Materiał na zamówienie PKO Banku Polskiego, który pomaga jest walczyć z cyberprzestępcami oraz edukuje Polaków, jak unikać pośpiechu i nie dać się nabrać na sztuczki oszustów
Czy bankowość online w ogóle jest bezpieczna? Może lepiej na wszelki wypadek z każdą sprawą chodzić do banku i płacić gotówką?
Paulina Krakowska, ekspert ds. cyberbezpieczeństwa PKO Banku Polskiego: Bankowość elektroniczna w Polsce to dobrze zabezpieczona przestrzeń. Na taki wniosek pozwala nie tylko fakt, że banki posiadają wyszukane narzędzia i systemy zwiększające odporność na różnego rodzaju cyberataki, ale także to, że stosują podwójne uwierzytelnianie. Oznacza to, że konta klientów są zabezpieczone nie tylko hasłem. System zapewnia "podwójne sprawdzanie", że naprawdę jesteś osobą, za którą się podajesz, gdy korzystasz z usług online.
Przykładowo - kiedy logujemy się do bankowości z nieznanego urządzenia, po wpisaniu hasła system może poprosić o potwierdzenie naszej tożsamości w aplikacji bankowej czy wpisanie kodu SMS, zależnie od wybranej metody autoryzacji. W przypadku gotówki możemy zabezpieczyć ją swoim nadzorem i czujnym okiem - sami zadajmy sobie pytanie, czy to lepsza metoda niż systemy bankowe.
To, że bankowość elektroniczna to przestrzeń silnie chroniona, wiedzą też oszuści. Dlatego ataki kierują w użytkowników nieświadomych pewnych zagrożeń.
Na czym najczęściej bazują osoby, które próbują nas oszukać?
Dziś oszuści to często mistrzowie socjotechniki - wiedzą, jak zmanipulować potencjalną ofiarę, aby skłonić ją do niewłaściwego ruchu. Bazują na wywołaniu odpowiednich emocji, pośpiechu i często nie potrzebują skomplikowanych narzędzi, by osiągnąć swój cel.
Skuteczny atak na użytkownika oznacza też często atak na osobę nieświadomą pewnych zagrożeń. Przykładem wykorzystania takiej nieświadomości są wyłudzenia kodów BLIK, które opierają się często na prostej technice: przejęciu konta na profilu społecznościowym i skierowaniu prośby o kod BLIK do grona znajomych przejętego konta. Osoby chętne do pomocy często są nieobeznanie w temacie przejęć kont w mediach społecznościowych i bez weryfikacji od kogo pochodzi prośba udostępniają taki kod. Kolejno popełniają błąd jakim jest brak weryfikacji powiadomienia o transakcji BLIK przed jej potwierdzeniem. W tym zaś komunikacie z aplikacji bankowej znajduje się informacja o rodzaju i kwocie transakcji. Bezrefleksyjne zatwierdzanie transakcji sprawia, że pieniądze trafiają do oszusta.
Te przykłady świetnie pokazują, że jeśli sami nie nauczymy się odpowiedniej cyberhigieny, jak np. sprawdzania adresów stron www zanim wpiszemy na niej poufne dane, to żadne systemy zabezpieczeń nas nie uchronią. Tak jak chronimy gotówkę, starając się mieć ją pod nadzorem, tak analogicznie powinniśmy nadzorować czy w prawidłowy sposób dokonujemy transakcji online oraz czy w prawidłowy sposób logujemy się do bankowości. Bezpieczni jesteśmy wtedy, kiedy sami przestrzegamy pewnych zasad.
Ciągle słyszymy o nowych metodach oszustw: phishing, spoofing, metoda “na Blika"... Czy banki monitorują to na bieżąco i udoskonalają swoje zabezpieczenia?
Banki nieustannie ulepszają swoje systemy zabezpieczeń. Jednak żaden system nie zastąpi zwykłej czujności samego użytkownika. Wymienione metody ataków bazują często na podszyciu się pod instytucję, osobę czy pod stronę www. Sposobów na podszycie się jest wiele, więc niezwykle ważna jest weryfikacja, gdzie lub komu udostępniamy poufne dane.
