Filtrowanie wszystkich postów po tagu "bezpieczeństwo." Wyczyść filtr

Pewnie słyszeliście już o rzekomym wycieku z bazy PESEL. To ostatnio temat mocno akcentowany w mediach. Na Niebezpieczniku możecie znaleźć wyczerpujący artykuł przedstawiający szczegóły sprawy i pokazujący, jak rozwijała się ona w czasie.

W największym skrócie: w ostatnich dniach odkryto, że niektóre kancelarie komornicze masowo „odpytywały” bazę PESEL. Były to zapytania regularne i generowane z automatu. Ministerstwo twierdzi, że to praktyki legalne i żadne dane nie trafiły w niepowołane ręce (komornicy teoretycznie mają prawo do wysyłania zapytań do bazy PESEL).

Całe zamieszanie każe jednak zastanowić się nad tym jak łatwo (lub trudno) „ukraść” naszą tożsamość i wykorzystać nasze dane do zaciągnięcia chociażby kredytu.

Jakie dane znajdują się w bazie PESEL? Poza samym numerem są to imię i nazwisko danego obywatela, jego nazwisko rodowe, stan cywilny, numer dowodu osobistego, data i miejsce urodzenia oraz aktualne miejsce zameldowania.

Co z tymi danymi może zrobić przestępca? Teoretycznie niewiele, ale przyjrzyjmy się absolutnie najgorszym scenariuszom...

Dane te mogą posłużyć do sfałszowania Twojego dowodu osobistego. W bazie PESEL niestety znajduje się komplet informacji, które na takim dowodzie powinny się znaleźć. Taki sfałszowany dowód można wówczas wykorzystać w banku do zaciągnięcia kredytów lub innych zobowiązań.

Celem nie muszą być wyłącznie banki. Firmy pożyczkowe, które udzielają pożyczek „na dowód” też mogą stanowić kierunek, w którym pójdzie złodziej. Tym bardziej, że takie firmy nie sprawdzają historii kredytowej w BIK, więc nawet jeżeli zapisałeś lub zapisałaś się na otrzymywanie alertów z BIK, to w takim przypadku zda się to niestety na nic.

Mogą też mieć miejsce próby zdalnego wyłudzenia kredytu w firmach pożyczkowych. Te niekiedy nie wymagają nawet dowodu – wystarczy komplet danych (czyli teoretycznie dokładnie to, co „wyciekło”). Z reguły jednak taka procedura wymaga potwierdzenia tożsamości poprzez przelew weryfikacyjny.

Podobnie ma się rzecz ze zdalnym zakładaniem konta w banku. Komplet danych nie wystarczy – zakładając konto online złodziej musiałby dokonać przelewu weryfikacyjnego z konta, na którym dane zgadzają się z tym, co podano we wniosku.

Co możesz zrobić, jeżeli obawiasz się, że Twoje dane mogą posłużyć do zaciągnięcia zobowiązań na Twoje nazwisko? Są co najmniej cztery sposoby:

  1. Możesz złożyć zapytanie do Centralnej informacji o rachunkach. To nowa usługa (działa zaledwie o lipca), która pozwala zamówić wykaz własnych rachunków w bankach i SKOK-ach
  2. Możesz „na zapas” złożyć zawiadomienie do prokuratury lub na policję. Tak wielki „wyciek” danych jest wystarczającą podstawą dla każdego, aby zawiadomić organy ścigania o podejrzeniu popełnienia przestępstwa na jego szkodę. Złożenie takiego zawiadomienia to dodatkowe utrapienie, ale może później uwiarygodnić Cię, jeżeli w przyszłości będziesz musiał lub musiała udowodnić, że to nie Ty brałeś lub brałaś dany kredyt.
  3. Możesz sprawdzić czy i w jakim celu jakiekolwiek instytucje uzyskiwały dostęp do Twoich danych z bazy PESEL. Każdy obywatel ma prawo do takiej bezpłatnej informacji maksymalnie dwa razy w roku. O tym, jak taką informację uzyskać znowu pisze Niebezpiecznik.
  4. Możesz też zamówić alerty w BIK. Dostaniesz SMS lub email za każdym razem*, gdy ktoś będzie chciał wziąć kredyt w banku na Twoje nazwisko. Biuro uruchomiło specjalną promocję, która jest ważna do 30. września br. Do tego czasu po wpisania kodu rabatowego ALERTY-1751 można aktywować usługę bezpłatnie. * - z tym zastrzeżeniem, że nie każdy bank musi współpracować z BIK, a już tym bardziej nie każda firma pożyczkowa. Ale lepsze takie zabezpieczenie niż żadne.

Fot. Flickr / ukCWS (CC-BY 2.0)

Bankowość elektroniczna to dziś powszechny kanał dostępu do naszych pieniędzy. Użytkowników Kontomierza chyba nie trzeba o tym przekonywać :). Ale w związku z tym, że obsługa swoich kont bankowych przez internet jest tak popularna, ten kanał dostępu często bywa on celem ataków, prób wyłudzeń loginów i haseł i innego typu nieuczciwych praktyk.

Ostatnio mogliśmy się o tym przekonać po tym, jak jeden z użytkowników mBanku podzielił się swoją historią o tym, jak stracił 40 tysięcy złotych przelewając pieniądze na numer konta podmieniony przez złodzieja.

