Bezpieczna bankowość elektroniczna to hasło, które na skutek kampani marketingowych i edukacyjnych stało się ostatnio bardzo modne. Trudno się temu dziwić, ponieważ z roku na rok zauważalnie dochodzi do coraz większej liczby ataków na konta bankowe. Wbrew pozorom, ofiarami takich działań padają nie tylko osoby mniej obeznane we współczesnym świecie nowych technologii. Atak może zostać przeprowadzony na każdego. Czy zatem bezpieczna bankowość elektroniczna jest możliwa? Jak należy zabezpieczyć się przed niepożądanymi sytuacjami?
Na czym polega bezpieczne korzystanie z bankowości elektronicznej?
Bankowość elektroniczna, która zapewnia bieżący i zdalny dostęp do rachunku z komputera oraz różnych urządzeń mobilnych, to dziś branżowy standard. Szybkiego dostępu do konta, możliwości wykonania przelewu z laptopa lub smartfona, potrzebujemy nie tylko w trakcie wyjazdu, ale również na co dzień.
Do platform i aplikacji bankowych posiadamy stosunkowo duże zaufanie. Jednak tendencje są jednoznaczne – przestępstw polegających na kradzieży z rachunków bankowych jest coraz więcej. Co zrobić, aby bankowość elektroniczna była rzeczywiście bezpieczna? Kluczowe jest holistyczne podejście: zwrócenie uwagi zarówno na aspekty techniczne, jak i wyuczenie się odpowiednich zachowań, pozwalających uniknąć ataku.
Czy bezpieczna bankowość elektroniczna faktycznie istnieje?
Bankowość elektroniczna jest szczególnie narażona na ataki hakerów. Możliwość szybkiego, zdalnego i często niewykrywalnego dokonania przestępstwa może być dla wielu oszustów kuszącą perspektywą. Nie ulega wątpliwości fakt, że z roku na rok na świecie dochodzi do coraz większej liczby przestępstw cybernetycznych – kradzieży i wyłudzeń poufnych danych.
W samej Polsce również odnotowywany jest wzrost zagrożeń w sieci oraz przestępczości cybernetycznej. Obecnie wykrywanych i zgłaszanych jest ponad 50 tysięcy ataków rocznie, jednak szacuje się, że jest to jedynie kropla w morzu wszystkich zdarzeń. Zdecydowana większość ataków nie jest bowiem zgłaszana. Przyczyn jest wiele: nieświadomość ofiary, niechęć, a w przypadku niektórych większych firm – nawet wstyd przed ujawnianiem takiego zdarzenia.
Sektor bankowy jest jednocześnie tym, który jest najbardziej narażony na ataki hakerskie, jak i tym, który stosuje najwyższej klasy zabezpieczenia. Podobnie, jak przestępcy stosują coraz nowsze metody ataków, tak banki wykorzystują coraz efektywniejsze techniki zabezpieczeń. Jednak finalnie okazuje się, że najwięcej przestępstw to czyny wymierzone nie przeciwko całym systemom bankowym, ale poszczególnym “Kowalskim”. Główną przyczyną okazuje się zaś brak przestrzegania podstawowych zasad bezpieczeństwa w internecie. Korzystanie z bankowości elektronicznej może być bezpieczne, ale tylko wtedy, gdy zadba się o odpowiednie zabezpieczenie komputera, konta, a także będzie się odpornym na próby wyłudzeń danych.
Bezpieczna bankowość a zabezpieczenie komputera
Aby bezpiecznie korzystać z bankowości elektronicznej, przede wszystkim powinniśmy zacząć od zabezpieczenia komputera i urządzeń mobilnych. Wszystkie urządzenia, z których logujemy się na rachunek bankowy online, muszą posiadać na bieżąco aktualizowane systemy operacyjne. W przypadku komputerów z systemem Windows i urządzeń z systemem Android dodatkowo zaleca się zainstalowanie renomowanego programu antywirusowego z efektywnym firewallem (w wersji płatnej). Oprogramowanie antywirusowe i robienie częstych aktualizacji to tematy nierzadko bagatelizowane, ale mają duży wpływ na poziom bezpieczeństwa.
Bankowość elektroniczna zawsze będzie bezpieczniejsza, jeśli korzystamy z niej tylko poprzez własne urządzenia. Należy również zachować ostrożność w używaniu publicznych sieci Wi-Fi, a jeśli jest taka konieczność, upewnić się, że komputer rozpoznaje sieć jako publiczną, a nie prywatną. Dobrym pomysłem jest także wykorzystanie nieużytych gigabajtów internetu z karty SIM telefonu. Możliwe również, że smartfon ma opcję stworzenia hotspotu WiFi – wówczas można zalogować się z laptopa poprzez sieć operatora z naszego telefonu komórkowego.