Problem udostępniania poufnych danych komplikuje się w przypadku spoofingu, czyli w sytuacji, w której oszust wyświetla na telefonie swojej potencjalnej ofiary dowolny numer telefonu np. infolinii banku podszywając się pod pracownika instytucji. Dlatego PKO Bank Polski zareagował innowacyjnie i jako pierwszy na polskim rynku wprowadził nową funkcjonalność - możliwość zweryfikowania tożsamości dzwoniącego pracownika banku w aplikacji IKO. Dzięki temu klienci banku dysponują narzędziem, które w wygodny i bezpieczny sposób umożliwia zweryfikowanie czy rozmawiają z właściwą osobą - czy rozmówca to rzeczywiście to pracownik banku. To wyraz dążenia do polepszenia komunikacji między pracownikami banku a klientami, który obok bieżącego informowania o zagrożeniach jest bardzo ważny.
Skoro najlepsze zabezpieczenia nie pomogą, jeśli sami udostępnimy oszustowi swoje dane albo przekażemy mu pieniądze, to o czym przede wszystkim trzeba pamiętać, żeby nie dać się oszukać?
Rzeczywiście, wiara w swoje absolutne bezpieczeństwo może być zgubna. Oszuści liczą na pośpiech czy niewiedzę użytkownika, która może spowodować nieprawidłowy ruch. Często zapominamy o prostych zasadach, np. o tym, aby weryfikować adresy stron www, na których wpisujemy poufne dane lub z których pobieramy aplikacje. Albo nie pamiętamy o tym, aby sprawdzić kto jest po drugiej stronie słuchawki zanim podążymy za jego instrukcjami.
Warto rozprawić się także z pewnym mitem: kłódka, która pojawia się w pasku przeglądarki przy adresie strony www nie oznacza, że strona jest bezpieczna. Oznacza jedynie, że komunikacja między naszym komputerem a stroną jest szyfrowana. Dziś oszuści, też korzystają z takiego szyfrowania na fałszywych stronach i kłódka wówczas będzie się wyświetlała. W sytuacji dokonywania transakcji płatniczych czy logowania do bankowości nie poprzestawajmy zatem na sprawdzeniu "kłódki", weryfikujmy adres www strony.
Należy bardzo czujnie traktować wszelkie niespójności. Korzystając z publicznego wi-fi warto też zrezygnować z bankowości online i unikać wówczas wpisywania poufnych danych na stronach www. Warto także krytycznie podejść do wszelkich "super" okazji, gdyż abstrakcyjne korzyści mogą okazać się właśnie próbą wyłudzenia poufnych danych i kradzieży pieniędzy. Zdrowy rozsądek i weryfikacja stron www, ofert jak i powiadomień z banku to kluczowe kwestie w zachowaniu czujności.
Gdybyśmy mieli wyróżnić jedną najważniejszą zasadę bezpiecznego używania bankowości mobilnej, to jaka by to była? O czym nigdy nie możemy zapominać?
Próbując ująć to w jedną zasadę, można wskazać, że na pierwszym miejscu zawsze powinniśmy stawiać nasze bezpieczeństwo. Weryfikujmy każdą czynność związaną z transakcjami i naszymi poufnymi danymi. Aplikacja bankowa często wyświetla nam komunikaty dotyczące rozpoczętej płatności, które powinniśmy traktować jak alert bezpieczeństwa - i w każdym wypadku weryfikować je przed potwierdzeniem.
Dobrym przykładem dla zobrazowania tej zasady są transakcje BLIK - ich konstrukcja jest wygodna i szybka, ale zarazem jest też bezpieczna, bowiem użytkownik dostaje komunikat o rodzaju i kwocie transakcji i dopiero po ich zatwierdzeniu płatność dochodzi do skutku. Pamiętajmy też, że kody BLIK powinny służyć użytkownikowi, który wygenerował kod BLIK i w przypadku chęci dokonania jakichkolwiek rozliczeń ze znajomymi czy pomocy finansowej bezpieczniej jest korzystać z przelewu na telefon BLIK czy czeków BLIK.
Zauważmy, że korzystanie z aplikacji bankowej oddala nas od zagrożenie znalezienia się na fałszywej stronie www podszywającej się pod bank, dlatego o ile aplikacja jest pobrana ze zweryfikowanego źródła i weryfikujemy powiadomienia z niej kierowane jest bezpiecznym sposobem korzystania z bankowości elektronicznej.
Materiał na zamówienie PKO Banku Polskiego, który pomaga jest walczyć z cyberprzestępcami oraz edukuje Polaków, jak unikać pośpiechu i nie dać się nabrać na sztuczki oszustów