Poradnik: Jak bezpiecznie logować się na konto bankowe?

Przestępcy dwoją się i troją aby uzyskać dostęp do naszych kont bankowych, a w zasadzie do ich zawartości. Co jakiś czas w internecie pojawiają się doniesienia o kolejnych atakach na klientów banków. Dziś prezentuje wpis o tym jak bezpiecznie logować się na konto bankowe, tak aby nie paść ofiarą przestępców.

Jak bezpiecznie logować się na konto bankowe?

W dzisiejszych czasach korzystanie z bankowości internetowej to najbardziej naturalny, wygodny i najczęściej stosowany sposób na korzystanie z usług banku. Wizyty w oddziale, stanie w kolejkach i problemy ze znalezieniem miejsca parkingowego to przeszłość w czasie, gdy za pomocą komputera jesteśmy w stanie zlecić przelew, założyć lokatę czy wziąć kredyt. Serwisy banków są coraz bardziej funkcjonalne i pozwalają na składanie praktycznie wszelkich dyspozycji, bez konieczności kontaktu z pracownikiem. Niewiele osób przykłada jednak uwagę do tego, żeby korzystać z bankowości internetowej w bezpieczny sposób. Internetowi przestępcy cały czas wymyślają nowe sposoby na uzyskanie dostępu do rachunków innych osób i kradzież zdeponowanych pieniędzy.

W Polsce rynek bankowości internetowej jest jednym z najnowocześniejszych na świecie, również poziom jego zabezpieczenia jest bardzo wysoki, lecz w całym systemie najsłabszym ogniwem jest zawsze klient. Zamiast starać się złamać wieloelementowe zabezpieczenia serwerów banków, prościej jest przekonać szarego Kowalskiego, żeby sam oddał w ręce przestępców dostęp do swojego konta. Przygotowałem zestawienie prostych i uniwersalnych zasad bezpiecznego korzystania z bankowości internetowej. Przestrzeganie tych zasad, może praktycznie do zera zminimalizować ryzyko włamania na konto bankowe.

Jak bezpiecznie logować się na konto bankowe

1. Korzystaj z bankowości internetowej tylko na swoim komputerze 

Powinniśmy zawsze logować się do banku korzystając tylko i wyłącznie z prywatnego i bezpiecznego komputera. Powinniśmy wystrzegać się komputerów w pracy czy w miejscach publicznych, jak kafejki internetowe czy hotelowe lobby. Istnieje o wiele większe prawdopodobieństwo, że na takich komputerach będzie zainstalowane oprogramowanie przechwytujące nasze dane do logowania.

2. Łącz się tylko z zaufanymi sieciami

Korzystając z bankowości internetowej powinniśmy oprócz dbania o bezpieczeństwo swojego komputera, korzystać tylko z zaufanych i szyfrowanych sieci. Najlepiej wykorzystywać tylko domowe WiFi, które obowiązkowo powinno być zabezpieczone i najlepiej niewidoczne dla innych użytkowników. Nigdy nie powinniśmy łączyć się z otwartymi niezabezpieczonymi sieciami bądź hotspotami. Nawet zabezpieczona pracownicza sieć albo internet u znajomego, może być w jakiś sposób zainfekowany. Jeśli bardzo pilnie musimy skorzystać z internetu w podróży bądź poza domem, to zamiast łączyć się z niezaufaną siecią, bezpieczniej jest włączyć w telefonie tryb routera (większość nowych telefonów posiada tę funkcję) i w ten sposób połączyć się z internetem.

 3.Posiadaj program antywirusowy i aktualizuj system oraz przeglądarki 

Posiadanie programu antywirusowego to absolutna podstawa. Nie musi to być płatny program, zwyczajny darmowy antywirus w zupełności wystarczy. Kolejnym ważnym elementem jest regularne skanowanie komputera oraz aktualizowanie zarówno systemu operacyjnego, jak i przeglądarki, z której korzystamy. Dostawcy oprogramowania regularnie zwiększają zabezpieczenia swoich produktów i modyfikują ich parametry, tak żeby utrudnić życie cyberprzestępcom.

4. Sprawdzaj domenę banku 

Logując się do bankowości internetowej należy zawsze sprawdzać czy połączenie z bankiem jest szyfrowane. Świadczy o tym ikona zielonej kłódki widoczna w prawym górnym rogu strony.