Dobre praktyki w zakresie bezpieczeństwa danych
Zabezpieczenie oprogramowania i sprzętu nie wystarczy. Bezpieczna bankowość elektroniczna możliwa jest tylko wtedy, gdy w ślad za zabezpieczeniami pójdą dobre praktyki klientów. Kontrolna lista dobrych praktyk zawiera takie elementy, jak sprawdzanie adresu logowania, ustawienie silnego, unikalnego hasła czy weryfikację danych przelewu.
Sprawdzanie adresu logowania
Wiele włamań do kont osobistych i firmowych przeprowadza się poprzez fikcyjne platformy logowania do banku. Są to strony łudząco przypominające oficjalne strony banku. Będą wyposażone w taką samą szatę graficzną i treści, a także podobnych lub identyczny schemat wpisywania danych. W praktyce jednak użytkownikowi nie uda się zalogować, a dane dostępowe natychmiast trafią w rękę przestępców, którzy błyskawicznie “wyczyszczą” konto.
Ochrona przed takim oszustwem leży zarówno po stronie banku, jak i użytkownika. Bardziej śmiałe próby kradzieży polegające na upublicznieniu w sieci bliźniaczo podobnego adresu logowania to jedne z rzadszych, choć głośniejszych spraw związanych z przestępstwami bankowymi.
Z tego powodu zawsze należy upewnić się, czy wpisany adres strony internetowej jest właściwy (jeden dodatkowy znak interpunkcyjny lub litera przestawiona o jedno miejsce to już zupełnie inna domena internetowa). Najczęściej jednak linki do fałszywych witryn udostępniane są w mailingu poprzez phishing. Dla pewności nigdy nie należy więc logować się bezpośrednio z linków otrzymanych w e-mailu lub SMSie od banku.
Wybór silnego hasła i uwierzytelnianie dwuskładnikowe
Hasło do platformy bankowości elektronicznej powinno być wyjątkowo silne i unikalne. Nie należy korzystać z haseł, które są używane do logowania się w innych serwisów. W przeciwnym razie bezpieczeństwo środków będzie zależeć od bezpieczeństwa np. poczty elektronicznej.
Coraz częściej banki samodzielnie zachęcają klientów do wyboru silnego, niepowtarzalnego hasła, złożonego z cyfr, liter i znaków specjalnych. Niektóre platformy posiadają również automatyczne komunikaty przypominające o potrzebie cyklicznej zmiany hasła.
Oprócz hasła, warto zadbać również o mechanizm uwierzytelniania dwuskładnikowego. Jest to dodatkowa warstwa ochrony, dzięki której nawet w przypadku poznania naszego hasła, cyberprzestępca nie będzie w stanie uzyskać dostępu do konta bez podania specjalnego kodu z SMSa lub np. posiadania klucza U2F.
Ostrożność w przeglądaniu wiadomości e-mail oraz SMS
Każdy bank ma nieco inną politykę informacyjną, jednak nadrzędne zasady są takie same: bank nigdy nie poprosi nikogo o podanie pełnych danych logowania się. Nie odbywa się to ani przez SMS, ani przez maila, ani przez rozmowę telefoniczną. Istnieją różne sytuacje, które mogą wymagać wsparcia technicznego i wówczas faktycznie pracownik może poprosić o pewne dane, ale nigdy o hasło.
Oczywiście zawsze, gdy nie jesteśmy pewni, możemy się po prostu rozłączyć. To prawdopodobnie najlepsze rozwiązanie, a ewentualna pomyłka w ocenie sytuacji jest rzeczą ludzką i w takim kontekście nikt nie będzie miał o to pretensji. Jeżeli nie czujemy się bezpiecznie załatwiając sprawy zdalne, można też umówić się na wizytę w placówce wybranego banku, aby wszelkie szczegóły ustalić z pracownikiem banku.
Weryfikacja danych przelewu
W momencie wykonywania przelewu należy zawsze upewnić się, czy wpisany rachunek nadawcy jest poprawny. Istnieją wirusy, które podmieniają nr rachunku bankowego na stronie banku lub w momencie kopiowania go np. z wiadomości e-mail.
Obecnie często nie korzysta się z wpisywania szczegółowych danych teleadresowych przy wykonywaniu przelewów. Znaczenie ma czas potrzebny na wysłanie pieniędzy. To błąd, ponieważ poprawne wpisanie danych może być silnym powodem unieważnienia przelewu w sytuacji, gdyby z jakichś przyczyn doszło do przesłania środków na niewłaściwy numer rachunku.