Co dokładnie mogło się stać? Najprawdopodobniej autor nagrania przez nieuwagę zainstalował na swoim komputerze złośliwe oprogramowanie, które z jednej strony podmienia dane wejściowe przy zlecaniu przelewu (numer konta) a z drugiej sprawia, że przeglądarka internetowa nadal wyświetla „poprawny” numer konta w historii transakcji.

Wbrew temu, co twierdzi autor nagrania, kłódka w pasku adresu symbolizująca szyfrowane połączenie, nie służy zabezpieczeniu przed wyłudzeniami tego typu. Tu cały proces odbywał się na komputerze użytkownika – winę banku będzie tu bardzo trudno wykazać.

Mamy więc do czynienia z winą użytkownika? Z jednej strony tak – w końcu dopuścił do instalacji złośliwego oprogramowania na swoim komputerze. Ale z drugiej, jak zauważa Piotr Konieczny z Niebezpiecznika:

Warto też zauważyć, że ofiara z filmiku miała antywirusa. Dołożyła więc wszelkich starań, aby się zabezpieczyć, ale pechowo trafiła na zagrożenie, które jeszcze przez antywirusy nie jest rozpoznawalne.

Jak więc korzystać z bankowości internetowej tak, aby nie naciąć się na podobne oszustwa? Przypominamy szereg zasad bezpieczeństwa.

Na etapie logowania do banku

Znajduje się tam kilka ważnych rzeczy, na które trzeba zwrócić uwagę. Po pierwsze – sam adres. Oszuści w mailach phishingowych będą kierować nas na strony łudząco podobne do modułu logowania naszego banku.

O to podobieństwo będą dbać też odpowiednio maskując adres strony. Czyli jeżeli na przykład logujesz się do mBanku, to w pasku adresu powinien znaleźć się adres: online.mbank.pl/pl/Login

kreatywni oszuści mogą wymyślić podobne domeny, które na pierwszy rzut oka będą wyglądać niemal identycznie jak oryginał, ale zamiast do systemu transakcyjnego, będą prowadzić po prostu do modułu wyłudzającego loginy i hasła.

Łatwo sobie wyobrazić takie „kreatywne” adresy, np. „online.rnbank.pl/pl/Login” (m zamienione na r i n). O pomyłkę nietrudno.

W pasku adresu znajdują się jeszcze inne istotne rzeczy. Adres poprzedzony powinien być przedrostkiem https://, co oznacza bezpieczne połączenie.

Adres najlepiej wpisywać bezpośrednio w pasku przeglądarki, „z ręki”. Lepiej nie polegać na „ulubionych”. Skoro istnieje złośliwe oprogramowanie, które potrafi podmienić numer konta przy przelewie, to pewnie gdzieś też istnieje takie, które podmienia „ulubione” docelowe adresy logowania do stron banków internetowych.

I jeszcze jedno. Logujmy się tylko z zaufanych komputerów, takich co do których mamy pewność, że nie mają zainstalowanych żadnych keyloggerów ani innego złośliwego oprogramowania. Czyli odpadają wszelkie kafejki internetowe i publiczne biblioteki.

Przy zlecaniu przelewu

Upewnijmy się, że na pewno wpisaliśmy poprawny numer konta.

Tym bardziej, jeżeli nie wpisywaliśmy go z „ręki”, tylko kopiowaliśmy z systemowego schowka. Złośliwe oprogramowanie podmieniające numery kont bankowych w schowku to na tyle powszechny problem, że banki coraz częściej wprowadzają dodatkowe zabezpieczenie. Np. gdy wklejamy numer konta do formularza, bank prosi o ponowne wpisanie ostatniej cyfry, celem weryfikacji.

W opisywanym dziś przypadku nawet takie środki ostrożności zdałyby się jednak na nic. Dlatego ważne jest też weryfikowanie poprawności numeru konta w wiadomości SMS wysyłanej przez bank podczas zatwierdzania transakcji.

Podczas kontaktów z bankiem

W mailach od banków też warto sprawdzać, z jakiej domeny są wysyłane. Ale to o wiele za mało.

Przy elektronicznej korespondencji z bankiem najlepiej przyjąć trzy zasady:

  1. Żaden pracownik banku nie będzie prosił Cię o podanie loginu i/lub hasła za pośrednictwem maila. Jeżeli otrzymałeś mail z taką treścią, to coś musi być nie tak i warto zwiększyć czujność.
  2. Nie klikamy w mailach w linki, które prowadzą do stron logowania (banki w ogóle nie powinny takich linków zamieszczać w korespondencji). Zamiast tego, jeżeli sprawa z maila wymaga od nas zalogowania się do systemu, to logujemy się samodzielnie, „ręcznie” – według zasad opisanych wcześniej.
  3. Nie otwieramy linków i załączników z maili z podejrzanych źródeł. I to dotyczy nie tylko maili związanych z finansami, ale wszelkiej podejrzanej i spamowej korespondencji. Taki klik w link czy załącznik może ostatecznie doprowadzić do tego, że nieświadomie zainstalujemy na swoim komputerze złośliwe oprogramowanie, które otworzy drogę do pozyskania naszych danych.

