O bezpieczeństwo naszych pieniędzy dba nie tylko bank. My sami również musimy starać się o to, by przez nieodpowiedzialne korzystanie z bankowości elektronicznej nie paść ofiarą cyberkradzieży.
Cyberprzestępcy atakują nie tylko wielkie firmy, ale także indywidualnych użytkowników internetu, korzystających z bankowości elektronicznej i używających kart płatniczych. Aby nie dać się okraść cyberzłodziejom, trzeba znać metody, które stosują. Klienci banków korzystający z bankowości elektronicznej najczęściej narażeni bywają na: skimming, phishing, vishing oraz smishing.
Skimming
Terminem tym określa się cyberprzestępstwo polegające na kradzieży danych zapisanych na karcie płatniczej. Złodzieje mogą skopiować dane ze znajdującego się na niej paska magnetycznego. Używają do tego specjalnych urządzeń, zwanych skimmerami, kiedy wypłacamy pieniądze z bankomatu lub płacimy za zakupy w sklepie czy w restauracji. Posiadając te dane, przestępcy mogą stworzyć kopię naszej karty i posługiwać się nią jak oryginałem. PIN do niej zdobywają dzięki miniaturowym kamerkom lub prawie niedostrzegalnym nakładkom montowanym na klawiaturach bankomatów.
Skimming jest uważany za jedno z najpoważniejszych przestępstw dotyczących bankowości elektronicznej i płatności bezgotówkowych. Jak się przed nim uchronić? Trzeba pamiętać o tym, że płacąc kartą, nie wolno jej spuszczać z oczu. Nie należy dawać jej nikomu obcemu do ręki, a jeśli już trzeba to zrobić, to nie wolno pozwolić, by z nią się oddalił czy wkładał do terminala umieszczonego w niewidocznym miejscu. Wypłacając pieniądze z bankomatu, najlepiej korzystać z urządzeń należących do banków czy znanych instytucji finansowych, tych usytuowanych w miejscach ruchliwych i dobrze oświetlonych. Przed włożeniem karty do bankomatu należy zwrócić uwagę, czy nie ma na nim jakichś podejrzanie wyglądających, nietypowych elementów, a wprowadzając PIN, dobrze jest zasłonić klawiaturę np. ręką. Dobrym nawykiem jest regularne kontrolowanie stanu swojego konta, bo to pozwala szybko zareagować, kiedy pojawią się na nim jakieś dziwne transakcje, których nie wykonywaliśmy. O każdym takim przypadku należy zawiadomić bank prowadzący rachunek oraz policję.
Phishing
Tak nazywa się oszustwo polegające na wyłudzeniu danych – w przypadku bankowości chodzi np. o numer karty kredytowej czy dane potrzebne do zalogowania się na konto internetowe. W tym celu przestępcy, podszywając się m.in. pod banki czy legalnie działające firmy, wykorzystują najczęściej sfałszowane e-maile. Wygląda to przeważnie tak: na nasz adres mailowy przychodzi wiadomość niby od jakiejś organizacji czy firmy, której treść ma nas skłonić do ujawnienia poufnych danych. Taka fałszywa wiadomość dotyczy zazwyczaj bezpieczeństwa albo rzekomej konieczności aktualizacji danych czy dokonania jakiejś niewielkiej płatności. Aby wykonać polecenie, należy kliknąć w dołączony do wiadomości link, który przekierowuje na fałszywą stronę, do złudzenia przypominającą stronę naszego banku, na której logujemy się do konta. Jeśli tam się zalogujemy, ujawnimy przestępcy nasze poufne dane niezbędne do korzystania z bankowości elektronicznej czy karty płatniczej. Pod żadnym pozorem więc nie należy klikać w linki czy otwierać załączników (mogą one zawierać złośliwe oprogramowanie służące do wykradania danych) ani wypełniać poleceń (np. potwierdzenia danych konta) zawartych w e-mailach od nieznanych nadawców. Jako podejrzane należy traktować e-maile zatytułowane np. „Powiadomienie o zapłacie”, „Twoja paczka została zatrzymana przez służby celne”, „Powiadomienie o płatności przychodzącej” itp.
Smishing i vishing – inne oblicza phishingu
Cyberzłodzieje wykorzystują nie tylko internet i pocztę elektroniczną, ale również SMS-y i rozmowy telefoniczne. Przestępstwo polegające na wysyłaniu SMS-ów mających na celu uzyskanie dostępu do naszego konta bankowego nazywa się smishingiem. W praktyce może to wyglądać na przykład tak: otrzymujemy SMS z informacją o konieczności anulowania niezleconego przez nas przelewu bankowego. Cyberzłodziej informuje, że w tym celu należy zadzwonić pod podany w SMS-ie numer telefonu. Dzwoniąc, łączymy się z automatycznym serwisem telefonicznym, który domaga się od nas poufnych danych (np. haseł) do logowania na koncie bankowym albo danych karty płatniczej (PIN-u). Cyberzłodziej może też nakłaniać do kliknięcia w przesłany link i zainstalowania złośliwego oprogramowania, które spowoduje przekierowanie na fałszywą stronę internetową udającą portal banku.
