Jak ustrzec się przed hakerami

Z bankowości internetowej korzysta już ponad 13 mln Polaków. Coraz większa grupa wykonuje też transakcje finansowe przez smartfony. Jednak bankowcy ostrzegają, że wprawdzie wiedza klientów na temat wyłudzeń jest coraz większa, to nadal spora grupa użytkowników podchodzi do e-bankowania zbyt lekkomyślnie.

- Naszym zdaniem w przypadkach wyłudzeń największym problemem jest albo niedostateczne zabezpieczenie komputera poprzez brak programu antywirusowego lub nieaktualne oprogramowanie oraz otwieranie podejrzanych maili, załączników i korzystanie z linków prowadzących do fałszywej strony logowania - mówi Michał Tkaczuk z PKO BP.

Bankowcy przyznają, że coraz więcej klientów ma świadomość, że trzeba używać programów antywirusowych na komputerach, ale niewiele osób instaluje je na smartfonach i innych urządzeniach mobilnych.

Eurobank podał, że bezpłatnie udostępnia swoim klientom IBM Security Trusteer Rapport, program zwiększający ochronę przed atakami złośliwego oprogramowania oraz przypadkami phishingu, czyli wyłudzania poufnych danych. Jak tłumaczą eksperci tych instytucji, jest to specjalistyczne oprogramowanie, instalowane na komputerze klienta, zoptymalizowane pod kątem blokowania złośliwego oprogramowania wykradającego dane finansowe oraz przeciwdziałania oszustwom finansowym. Nawet jeśli złośliwe oprogramowanie zostanie zainstalowane na urządzeniu, Trusteer Rapport wykryje i zablokuje wszelkie podjęte próby naruszenia zabezpieczeń przeglądarki oraz sesji bankowości elektronicznej.

Pytaliśmy inne banki czy planują podobne działania i żaden nie ma takich planów, a część ekspertów krytycznie pochodzi do upubliczniania takich działań.

- Osobiście mam spore wątpliwości co do celowości tego rodzaju działań informacyjnych. Bank pokazał bowiem, jakiego rodzaju zabezpieczenie stosuje, więc poniekąd dał wskazówkę, jak sprofilować atak, by był skuteczny. Wiele banków ma od dawna wdrożone tego rodzaju zabezpieczenia. W wielu działa ponadto skuteczny monitoring zdarzeń po stronie klienta, ale nie wszystkie się tym chwalą, ponieważ nie zawsze ma to sens i jest bezpieczne, także patrząc na to z perspektywy klienta - mówi Janusz Nawrat, dyrektor departamentu bezpieczeństwa informacji i systemów informatycznych Raiffeisen Polbank.

Dodaje, że nie ma cudownych środków, a żadne pojedyncze rozwiązanie nie zapewni, że problem zniknie. - W bezpieczeństwie liczy się wyłącznie podejście kompleksowe oparte o system zintegrowanych rozwiązań (ang: defense in depth). Rozwiązania „punktowe" mają zawsze skuteczność mocno ograniczoną – podkreśla Janusz Nawrat.

Bankowcy nie zdradzają szczegółów tego, w jaki sposób wzmacniają bezpieczeństwo, ale tłumaczą, że jest działania są wielopoziomowe.

- Bank stosuje szereg narzędzi i metod weryfikacji poprawności danych zawartych zarówno w treści zleceń jak i weryfikacji nietypowych zachowań aplikacji, które zawsze towarzyszą podejrzanym transakcjom - mówi Ricardo Campos, dyrektor departamentu bankowości elektronicznej Banku Millennium.

Banki skupiają się m.in. na coraz skuteczniejszym informowaniu i przestrzeganiu przez zagrożeniami, zwłaszcza tymi najnowszymi.

Chodzi o konieczność sprawdzania zarówno strony, z jakiej logujemy się do bankowości elektronicznej (dokładne sprawdzenie adresu strony, certyfikatu/symbolu zamkniętej kłódki obok adresu), jak i dokładnego czytania SMS-ów od banku.

Eksperci przypominają, żeby w SMS z kodem do autoryzacji transakcji czytać też, jakiej operacji dotyczy ten kod i sprawdzić wprowadzony numer rachunku. Dzięki temu możemy zabezpieczyć się przed wpisaniem kodu na podstawionej przez przestępców stronie.

- Ważne jest również, aby przy wklejaniu numeru konta do bankowości internetowej, skopiowanego z zapisanego na dysku pliku, dokładnie sprawdzić, czy numer, który podstawi się w formatce przelewu jest tym, na który chcemy zrobić przelew. Przy zainfekowaniu komputera złośliwym oprogramowaniem taki skopiowany numer może zostać podmieniony na numer rachunku przestępcy - tłumaczy ekspert Raiffeisen Polbank.

Należy również szczególną uwagę zwracać na informacje przesyłane drogą mailową, mające rzekomo pochodzić od banku. Może się zdarzyć, że otrzymamy wiadomość e-mail informującą np. o zablokowaniu kanału dostępu i konieczności potwierdzenia swojej tożsamości przez link podany w mailu.

Żaden bank nigdy nie poprosi klienta o wpisywanie takich danych. Jeśli otrzymamy taką wiadomość, nie wchodźmy w podstawione linki (już nawet samo to może spowodować zainstalowanie szkodliwego oprogramowania), ale sprawdźmy informacje, wchodząc na stronę banku lub poprzez kontakt z centrum telefonicznym.

Na urządzeniach mobilnych nie należy także instalować podstawionych przez przestępców, dodatkowych programów, które rzekomo według otrzymanej wiadomości z SMS mają zabezpieczyć telefon przed zagrożeniami. - Zachowajmy wtedy szczególną ostrożność i sprawdźmy tę informację kontaktując się samodzielnie z bankiem - podkreślają eksperci.

Banki

Pozostało 87% artykułu