Fot. Flickr / Moyan_Brenn

Rynek usług finansowych jest pełen różnej maści „czarodziejów”, którzy obiecują nam złote góry. Czasem jest to bankier-sprzedawca, który będzie nas zachęcał do zakupu jednostek promowanego funduszu inwestycyjnego, zapewniając o bezpieczeństwie środków i szansie na duże zyski.

Innym razem może to być instytucja finansowa, która staje się niewypłacalna (ostatni przykład: SKOK-i) lub od początku działająca jak piramida finansowa (np. Amber Gold).

Wszystkie te przypadki mają wspólny mianownik – bazują na naszej naiwności, na naszym dążeniu do osiągania jak największych zysków (przez co czasem jesteśmy skłonni zaryzykować więcej niż byśmy powinni) i na tym, że nie doczytamy umowy czy szczególnych warunków oferty.

Jak nie dać się im oskubać? Sprawdźcie nasze rady!

Jeżeli coś jest za dobre, by było prawdziwe…

… to pewnie tak właśnie jest. Inwestycja „bez ryzyka” i „z gwarancją” na kilkanaście procent w skali roku, podczas gdy banki dają co najwyżej 2-3%? Nie ma siły, takie obietnice po prostu muszą zapalać bardzo jasną lampkę ostrzegawczą.

Magiczny sposób na pomnażanie pieniędzy?

Jeżeli strategia inwestycyjna opiera się na jakimś magicznym, niejasnym mechanizmie zarabiania, to lepiej w coś takiego nie wchodzić. Jak Amber Gold mogło w przewidywalny i regularny sposób zarabiać na złocie, skoro kurs złota przecież nie rośnie cały czas? I to jeszcze zarabiać tyle, by pokryć zyski klientów, koszty operacyjne i marketing prowadzony na naprawdę szeroką skalę.

Czytaj umowy!

Czytanie umowy to nudna i trudna czynność. Pod presją sprzedawcy, pod presją innych klientów stojących w kolejce, w pośpiechu…

Nie trzeba każdej umowy podpisywać od razu! Można wziąć do domu. Można poprosić konsultanta o przysłanie wzoru umowy, Ogólnych Warunków Ubezpieczenia i innych istotnych elementów na mail (lub w ostateczności samemu poszukać wzorów na stronie banku czy ubezpieczyciela) i przeczytać na spokojnie.

Jeżeli w grę wchodzą duże pieniądze, to w przypadku wątpliwości warto poradzić się profesjonalisty. To jedna z tych sytuacji, w których nie opłaca się oszczędzać.

Nie inwestuj w to, czego nie rozumiesz

A co jeśli taki klient przeczyta umowę, ale nie zrozumie kluczowych zapisów? Zwłaszcza, że stałą praktyką jest formułowanie umów w taki sposób, by ukrywać ważne z punktu klienta zapisy jak najgłębiej.

Można na to machnąć ręką lub można poprosić o wyjaśnienie. Czasami jedno pytanie może nas dzielić od poważnych strat finansowych.

Myśl krytycznie, sprawdzaj

Przed zainwestowaniem czy ulokowaniem pieniędzy warto odrobić pracę domową i prześwietlić instytucję, której zamierzamy powierzyć nasze oszczędności.

Co wiadomo o tej spółce? Czy jest w jakikolwiek sposób obecna w mediach? Czy może wzięła się dosłownie znikąd zaledwie kilka tygodni temu?

Czy ktoś przed nią ostrzega? Co piszą o niej klienci, jakie są ich opinie? A może któremuś z blogerów finansowych udało się tę firmę (lub konkretną ofertę) prześwietlić?

Warto szukać takich rzeczy. Można się dużo dowiedzieć, a przede wszystkim uzyskać kluczowe informacje do podjęcia ostatecznej decyzji.

A już przede wszystkim przed każdą ważną decyzją finansową warto sobie uświadomić, że nikt nie zadba o nasze pieniądze niż my sami. To na nas leży odpowiedzialność i to my podejmujemy ostateczną decyzję.

Fot. Flickr / cogdogblog

Ogólne Spis majątku. Liczymy osobistą wartość netto

  • 7 sierpnia 2014
  • Krzysztof Sobolewski
  • 4 comment

Niedawno na blogu opisywaliśmy wyniki badań, z których wynika, że majątek przeciętnego Polaka to 60 tysięcy złotych. Można się zastanawiać, czy to dużo czy mało – ale nie to jest w tym wszystkim najważniejsze.

Najważniejsze jest to, by znać wartość swojego majątku – a mówiąc dokładniej: znać swoją wartość netto.

Czym jest majątek rozumiany jako osobista wartość netto?

Twoja wartość netto = Twoje aktywa + Twoje pasywa – Twoje zobowiązania finansowe

Warto raz na pół roku lub raz na rok poświęcić godzinę lub dwie i zabrać się za podstawianie wartości po prawej stronie powyższego równania.  Dlaczego jest to istotne? Z kilku powodów.

