12 listopada 2022

Nadchodzą wyprzedaże. Polacy ruszą na zakupy w sieci. Oszuści tylko na to czekają. Sześć wskazówek dla bezpieczeństwa konta bankowego

Nadchodzą wyprzedaże. Polacy ruszą na zakupy w sieci. Oszuści tylko na to czekają. Sześć wskazówek dla bezpieczeństwa konta bankowego

Zbliża się czas przecen w sklepach internetowych (wyprzedaże, czarny piątek, zakupy przedświąteczne). W poszukiwaniu dobrej ceny liczy się każda minuta, ale uwaga – pośpiech jest wrogiem bezpieczeństwa! W bankach trzymamy oszczędności całego życia, a nie zawsze poświęcamy wystarczająco dużo uwagi, aby zabezpieczyć nasze rachunki. Jak być bezpiecznym w internecie? Jak zabezpieczyć swoje konto bankowe? Co zrobić, aby utrudnić życie oszustom? Czym jest bezpieczny bank? Oto działania, które warto podjąć już dziś, aby jutro nie stracić pieniędzy

Szukacie promocji podczas Black Friday, rozglądacie się za sukienką na wesele w dobrej cenie, poszukujecie prezentu dla dzieciaków? Udało się, to czego szukaliście, jest w bardzo dobrej cenie, ale zostały tylko dwie sztuki. Szybko logujecie się do banku, kupujecie, zatwierdzacie kodem jednorazowym i… tracicie wszystkie oszczędności. Brzmi znajomo? Oczywiście każdy powie, że się na to nie nabierze, ale statystyki są bezwzględne. Każdego można oszukać.

Zobacz również:

Z najnowszego raportu „E-commerce w Polsce 2022” (Gemius) wynika, że aż 77% internautów w Polsce robi zakupy online. Nieuwaga i pośpiech mogą skutkować utratą danych i w konsekwencji oszczędności, także tych przyszłych (kiedy oszuści zaciągną w naszym imieniu kredyt) i to niezależnie od tego, czy w internecie kupujecie czy sprzedajecie (np. tu opisywaliśmy przykładowe ataki).

W walce z przestępcami nie jesteśmy bezsilni. Badania pokazują, że aż 95% problemów związanych z cyberbezpieczeństwem można przypisać błędom ludzkim! Najczęściej to właśnie my (oczywiście nieświadomie) dajemy przestępcy dostęp do naszych pieniędzy. Warto poświęcić chwilę i zadbać o bezpieczeństwo. Jak to zrobić w kilku prostych krokach?

Bezpieczny bank – po pierwsze, zadbaj o silne i unikalne hasła

Ludzie są wygodni, a to się często źle kończy. Hasło, poza loginem, jest naszym pierwszym i najważniejszym filarem bezpieczeństwa, który stoi przestępcom na drodze do naszych pieniędzy. Rada może się wydawać trywialna, ale ciągle na listach najpopularniejszych haseł znajdziemy: „123456”, „qwerty”, „123456789”, „12345” czy „zaq123wsx”. Takie hasła można złamać w mgnieniu oka.

Haker

Na szczęście niektóre serwisy trochę nam utrudniają takie „rumakowanie” i wymagają, aby hasła miały odpowiednią długość i składały się z różnych grup znakowych (np. minimum 8 znaków, w tym: jedna wielka litera, jedna mała litera, 1 cyfra i jeden znak specjalny). Jakie hasła powinniśmy ustalać do serwisów internetowych (sklepów, banków itd.)? Warto się stosować do czterech zasad.

Po pierwsze, hasło musi być unikalne. Jednym z większych błędów popełnianych przez internautów jest stosowanie tego samego hasła do różnych serwisów. Jest to na pewno wygodne, ale w rezultacie, w momencie wycieku danych z dowolnego z tych serwisów (a dane wyciekają często), przestępcy są w stanie poznać Wasze hasło do banku. Dlatego do każdego serwisu stosujcie inne hasło.

Po drugie, najlepiej wybrać nieszablonowe hasło. Wiadomo, że łatwiej jest zapamiętać hasła w stylu %$34Allegro, ale przestępcy nie są głupi i pierwsze, co zrobią po zdobyciu takiego hasła, to spróbują podmienić Allegro na inny serwis lub bank. Całkiem prawdopodobne, że do Facebooka macie hasło %$34Facebook. Hasło w żaden sposób nie powinno być powiązane z innymi hasłami identyfikatorem użytkownika bądź nazwą serwisu lub systemu, z którego korzystamy.

