Bankowość elektroniczna to dziś powszechny kanał dostępu do naszych pieniędzy. Użytkowników Kontomierza chyba nie trzeba o tym przekonywać :). Ale w związku z tym, że obsługa swoich kont bankowych przez internet jest tak popularna, ten kanał dostępu często bywa on celem ataków, prób wyłudzeń loginów i haseł i innego typu nieuczciwych praktyk.

Ostatnio mogliśmy się o tym przekonać po tym, jak jeden z użytkowników mBanku podzielił się swoją historią o tym, jak stracił 40 tysięcy złotych przelewając pieniądze na numer konta podmieniony przez złodzieja.

Co dokładnie mogło się stać? Najprawdopodobniej autor nagrania przez nieuwagę zainstalował na swoim komputerze złośliwe oprogramowanie, które z jednej strony podmienia dane wejściowe przy zlecaniu przelewu (numer konta) a z drugiej sprawia, że przeglądarka internetowa nadal wyświetla „poprawny” numer konta w historii transakcji.

Wbrew temu, co twierdzi autor nagrania, kłódka w pasku adresu symbolizująca szyfrowane połączenie, nie służy zabezpieczeniu przed wyłudzeniami tego typu. Tu cały proces odbywał się na komputerze użytkownika – winę banku będzie tu bardzo trudno wykazać.

Mamy więc do czynienia z winą użytkownika? Z jednej strony tak – w końcu dopuścił do instalacji złośliwego oprogramowania na swoim komputerze. Ale z drugiej, jak zauważa Piotr Konieczny z Niebezpiecznika:

Warto też zauważyć, że ofiara z filmiku miała antywirusa. Dołożyła więc wszelkich starań, aby się zabezpieczyć, ale pechowo trafiła na zagrożenie, które jeszcze przez antywirusy nie jest rozpoznawalne.

Jak więc korzystać z bankowości internetowej tak, aby nie naciąć się na podobne oszustwa? Przypominamy szereg zasad bezpieczeństwa.

Na etapie logowania do banku

Znajduje się tam kilka ważnych rzeczy, na które trzeba zwrócić uwagę. Po pierwsze – sam adres. Oszuści w mailach phishingowych będą kierować nas na strony łudząco podobne do modułu logowania naszego banku.

O to podobieństwo będą dbać też odpowiednio maskując adres strony. Czyli jeżeli na przykład logujesz się do mBanku, to w pasku adresu powinien znaleźć się adres: online.mbank.pl/pl/Login

kreatywni oszuści mogą wymyślić podobne domeny, które na pierwszy rzut oka będą wyglądać niemal identycznie jak oryginał, ale zamiast do systemu transakcyjnego, będą prowadzić po prostu do modułu wyłudzającego loginy i hasła.

Łatwo sobie wyobrazić takie „kreatywne” adresy, np. „online.rnbank.pl/pl/Login” (m zamienione na r i n). O pomyłkę nietrudno.

W pasku adresu znajdują się jeszcze inne istotne rzeczy. Adres poprzedzony powinien być przedrostkiem https://, co oznacza bezpieczne połączenie.

Adres najlepiej wpisywać bezpośrednio w pasku przeglądarki, „z ręki”. Lepiej nie polegać na „ulubionych”. Skoro istnieje złośliwe oprogramowanie, które potrafi podmienić numer konta przy przelewie, to pewnie gdzieś też istnieje takie, które podmienia „ulubione” docelowe adresy logowania do stron banków internetowych.

I jeszcze jedno. Logujmy się tylko z zaufanych komputerów, takich co do których mamy pewność, że nie mają zainstalowanych żadnych keyloggerów ani innego złośliwego oprogramowania. Czyli odpadają wszelkie kafejki internetowe i publiczne biblioteki.

Przy zlecaniu przelewu

Upewnijmy się, że na pewno wpisaliśmy poprawny numer konta.

Tym bardziej, jeżeli nie wpisywaliśmy go z „ręki”, tylko kopiowaliśmy z systemowego schowka. Złośliwe oprogramowanie podmieniające numery kont bankowych w schowku to na tyle powszechny problem, że banki coraz częściej wprowadzają dodatkowe zabezpieczenie. Np. gdy wklejamy numer konta do formularza, bank prosi o ponowne wpisanie ostatniej cyfry, celem weryfikacji.

W opisywanym dziś przypadku nawet takie środki ostrożności zdałyby się jednak na nic. Dlatego ważne jest też weryfikowanie poprawności numeru konta w wiadomości SMS wysyłanej przez bank podczas zatwierdzania transakcji.

Podczas kontaktów z bankiem

W mailach od banków też warto sprawdzać, z jakiej domeny są wysyłane. Ale to o wiele za mało.

Przy elektronicznej korespondencji z bankiem najlepiej przyjąć trzy zasady:

  1. Żaden pracownik banku nie będzie prosił Cię o podanie loginu i/lub hasła za pośrednictwem maila. Jeżeli otrzymałeś mail z taką treścią, to coś musi być nie tak i warto zwiększyć czujność.
  2. Nie klikamy w mailach w linki, które prowadzą do stron logowania (banki w ogóle nie powinny takich linków zamieszczać w korespondencji). Zamiast tego, jeżeli sprawa z maila wymaga od nas zalogowania się do systemu, to logujemy się samodzielnie, „ręcznie” – według zasad opisanych wcześniej.
  3. Nie otwieramy linków i załączników z maili z podejrzanych źródeł. I to dotyczy nie tylko maili związanych z finansami, ale wszelkiej podejrzanej i spamowej korespondencji. Taki klik w link czy załącznik może ostatecznie doprowadzić do tego, że nieświadomie zainstalujemy na swoim komputerze złośliwe oprogramowanie, które otworzy drogę do pozyskania naszych danych.

Fot. Flickr / Moyan_Brenn


5 komentarze czytelników

  1. Krystian

    trzeba uważać na tych złodziei internetowych, świetny artykuł, na pewno się przyda wielu osobom :)

    14 grudnia 2015 17:26

  2. Adam

    SSL, aktualny antywirus, smsy potwierdzające oraz nasza czujność i rozwaga są najważniejsze przy tego typu działaniach :)

    15 grudnia 2015 16:30

  3. Krystian Kowalczyk

    Niewiarygodne co ci hakerzy mogą zdziałać przez internet.. warto chyba zainwestować te parę złoty więcej na dobrego antywirusa niż się potem martwić

    21 grudnia 2015 15:17

  4. TOP1 Finanse

    Antywirus to podstawa, polecam Kaspersky

    22 grudnia 2015 23:38

  5. Tomasz Fryc

    Najważniejsze to czysty komputer. bez wirusów i innego świństwa.

    30 grudnia 2015 21:18

Nowe zasady dotyczące cookies. Używamy plików cookies do zapewnienia Ci wygodnego korzystania z serwisu, gromadzenia danych analitycznych i statystycznych oraz wyświetlania reklam dostosowanych do Twoich preferencji i przeglądanych treści. Kontynuując przeglądanie zgadzasz się na wykorzystanie plików cookies w powyższym celu przez nas (Kontomierz.pl sp. z o.o.) i naszych partnerów. Możesz zmienić warunki przechowywania i dostępu do plików cookies, w tym zablokować te pliki, w ustawieniach przeglądarki. W związku z korzystaniem z serwisu przetwarzamy również dane osobowe. Zapoznaj się z polityką prywatności Kontomierz.pl, aby dowiedzieć się więcej o przetwarzaniu Twoich danych osobowych i plikach cookies.