1. Regularne śledzenie własnej wartości netto daje wiedzę o tym, czy nasz majątek powiększa się czy kurczy.

A to nie jest zawsze takie oczywiste na pierwszy rzut oka. W naszym domu może przybywać coraz to nowych, drogich urządzeń, mogliśmy kupić nowy samochód, mogliśmy kupić większy telewizor… pozornie nasz majątek rośnie. Ale jeżeli te wszystkie zakupy były finansowane kredytami (obciążonymi prowizjami i odsetkami), to po stronie „winien” mamy więcej niż po stronie „ma”. Fizycznych składników majątku przybyło, ale kalkulator mówi, że nasza wartość netto w istocie zmniejszyła się.

2. Znajomość wielkości majątku to – oprócz miesięcznego budżetu – jeden z podstawowych składników wiedzy o osobistych finansach.

Miesięczny budżet daje nam informacje w skali mikro – ile w danym miesiącu zarobiliśmy, ile wydaliśmy, a ile przeznaczyliśmy na oszczędności. Ważne, by w tej skali mikro się nie zamykać, tylko mieć też oczy otwarte na szerszy obraz.

Ten szerszy obraz to właśnie spis wszystkich składników majątku i zobowiązań.

Zapisz i podsumuj wszystkie swoje oszczędności: „osad” na ROR, pieniądze na kontach oszczędnościowych, lokaty, środki odłożone na czarną godzinę.

To samo zrób z inwestycjami: akcjami na giełdzie, udziałami w funduszach inwestycyjnych, programami systematycznego oszczędzania, produktami strukturyzowanymi i wszystkimi innymi produktami inwestycyjnymi.

Następnie przejdź do majątku „stałego”, tego którego upłynnienie zajmie więcej czasu i wysiłku niż zwykłe anulowanie lokaty. Zapisz wartość swojego mieszkania, samochodu i innych sprzętów i urządzeń, które w razie czego mógłbyś sprzedać (np. takich, które nadawałyby się do wystawienia na Allegro, gdybyś nagle potrzebował na tyle dużej gotówki, że „płynniejsze” składniki majątku by na to nie starczyły).

Na koniec zapisz wszystkie swoje zobowiązania finansowe: długi, kredyty, pożyczki, zadłużenie w kartach kredytowych, debet w koncie itp.

To właśnie jest ta skala makro, która nas interesuje.

3. Taki spis majątku to informacja o własnej elastyczności finansowej.

W przypadku różnych trudnych sytuacji życiowych dochodzi czasem do tego, że aby im zaradzić trzeba zacząć upłynniać własny majątek. Raz skończy się na uszczupleniu funduszu bezpieczeństwa, a innym razem trzeba zajrzeć głębiej.

W kryzysowych sytuacjach w pierwszej kolejności będziesz sięgał po fundusz bezpieczeństwa. To te pieniądze, które mają być Twoim buforem i zabezpieczeniem przed nagłymi, niespodziewanymi wydatkami.

Jeżeli to za mało, to swoją uwagę trzeba zwrócić w kierunku oszczędności. Wycofanie środków z kont oszczędnościowych jest proste i wymaga zaledwie kilku kliknięć. Zazwyczaj nic też nie kosztuje. Zerwanie lokat to też czynność łatwa, ale tu już najczęściej tracimy wypracowane odsetki.

Jeśli i to nie pomoże, to czas zacząć likwidować inwestycje. I tu już zaczynają się trudności. Nasza kryzysowa sytuacja może wymusić na nas sprzedaż akcji czy jednostek funduszy w niekorzystnym momencie, np. w dołku. Rezygnacja z niektórych produktów inwestycyjnych (np. planów systematycznego oszczędzania) może wydawać się w ogóle nieopłacalna ze względu na utratę zysków i dodatkowe opłaty za wcześniejsze wycofanie środków.

Na koniec zostają rzeczy, które upłynnić najtrudniej. Ale może zdarzyć się i tak, że niestety nasz osobisty kryzys finansowy wymusi na nas sprzedaż samochodu czy mieszkania.

Zapisanie i podsumowanie sobie wszystkich składników majątku jest o tyle ważne, że wiemy jak „silny” i elastyczny jest nasz budżet, z jakimi nagłymi wydatkami sobie poradzi i gdzie znajdują się kolejne granice bezpieczeństwa.

Jest to też cenna wiedza o proporcjach składników naszego majątku. Taki spis może być pretekstem do zadania sobie pytań takich jak:

  • czy wystarczająco bezpiecznie czuję się z tym, że większość środków mam zablokowane w inwestycjach, zaś niewiele trzymam na lokatach i kontach?
  • czy nie jestem zbyt zachowawczy i nie trzymam za dużej części środków w bezpiecznych, ale mało zyskownych produktach finansowych?
  • czy mój fundusz bezpieczeństwa jest odpowiedniej wielkości?

Taką wiedzę warto sobie uaktualniać co jakiś czas.

Fot. Flickr / 401(K) 2013

Ogólne Jak bezpiecznie korzystać z bankowości internetowej?

  • 13 marca 2014
  • Krzysztof Sobolewski
  • 7 comment

Często piszemy na tym blogu jak oszczędzać pieniądze, jak ograniczać zbędne wydatki i jak szukać różnych, większych i mniejszych, wycieków z domowego budżetu. Czyli piszemy trochę o tym, jak chronić własne pieniądze przed samym sobą – przed złymi nawykami, niekorzystnymi decyzjami finansowymi i impulsywnymi zakupami.

