stworzyć zagrożenia, o jakich nie śniło się specjalistom ds. bezpieczeństwa. Tu jednak wystarczy zdrowy rozsądek:
- nigdy nie loguj się do bankowości internetowej na obcym urządzeniu lub przez obcą sieć WiFi (zwłaszcza publiczną, niezahasłowaną);
- po zakończeniu operacji wyloguj się z konta, nawet jeśli pracujesz na własnym, bezpiecznym komputerze;
- sprawdzaj daty ostatniego poprawnego i niepoprawnego logowania na konto; jeśli nie były to twoje logowania, zapewne ktoś próbował dokonać włamania;
- a przede wszystkim nigdy, przenigdy nie podawaj nikomu danych do konta i nie zapisuj ich w łatwo dostępnych miejscach.
Pamiętaj, bankowość internetowa to wygodne narzędzie i mimo wszystkich zagrożeń stosunkowo bezpieczne. Większość ofiar oszustów popełniło przynajmniej kilka podstawowych błędów, o których pisałem powyżej. Jednak odrobina ostrożności i zdrowego rozsądku wystarczy, by ochronić swoje oszczędności.
Krzysztof Krzemień