ZOBACZ RÓWNIEŻ
Spośród wszystkich czynników mających wpływ na bezpieczeństwo krytyczny pozostaje zawsze czynnik najsłabszy. To on na ogół decyduje o wystąpieniu ryzyka ataku. Tym czynnikiem bardzo często bywają albo braki zabezpieczeń sprzętu komputerowego (komputera stacjonarnego, laptopa, tabletu, smartfona) wykorzystywanego przez użytkownika do połączeń z bankowością internetową lub mobilną, albo niestosowanie się przez samego użytkownika do podstawowych zasad bezpieczeństwa. Reguły te są proste, choć czasami opierają się na zaawansowanych rozwiązaniach technologicznych. Łatwo jednak jest je zapamiętać i stosować w codziennej praktyce.
Złote zasady bezpieczeństwa:
- odpowiednio przygotuj i zabezpiecz urządzenia, których używasz do korzystania z bankowości,
- dbaj o aktualne i legalne oprogramowanie na twoich urządzeniach,
- do logowania używaj tylko bezpiecznych sieci internetowych. Każda publicznie dostępna sieć jest potencjalnie niebezpieczna dla twoich danych. W sieciach publicznych korzystaj z szyfrowanych połączeń VPN,
- aby zalogować się do systemu bankowości internetowej, nie korzystaj z żadnych odnośników (linków) zawartych w treści wiadomości e-mail czy dostępnych na stronach WWW nienależących do banku,
- podczas logowania sprawdź czy połączenie jest szyfrowane, bądź pewien, że połączyłeś się z odpowiednim serwisem,
- nie zapisuj swoich haseł w postaci jawnej na kartkach papieru czy w przeglądarkach internetowych,
- zawsze gdy to możliwe stosuj dwuskładnikowe uwierzytelnienie,
- przed potwierdzeniem operacji przeczytaj uważnie treść otrzymanej wiadomości SMS, aby mieć pewność, że dotyczy ona wykonywanej przez Ciebie operacji,
- bądź świadom potencjalnego niebezpieczeństwa - pozostań na bieżąco i regularnie rozwijaj swoją wiedzę w tym zakresie.
Najprostsza definicja zjawiska zwanego „phishingiem” brzmi: phishing jest to atak, którego celem jest wyłudzenie od użytkownika poświadczeń jego tożsamości, rozumianych tu jako identyfikatory kont, hasła i inne kody (numery PIN, kody autoryzacyjne), niezbędne do zalogowania się do systemów oraz autoryzowania wykonywanych w nich operacji. Z uwagi na finansową opłacalność przedsięwzięcia, celem ataków przestępców są głównie systemy transakcyjne, w tym bankowość internetowa.
Należy wyraźnie zaznaczyć, iż „phishing”, jako tzw. „atak realizowany po stronie klienta”, jest atakiem skierowanym na użytkownika systemu (jego zachowania, poziom świadomości oraz atencję jaką w praktyce przykłada on do stosowania zasad bezpieczeństwa), a także komputer, którym posługuje się on do nawiązywania połączeń na przykład właśnie do banku internetowego. Jego celem nie jest natomiast infrastruktura dostawcy usług, czyli na przykład serwery bankowości internetowej i towarzyszące im systemy zabezpieczeń.
W celu ochrony przed phishingiem należy przestrzegać poniższych zasad:
- po otrzymaniu wiadomości e-mail nakłaniającej (pod dowolnym pretekstem, np. powołując się na rzekomą potrzebę weryfikacji danych) do zalogowania się do serwisu bankowości elektronicznej należy niezwłocznie skontaktować się z Centrum Telefonicznym – Bank nigdy nie wysyła tego typu wiadomości;
- nie należy otwierać odnośników znajdujących się w otrzymanych listach elektronicznych;
- nie należy umieszczać w listach elektronicznych żadnych informacji wrażliwych (dane osobowe, numery kart płatniczych, loginy, hasła itp.);
- należy regularnie uaktualniać system operacyjny, oprogramowanie antywirusowe oraz przeglądarkę internetową;
- należy sprawdzać, czy przy wchodzeniu do serwisu bankowości internetowej przeglądarka potwierdza bezpieczne połączenie – np. poprzez wyświetlenie zamkniętej kłódki i/lub nazwy podmiotu certyfikacji w kolorze niebieskim bądź zielonym – a także zweryfikować autentyczność certyfikatu elektronicznego oraz jego datę ważności;
- należy regularnie skanować cały komputer oprogramowaniem antywirusowym; ponadto powinno ono na bieżąco skanować pliki pobierane z zewnątrz (Internet, dyski wymienne itp.)
Należy nieustająco pamiętać, że bank nigdy nie wysyła do użytkowników wiadomości e-mail z prośbą o podanie czy weryfikację tożsamości lub danych o koncie, a tym bardziej haseł, kodów autoryzacji transakcji, PIN-ów, numerów telefonów czy numerów kart kredytowych.
Rozpowszechnioną praktyką wśród cyberprzestępców jest wysyłanie e-maili do potencjalnych lub rzeczywistych użytkowników bankowości internetowej. W celu wywołania wrażenia autentyczności i wzbudzenia zaufania adresata często są one opatrzone logo Banku i elementami grafiki charakterystycznymi dla szaty graficznej materiałów reklamowych, którymi posługuje się Bank. Mogą zawierać prośbę o podanie czy weryfikację danych osobowych, haseł, PIN-ów, numerów telefonów, numerów kart kredytowych.