Ale nie pomijajmy innego ważnego tematu – jak chronić pieniądze przed innymi. Przed złodziejami, hakeram i innymi nieuczciwymi osobami.

Dziś bankowość elektroniczna to już właściwie codzienność. Co tu dużo mówić, cała idea Kontomierza opiera się na tym, że korzystacie z bankowości internetowej :).

W związku z tym, że to już tak powszechny kanał dostępu do naszych pieniędzy, bywa on celem ataków, prób wyłudzeń loginów i haseł i innego typu nieuczciwych praktyk. Wystarczy poczytać wpisy na Niebezpieczniku, by przekonać się, że takie rzeczy po prostu się zdarzają. I zdecydowanie nie jest to coś, o czym możemy powiedzieć, że „nas to nie dotyczy”. Dotyczy.

Warto zadbać o swoje bezpieczeństwo w internecie, zwłaszcza gdy w grę wchodzą prawdziwe pieniądze. Nasze pieniądze – te odłożone na codzienne wydatki, przeznaczone na większe zakupy, na emeryturę itp.

Oto kilka zasad, które pozwolą Wam zachować większy poziom bezpieczeństwa.

Przy logowaniu się do banku sprawdzaj pasek adresu przeglądarki

Znajduje się tam kilka ważnych rzeczy, na które trzeba zwrócić uwagę. Po pierwsze – sam adres. Oszuści w mailach phishingowych będą kierować nas na strony łudząco podobne do modułu logowania naszego banku.

O to podobieństwo będą dbać też odpowiednio maskując adres strony. Czyli jeżeli na przykład logujesz się do mBanku, to w pasku adresu powinien znaleźć się adres: online.mbank.pl/pl/Login

kreatywni oszuści mogą wymyślić podobne domeny, które na pierwszy rzut oka będą wyglądać niemal identycznie jak oryginał, ale zamiast do systemu transakcyjnego, będą prowadzić po prostu do modułu wyłudzającego loginy i hasła.

Łatwo sobie wyobrazić takie „kreatywne” adresy, np. „online.rnbank.pl/pl/Login” (m zamienione na r i n). O pomyłkę nietrudno.

W pasku adresu znajdują się jeszcze inne istotne rzeczy. Adres poprzedzony powinien być przedrostkiem https://, co oznacza bezpieczne połączenie.

Przy adresie powinien widnieć symbol kłódki. To oznacza, że połączenie jest szyfrowane. Po kliknięciu w kłódkę powinny pojawić się informacje o certyfikacie – o tym, czy jest aktualny i czy został wydany dla tej instytucji, na której stronie właśnie jesteś.

Adres najlepiej wpisywać bezpośrednio w pasku przeglądarki, „z ręki”. Lepiej nie polegać na „ulubionych”. Skoro istnieje złośliwe oprogramowanie, które potrafi podmienić numer konta przy przelewie, to pewnie gdzieś też istnieje takie, które podmienia „ulubione” docelowe adresy logowania do stron banków internetowych.

I jeszcze jedno. Logujmy się tylko z zaufanych komputerów, takich co do których mamy pewność, że nie mają zainstalowanych żadnych keyloggerów ani innego złośliwego oprogramowania. Czyli odpadają wszelkie kafejki internetowe i publiczne biblioteki.

Ostrożnie z mailami

W mailach od banków też warto sprawdzać, z jakiej domeny są wysyłane. Ale to o wiele za mało.

Przy elektronicznej korespondencji z bankiem najlepiej przyjąć trzy zasady:

1. Żaden pracownik banku nie będzie prosił Cię o podanie loginu i/lub hasła za pośrednictwem maila. Jeżeli otrzymałeś mail z taką treścią, to coś musi być nie tak i warto zwiększyć czujność.

2. Nie klikamy w mailach w linki, które prowadzą do stron logowania (banki w ogóle nie powinny takich linków zamieszczać w korespondencji). Zamiast tego, jeżeli sprawa z maila wymaga od nas zalogowania się do systemu, to logujemy się samodzielnie, „ręcznie” – według zasad opisanych wcześniej.

3. Nie otwieramy linków i załączników z maili z podejrzanych źródeł. I to dotyczy nie tylko maili związanych z finansami, ale wszelkiej podejrzanej i spamowej korespondencji. Taki klik w link czy załącznik może ostatecznie doprowadzić do tego, że nieświadomie zainstalujemy na swoim komputerze złośliwe oprogramowanie, które otworzy drogę do pozyskania naszych danych.

Hasła

Dziś banki na ogół wymagają, by hasła spełniały podstawowe wymagania bezpieczeństwa. Czyli aby były odpowiednio długie (stąd np. wymagane minimum 8 znaków) i zawierały znaki specjalne, cyfry, wielkie i małe litery.

Ale o hasło można dbać nie tylko przy jego tworzeniu.

Warto zmieniać je co jakiś czas.

Hasło powinno być unikalne dla strony, do której się logujesz. Nie stosuj w swoim banku np. tego samego hasła, którego używasz w mailu czy w serwisach społecznościowych.

