Cyberprzestępcy czyhają na nasze błędy

Cykl o e-bankowości opracowano we współpracy z mbankiem

Około 60 proc. klientów używa w jednakowym stopniu bankowości elektronicznej i tradycyjnej – wynika z najnowszego raportu „Kierunek: Omnichannel. Banki w poszukiwaniu złotego środka”, przygotowanego przez firmę e-point. Analitycy przeanalizowali wiele publikacji i statystyk przygotowanych w latach 2012–2015 przez czołowe firmy konsultingowe z całego świata. Efekt? Dwie trzecie klientów banków woli, aby doradzili im pracownicy oddziałów, ale jednocześnie 76 proc. badanych wykonuje zdalnie proste transakcje, takie jak przelew czy sprawdzenie salda rachunku.

Wedle danych Związku Banków Polskich pod koniec 2014 r. dostęp do bankowości elektronicznej miało 24 mln Polaków. Jak podaje z kolei Ministerstwo Administracji i Cyfryzacji, z możliwości, jakie daje e-bankowość, korzysta połowa z nich.

Do banku wchodzimy z reguły z poziomu komputera. Raport PR News wskazuje, że w smartfonach i na tabletach do swoich kont loguje się 3,5 mln Polaków.

Złośliwe aplikacje

Według Marcina Żuchowicza, prezesa e-point, kanał mobilny, choć istotny, ma ograniczone zastosowanie, co wynika m.in. z obaw klientów dotyczących bezpieczeństwa transakcji mobilnych. Szczególnie narażone są najpopularniejsze urządzenia z systemem Android. Cyberprzestępcy nakłaniają podstępem do samodzielnej instalacji złośliwych aplikacji.

Spam i szkodliwe oprogramowanie to dziś realne zagrożenie dla użytkowników bankowości elektronicznej. Cyberprzestępcy są coraz bardziej wyrafinowani. Analitycy ds. bezpieczeństwa firmy Doctor Web wciąż rejestrują nowe przypadki trojanów dla Androida. Są one preinstalowane na urządzeniach jako aplikacje systemowe i uaktywniają się bez wiedzy użytkownika. Usunięcie trojana wbudowanego bezpośrednio w firmware telefonu często jest niemożliwe. Rozwiązaniem może być ponowna instalacja systemu operacyjnego, ale to może prowadzić do trwałej utraty danych, które nie zostały zachowane w kopiach zapasowych.

We wrześniu analitycy bezpieczeństwa Doctor Web wykryli nową infekcję: Android.Bacldoor-114. Pozyskuje i wysyła na serwer zarządzający informacje o zainfekowanym urządzeniu. Potrafi dostarczyć cyberprzestępcom dane m.in. o identyfikatorze urządzenia, adresie MAC karty Bluetooth czy liście aplikacji zainstalowanych przez użytkownika. A przede wszystkim w skryty sposób instaluje i usuwa aplikacje po otrzymaniu komendy z serwera zarządzającego. Trojan potrafi aktywować wyłączoną opcję instalowania aplikacji z niepewnych źródeł, co grozi dalszym infekowaniem sprzętu.

Eksperci zalecają więc przeprowadzanie okresowego skanowania antywirusowego telefonów oraz tabletów.

Zachowaj ostrożność

Choć za ataki na użytkowników e-bankowości odpowiadają wyrafinowani cyberprzestępcy, to wielu z nich można byłoby uniknąć. Wystarczy stosować się do podstawowych zasad bezpieczeństwa. Tymczasem okazuje się, że spora część internautów bagatelizuje zagrożenia.

Z najnowszego badania Kaspersky Lab wynika, że prawie jedna trzecia użytkowników nie robi nic, aby chronić płatności online. Zaledwie co drugi użytkownik sprawdza, czy dana strona jest autentyczna, zanim poda na niej swoje dane. Jedna trzecia uważa, że stosowanie jakichkolwiek środków w celu zabezpieczenia pieniędzy online jest zbędne.