W żadnym przypadku nie należy odpowiadać na taką wiadomość, podając jakiekolwiek poufne informacje. Nie należy też wypełniać żadnych przesłanych czy wskazanych formularzy. Korzystanie z odnośników zamieszczonych w treści wiadomości e-mail lub na obcych stronach internetowych, zamiast ręcznego wpisywania adresu banku do przeglądarki internetowej, wiąże się z potencjalnym ryzykiem przekierowania połączenia użytkownika do podstawionego serwisu, udającego bankowość internetową. Tego typu praktyki określane mianem „phishingu”, mają na celu przechwycenie przez internetowych agresorów poświadczeń tożsamości ofiary, w celach ich późniejszego oszukańczego wykorzystania. Każda taka wiadomość (określana jako „scam”) powinna być traktowana jako próba wyłudzenia tych informacji. Jeśli otrzymana wiadomość wzbudza twoje wątpliwości- niezwłocznie zgłoś ten fakt do Centrum Telefonicznego, po czym postępuj według zaleceń przekazanych przez konsultanta.
HTTPS (ang. Hypertext Transfer Protocol Secure) jest szyfrowaną wersją protokołu HTTP. Bezpieczeństwo komunikacji sieciowej z wykorzystaniem tego protokołu polega na szyfrowaniu informacji przesyłanej pomiędzy serwerem (serwer WWW), a klientem (przeglądarką internetową) przy pomocy protokołu SSL lub TLS. Zapobiega to przechwytywaniu i przekłamywaniu wysyłanych danych. Dodatkowo tożsamość serwera HTTPS jest potwierdzana przy pomocy certyfikatu cyfrowego, dzięki czemu użytkownik połączeń HTTPS zyskuje gwarancję tego, że połączenie zostało nawiązane z właściwym serwerem.
Strony połączenia HTTPS mogą podlegać uwierzytelnieniu jednostronnemu (uwierzytelnienie serwera względem użytkownika) lub dwustronnemu (uwierzytelnienie użytkownika względem serwera i serwera względem użytkownika). Integralność przesyłanych danych jest zabezpieczana przez zastosowanie mechanizmów kryptograficznych sum kontrolnych. Ponadto przeglądarka, obsługując tak zabezpieczoną transmisję, włącza bardziej restrykcyjne ustawienia, m.in. wyłącza buforowanie treści i nie zezwala na zapisywanie na dysku komputera potencjalnie niebezpiecznych elementów strony WWW (np. tzw. apletów Java).
Symbol kłódki oznacza, że połączenie pomiędzy przeglądarką a serwerem jest zabezpieczone za pomocą protokołu HTTPS oraz że certyfikat serwera jest ważny i podpisany przez zaufane centrum certyfikacji. W sytuacji gdy występuje problem z certyfikatem, symbol kłódki pojawia się jako przekreślony, ze znakiem zapytania lub staje się on w inny sposób wyróżniony (zależnie od rodzaju przeglądarki).
Każdy przypadek zmiany wyglądu lub braku poprawnych symboli wskazujących na uwierzytelnione i szyfrowane połączenie z Bankiem musi zostać zweryfikowany. Jeśli certyfikat na stronie banku wzbudza twoje wątpliwości, skontaktuj się z Centrum Telefonicznym.
Komputer może zostać zainfekowany na kilka sposobów, które można podzielić na dwie grupy:
- oprogramowanie złośliwe jest instalowane wskutek wykorzystania pewnej podatności i dzieje się to bez wiedzy użytkownika;
- wprowadzony w błąd użytkownik sam instaluje złośliwe oprogramowanie – w przekonaniu, że zainstalował coś innego (np. dodatkowe sterowniki).
Jeśli posiadasz nieaktualizowane oprogramowanie (system operacyjny, przeglądarkę oraz dodatki do niej) lub używasz oprogramowania pobranego z potencjalnie niebezpiecznych stron WWW (zawierających głównie treści erotyczne lub oferujących darmowe programy, lecz nie tylko), wówczas napastnik może wykorzystać istniejące luki i zarazić twój komputer dowolnym złośliwym kodem – mamy tutaj do czynienia z pierwszą grupą sposobów infekowania komputera.
Do drugiej można zaliczyć sieci P2P oraz wspomniane już strony WWW oferujące różnego rodzaju oprogramowanie. Pliki i programy pobrane z takich sieci lub stron internetowych mogą zawierać rozmaite złośliwe kody, zarażające twój komputer. W tym przypadku najczęściej występuje jeden z poniższych scenariuszy:
- podczas uruchomienia lub instalowania pobranego oprogramowania pojawia się komunikat o błędzie i niemożności dalszego działania, podczas gdy oprogramowanie złośliwe zostało oczywiście prawidłowo zainstalowane;
- pobrane oprogramowanie instaluje się i uruchamia prawidłowo, a nawet prawidłowo funkcjonuje, lecz wraz z nim instaluje się złośliwy kod i samodzielnie uruchamia się wraz z każdym włączeniem komputera (nawet bez konieczności uruchomienia oprogramowania „nosiciela”).
Bez względu na to, w jaki sposób komputer zostaje zarażony, efekt jest taki sam – zawsze mniej lub bardziej negatywny, i to dla wszystkich użytkowników tego komputera.
Podsumowując temat bezpieczeństwa korzystania z komputerów, warto pokusić się o krótką puentę: bezpieczeństwo jest zawsze wypadkową zarówno zastosowania rozwiązań technicznych, jak i zachowań użytkownika. Zawsze też decyduje tu najsłabszy element. Na nic zda się nam nawet najdoskonalszy system, jeśli użytkownicy będą uporczywie lekceważyć wszelkie jego ostrzeżenia o zagrożeniach oraz zaniedbywać podstawowe zasady bezpiecznego korzystania z tego typu sprzętu.