Trzymaj swoje hasło w tajemnicy. Nie zdradzaj go, nie zapisuj na kartce czy – tym gorzej – w nieszyfrowanym pliku na komputerze.

--

Znacie jeszcze jakieś rady, które pomagają w zwiększeniu bezpieczeństwa w korzystaniu z bankowości internetowej? Wpiszcie je w komentarzach poniżej.

Fot. Flickr / Theen

Ogólne Uwaga na dokumenty

Zastrzeganie dokumentówKażdego dnia w Polsce, około 40 osób używa cudzego dokumentu, by wyłudzić kredyt, podpisać umowę z firmą telekomunikacyjną czy wynająć mieszkanie. Tylko w pierwszym półroczu mieliśmy przeszło 7 tys. takich zdarzeń.

Posiadając czyjś dowód osobisty, przestępcy mogą na cudze konto zaciągać zobowiązania oraz popełniać inne przestępstwa. Dlatego bardzo istotne jest, by przechowywane dokumenty były możliwie bezpieczne, a ich zaginięcie natychmiast zgłaszane do banku i na policję.

Statystyki

W drugim kwartale 2010 roku udaremniono przeszło 1,7 tys. prób wyłudzeń kredytów. Przestępcy posługując się skradzionymi/znalezionymi dokumentami chcieli zaciągnąć kredyty o wartości 71 mln zł. Rekord został pobity na Śląsku, gdzie złożono wniosek kredytowy na kwotę aż 10 mln zł.

Dzięki funkcjonowaniu systemu wymiany informacji o skradzionych i zagubionych dokumentach, liczba przestępstw związanych z ich użyciem spada. W pierwszym półroczu tego roku było ich o 12 proc. mniej niż w analogicznym okresie roku ubiegłego.

Spada także średnia kwota o jaką w bankach wnioskują oszuści. W drugim kwartale 2010 roku było to niemal 24 tys. zł (rok wcześniej ponad 25 tys. zł). Można się domyślać, że zmniejszając kwoty wniosków, oszuści liczą na mniejszą czujność pracowników banków. Przestępcy najczęściej „wpadali” na Śląsku, gdzie udaremniono 280 prób wyłudzeń kredytów. Niewiele mniej było takich sytuacji na Mazowszu (250), a najmniej w Polsce w woj. podlaskim (24).

Pod koniec czerwca w bazie dokumentów zastrzeżonych znajdowało się niemal 900 tys. wpisów.

Jak postępować?


Co należy zrobić w przypadku zagubienia lub kradzieży dokumentów tożsamości? W pierwszej kolejności należy powiadomić bank, którego jesteśmy stałym klientem. Istotne jest także dopisanie dokumentu do bazy „Dokumenty Zastrzeżone”. Zastrzeżenia od swoich klientów przyjmują m.in. Polbank i Eurobank. W BGŻ czy BPH zgłoszenia są przyjmowane od wszystkich osób.

Jeżeli dowód osobisty lub inny dokument utraciliśmy w wyniku kradzieży, należy zgłosić się także do najbliższej jednostki policji. Następne kroki powinniśmy skierować do urzędu gminy lub placówki konsularnej, gdzie wyrobimy nowy dokument.

Pamiętajmy także, że złodzieje mogą zrobić użytek z wielu rodzajów dokumentów. Oprócz najbardziej oczywistego dowodu osobistego, będą to także paszporty, prawa jazdy, dowody rejestracyjne, książeczki wojskowe i marynarskie, karty pobytu czy różne rodzaje dokumentów zagranicznych.

Dane pochodzą z raportu InfoDok, przygotowanego przez Związek Banków Polskich.

Fot. SXC.HU / mzacha

Dokonując zakupów w internecie zazwyczaj możemy wybrać formę płatności – możemy zapłacić przy odbiorze lub z góry. Przelewem lub kartą kredytową. Dla wielu osób płacenie kartą w internecie wydaje się jednak mało bezpieczne. Czy naprawdę tak jest?

W teorii płacenie w internecie jest tak samo (nie)bezpieczne jak w tradycyjnym punkcie. Wiele zależy od użytkownika karty, bo tak samo jak dane mogą zostać wykradzione z naszego komputera, tak samo łatwo nieuczciwy sprzedawca może skopiować pasek z naszej karty w sklepie pod domem.

Przed większością zagrożeń można się jednak chronić, przestrzegając kilku podstawowych zasad. Nie wymaga to wiele wysiłku i wcale nie jest czasochłonne.

Początkiem każdej transakcji jest wybór sklepu, w którym zamierzamy nabyć interesujący nas produkt. W internecie są tysiące sklepów, a nowe powstają w zasadzie codziennie. Trzeba szczególnie ostrożnie podchodzić do sklepów o niepewnej reputacji oraz takich, które powstały kilka dni temu.

Zazwyczaj jednak w takich sytuacjach większe jest ryzyko nieotrzymania zamówionego towaru niż kradzieży danych dot. naszej karty. Rzadko bowiem zdarza się, by dane dot. karty kredytowej wpisywane były bezpośrednio na stronie sklepu – częściej następuje to po przekierowaniu na stronę operatora e-płatności (np. DotPay lub Platnosci.pl).