Vishing nazywany jest inaczej voice pishingiem. W tym przypadku w rozmowie telefonicznej przestępcy podszywają się np. pod pracowników banków. Pod pretekstem np. awarii systemu w banku proszą o podanie loginu i hasła do bankowości elektronicznej. Dane te wykorzystują następnie do zmiany numeru telefonu, na który otrzymujemy SMS-y z cyfrowym kodem do autoryzacji transakcji. Telefoniczni przestępcy mogą również, powołując się na względy bezpieczeństwa, zachęcać do zainstalowania na naszym smartfonie jakiejś złośliwej aplikacji służącej do wyłudzania danych. W ten sposób zdobywają dane do logowania się do bankowości elektronicznej czy potrzebne do autoryzacji transakcji, które będą mogli wykorzystywać do dokonywania przelewów z naszego konta.
Fałszywy klient
Oszuści działają też na popularnych portalach ogłoszeniowych czy aukcyjnych. Cyberzłodziej udaje, że chce kupić wystawiony przez nas towar. Prosi o podanie dodatkowych danych, aby rzekomo sfinalizować transakcję. W tym celu wysyła link do fałszywej strony serwisu ogłoszeniowego czy aukcyjnego, gdzie – jak twierdzi – należy wprowadzić numer karty płatniczej, kod do aktywacji płatności mobilnych lub dane do logowania się na konto internetowe… Oczywiście wcale nie kupuje naszego towaru, a cały ten proces służy tylko do uzyskania dostępu do naszych pieniędzy. Żaden kupujący nie ma prawa o takie dane prosić i nikomu nie wolno ich ujawniać.
Podobne próby oszustwa i wyłudzania tajnych danych bankowych można spotkać na portalach społecznościowych, gdzie coraz więcej sklepów internetowych zakłada profile, przez które prowadzi sprzedaż swoich towarów. Korzystając z nich, należy sprawdzić wiarygodność takiej propozycji – np. znaleźć w internecie stronę sklepu, poczytać opinie klientów...
Jak się chronić?
Należy pamiętać, że pracownicy banków podczas rozmowy telefonicznej ani w wysyłanych e-mailach, ani w SMS-ach nigdy nie proszą klientów o podanie haseł dostępu do konta internetowego, aplikacji mobilnej czy PIN-u karty płatniczej. Nie wymagają też instalowania dodatkowego oprogramowania. Jeżeli z taką prośbą się spotkamy, należy ją zignorować. Najważniejsze zasady, których zachowanie pomoże uniknąć wyłudzenia poufnych danych, zawiera ramka. O każdej próbie wyłudzenia poufnych danych do naszego rachunku należy poinformować bank, w którym mamy konto. Warto też powiadomić o nietypowej bądź budzącej nasze zaniepokojenie sytuacji zaistniałej podczas korzystania z bankowości elektronicznej. •
Wygraj nagrody!
Przeczytaj uważnie tekst z cyklu „Bank pod ręką”, rozwiąż krzyżówkę, znajdującą się na ostatniej stronie dodatku telewizyjnego, i odczytaj hasło utworzone z ponumerowanych liter. Nagrody czekają! Atrakcyjne nagrody czekają również na uczestników zabawy dostępnej na internetowej stronie cyklu „Bank pod ręką”. Wystarczy wejść na: www.ekonomia.gosc.pl i rozwiązać quiz lub wypełnić ankietę dotyczącą treści artykułu z cyklu „Bank pod ręką”.
Aby uniknąć wyłudzenia poufnych danych bankowych:
• nie wolno otwierać załączników ani klikać w linki otrzymane w e-mailach od nieznanych nadawców; • należy sprawdzać adresy stron WWW, na których się logujemy, by dokonać transakcji, a także ich certyfikaty; • nie wolno podawać przez telefon ani wysyłać swoich loginów i haseł innym osobom; • nie należy podawać nikomu numeru swojej karty płatniczej, żeby otrzymać na nią pieniądze; • należy uważnie czytać treść SMS-ów autoryzacyjnych przed potwierdzeniem transakcji (czy zgadza się kwota przelewu i jego odbiorca); • nie wolno logować się do bankowości elektronicznej na urządzeniach publicznie dostępnych, np. w kafejkach, hotelach ani przez niezabezpieczone wi-fi; • nie należy podłączać zewnętrznych nośników danych (np. pendrive’ów) do swojego urządzenia, jeśli nie mamy pewności, że są bezpieczne; • regularnie należy aktualizować oprogramowanie na urządzeniach wykorzystywanych do logowania się do bankowości elektronicznej – komputerze i telefonie (system, aplikacje, przeglądarkę, antywirusy); • dobrze mieć ustawioną weryfikację dwuetapową z wykorzystaniem np. oficjalnej aplikacji mobilnej naszego banku.