Wycofanie zgód marketingowych
Chociaż oficjalne poradniki bezpieczeństwa publikowane przez banki mogą nie mówić o tym aspekcie, w kontekście ochrony danych warto poruszyć aspekt zgód marketingowych. Banki nie wykorzystują danych nielegalnie – zgody marketingowe dotyczą konkretnych czynności, np. marketingu bezpośredniego. Ewentualne przekazanie danych do podmiotów trzeci wiąże się zawsze z wyrażoną zgodą klienta (w załączniku regulaminu będzie znajdował się spis podmiotów).
Wycofanie zgód marketingowych jest warte rozważenia z zupełnie innego powodu: bezpieczeństwa. Bez zgód marketingowych znacznie łatwiej zachować ostrożność i zasadę ograniczonego zaufania. Telefonów ws. rzeczy związanych z kontem bankowym będzie po prostu znacznie mniej, wobec czego do każdego podejdzie się w bardziej zachowawczy sposób. W dłuższym horyzoncie czasowym ta mała zmiana może faktycznie mieć duże znaczenie.
Ataki na konto bankowe – jak można się przed nimi zabezpieczyć?
Ataki wymierzone w indywidualne osoby są zmorą naszych czasów. Nawet najlepsze zabezpieczenia techniczne pozostaną nieskuteczne, jeśli nasze działania będą charakteryzowały się nadmierną ufnością. Do najpopularniejszych metod kradzieży środków z rachunku bankowego należy phishing i jego odmiana telefoniczna – vishing. Jak się przed nimi zabezpieczyć?
Niebezpieczny phishing – schemat wyłudzeń pieniędzy
Phishing to jedno z głównych zagrożeń związanych z bankowością elektroniczną. Na tym polu to, czy bankowość elektroniczna jest bezpieczna, zależy głównie od klienta banku. Jeden z najpopularniejszych schematów oszustwa zaczyna się od przesłania alarmujących maili upozorowanych na bankowe. Przedstawiają one fikcyjne zdarzenia, skłaniając klienta do jednego: konieczności zalogowania się do banku. W tym celu ofiara ma skorzystać z podanego odnośnika.
Jak łatwo się domyślić, odnośnik prowadzi do strony udającej oryginalną stronę logowania banku. Logując się w ten sposób, przestępcy od razu otrzymają dane niezbędne do wejścia na prawdziwe konto. Rozpocznie się proces natychmiastowego brania pożyczek (jeśli to możliwe) i wykonywania przelewów na zewnętrzne rachunki. Czasem konieczne jest jeszcze podanie kodu potwierdzającego wykonanie przelewu. W tym celu fałszywa strona może zawierać pole do wpisania otrzymanego kodu, aby ten został przekazany oszustom.
Kradzież pieniędzy z konta z suspensem, czyli vishing
Kolejnym niebezpiecznym typem oszustwa jest phishing głosowy, czyli vishing (voice phishing). W tym modelu oszuści korzystają bezpośrednio z połączenia telefonicznego z wybraną ofiarą, podszywając się pod pracownika banku, prawnika, a nawet policję. Początkowy schemat sytuacji zawsze zawiera trzy identyczne części:
- Element zaskoczenia. Nagła sygnalizacja problemu i stworzenie zagrożenia. Wymyślonym problemem może być atak na konto bankowe i konieczność natychmiastowej ochrony rachunku pod groźbą utraty wszystkich środków.
- Zaoferowanie pomocy i wytworzenie zaufania. Ofiara ma mieć wrażenie, że wszystko będzie dobrze, jeśli będzie współpracowała z – przykładowo – “pracownikiem banku”.
- Wyłudzenie informacji poufnych. Na tym etapie przestępcy pobierają również dane od ofiary: informacje teleadresowe, numer pesel, numer dowodu osobistego, a nawet login i hasło do bankowości internetowej.
Całe oszustwo może odbywać się w trakcie rozmowy telefonicznej. Przestępcy mogą też prosić o zainstalowanie specjalnej aplikacji, która wbrew innym zapewnieniom ma jeden cel: przesłanie informacji o danych logowania się i kodów autoryzacyjnych. W ten sposób po rozmowie ofiara może dostrzec utratę wszystkich środków z konta.
Bezpieczna bankowość elektroniczna może istnieć tylko wtedy, kiedy wszyscy będą zachowywali zgodnie z zasadą maksymalnie ograniczonego zaufania. Przed vishingiem łatwo się uchronić, jeśli tylko postawi się na asertywność pamiętając, że żaden pracownik banku, policjant, ani nawet cudownie odnaleziony krewny nie będzie wymagać podania naszych danych poufnych.
