Filtrowanie wszystkich postów po tagu "zasady bezpieczeństwa." Wyczyść filtr

Pewnie słyszeliście już o rzekomym wycieku z bazy PESEL. To ostatnio temat mocno akcentowany w mediach. Na Niebezpieczniku możecie znaleźć wyczerpujący artykuł przedstawiający szczegóły sprawy i pokazujący, jak rozwijała się ona w czasie.

W największym skrócie: w ostatnich dniach odkryto, że niektóre kancelarie komornicze masowo „odpytywały” bazę PESEL. Były to zapytania regularne i generowane z automatu. Ministerstwo twierdzi, że to praktyki legalne i żadne dane nie trafiły w niepowołane ręce (komornicy teoretycznie mają prawo do wysyłania zapytań do bazy PESEL).

Całe zamieszanie każe jednak zastanowić się nad tym jak łatwo (lub trudno) „ukraść” naszą tożsamość i wykorzystać nasze dane do zaciągnięcia chociażby kredytu.

Jakie dane znajdują się w bazie PESEL? Poza samym numerem są to imię i nazwisko danego obywatela, jego nazwisko rodowe, stan cywilny, numer dowodu osobistego, data i miejsce urodzenia oraz aktualne miejsce zameldowania.

Co z tymi danymi może zrobić przestępca? Teoretycznie niewiele, ale przyjrzyjmy się absolutnie najgorszym scenariuszom...

Dane te mogą posłużyć do sfałszowania Twojego dowodu osobistego. W bazie PESEL niestety znajduje się komplet informacji, które na takim dowodzie powinny się znaleźć. Taki sfałszowany dowód można wówczas wykorzystać w banku do zaciągnięcia kredytów lub innych zobowiązań.

Celem nie muszą być wyłącznie banki. Firmy pożyczkowe, które udzielają pożyczek „na dowód” też mogą stanowić kierunek, w którym pójdzie złodziej. Tym bardziej, że takie firmy nie sprawdzają historii kredytowej w BIK, więc nawet jeżeli zapisałeś lub zapisałaś się na otrzymywanie alertów z BIK, to w takim przypadku zda się to niestety na nic.

Mogą też mieć miejsce próby zdalnego wyłudzenia kredytu w firmach pożyczkowych. Te niekiedy nie wymagają nawet dowodu – wystarczy komplet danych (czyli teoretycznie dokładnie to, co „wyciekło”). Z reguły jednak taka procedura wymaga potwierdzenia tożsamości poprzez przelew weryfikacyjny.

Podobnie ma się rzecz ze zdalnym zakładaniem konta w banku. Komplet danych nie wystarczy – zakładając konto online złodziej musiałby dokonać przelewu weryfikacyjnego z konta, na którym dane zgadzają się z tym, co podano we wniosku.

Co możesz zrobić, jeżeli obawiasz się, że Twoje dane mogą posłużyć do zaciągnięcia zobowiązań na Twoje nazwisko? Są co najmniej cztery sposoby:

  1. Możesz złożyć zapytanie do Centralnej informacji o rachunkach. To nowa usługa (działa zaledwie o lipca), która pozwala zamówić wykaz własnych rachunków w bankach i SKOK-ach
  2. Możesz „na zapas” złożyć zawiadomienie do prokuratury lub na policję. Tak wielki „wyciek” danych jest wystarczającą podstawą dla każdego, aby zawiadomić organy ścigania o podejrzeniu popełnienia przestępstwa na jego szkodę. Złożenie takiego zawiadomienia to dodatkowe utrapienie, ale może później uwiarygodnić Cię, jeżeli w przyszłości będziesz musiał lub musiała udowodnić, że to nie Ty brałeś lub brałaś dany kredyt.
  3. Możesz sprawdzić czy i w jakim celu jakiekolwiek instytucje uzyskiwały dostęp do Twoich danych z bazy PESEL. Każdy obywatel ma prawo do takiej bezpłatnej informacji maksymalnie dwa razy w roku. O tym, jak taką informację uzyskać znowu pisze Niebezpiecznik.
  4. Możesz też zamówić alerty w BIK. Dostaniesz SMS lub email za każdym razem*, gdy ktoś będzie chciał wziąć kredyt w banku na Twoje nazwisko. Biuro uruchomiło specjalną promocję, która jest ważna do 30. września br. Do tego czasu po wpisania kodu rabatowego ALERTY-1751 można aktywować usługę bezpłatnie. * - z tym zastrzeżeniem, że nie każdy bank musi współpracować z BIK, a już tym bardziej nie każda firma pożyczkowa. Ale lepsze takie zabezpieczenie niż żadne.

Fot. Flickr / ukCWS (CC-BY 2.0)

Bankowość elektroniczna to dziś powszechny kanał dostępu do naszych pieniędzy. Użytkowników Kontomierza chyba nie trzeba o tym przekonywać :). Ale w związku z tym, że obsługa swoich kont bankowych przez internet jest tak popularna, ten kanał dostępu często bywa on celem ataków, prób wyłudzeń loginów i haseł i innego typu nieuczciwych praktyk.