Po trzecie, im dłuższe hasło, tym lepiej. Każdy dodatkowy znak dodany do hasła utrudni (lub znacznie wydłuży) jego złamanie. Po czwarte, warto zdecydować się na niestandardowe hasło. Nie stosujmy żadnych haseł w stylu „polska” lub „kasia”. Najlepszy będzie losowy ciąg składający się z różnych grup znakowych (niesłownikowe), który nic nie znaczy.

Czytaj też poprzedni artykuł z cyklu: Wysoki sezon dla cyberprzestępców! Masz bezpieczny bank? Oto sześć rzeczy, których nigdy nie możesz robić, jeśli nie chcesz, żeby Cię okradli albo oszukali

Po drugie, włącz dwuskładnikowe uwierzytelnianie

Standardowo nasze konta są zabezpieczone loginem i hasłem. Te dane jednak czasem trafiają w ręce oszustów (np. właśnie z powodu posiadania tego samego hasła w różnych serwisach albo w rezultacie logowania się na fałszywej stronie banku). Jeżeli hasło było naszym jedynym zabezpieczeniem, to nic nie stoi na przeszkodzie, aby ktoś zalogował się na nasze konto.

Dlatego koniecznie włączcie dwuskładnikowe uwierzytelnianie (2-factor authentication, 2FA) wszędzie tam, gdzie to możliwe (banki, konta e-mail, większe sklepy internetowe, media społecznościowe). Działa to tak, że musimy podać login, hasło, a następnie specjalny kod wygenerowany przez aplikację mobilną lub otrzymany w SMS-ie. Dzięki temu atakujący będzie musiał też zdobyć dostęp do Waszego telefonu, a to trudniejsze niż samo pozyskanie hasła.

Na szczęście w bankach nie mamy wyboru, bo te, podążając za dyrektywami unijnymi, same wdrożyły dwuskładnikowe uwierzytelnianie. Zarówno logowanie do banku, jak i wszystkie dyspozycje są potwierdzanie kodem z SMS-a lub przez aplikację mobilną. To niestety nie wystarczy.

Problemem są inne serwisy, w których takie uwierzytelnianie musimy już włączyć osobiście. Jeżeli tego nie zrobimy, to ułatwiamy oszustom dostęp do naszych danych, a – dajmy na to – przejęcie naszego e-maila może ułatwić dalszy atak na konto bankowe.

Jeżeli już macie aktywowane takie dwuskładnikowe uwierzytelnianie, to koniecznie czytajcie, co akceptujecie. W powiadomieniu/SMS-ie zawsze się wyświetla dyspozycja, którą akurat składacie (dlatego odeszliśmy od drukowanych kodów jednorazowych). Jeżeli chcecie przelać komuś 500 zł, a w powiadomieniu jest napisane, że „dodajecie zaufanego odbiorcę”, to coś jest nie tak!

Jeszcze lepszym rozwiązaniem byłby zakup klucza U2F (Universal 2 Factor), który jest Was w stanie zabezpieczyć niemal w 100%. Mając taki klucz będziemy chronieni przez zaawansowaną kryptografię. Nawet jeżeli damy się podejść i wpiszemy nasze dane dostępowe na fałszywej stronie, to i tak przestępcy nie otrzymają informacji potrzebnych do zalogowanie się na Wasze konto. Niestety banki w Polsce na razie nie wspierają tego rozwiązania, ale i tak warto rozważyć zabezpieczenie takim kluczem naszych kont e-mail, kont w mediach społecznościowych czy kont w niektórych sklepach.

—————–

ZAPROSZENIE

Postaw na bezpieczne płatności w sieci – pobierz aplikację Alior Mobile, załóż konto i otrzymuj natychmiastowe powiadomienia o każdej transakcji. Dzięki temu masz pewność, że jeśli ktoś dostanie się na konto, natychmiast będziesz o tym wiedział. Więcej informacji znajdziesz TUTAJ. Zaprasza Alior Bank, Partner tego cyklu edukacyjnego

—————–

Bezpieczny bank – po trzecie, korzystaj z zaufanych aplikacji i aktualizuj oprogramowanie

Pamiętajcie też, aby instalować programy tylko z zaufanych źródeł. Sporo osób w Polsce ciągle chętnie korzysta z jakichś stron oferujących darmowe gry, filmy czy programy, a to się może źle skończyć. Nigdy nie mamy gwarancji, czy ktoś nie dołączył do takiego oprogramowania kilku linijek jakiegoś złośliwego kodu.