Uczestników testu, w którym udział wzięło 18 tys. osób, poproszono o wybór jednej z czterech stron bankowych w celu wprowadzenia swoich danych dotyczących konta. Tylko połowa zdołała rozpoznać całkowicie bezpieczną stronę, która miała niezmienioną nazwę (zmiany w nazwie organizacji to typowa oznaka tzw. phishingu), oraz prefiks https wskazujący na połączenie szyfrowane. Co więcej, 5 proc. respondentów wybrało strony, których adresy zawierały literówki sugerujące, że są to potencjalnie fałszywe witryny, stworzone w celu kradzieży danych użytkowników.

Przed wprowadzeniem danych

Analiza Kaspersky Lab pokazuje, że ledwie 11 proc. respondentów używa trybu „incognito” przeglądarki w celu ochrony płatności, 4 proc. korzysta z usługi ukrywającej tożsamość, a 7 proc. badanych wielokrotnie wpisuje i kasuje dane, „aby zmylić wirusy”. Niestety, działania te nie chronią informacji finansowych użytkowników.

Respondenci zostali również zapytani, jakie działania podejmują, zanim wprowadzą swoje dane finansowe w celu dokonania płatności online. Tylko 51 proc. z nich wskazało na weryfikację autentyczności strony, 21 proc. wykorzystuje klawiaturę wirtualną w celu zabezpieczenia swoich haseł przed przechwyceniem przez szkodliwe oprogramowanie. Co piąta osoba sprawdza, czy antywirus działa poprawnie, aby mieć pewność, że płatność jest bezpieczna.

—Michał Duszczyk

Opinia

Wojciech Toboła, ekspert ds. produktów podstawowych, mBank

Spam to w zasadzie nic groźnego, jeśli wiemy, jak z nim postępować i jak go odróżnić od phishingu, czyli próby przejęcia naszych danych. Co do zasady spam jest internetową emanacją ulotek wrzucanych do naszych skrzynek. To korespondencja nieoczekiwana, anonimowa i z nieznanego nam adresu, do tego masowa, wysyłana do tysięcy użytkowników. Nie każdy spam jest dla nas niebezpieczny. Jednak warto z rozwagą podchodzić do korespondencji elektronicznej, ponieważ gdzieś między mailingami czy ofertami tanich zakupów może się przytrafić e-mail z phishingiem. Jest to szczególny typ oszustwa internetowego. Ma różne wyrafinowane formy, ale wyróżnia się zwłaszcza jednym: pytaniem o osobiste dane, takie jak: nazwa użytkownika, hasło do skrzynki e-mailowej, hasło do serwisu bankowości internetowej, kod PIN/CVV2 czy numer karty kredytowej, debetowej, nazwisko panieńskie matki, data urodzenia, a nawet numer PESEL. Przestępcy chcą przejąć naszą tożsamość, aby przejąć kontrolę nad naszą skrzynką pocztową i z niej słać dalej spam, a co najgroźniejsze – ukraść nasze pieniądze.

Najczęściej dostajemy e-mail rzekomo pochodzący z banku, który jest profesjonalnie podrobiony: ma logotyp, stopkę, a nawet czcionkę i treść sformułowaną zgodnie z zasadami komunikacyjnymi instytucji finansowej. Wiadomość zawsze będzie próbowała zachęcić nas do podania poufnych danych, np. do natychmiastowego potwierdzenia hasła i identyfikatora w banku ze względu na zmianę w systemach IT czy z innego wymyślonego, choć brzmiącego prawdopodobnie powodu (np. zablokowanie konta). Prośba o podanie danych może się pojawić od razu w wiadomości, ale e-mail może też zawierać link do strony z odpowiednim formularzem. W tym przypadku przestępca tworzy prawie idealną kopię oryginalnej strony banku, ubezpieczyciela, serwisu płatności etc., a potem próbuje nakłonić do podania na tej fałszywej stronie prawdziwych danych klienta do logowania.