Ostatnio mogliśmy się o tym przekonać po tym, jak jeden z użytkowników mBanku podzielił się swoją historią o tym, jak stracił 40 tysięcy złotych przelewając pieniądze na numer konta podmieniony przez złodzieja.

Co dokładnie mogło się stać? Najprawdopodobniej autor nagrania przez nieuwagę zainstalował na swoim komputerze złośliwe oprogramowanie, które z jednej strony podmienia dane wejściowe przy zlecaniu przelewu (numer konta) a z drugiej sprawia, że przeglądarka internetowa nadal wyświetla „poprawny” numer konta w historii transakcji.

Wbrew temu, co twierdzi autor nagrania, kłódka w pasku adresu symbolizująca szyfrowane połączenie, nie służy zabezpieczeniu przed wyłudzeniami tego typu. Tu cały proces odbywał się na komputerze użytkownika – winę banku będzie tu bardzo trudno wykazać.

Mamy więc do czynienia z winą użytkownika? Z jednej strony tak – w końcu dopuścił do instalacji złośliwego oprogramowania na swoim komputerze. Ale z drugiej, jak zauważa Piotr Konieczny z Niebezpiecznika:

Warto też zauważyć, że ofiara z filmiku miała antywirusa. Dołożyła więc wszelkich starań, aby się zabezpieczyć, ale pechowo trafiła na zagrożenie, które jeszcze przez antywirusy nie jest rozpoznawalne.

Jak więc korzystać z bankowości internetowej tak, aby nie naciąć się na podobne oszustwa? Przypominamy szereg zasad bezpieczeństwa.

Na etapie logowania do banku

Znajduje się tam kilka ważnych rzeczy, na które trzeba zwrócić uwagę. Po pierwsze – sam adres. Oszuści w mailach phishingowych będą kierować nas na strony łudząco podobne do modułu logowania naszego banku.

O to podobieństwo będą dbać też odpowiednio maskując adres strony. Czyli jeżeli na przykład logujesz się do mBanku, to w pasku adresu powinien znaleźć się adres: online.mbank.pl/pl/Login

kreatywni oszuści mogą wymyślić podobne domeny, które na pierwszy rzut oka będą wyglądać niemal identycznie jak oryginał, ale zamiast do systemu transakcyjnego, będą prowadzić po prostu do modułu wyłudzającego loginy i hasła.

Łatwo sobie wyobrazić takie „kreatywne” adresy, np. „online.rnbank.pl/pl/Login” (m zamienione na r i n). O pomyłkę nietrudno.

W pasku adresu znajdują się jeszcze inne istotne rzeczy. Adres poprzedzony powinien być przedrostkiem https://, co oznacza bezpieczne połączenie.

Adres najlepiej wpisywać bezpośrednio w pasku przeglądarki, „z ręki”. Lepiej nie polegać na „ulubionych”. Skoro istnieje złośliwe oprogramowanie, które potrafi podmienić numer konta przy przelewie, to pewnie gdzieś też istnieje takie, które podmienia „ulubione” docelowe adresy logowania do stron banków internetowych.

I jeszcze jedno. Logujmy się tylko z zaufanych komputerów, takich co do których mamy pewność, że nie mają zainstalowanych żadnych keyloggerów ani innego złośliwego oprogramowania. Czyli odpadają wszelkie kafejki internetowe i publiczne biblioteki.

Przy zlecaniu przelewu

Upewnijmy się, że na pewno wpisaliśmy poprawny numer konta.

Tym bardziej, jeżeli nie wpisywaliśmy go z „ręki”, tylko kopiowaliśmy z systemowego schowka. Złośliwe oprogramowanie podmieniające numery kont bankowych w schowku to na tyle powszechny problem, że banki coraz częściej wprowadzają dodatkowe zabezpieczenie. Np. gdy wklejamy numer konta do formularza, bank prosi o ponowne wpisanie ostatniej cyfry, celem weryfikacji.

W opisywanym dziś przypadku nawet takie środki ostrożności zdałyby się jednak na nic. Dlatego ważne jest też weryfikowanie poprawności numeru konta w wiadomości SMS wysyłanej przez bank podczas zatwierdzania transakcji.

Podczas kontaktów z bankiem

W mailach od banków też warto sprawdzać, z jakiej domeny są wysyłane. Ale to o wiele za mało.

Przy elektronicznej korespondencji z bankiem najlepiej przyjąć trzy zasady:

  1. Żaden pracownik banku nie będzie prosił Cię o podanie loginu i/lub hasła za pośrednictwem maila. Jeżeli otrzymałeś mail z taką treścią, to coś musi być nie tak i warto zwiększyć czujność.
  2. Nie klikamy w mailach w linki, które prowadzą do stron logowania (banki w ogóle nie powinny takich linków zamieszczać w korespondencji). Zamiast tego, jeżeli sprawa z maila wymaga od nas zalogowania się do systemu, to logujemy się samodzielnie, „ręcznie” – według zasad opisanych wcześniej.
  3. Nie otwieramy linków i załączników z maili z podejrzanych źródeł. I to dotyczy nie tylko maili związanych z finansami, ale wszelkiej podejrzanej i spamowej korespondencji. Taki klik w link czy załącznik może ostatecznie doprowadzić do tego, że nieświadomie zainstalujemy na swoim komputerze złośliwe oprogramowanie, które otworzy drogę do pozyskania naszych danych.

