Bankowość elektroniczna to dziś powszechny kanał dostępu do naszych pieniędzy. Użytkowników Kontomierza chyba nie trzeba o tym przekonywać :). Ale w związku z tym, że obsługa swoich kont bankowych przez internet jest tak popularna, ten kanał dostępu często bywa on celem ataków, prób wyłudzeń loginów i haseł i innego typu nieuczciwych praktyk.

Ostatnio mogliśmy się o tym przekonać po tym, jak jeden z użytkowników mBanku podzielił się swoją historią o tym, jak stracił 40 tysięcy złotych przelewając pieniądze na numer konta podmieniony przez złodzieja.

Co dokładnie mogło się stać? Najprawdopodobniej autor nagrania przez nieuwagę zainstalował na swoim komputerze złośliwe oprogramowanie, które z jednej strony podmienia dane wejściowe przy zlecaniu przelewu (numer konta) a z drugiej sprawia, że przeglądarka internetowa nadal wyświetla „poprawny” numer konta w historii transakcji.

Wbrew temu, co twierdzi autor nagrania, kłódka w pasku adresu symbolizująca szyfrowane połączenie, nie służy zabezpieczeniu przed wyłudzeniami tego typu. Tu cały proces odbywał się na komputerze użytkownika – winę banku będzie tu bardzo trudno wykazać.

Mamy więc do czynienia z winą użytkownika? Z jednej strony tak – w końcu dopuścił do instalacji złośliwego oprogramowania na swoim komputerze. Ale z drugiej, jak zauważa Piotr Konieczny z Niebezpiecznika:

Warto też zauważyć, że ofiara z filmiku miała antywirusa. Dołożyła więc wszelkich starań, aby się zabezpieczyć, ale pechowo trafiła na zagrożenie, które jeszcze przez antywirusy nie jest rozpoznawalne.

Jak więc korzystać z bankowości internetowej tak, aby nie naciąć się na podobne oszustwa? Przypominamy szereg zasad bezpieczeństwa.

Na etapie logowania do banku

Znajduje się tam kilka ważnych rzeczy, na które trzeba zwrócić uwagę. Po pierwsze – sam adres. Oszuści w mailach phishingowych będą kierować nas na strony łudząco podobne do modułu logowania naszego banku.

O to podobieństwo będą dbać też odpowiednio maskując adres strony. Czyli jeżeli na przykład logujesz się do mBanku, to w pasku adresu powinien znaleźć się adres: online.mbank.pl/pl/Login

kreatywni oszuści mogą wymyślić podobne domeny, które na pierwszy rzut oka będą wyglądać niemal identycznie jak oryginał, ale zamiast do systemu transakcyjnego, będą prowadzić po prostu do modułu wyłudzającego loginy i hasła.

Łatwo sobie wyobrazić takie „kreatywne” adresy, np. „online.rnbank.pl/pl/Login” (m zamienione na r i n). O pomyłkę nietrudno.

W pasku adresu znajdują się jeszcze inne istotne rzeczy. Adres poprzedzony powinien być przedrostkiem https://, co oznacza bezpieczne połączenie.

Adres najlepiej wpisywać bezpośrednio w pasku przeglądarki, „z ręki”. Lepiej nie polegać na „ulubionych”. Skoro istnieje złośliwe oprogramowanie, które potrafi podmienić numer konta przy przelewie, to pewnie gdzieś też istnieje takie, które podmienia „ulubione” docelowe adresy logowania do stron banków internetowych.

I jeszcze jedno. Logujmy się tylko z zaufanych komputerów, takich co do których mamy pewność, że nie mają zainstalowanych żadnych keyloggerów ani innego złośliwego oprogramowania. Czyli odpadają wszelkie kafejki internetowe i publiczne biblioteki.

Przy zlecaniu przelewu

Upewnijmy się, że na pewno wpisaliśmy poprawny numer konta.

Tym bardziej, jeżeli nie wpisywaliśmy go z „ręki”, tylko kopiowaliśmy z systemowego schowka. Złośliwe oprogramowanie podmieniające numery kont bankowych w schowku to na tyle powszechny problem, że banki coraz częściej wprowadzają dodatkowe zabezpieczenie. Np. gdy wklejamy numer konta do formularza, bank prosi o ponowne wpisanie ostatniej cyfry, celem weryfikacji.

W opisywanym dziś przypadku nawet takie środki ostrożności zdałyby się jednak na nic. Dlatego ważne jest też weryfikowanie poprawności numeru konta w wiadomości SMS wysyłanej przez bank podczas zatwierdzania transakcji.