Zrzut ekranu 2016-04-27 o 10.59.36

Zrzut ekranu 2016-04-27 o 10.59.58

Zrzut ekranu 2016-04-27 o 11.00.19

Kilkajać w ikonę tej kłódki możemy sprawdzić, kto jest wystawcą szyfrowania i upewnić się, że jesteśmy na oficjalnej stornie banku, a nie na stronie łudząco do niej podobnej, przygotowanej przez przestępców. Warto również sprawdzać adres strony logowania. przykładowo poprawny adres strony logowania banku ING to : https://online.ingbank.pl/login ,natomiast adres http://network.ingonline.pl/logowanie to strona spreparowana przez przestępców.

5. Nie zapisuj adresu storny logowania na komputerze

Przed każdym zalogowaniem do banku, najlepiej samodzielnie wprowadzić adres w oknie wyszukiwarki. Zapisywanie adresu na komputerze lub w zakładkach wyszukiwarki, ułatwia przestępcom pracę, ponieważ w łatwiejszy sposób mogą podmienić zapisany link na spreparowaną stronę udającą stronę banku. O wiele trudniej jest przestępcom podmienić strony jeśli samodzielnie wpisujemy adres w wyszukiwarkę.

6. Nie otwieraj załączników od nieznanych nadawców 

Jeśli dostajesz maila od nieznanych nadawców, a w mailu są jakieś załączniki lub dokumenty do pobrania , to najlepiej od razu usunąć taką wiadomość, a już na pewno nie warto otwierać takich załączników, ani wchodzić w linki zawarte w takich wiadomościach. To w ten sposób przestępcy starają się najczęściej zainfekować komputer ofiary.

7. Nie pobieraj oprogramowania z nieznanych źródeł.

Jeśli instalujemy jakiś program, to warto zawsze pobierać go z oficjalnej strony producenta. Pobieranie programów lub plików z niezaufanych źródeł prędzej czy później może skończyć się zainfekowaniem komputera.

Jak bezpiecznie logować się na konto bankowe? Najlepiej przestrzegać wszystkich powyższych zasad. Dzięki temu w znacznym stopniu zmnijeszymy prawdopodobieństwo włamania na kotno bankowe.

W jaki sposób przestępcy starają się uzyskać dostęp to konta 

Poznanie i stosowanie dobrych praktyk i zasad bezpiecznego korzystania z bankowości internetowej jest bardzo ważne, ale warto poznać najbardziej popularne metody, z których korzystają przestępcy:

  • Fałszywy mail od banku 

W takiej wiadomości zazwyczaj znajduje się informacja o zablokowaniu konta bankowego oraz instrukcja jak je odblokować. Zazwyczaj przestępcy umieszczają w wiadomości link do fałszywej strony logowania. Klient podaje identyfikator i hasło będąc przekonany, że loguje się do konta. Następnie pojawia się prośba o wprowadzenie hasła jednorazowego, które ma rzekomo odblokować dostęp do rachunku. Tak naprawdę jest to jednak hasło, które autoryzuje przelew opróżniający jego konto. To jedna z najbardziej popularnych metod kradzieży, która nie wymaga instalowania na komputerze klienta, żadnych wirusów ani programów przechwytujących dane. Klient grzecznie sam podaje wszystkie dane potrzebne do osuszenia jego konta.

Przestępcy są bardzo kreatywni i wymyślają setki rzekomych komunikatów wysyłanych przez bank. Blokada konta jest tylko jednym z nich. W takiej wiadomości może się znaleźć:

  • Prośba o aktualizację danych osobowych
  • Informacja o zajęciu egzekucyjnym
  • Informacja o jakiejś promocji albo szansie na zgarnięcie premii
  • Informacja o przelewie, który oczekuje na zaksięgowanie na rachunku i prośbie o jego potwierdzenie.

i wiele, wiele innych komunikatów, które mają spowodować, że klient będzie chciał jak najszybciej zalogować się na konto i sprawdzić co się dzieje.

Warto pamiętać o jednej podstawowej zasadzie: Bank nigdy nie prosi o podawanie jakichkolwiek danych do logowania, haseł jednorazowych, numerów kart czy innych danych osobowych, ani w korespondencji mailowej ani po zalogowaniu się na konto.

Jeśli kiedykolwiek dostaniemy taką wiadomość, to należy ją po prostu usunąć i poinformować bank o zaistniałej sytuacji.

  • Wirus podmieniający numery rachunku 

To rozwiązanie zdecydowanie bardziej pracochłonne i bardziej wyrafinowane niż podszywanie się pod bank w korespondencji. Przestępcy infekują komputer ofiary specjalnym programem, który jest w stanie podmienić numer rachunku, na który wykonywany jest przelew. Wygląda to następująco: klient loguje się na swoje konto i wysyła przelew, wpisuje prawidłowy numer rachunku odbiorcy i przechodzi do strony, gdzie potwierdza przelew, w tym czasie wirus podmienia numer rachunku na konto złodzieja i wyświetla nakładkę na serwis transakcyjny, która dalej pokazuje prawidłowy numer. Klient jest więc przekonany, że wysyła pieniądze prawidłowo. Nawet jeśli przed przepisaniem hasła, zatwierdzającego przelew, sprawdzi czy numer na pewno się zgadza, to i tak wyślę pieniądze złodziejom.