Warto edukować w tym zakresie rodzinę, bo możemy nawet nie być świadomi, że nasze nastoletnie dzieci (lub inny domownik) przypadkiem zainstalowali jakiegoś wirusa na komputerze, z którego logujemy się do banku. W końcu nie w każdym gospodarstwie domowym wystarcza pieniędzy na osobne sprzęty dla każdego domownika.

Uważajmy też, instalując dodatki do przeglądarek (bo możemy przypadkiem zainstalować jakiś dodatek, który będzie np. widział to, co robimy) oraz aplikacje mobilne. Szczególnie unikajmy aplikacji spoza oficjalnych sklepów Google Play lub App Store, ale i tam zdarzają się wirusy, a więc najlepiej trzymać się tylko znanych i popularnych aplikacji.

To jednak nie koniec, bo każdemu zdarzają się błędy. Twórcom programów też. Dlatego bardzo ważne jest, aby aktualizować wszystkie programy na bieżąco, bo aktualizacje bardzo często eliminują błędy, przez które ktoś może nas okraść. A niestety mamy tendencję do ignorowania aktualizacji, odkładania ich na bliżej nieokreślone później lub wręcz traktowania ich jako niepożądanych. Najważniejsza będzie oczywiście aktualizacja programów antywirusowych, ale dla bezpieczeństwa powinniśmy uaktualnić całość oprogramowania.

Po czwarte, nie bójmy się biometrii

Bardzo prawdopodobne, że w przyszłości powyższe rady nie będą aż tak istotne, bo nie będziemy się posługiwać loginem i hasłem. Coraz szybciej rozwijają się zabezpieczenia oparte na biometrii i to algorytmy będą chronić w przyszłości nasze pieniądze. Po prostu będą wiedzieć, czy to my wydajemy daną dyspozycję czy akurat ktoś się pod nas podszywa.

Aby uzyskać dostęp do banku przyszłości, potrzebny będzie nasz odcisk palca, nasz głos, nasz sposób, w jaki się zachowujemy. W końcu każdy z nas ma inne cechy głosu, każdy z nas ma inne nawyki zakupowe, każdy z nas inaczej pisze na klawiaturze. Sztuczna inteligencja jest w stanie (a w zasadzie będzie w stanie) to zweryfikować.

Niestety z jakiegoś powodu nie jesteśmy zbyt chętni do polegania na takiej autoryzacji. Ciągle spotykam się z opiniami, że kody z wiadomości SMS-owych są bezpieczniejsze niż autoryzacja mobilna, a to nieprawda. Niektórzy chcieliby nawet powrotu do drukowanych i wysyłanych pocztą kodów autoryzacyjnych.

Dlatego nie bójmy się zabezpieczeń opartych na biometrii. Bezpieczny bank nam w tym pomaga (chociaż i tam bywa problem ze zrozumieniem, bo czasami „dla bezpieczeństwa” muszę podać PIN) i testują coraz bardziej zaawansowane algorytmy, które są w stanie w ciągu sekundy zweryfikować, czy to na pewno my wydajemy daną dyspozycję. Potrzebna jest jednak nasza dobra wola.

Bezpieczny bank – po piąte, nie dziel się swoim bankiem

Bankowość powinna być sprawą prywatną każdego z nas. Najczęściej nie lubimy się dzielić stanem finansów i mało kto wie, ile mamy pieniędzy zgromadzonych na koncie, ale to nie wystarczy. Najlepiej, aby nikt nie wiedział nawet tego, w jakim banku mamy konto, jaki e-mail i telefon mamy pod nie podpięte i kto jest współwłaścicielem rachunku.

Dlatego najlepiej korzystać z bankowości internetowej tylko na jednym komputerze (idealnie, gdyby z tego urządzenia nikt inny nie korzystał), tylko na swoim telefonie komórkowym (w przypadku korzystania z aplikacji mobilnej) i tylko w swojej sieci internetowej.

Dodatkowo zaleca się utworzenie odrębnego adresu e-mail przeznaczonego tylko do kontaktów z tym bankiem, a więc takiego, którego nigdy nie podamy w żadnym innym serwisie (ewentualnie przeznaczonego tylko do wszystkich finansowych spraw). Podobnie można zrobić z numerem telefonu, ale to już wygeneruje dodatkowe koszty.

Ustalmy też własne limity (przelewów, transakcji kartą, wypłat z bankomatów itd.), a jeżeli to możliwe w naszym banku (i nie będzie dla nas uciążliwe), to zezwólmy na zmianę ich tylko podczas osobistej wizyty w placówce banku. Bezpieczny bank powinien też umożliwić ustawienie obrazu bezpieczeństwa wyświetlanego podczas logowania.

