Bezpieczeństwo Bankowości Elektronicznej
W trosce o bezpieczeństwo naszych Klientów opisujemy poniżej kilka najczęściej występujących zagrożeń mogących towarzyszyć korzystaniu z Bankowości Internetowej wraz ze sposobami zabezpieczania się przed nimi:
1. Phishing czyli podszywanie
Oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby lub instytucji godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.
Kevin Mitnick jeden z najbardziej znanych włamywaczy komputerowych w swej książce "Sztuka podstępu" napisał "Łamałem ludzi nie hasła". Opisuje w niej jak użycie różnego rodzaju zabiegów socjotechnicznych pozwalało mu na uzyskiwanie dostępu do systemów informatycznych bez łamania skomplikowanych zabezpieczeń komputerowych. Poniżej kilka metod ochrony przed tego typu atakami
Udawanie zaufanej strony www
".Nasz bank w ramach wprowadzania zaostrzonych procedur bezpieczeństwa, dokonuje weryfikacji danych aktywnych klientów. Dlatego prosimy po kliknięciu w ten link http://secure.dzbank.pl/ o potwierdzenie swoich danych. Jeżeli Pan/i nie zrobi tego w ciągu najbliższych 2 tygodni Pana/i dostęp internetowy do konta zostanie zawieszony."
Tego typu informacje możemy otrzymać e-mailem. Nieświadomi zagrożenia klikamy w podany link, który prowadzi nas na strony banku . ale w rzeczywistości są to strony, które jedynie wyglądają, jak strony naszego banku, a zostały specjalnie przygotowane po to, aby wyłudzić od nas login i hasło. Wprowadzenie poufnych danych na takiej stronie jest równoznaczne z przekazaniem nieznanej i nieuprawnionej osobie dostępu do naszego rachunku bankowego. Jest to tzw. phishing - czyli podszywanie i wyłudzanie informacji poprzez specjalnie spreparowane strony internetowe udające np. stronę banku. Poniżej kilka wskazówek jak się bronić, aby nie zostać ofiarą phishingu.
Bezpieczne logowanie
Po czym poznać, czy strona jest prawdziwą stroną banku?
Przed zalogowaniem się do serwisu internetowego DZ BANK Polska S.A. upewnij się czy połączenie, z którego korzystasz jest szyfrowane:
sprawdź czy adres strony w oknie przeglądarki wygląda następująco:
Strony udające zaufane strony www będą miały adres rozpoczynający się od http:// co oznacza, że połączenie nie jest szyfrowane, a tym samym nie jest bezpieczne. Adres rozpoczynający się od https:// oznacza, że strona korzysta z protokołu SSL tworzącego bezpieczny kanał do transmisji.
sprawdź czy na ekranie pojawia się ikona z zamkniętą kłódką.
Pojawienie się tej kłódki sygnalizuje, że strona jest zabezpieczona certyfikatem bezpieczeństwa i połączenie jest szyfrowane. Aby sprawdzić poprawność certyfikatu bezpieczeństwa wystarczy dwukrotne kliknąć w ikonę kłódki. Po kliknięciu zostaną wyświetlone szczegóły dotyczące certyfikatu, które powinny wyglądać w następujący sposób:
.jpg)
Powyższe czynności powinniśmy wykonywać za każdym razem logując się do systemu DZ Internet!
Udawanie pracownika banku
"Dzień dobry nazywam się Jerzy Nowak, dzwonię z banku z Departmentu Informatyki. Mamy awarię systemu bankowości elektronicznej i dzwonimy do naszych Klientów, aby ich o tym powiadomić. Jednocześnie proszę o podanie hasła do Państwa rachunku w celu usunięcia usterki i zweryfikowania poprawności działania systemu. Poinformujemy Państwo jak tylko usuniemy przyczynę awarii"
Prawdopodobnie rozmówca poda jeszcze kilka informacji w celu zbudowania naszego zaufania. Należy pamiętać, żeby pod żadnym pozorem nie podawać haseł przez telefon nawet jeśli rozmówca podaje się za pracownika banku.
3. Wirusy komputerowe
Wirus komputerowy to najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody użytkownika. Wirus komputerowy w przeciwieństwie do tzw. robaka komputerowego do swojej działalności wymaga nosiciela w postaci programu komputerowego, poczty elektronicznej itp. Wirusy wykorzystują zarówno słabość zabezpieczeń systemów komputerowych oraz ich konkretne właściwości, jak również niedoświadczenie i beztroskę użytkowników. Wirusy mogą powodować wiele skutków niepożądanych:
instalowanie w systemie "tylnych drzwi", umożliwiających zdalne przejęcie kontroli nad systemem
szpiegowanie poufnych informacji jak np. hasła
rozsyłanie spamu
przeprowadzanie włamań lub ataku DDoS
utrudnianie pracy programom antywirusowym
zmienianie strony startowej przeglądarki
kontrola nad zainfekowanym systemem
dostęp do plików zakażonego komputera
Ponieważ działanie "Trojanów" opiera się na niefrasobliwości użytkownika, podstawową metodą obrony przed nimi powinna być profilaktyka. Polega ona na:
nie odbieraniu załączników z podejrzanych wiadomości e-mail
nie ściąganiu nieznanych plików wykonywalnych *.exe, *.com, *.scr oraz skryptów *.vbs i *.hta
używaniu oprogramowania antywirusowego
używaniu zapory sieciowej - firewalla
systematycznym uaktualnianiu systemu operacyjnego i przeglądarek internetowych
4. Bezpieczeństwo bankowości elektronicznej w pigułce
Poniżej zamieszczamy kilka podstawowych zasad, których przestrzeganie pozwala na znaczne ograniczenie ryzyka stania się ofiarą przestępstwa komputerowego.
Zadbaj o bezpieczeństwo własnego komputera - używaj programu antywirusowego oraz osobistego firewalla oraz dbaj o ich aktualizacje.
Zawsze sprawdzaj czy adres internetowy banku wyświetlony w oknie przeglądarki jest poprawny - w szczególności zwróć uwagę czy adres strony zaczyna się od https:// co oznacza, że transmisja odbywa się poprzez
bezpieczny, szyfrowany kanał.
Nie odpowiadaj na wiadomości e-mailowe, których autorzy proszą o ujawnienie czy zweryfikowanie Twoich danych osobowych, haseł, pinów czy informacji dotyczących numeru konta czy karty kredytowej.
Nigdy pod żadnym pozorem nie podawaj hasła lub pinu przez telefon, nawet jeśli rozmówca podaje się za pracownika banku.
Nie przesyłaj mailem żadnych informacji osobistych ani finansowych - jeśli już masz to zrobić to upewnij się, że dane te będą zaszyfrowane algorytmem uznanym za bezpieczny.
Nie używaj tego samego hasła, którego używasz do logowania się w systemie bankowości elektronicznej na innych stronach internetowych.
Nie uruchamiaj żadnych programów ściągniętych ze stron WWW lub z nieznanego źródła.
Regularnie sprawdzaj stan rachunku oraz historię transakcji.
Upewnij się, że poprawnie wylogowałeś się po zakończeniu działań na swoim rachunku poprzez opcję "Wyloguj".