Jak więc bronić się przed tego typu atakiem? W każdym sms’ie z hasłem autoryzacyjnym, który wysyła do Nas bank jest informacja o tym jaką operację zatwierdzamy. Dlatego przed przepisaniem hasła, zawsze należy dokładnie przeczytać treść wiadomości. Poniżej wrzucam przykład wiadomości autoryzacyjnej mBanku.

Screenshot_2016-04-27-11-48-17

Wiadomość zawiera informacje o tym jaką operację wykonujemy, w tej sytuacji jest to przelew. Podane są ostatnie cyfry konta z którego ten przelew wykonujemy jak i 4 pierwsze i 6 ostatnich cyfr numeru konta, na który zlecamy przelew oraz jego kwotę. Przed zatwierdzeniem obowiązkowo należy więc sprawdzić czy dane w sms’ie pokrywają się z danymi odbiorcy. Nawet jeśli przestępcy zainfekują nasz komputer i wyświetlą nam fałszywy obraz systemu transakcyjnego, to sms autoryzacyjny jest zawsze wysyłany przez serwer banku i zawsze zawiera prawdziwe dane zlecanej operacji.

  • Próba wykradzenia danych karty płatniczej 

W momencie, w którym przestępcy zainfekują komputer mogą wystawić ofierze fałszywą stronę po zalogowaniu do bankowości internetowej. Bardzo często proszą wtedy o potwierdzenie danych karty płatniczej i podanie jej numeru, daty ważności oraz trzy cyfrowego kodu CID. Komplet tych danych (a czasem nawet sam numer karty i jej data ważności) wystarczy do dokonania zakupów na koszt ofiary. Warto pamiętać, że nawet pracownicy banku nie znają kodu CID z tyłu karty i nigdy nie proszą o podawanie jej danych.

  • Przejęcie kontroli nad telefonem 

Tego typu operacje przeprowadzane są najczęściej w powiązaniu z zainfekowaniem komputera lub próbą wykradzenia danych poprzez fałszywe maile i komunikaty z banku. Najpierw przestępcy uzyskują dane do logowania do rachunku ofiary. Następnie wysyłają mu na numer telefonu podany do informacji banku smsa z prośbą o zainstalowanie programu antywirusowego w celu zwiększenia bezpieczeństwa. W wiadomości znajduje się link, z którego należy pobrać oprogramowanie. Zamiast programu antywirusowego na telefonie ofiary jest instalowane oprogramowanie, które przechwytuje smsy autoryzacyjne wysyłane przez bank.

Jeśli przestępcom uda się zainfekować telefon i przechwycić hasła wysyłane przez bank, to mogą wyzerować konto, a ofiara się o tym nie dowie nawet jeśli miałaby telefon cały czas przy sobie. Tu zaczyna być już groźnie, bo o ile wszystkie ataki opierają się na socjotechnice i wyłudzeniu potrzebnych danych od klienta, to tu mamy do czynienia z przejęciem dostępu do telefonu. Jak chronić się przed tego typu atakiem?

Przede wszystkim należy posiadać w telefonie aktualny program antywirusowy. Nigdy nie należy instalować aplikacji z nieznanych źródeł, ani pochodzących z wiadomości które otrzymujemy. Wszelkie aktualizacje powinny być wykonywane poprzez oficjalne sklepy takie jak Google Play czy AppStore. Bank nigdy nie prosi o instalowanie jakiś dodatkowych aplikacji czy programów. W tego typu ataku również najsłabszym ogniwem jest klient, który musi pozwolić na zainfekowanie telefonu. Przestrzeganie podstawowych zasad bezpieczeństwa znacznie minimalizuje ryzyko ucierpienia.

Czy tylko my odpowiadamy za atak na nasze konto 

Dotychczas w sytuacji, w której padliśmy ofiarą cyberprzestępców zazwyczaj bank umywał ręce od jakiejkolwiek odpowiedzialności. Zdecydowana większość ataków, podczas których dochodzi do kradzieży środków, to ataki podczas których klienci w jakiś sposób przyczynili się do utraty środków, czy to pozwalając na zainstalowanie złośliwego oprogramowania, czy samodzielnie podając dane do logowania na spreparowanej stronie banku. Nie zmienia to jednak tego, że to bank jest dostawcą usług internetowych i to na nim powinien ciążyć obowiązek odpowiedniej edukacji klientów i zapewnienia im maksymalnego bezpieczeństwa.