Fot. Flickr / Moyan_Brenn

Rynek usług finansowych jest pełen różnej maści „czarodziejów”, którzy obiecują nam złote góry. Czasem jest to bankier-sprzedawca, który będzie nas zachęcał do zakupu jednostek promowanego funduszu inwestycyjnego, zapewniając o bezpieczeństwie środków i szansie na duże zyski.

Innym razem może to być instytucja finansowa, która staje się niewypłacalna (ostatni przykład: SKOK-i) lub od początku działająca jak piramida finansowa (np. Amber Gold).

Wszystkie te przypadki mają wspólny mianownik – bazują na naszej naiwności, na naszym dążeniu do osiągania jak największych zysków (przez co czasem jesteśmy skłonni zaryzykować więcej niż byśmy powinni) i na tym, że nie doczytamy umowy czy szczególnych warunków oferty.

Jak nie dać się im oskubać? Sprawdźcie nasze rady!

Jeżeli coś jest za dobre, by było prawdziwe…

… to pewnie tak właśnie jest. Inwestycja „bez ryzyka” i „z gwarancją” na kilkanaście procent w skali roku, podczas gdy banki dają co najwyżej 2-3%? Nie ma siły, takie obietnice po prostu muszą zapalać bardzo jasną lampkę ostrzegawczą.

Magiczny sposób na pomnażanie pieniędzy?

Jeżeli strategia inwestycyjna opiera się na jakimś magicznym, niejasnym mechanizmie zarabiania, to lepiej w coś takiego nie wchodzić. Jak Amber Gold mogło w przewidywalny i regularny sposób zarabiać na złocie, skoro kurs złota przecież nie rośnie cały czas? I to jeszcze zarabiać tyle, by pokryć zyski klientów, koszty operacyjne i marketing prowadzony na naprawdę szeroką skalę.

Czytaj umowy!

Czytanie umowy to nudna i trudna czynność. Pod presją sprzedawcy, pod presją innych klientów stojących w kolejce, w pośpiechu…

Nie trzeba każdej umowy podpisywać od razu! Można wziąć do domu. Można poprosić konsultanta o przysłanie wzoru umowy, Ogólnych Warunków Ubezpieczenia i innych istotnych elementów na mail (lub w ostateczności samemu poszukać wzorów na stronie banku czy ubezpieczyciela) i przeczytać na spokojnie.

Jeżeli w grę wchodzą duże pieniądze, to w przypadku wątpliwości warto poradzić się profesjonalisty. To jedna z tych sytuacji, w których nie opłaca się oszczędzać.

Nie inwestuj w to, czego nie rozumiesz

A co jeśli taki klient przeczyta umowę, ale nie zrozumie kluczowych zapisów? Zwłaszcza, że stałą praktyką jest formułowanie umów w taki sposób, by ukrywać ważne z punktu klienta zapisy jak najgłębiej.

Można na to machnąć ręką lub można poprosić o wyjaśnienie. Czasami jedno pytanie może nas dzielić od poważnych strat finansowych.

Myśl krytycznie, sprawdzaj

Przed zainwestowaniem czy ulokowaniem pieniędzy warto odrobić pracę domową i prześwietlić instytucję, której zamierzamy powierzyć nasze oszczędności.

Co wiadomo o tej spółce? Czy jest w jakikolwiek sposób obecna w mediach? Czy może wzięła się dosłownie znikąd zaledwie kilka tygodni temu?

Czy ktoś przed nią ostrzega? Co piszą o niej klienci, jakie są ich opinie? A może któremuś z blogerów finansowych udało się tę firmę (lub konkretną ofertę) prześwietlić?

Warto szukać takich rzeczy. Można się dużo dowiedzieć, a przede wszystkim uzyskać kluczowe informacje do podjęcia ostatecznej decyzji.

A już przede wszystkim przed każdą ważną decyzją finansową warto sobie uświadomić, że nikt nie zadba o nasze pieniądze niż my sami. To na nas leży odpowiedzialność i to my podejmujemy ostateczną decyzję.

Fot. Flickr / cogdogblog

Nowe zasady dotyczące cookies. Używamy plików cookies do zapewnienia Ci wygodnego korzystania z serwisu, gromadzenia danych analitycznych i statystycznych oraz wyświetlania reklam dostosowanych do Twoich preferencji i przeglądanych treści. Kontynuując przeglądanie zgadzasz się na wykorzystanie plików cookies w powyższym celu przez nas (Kontomierz.pl sp. z o.o.) i naszych partnerów. Możesz zmienić warunki przechowywania i dostępu do plików cookies, w tym zablokować te pliki, w ustawieniach przeglądarki. W związku z korzystaniem z serwisu przetwarzamy również dane osobowe. Zapoznaj się z polityką prywatności Kontomierz.pl, aby dowiedzieć się więcej o przetwarzaniu Twoich danych osobowych i plikach cookies.