Podczas kontaktów z bankiem

W mailach od banków też warto sprawdzać, z jakiej domeny są wysyłane. Ale to o wiele za mało.

Przy elektronicznej korespondencji z bankiem najlepiej przyjąć trzy zasady:

  1. Żaden pracownik banku nie będzie prosił Cię o podanie loginu i/lub hasła za pośrednictwem maila. Jeżeli otrzymałeś mail z taką treścią, to coś musi być nie tak i warto zwiększyć czujność.
  2. Nie klikamy w mailach w linki, które prowadzą do stron logowania (banki w ogóle nie powinny takich linków zamieszczać w korespondencji). Zamiast tego, jeżeli sprawa z maila wymaga od nas zalogowania się do systemu, to logujemy się samodzielnie, „ręcznie” – według zasad opisanych wcześniej.
  3. Nie otwieramy linków i załączników z maili z podejrzanych źródeł. I to dotyczy nie tylko maili związanych z finansami, ale wszelkiej podejrzanej i spamowej korespondencji. Taki klik w link czy załącznik może ostatecznie doprowadzić do tego, że nieświadomie zainstalujemy na swoim komputerze złośliwe oprogramowanie, które otworzy drogę do pozyskania naszych danych.

Fot. Flickr / Moyan_Brenn


dodaj własny »

10 komentarze czytelników

  1. toperzak

    Pożyteczne i prawdziwe. Fajny zbiór porad.

    Jeśli powyższe nie wystarczy, zaaplikuj najnowszą aktualizację bezpieczeństwa dla swojego mózgu tutaj:
    https://prezi.com/zmod2d-cxugj/
    lub tutaj:
    https://www.youtube.com/playlist?list=PLQNZaWpmI1TccoXixpFURgEtkp888T4qx
    Za darmo, od społeczności profesjonalistów bezpieczeństwa IT w ramach Inicjatywy Kultury Bezpieczeństwa.

    14 grudnia 2015 09:21

  2. Krystian

    trzeba uważać na tych złodziei internetowych, świetny artykuł, na pewno się przyda wielu osobom :)

    14 grudnia 2015 16:26

  3. Adam

    SSL, aktualny antywirus, smsy potwierdzające oraz nasza czujność i rozwaga są najważniejsze przy tego typu działaniach :)

    15 grudnia 2015 15:30

  4. Krystian Kowalczyk

    Niewiarygodne co ci hakerzy mogą zdziałać przez internet.. warto chyba zainwestować te parę złoty więcej na dobrego antywirusa niż się potem martwić

    21 grudnia 2015 14:17

  5. TOP1 Finanse

    Antywirus to podstawa, polecam Kaspersky

    22 grudnia 2015 22:38

  6. Tomasz Fryc

    Najważniejsze to czysty komputer. bez wirusów i innego świństwa.

    30 grudnia 2015 20:18

  7. acemaxsobatuntukdiabetes.id/

    The world is changing fast. people are also being transformed.day by day we are becoming more dependant on degital system.you are making me think of this really.You have a great method of sharing your thoughts
    http://obatuntukdiabetes.id/
    http://acemaxscare.com/cara-pemesanan-ace-maxs/

    20 kwietnia 2016 08:14

  8. Anonimbf

    Football match highlights
    Watch Football Match Highlights
    Football Shows

    Wimbledon 2016 Live
    Wimbledon 2016 Live Stream
    Watch Wimbledon 2016 Live

    Tour de France 2016 live stream
    Tour de France live streaming HD
    Tour de France 2016 live

    http://www.tourdefrance2016livestream.com
    http://www.uefaeuro2016livefr.com/

    http://www.wimbledon2016live.com/

    http://www.techgield.net
    http://www.cybermondayoffers.org/
    http://www.tourdefrancelivestream.org/
    http://www.cocth7warbase.com
    http://www.tourdefrance2016livestream.com
    http://www.fullmatchhighlightshq.com/

    13 czerwca 2016 14:35

  9. Anonim

    I do like your firm workings and be grateful for your idea. I can pass on you another site where you can get information. Finally i will say this is wonderful job and keep it up. Get 3d hologram labels products from http://labelprintingco.co.uk/3d-hologram-labels.html

    6 września 2016 16:04

  10. Anonim

    Nice article and i like your writing becouse it's help ini to make happy and success. thanks

    Vidmate Apk Download
    Vidmate app free download

    7 października 2016 13:02

Nowe zasady dotyczące cookies. Wykorzystujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Więcej szczegółów w naszej Polityce dotyczącej cookies