Co prawda bardzo rzadko dochodzi do sytuacji, gdy przestępcom udaje się złamać zabezpieczenia banku (jak w słynnej sprawie Plus Banku), to jednak najsłabszym ogniwem każdego systemu jest czynnik ludzki i banki powinny o wiele więcej uwagi przykładać do edukacji klientów. Świadczą o tym ostatnie orzeczenia sądów w tego typu sporach. Coraz częściej sądy zdejmują odpowiedzialność z kradzież z barków klienta i przenoszą ją również na bank.

Pocieszające może być to, że banki zaczęły coraz więcej uwagi przykładać edukacji klientów. Widmo finansowej odpowiedzialności za niefrasobliwość i brak odpowiedniej wiedzy u klientów skutecznie zmotywowałało banki do coraz bardziej aktywnego promowania bezpiecznego korzystania z bankowości internetowej. Przykładem może być niedawna kampania mBanku „Nie robisz tego w realu? Nie rób tego w sieci”

Weryfikacja wyciągów i historii rachunku

Oprócz przestrzegania wszelkich zasad bezpieczeństwa, bardzo ważna jest również weryfikacja stanu konta oraz historii. Każdy bank, raz w miesiącu wysyła do klientów zestawienie wszystkich operacji wykonywanych na rachunku. Warto poświęcić kilka minut i dokładnie przeanalizować historię konta. Warto sprawdzić czy nie było żadnych podejrzanych, nieautoryzowanych operacji. Warto również przynajmniej raz na kilka dni, zalogować się do rachunku, żeby sprawdzić czy na pewno wszystko w porządku.

Co jeśli zostaniemy ofiarą ataku przestępców?

Jeśli w jakikolwiek sposób podamy dane do naszego konta osobom trzecim albo zorientujemy się, podczas analizy wyciągu, że z naszego rachunku zostały wykonane jakiekolwiek nieautoryzowane operacje, to należy przede wszystkim zablokować dostęp do bankowości internetowej. Najprościej zrobić to poprzez kontakt z infolinią banku. Jeśli przestępcy mieli dostęp do naszego konta, to nie wykluczone, że mogą mieć go nadal, dlatego należy jak najszybciej odciąć do niego dostęp.

Kolejnym krokiem jest powidomienie banku o zaistniałej sytuacji. Najlepiej zrobić to niezwłocznie kontskutjąc się z bankiem telefonicznie. Warto przygotować takie informacje jak : wersja systemu operacyjnego, nazwa i wersja przeglądarki interentowej, nazwę dostawcy internetu, ilość i nazwy programów antywirusowych oraz wszelkie infromacje, które mogą pomóc pracownikom banku w jak najbardziej skutecznym zbadaniu sytuacji.

Następnie należy jak najszybciej udać się na komisariat policji i złożyć zawiadomienie o popełnieniu przestępstwa. Niektóre banki wręcz wymagają zgłoszenia sprawy na policję, przed rozpoczęciem rozpatrywania jakichkolwiek reklamacji.

Oststanim krokiem jest oddanie komputera do specjalisty, które będzie w stanie dokładnie go zbadać i znaleźć ewentualne wirusy i malware, który mogły przyczynić się do kradzieży. Warto poprosić takiego specjalistę o pisemny raport z analizowania komputera. Taki dokument może być pomocny podczas dochodzenia swoich racji w sporze z bankiem.

Przypominam tutaj mój wpis o tym jak skutecznie dochodzić swoich praw w sporze z bankiem i jak skutecznie prowadzić proces reklamacyjny. W sytuacji, gdy bank odrzuci naszą reklamację zawsze warto spróbować drogi sądowej. Choć jest ona czasochłonna i żmudna to w sytuacji kradzieży większych kwot, może być to opłacalne, tym bardziej, że wyroki sądów w tego typu sprawach stają się coraz bardziej pro klienckie.

Mam nadzieję że wpis o tym jak bezpiecznie logować się na konto bankowe okazał się pomocny. Jeśli tak to bardzo Cię proszę o podzielenie się nim ze znajomymi.

Nigdy więcej nie przegap żadnej promocji! Obserwuj blog Cardholder na Facebooku, Twitterze oraz Google +

Zapisz się do newslettera i otrzymuj ode mnie informacje o najlepszych bankowych promocjach.

lista mailingowa BTB obslugiwana jest przez FreshMail