Zadbaj o silne hasło
Silne hasło to podstawa zapewnienia bezpieczeństwa informacji chronionej w sieci – szczególnie, jeśli celem jego stosowania jest ochrona dostępu do pieniędzy. Nie może być to kombinacja cyfr związanych np. z datą urodzenia użytkownika. W procesie jego tworzenia zaleca się łączenie małych i dużych liter, korzystanie z cyfr oraz znaków specjalnych.
Należy pamiętać o tym, aby nie stosować hasła wykorzystywanego do bankowości internetowej w innych serwisach. Jeśli mamy trudność w zapamiętaniu danych do logowania, można skorzystać z menadżera haseł.
Hasło do bankowości internetowej powinno być zmieniane systematycznie, najlepiej co kilka miesięcy. Niektóre banki informują klientów o konieczności jego modyfikacji podczas logowania do systemu.
Siła hasła zależy też od jego ochrony przez użytkownika. Należy szczególnie zwracać uwagę na to, czy hasło do bankowości wpisujemy w serwisie bankowym, np. weryfikując adres strony. Wszelkie próby żądania danych logowania do bankowości przez stronę, która nie jest serwisem banku, powinny zostać przez nas uznane za podejrzane.
Stosuj podwójne uwierzytelnienie
Warto korzystać z podwójnego (2FA, two-factor authentication) lub wieloskładnikowego (MFA, multi-factor authentication) uwierzytelnienia. Wprowadzenie dodatkowego elementu, takiego jak autoryzacja przez SMS, token czy akceptacja powiadomienia w aplikacji mobilnej sprawia, że nawet w przypadku, w którym oszust uzyska hasło, dostęp do konta będzie nadal uwarunkowany drugim elementem. W przypadku bankowości internetowej dodatkowe zabezpieczenia są obligatoryjne.
- Przestępcy niestety doskonale zdają sobie sprawę z popularności metody 2FA i dostosowują swoje techniki ataku. Warto być świadomym potencjalnych zagrożeń, takich jak fałszywe bramki płatności, które prowadzą do nieprawdziwych stron logowania do banku poprzez które przestępcy starają się pozyskać dane uwierzytelniające. Atakujący często próbują nakłonić do nieświadomego ujawnienia danych, np. wywierając presję czasu – mówi Bartłomiej Dyrga, Menedżer Zespołu Utrzymania Cyberbezpieczeństwa w Alior Banku.
Aby skutecznie się bronić, trzeba uważnie czytać informacje dotyczące transakcji, zarówno w SMS, jak i w komunikatach PUSH. W razie wątpliwości co do autentyczności strony płatności, należy przerwać transakcję.
Nie klikaj w linki przesyłane przez niezweryfikowanego nadawcę w wiadomościach e-mail, SMS, czy też zawarte w bannerach.
Coraz więcej e-maili doskonale imituje komunikaty wysyłane przez banki, posługując się identyczną szatą graficzną oraz logotypami. Przestępcy często używają tych wiadomości w celu nakłonienia odbiorcy do kliknięcia w linki i udostępnienie wrażliwych danych. Ten typ manipulacji, znany jako phishing, obecnie należy do jednej z najczęściej stosowanych metod wyłudzenia. Podobny scenariusz przestępcy stosują w wiadomościach SMS.
Należy wiedzieć, że instytucje finansowe nigdy nie przesyłają linków do bankowości internetowej w e-mailach lub SMS-ach ani nie proszą o zalogowanie się, podanie PIN-u, numeru karty płatniczej czy zmianę hasła na stronie wskazanej przez aktywny link. Ważne jest, aby podejść z większą ostrożnością do otrzymywanych wiadomości. Nie chodzi o to, aby odrzucać wszystkie wiadomości jako potencjalnie fałszywe, lecz o to by z nieufnością podchodzić do komunikatów, których autor nie został zweryfikowany.
Warto zawsze sprawdzić szczegóły wiadomości, a więc z jakiego adresu została wysłana, czy nie zawiera ona literówek oraz czy zachowane są zasady gramatyki i ortografii. Chociaż cyberprzestępcy stają się coraz bardziej zręczni w swoich działaniach, to nadal popełniają drobne błędy, które można zauważyć przy dokładnej analizie.
Sprawdź poprawność adresu, z którym się łączysz
Przy logowaniu do konta bankowego należy zwrócić uwagę na certyfikat SSL. Internauci mogą go rozpoznać m.in. dzięki symbolowi zamkniętej kłódki oraz przedrostkowi „https” w adresie strony. Brak litery „s” w tym protokole oznacza, że użytkownik znajduje się na portalu, który nie szyfruje transmisji danych, co w rezultacie umożliwia stosunkowo łatwe przechwycenie informacji.