Warto też zapisać sobie numer telefonu, pod którym zastrzeżemy kartę płatnicz,ą oraz – jeżeli bank taki posiada – do działu bezpieczeństwa. W momencie, w którym zorientujemy się, że ktoś nas okrada, będzie się liczyła każda sekunda i nie będzie czasu na słuchanie informacji o RODO.

Nie zaszkodzi też wykupienie alertów BIK, które wprawdzie nie ochronią nas przed niepowołanym dostępem do naszego banku, ale będziemy mogli szybciej taki dostęp zauważyć (jeżeli ktoś weźmie na nas kredyt). W niektórych bankach możemy taką usługę kupić bezpośrednio w aplikacji mobilnej banku.

Po szóste, zweryfikuj, czy dany sklep naprawdę istnieje i zapłać kartą

Jeżeli jesteś już zdecydowany na zakup jakiegoś produktu, to najpierw zweryfikuj sklep, w którym chcesz go kupić. Ciągle zdarzają się oszuści. Jak rozpoznać bezpieczny sklep? Gwarancji nigdy nie mamy, ale jest kilka cech, które mogą świadczyć o tym, że nie zostaniemy oszukani.

Uczciwy sklep powinien mieć regulamin, informacje o przetwarzaniu danych osobowych i dane kontaktowe. Warto sprawdzić, w jakim kraju sklep ma siedzibę, a nawet zadzwonić pod numer kontaktowy i podpytać o produkt, który chcemy zamówić. Dobrze też poczytać opinie w internecie o danym sklepie i oczywiście unikać tych, które zostały ocenione negatywnie, bądź nie mają dostatecznie długiej historii działalności. Największe platformy e-commerce publikują rankingi zaufanych sklepów na podstawie opinii klientów – to także jest źródło cennych informacji.

Warto sprawdzić, czy sklep akceptuje płatności kartą lub inne opcje umożliwiające płatność przy odbiorze zamówienia. To oczywiście nie jest wyznacznik (znam wielu uczciwych sprzedawców, którzy nie oferują np. płatności kartą), ale większa liczba metod płatności oznacza, że sklep został zweryfikowany przez większą liczbę globalnych pośredników płatności. Płatność kartą ma też jeszcze jedną zaletę – jeżeli coś pójdzie nie tak, to możemy skorzystać z procedury chargeback. Możemy także zapłacić przy odbiorze zamówienia po weryfikacji dostarczonego towaru albo odroczyć płatność do czasu potwierdzenia przez kupującego dostarczenia towaru zgodnego z zamówieniem. Nie mniej istotny jest opis procesu reklamacji czy zwrotu towaru.

I na koniec pamiętaj – nie ma nic za darmo. Podejrzanie niska cena najczęściej nie jest prawdziwa. Nikt Wam nie sprzeda nowego PlayStation 5 za 400 zł. Naprawdę. Nigdy nie działaj w pośpiechu. Nie ważne, jak dobra wydaje się jakaś oferta (nie ważne, czy coś kupujesz czy sprzedajesz, bo cyberprzestępcy atakują każdego), to daj sobie kilka godzin na jej przemyślenie i najlepiej poproś o opinię kogoś z rodziny albo przyjaciół. Kogoś, kto się lepiej zna na bezpieczeństwie internetowym. To może uchronić Wasze oszczędności.

—————————–

Artykuł powstał w ramach cyklu „Bank Nowości”, którego Partnerem jest Alior Bank

Zdjęcie główne: geralt / pixabay

Subscribe
Powiadom o
19 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
gosc
1 rok temu

Mam pytanie do Pana Michała (autora artykułu) oraz do Pana Macieja (redaktora) w związku z pierwszym punktem:
Po pierwsze, zadbaj o silne i unikalne hasła
Jaki menedżer haseł Panowie używają/polecają aby mieć silne i unikalne hasła do wszystkich swoich kont internetowych?

Last edited 1 rok temu by gosc
gosc
1 rok temu
Reply to  Maciej Samcik

W takim razie jesteśmy wśród 42,3% Polaków, którzy używają antywirusa oraz wśród 5,7% osób używających menedżer haseł. 2FA używa 14,1%. Źródłem tych danych jest obszerne badanie wykonane w październiku:
Jak Polacy dbają o swoje bezpieczeństwo online? – wyniki badania
https://kwestiabezpieczenstwa.pl/badanie-bezpieczenstwo-online/

PS sprawdziłem, że True Key (McAfee) ma bardzo dobre oceny w Chrome Web Store – 4,7 / 5.