Niezwykle ważne jest, by połączenie ze stroną gdzie podajemy dane takie jak numer karty kredytowej, datę ważności czy jej kod zabezpieczający było szyfrowane. Najprościej można to stwierdzić po adresie w przeglądarce (powinien zaczynać się od https://) oraz obecności symbolu kłódki. Jeżeli połączenie nie jest szyfrowane, to wpisywane przez nas dane łatwo odczytać i narażamy się na bardzo wysokie ryzyko.

Mówiąc bardziej obrazowo, podawanie danych karty w nieszyfrowanym połączeniu najłatwiej porównać z zapisaniem takich informacji na zwykłej kartce pocztowej. Po wrzuceniu do skrzynki pocztowej wiele osób może zapoznać się z jej treścią, gdyż w praktyce odczytanie nieszyfrowanych danych nie sprawia problemu.

Szyfrowane połączenie na niewiele się jednak zda, gdy podstawowych zasad bezpieczeństwa nie spełnia komputer z którego korzystamy. Przede wszystkim istotne jest posiadanie oprogramowania antywirusowego, które powinno mieć aktualną bazę zagrożeń. Istotna jest także poprawna konfiguracja firewall'a oraz nieinstalowanie na dysku podejrzanych programów.

Ważna jest wersja przeglądarki oraz jej bieżace aktualizowanie. Ze względów bezpieczeństwa zaleca się, by korzystać z najnowszych stabilnych wersji przeglądarek, bo z każdą wersją poprawia się ich bezpieczeństwo, a kolejne aktualizacje są nierzadko odpowiedzią na pojawiające się w internecie zagrożenia. Konfiguracja przeglądarki powinna zapewniać maksymalnie wysoki poziom bezpieczeństwa, zgodnie z zaleceniami producenta.

Nie mamy żadnej pewności czy opisane powyżej wymagania spełniają komputery w kafejkach internetowych czy innych miejscach publicznych. Zakupów z użyciem karty kredytowej powinniśmy więc dokonywać tylko z własnego komputera, najlepiej wyłączając opcję zapamiętywania danych wpisywanych do formularzy.

Spełnienie powyższych wymagań pozwala niemal w 100 proc. zabezpieczyć się przed niebezpieczeństwami wynikającymi z płatności internetowych. Trzeba także pamiętać, że również po stronie banków i organizacji płatniczych funkcjonują mechanizmy mające chronić klientów. Jeżeli jednak cokolwiek budzi nasze wątpliwości – powinniśmy natychmiast przerwać transakcję i o całej sytuacji poinformować bank. W ten sposób zwiększamy szanse na to, że wrażliwe dane nie trafią w niepowołane ręce, a nasze pieniądze będą bezpieczne.

Ogólne Bezpieczeństwo haseł dla użytkowników i programistów

Klucz
Głośne wpadki

Ostatnio głośno jest o wpadkach z hasłami w poważnych (wydawałoby się) serwisach:

 
To skłania do głębszej refleksji - jak zarządzać własnymi hasłami do setek serwisów i usług? Jak profesjonalnie trzymać hasła w aplikacjach webowych?
 
Dla użytkowników: jak bezpiecznie i wygodnie zarządzać własnymi hasłami?

Bezwzględnym wymogiem jest posiadanie innego hasła do każdego serwisu / usługi. W niedawnej aferze na forum 4chan, użytkownikom zagranicznego katolickiego serwisu randkowego zszargano dobre imię wśród najbliższych (w realu). Atakujący w imieniu użytkowników wysłali do ich najbliższych pocztę, gdzie Ci rzekomo przyznają się do skrajnych ekscesów seksualnych i chorób zakaźnych. Ci użytkownicy mieli takie same hasło w serwisie randkowym i w poczcie (lub np. na facebooku). Kupowano także w ich imieniu sprośne gadżety (to samo hasło do serwisu PayPal). Niedbając o hasła w Internecie, narażasz swoje dobre imię w realu.

Używaj menadżera haseł (np. bezpłatny KeePass dla Windows lub komercyjny 1Password na Macu). Taki program bezpiecznie zapamięta za ciebie setki różnych haseł, dzięki czemu będziesz mógł stosować inne hasło w każdym serwisie i usłudze. Co więcej, dobry menadżer haseł będzie Cię automatycznie logował do serwisów i usług, czyniąc posługiwanie się wieloma hasłami wygodniejszym niż ręczne posługiwanie się jednym hasłem. Dobry menadżer wygeneruje Ci także silne hasła zgodne z najlepszymi praktykami. Wystarczy, że zapamiętasz jedno główne hasło do bazy programu. Co więcej, baza haseł KeePass jest silnie zaszyfrowana, dzięki czemu możesz ją wygodnie przesyłać pocztą lub przenosić na kluczu USB.

Zapoznaj się z dobrymi praktykami tworzenia silnych haseł, albo - najlpepiej - powierz tą funkcję swojemu menadżerowi haseł. Dobre hasło nie może zawierać słów w żadnym języku, nie może zawierać faktów (np. dat), musi zawierać małe i duże litery, cyfry i znaki specjalne ("krzaczki"), i musi mieć w zależności od zastosowania przynajmniej 8-16 znaków.