Weryfikację strony zawsze warto poprzedzić również sprawdzeniem jej certyfikatu. Aby to zrobić, należy kliknąć na ikonę zamkniętej kłódki i sprawdzić wszystkie wpisy zawarte w przedstawionym certyfikacie. Zaleca się również weryfikację poprawności adresu strony logowania do banku lub jego ręczne wprowadzanie.
Dbaj o bezpieczeństwo komputera i smartfona
W trosce o bezpieczeństwo danych, dobrze jest zabezpieczyć komputer przed ewentualnym atakiem hakera. W tym celu należy skorzystać ze sprawdzonego oprogramowania antywirusowego oraz dbać o jego aktualizację.
Należy pamiętać również o tym, aby z ograniczonym zaufaniem korzystać z ogólnodostępnych sieci Wi-Fi, które są bardziej narażone na ataki niż sieci prywatne. Jeśli jednak konieczne jest połączenie z darmowym hot-spotem, warto zaniechać czynności związanych z logowaniem do banku lub innych witryn zabezpieczanych hasłami.
Uważaj na podejrzane połączenia telefoniczne
W dobie obsługi zdalnej trzeba być wyczulonym na podejrzane połączenia telefoniczne. Spoofing to podszywanie się pod dowolny numer lub nazwę kontaktu w telefonie. Oznacza to, że mimo wyświetlanej na ekranie naszego telefonu nazwy dzwoniącego (np. Anna) czy numeru telefonu (np. infolinii banku), tak naprawdę dzwoni do nas lub pisze zupełnie inna osoba. Nie jest to złamanie zabezpieczeń banku, możliwość ataku wynika ze sposobu działania infrastruktury telekomunikacyjnej. Możliwe, że podczas takiego połączenia skontaktuje się z nami oszust, którego celem jest kradzież pieniędzy.
Przestępcy podczas kontaktu informują np. o zablokowaniu rzekomego przelewu na dużą kwotę, podejrzanej płatności kartą lub nieuprawionym kredycie. Wyłudzają wtedy hasła do bankowości elektronicznej, dane kart płatniczych, kody BLIK, nalegają na zainstalowanie aplikacji lub przelanie pieniędzy na „konto techniczne”, które w rzeczywistości nie istnieje.
- Należy pamiętać, aby pod żadnym pozorem nie podawać loginu i hasła do bankowości internetowej oraz danych karty płatniczej. To poufne informacje, o które prawdziwy przedstawiciel banku nigdy nie zapyta. W przypadku żądania takich danych przez dzwoniącego, klient powinien natychmiast przerwać połączenie, odczekać chwilę, a następnie samodzielnie zadzwonić do instytucji, której rzekomy przedstawiciel się z nim kontaktował. Koniecznie należy wybrać oficjalny numer na klawiaturze numerycznej, a nie oddzwaniać na wcześniejsze połączenie. Należy zawsze mieć świadomość, że wyświetlony numer telefonu lub nazwa banku nie są gwarancją, że rozmawiamy z prawdziwym przedstawicielem. W Alior Banku dajemy możliwość ustalenia tzw. hasła zwrotnego na infolinii lub w oddziale banku, którego następnie klient może zażądać podczas rozmowy. Jeśli podany kod będzie niepoprawny, należy od razu zakończyć połączenie i poinformować o zdarzeniu bank. Weryfikować można również poprzez poproszenie bankiera o wysłanie komunikatu PUSH do aplikacji Alior Mobile – podkreśla Bartłomiej Dyrga.
Równie często przestępcy podszywają się pod bliską nam osobę, a następnie poproszą o „przypomnienie” jakiegoś hasła lub też podanie kodu BLIK bądź zapłatę poprzez dedykowany link, bo właśnie ta osoba płaci za zakupy i nie może autoryzować transakcji. Mogą to zrobić za pomocą SMS-a lub też internetowego komunikatora, aby nie wzbudzać podejrzeń w trakcie rozmowy. Warto w takiej sytuacji nie odpisywać, ale zadzwonić bezpośrednio do naszego znajomego i zweryfikować sytuację.
Oprócz najwyższej jakości zabezpieczeń kluczowe zadanie w tym procesie pełni edukacja, w szczególności z zakresu bezpiecznego korzystania z Internetu. Oszuści wciąż tworzą nowe sposoby wyłudzania danych, często wykorzystując ludzką wrażliwość i empatię.
Każdy klient powinien pamiętać, że każdorazowo ma prawo zgłosić nietypową sytuację do banku, a w przypadku podejrzenia, że doszło lub mogło dojść do popełnienia przestępstwa, również zawiadomić policję. Aktualne informacje o zagrożeniach i atakach na klientów bankowości w Polsce są publikowane na stronach Alior Banku, Związku Banków Polskich oraz Komisji Nadzoru Finansowego.
/>
Czytaj więcej w dodatku DGP Cyberbezpieczeństwo