Na co w takim razie zwrócić uwagę? Po pierwsze, uważnie przyjrzyjmy się, kto do nas wysłał e-mail. Przestępcy często podszywają się, zmieniając adres wysłania; czasami jest to jedna litera w adresie, kropka czy odnośnik. Po drugie, nie klikajmy w linki przesłane w podejrzanych e-mailach; mogą przekierowywać do fałszywych, dobrze podrobionych stron. Nie ściągajmy także zawartych w tych e-mailach plików; one mogą zainfekować nasz komputer i otworzyć przestępcom furtkę. Nie wypełniajmy formularzy zawartych w takich wiadomościach, a jeśli już czujemy się do tego zmuszeni, sami otwórzmy stronę banku, wpisując znany nam adres, i za każdym razem sprawdzajmy, czy przed adresem jest kłódka oznaczająca szyfrowanie połączenia.

I jeszcze dwie podstawowe rzeczy: pamiętajmy, że bank nie poprosi o poufne dane i nigdy nie wyśle do nas wiadomości kierującej do strony logowania. Zawsze możemy się skontaktować ze swoim bankiem, jeśli tylko coś nas zaniepokoi. I korzystajmy z tego!

W bankowości elektronicznej stosuj przede wszystkim zasadę ograniczonego zaufania

1. Uważnie czytaj komunikaty i powiadomienia pojawiające się w trakcie logowania oraz wykonywania transakcji. Pamiętaj, że przestępcy potrafią podrabiać strony w internecie, w tym strony banków. Jeśli zaskoczyło cię coś w widoku strony lub zauważyłeś nietypowe jej działanie, skontaktuj się z bankiem.

2. Uważnie czytaj komunikaty SMS, w tym potwierdzenia transakcji. Podany w wiadomości SMS wykaz czynności, numer rachunku i kwota muszą się zgadzać ze zlecanymi przez ciebie w serwisie transakcyjnym. Zwracaj uwagę na treść SMS od banku, nawet jeśli wykonujesz transakcje bardzo często.

3. Jeśli jakikolwiek komunikat albo element serwisu transakcyjnego czy mobilnego wzbudza twoje wątpliwości, przerwij czynność i natychmiast skontaktuj się z konsultantem banku.

4. Nie otwieraj podejrzanych e-maili i załączników. Uważaj na umieszczone w wiadomościach linki, ponieważ mogą one zainfekować twoje urządzenia elektroniczne wirusem. Dotyczy to każdego twojego adresu e-mail i wszystkich otrzymywanych wiadomości.

5. Nie otwieraj strony serwisu transakcyjnego banku poprzez link z e-maila lub wyszukiwarki internetowej. Przestępcy mogą podrabiać adresy. Korzystaj z przycisku logowania na stronie banku. Adres strony powinien zaczynać się od: https://. Zawsze sprawdzaj, czy połączenie jest szyfrowane (czy pojawiła się kłódka przed adresem).

6. Nie instaluj na żądanie dodatkowego oprogramowania na komputerze, tablecie lub telefonie. Pamiętaj, że bank nigdy o to nie prosi (szczególnie za pośrednictwem e-maili, SMS lub komunikatów w serwisie banku). Program lub aplikacja mogą być furtką do przejęcia kontroli nad urządzeniem przez przestępców.

7. Z dostępu do usług banku korzystaj tylko na sprawdzonych urządzeniach. Unikaj logowania z cudzych komputerów, tabletów i telefonów. Pamiętaj o stosowaniu zasady ograniczonego zaufania.

8. Aplikacje na urządzenia mobilne pobieraj wyłącznie z oficjalnych sklepów, takich jak: AppStore, Google Play czy Windows Phone Store. Znajdujące się tam programy przechodzą proces weryfikacji (gwarantują ci bezpieczeństwo).