Nigdy nie wysyłaj haseł ani innych wrażliwych danych pocztą. Wszystko co wysyłasz pocztą traktuj jako upublicznione. Pamiętaj, że poczta zasadniczo nie jest szyfrowana i każdy system / osoba pomiędzy nadawcą i odbiorcą potencjalnie może ją podejrzeć.

Szczególną troską otocz hasła do poczty. Pamiętaj, że przejęcie poczty oznacza przejęcie wszystkich innych kont, nawet jeśli masz do nich inne hasła. Dzieje się tak ze względu na powszechnie stosowane mechanizmy resetowania haseł  (atakujący sprawdzi, w jakich serwisach masz konta i zresetuje tam hasła).

Jeśli używasz do logowania klucza prywatnego, pamiętaj o silnym passphrase. Dla wygody warto używać wtedy agenta kluczy (np. pageant na Windows), dzięki czemu hasło podajesz tylko raz przy uruchomieniu agenta.

Odchodząc od komputera, zawsze zablokuj pulpit (Win+L na Windows), aby nikt nie miał okazji podejrzeć haseł, poczty i innych otwartych danych. Wyrób sobie dobry nawyk Win+L.

Dla programistów: jak profesjonalnie implementować obsługę haseł w aplikacjach webowych?

Przy rejestracji użytkownik powinien widzieć wskaźnik siły hasła, ostrzegający na czerwono przed słabymi hasłami. Jeśli użytkownik w ramach swojego konta będzie miał dostęp do wrażliwych danych osób trzecich, należy nie tylko poinformować o słabym, ale także wymusić silne hasło.

Hasło w żadnym scenariuszu nie może być wysłane pocztą. Każdą wiadomość przesłaną pocztą należy traktować jako upublicznioną, ponieważ protokoły pocztowe z reguły nie są szyfrowane. Należy zdać sobie sprawę, że wiadomości często idą otwartym tekstem i każdy system/osoba pomiędzy nadawcą i odbiorcą może je odczytać.

W bazie danych nigdy nie trzyma się haseł. Przechowuje się ich skróty kryptograficzne. Dzięki temu administratorzy bazy danych nie znają haseł użytkowników, a w razie kradzieży bazy, haseł nie znają również atakujący. Do stworzenia skrótów kryptograficznych pod żadnym pozorem nie można wykorzystywać własnej roboty algorytmów. Należy skorzystać ze sprawdzonych rozwiązań. Obecnie zaleca się SHA-2 lub bcrypt (wariant Blowfish). Słabszy, ale dopuszczalny jest SHA-1, używany powszechnie w takich protokołach jak PGP, SSL, SSH, TLS. Niedopuszczalny jest MD5.

Hasła muszą być solone przed utworzeniem skrótu kryptograficznego. Sól to losowy ciąg znaków, który dodaje się do hasła tuż przed utworzeniem skrótu z całości. Zabezpiecza to przed atakami typu bruteforce + rainbow tables. Rainbow tables to metoda ataku brute force z przygotowanym słownikiem skrótów popularnych haseł. Dzięki losowej soli, nasze skróty są inne, zatem gotowa tabela w żaden sposób nie usprawni atakującemu żmudnego ataku brute force.

Sól musi być indywidualna dla każdego użytkownika. Sól powinna być wielokrotnie dłuższa od typowego hasła (np. 40-znakowa).

W przypadku zgubionego hasła, użytkownik powinien otrzymywać link umożliwiający zmianę hasła. Zauważmy, że link daje czasowy dostęp do konta - dlatego powinien szybko wygasać, np. po 24h. Przy wyższych wymaganiach bezpieczeństwa ta metoda może być uzupełniona o dodatkowe pytanie "osobiste" lub weryfikację SMS-em.

Rejestracja i logowanie, a także wszystkie inne fragmenty serwisu gdzie przesyłane są wrażliwe dane, powinny być po HTTPS. Wszystko co poszło protokołem HTTP należy traktować jako upublicznione.

Pamiętajmy także o filtrowaniu logów aplikacji - nie można dopuścić do sytuacji, gdzie w ramach logowania parametrów żądania w logach znajdzie się login i hasło lub inne wrażliwe dane.

(naturalnie kontomierz.pl spełnia wszystkie powyższe zalecenia)

Podsumowanie

Stosowanie powyższych dobrych praktyk nie tylko radykalnie zwiększy Twoje bezpieczeństwo - da Ci także poczucie profesjonalizmu i kontroli nad swoją cyfrową tożsamością.

Nowe zasady dotyczące cookies. Używamy plików cookies do zapewnienia Ci wygodnego korzystania z serwisu, gromadzenia danych analitycznych i statystycznych oraz wyświetlania reklam dostosowanych do Twoich preferencji i przeglądanych treści. Kontynuując przeglądanie zgadzasz się na wykorzystanie plików cookies w powyższym celu przez nas (Kontomierz.pl sp. z o.o.) i naszych partnerów. Możesz zmienić warunki przechowywania i dostępu do plików cookies, w tym zablokować te pliki, w ustawieniach przeglądarki. W związku z korzystaniem z serwisu przetwarzamy również dane osobowe. Zapoznaj się z polityką prywatności Kontomierz.pl, aby dowiedzieć się więcej o przetwarzaniu Twoich danych osobowych i plikach cookies.