Last edited 1 rok temu by gosc
Admin
1 rok temu
Reply to  gosc

Ooo, poczułem się tak elitarnie 😉

Paul
1 rok temu
Reply to  gosc

A ja polecam keepass, co prawda nie ma synchronizacji w chmurze, przez co jest mniej wygodny, ale za to bezpieczniejszy. Używam od kilkunastu lat, najpierw tylko na PC, obecnie głównie na smartfonie. Projekt jest opensource i całkowicie darmowy.

gosc
1 rok temu
Reply to  Paul

Używam menedżera od prawie 2 lat, ale stwierdziłem, że sprawdzę czy Panowie stosują się do własnych rad 😉
Co do menedżerów to zgadzam się z Freedom of the Press Foundation, że 1Password, Dashlane, Bitwarden to bardzo dobry wybór. Fundacja wspomina również o KeePassXC i bardzo dobrze uzasadnia swoje rekomendacje:
Choosing a password manager
https://freedom.press/training/blog/choosing-password-manager/
Menedżer haseł, który jest w pakiecie z antywirusem też warto sprawdzić. Większość osób niczego więcej nie potrzebuje.
Keepass czy KeepassXC to raczej dla osób bardziej technicznych.

gosc
1 rok temu

Biometria ma swoje wady. Te wady nie oznaczają, że nie należy stosować biometrii. Chodzi tylko o to, że nie jest ona wskazana dla pewnych osób, a pozostali powinni stosować ją z głową. Trzeba myśleć o innych sposobach, które mogą prowadzić do utraty dostępu, a w niektórych przypadkach uzupełnić biometrię innymi zabezpieczeniami (np. limitami transakcji). Bardzo powszechne myślenie, że mam zabezpieczenie biometryczne więc jestem w 100% bezpieczny jest błędne. 1) Zabezpieczenie biometryczne to nic innego jak bardzo długie, skomplikowane i unikalne hasło. Biometria rozwiązuje więc problem prostych, powtarzających się haseł, które na dodatek zapominamy. Niestety w przeciwieństwie do zwykłych haseł jeśli… Czytaj więcej »

Admin
1 rok temu
Reply to  gosc

Dzięki za cenne uzupełnienie i głos w dyskusji!

gosc
1 rok temu
Reply to  Maciej Samcik

To dodam jeszcze, że do autoryzacji mobilnej również nie należy podchodzić bezkrytycznie. 
Jeśli ktoś nie czyta ze zrozumieniem SMSów z banku to pewnie nie będzie również czytał powiadomień push – ostatnia historia o OLX. Jeśli ktoś pobiera na smartfona podejrzane aplikacje i daje im wszystkie uprawnienia to nie ma znaczenia czy aplikacja prosi o możliwość kontroli SMSów czy powiadomień push – pojawił się taki trojan. (drugi składnik pokonany)
Autoryzacja mobilna nie zmienia również niczego jeśli chodzi o umiejętności rozpoznawania stron phishingowych czy ostrożność w otwieraniu podejrzanych załączników. (login i hasło pokonane)

Nie daj się śledzić
1 rok temu

Szczególnie unikajmy aplikacji spoza oficjalnych sklepów Google Play lub App Store dlaczego mam wspierać monopol Google, Apple czy Microsoftu? W imię bezpieczeństwa?
Aby uzyskać dostęp do banku przyszłości, potrzebny będzie nasz odcisk palca, nasz głos, nasz sposób, w jaki się zachowujemy” – jak również po to, żeby dowiedzieć się, że to my piszemy na forum opozycji politycznej, z którą walczy obecny rząd, bo trzęsie portkami, że takie grupy odciągną go od koryta. Dlatego biometrii mówić nie!
„i zapłać kartą” – nie płać kartą. Weź za pobraniem i zapłać gotówką dostawcy.

Admin
1 rok temu

Obawiam się, że postulat powrotu do gospodarki z czasów anonimowego przepływu pieniądza jest już nierealny…

jsc
1 rok temu
Reply to  Maciej Samcik

Pewnie nie… ale mogliby odpuścić z tym Patrio Act.

Łukasz
1 rok temu

Śmieszne jest to, że obecnie mogę lepiej i co ważne wygodniej zabezpieczyć sobie konto Gmail czy Facebooka (2FA w appce, obsługa FIDO, szyfrowane maile) niż wiele kont bankowych… Jak widzę limit na maksymalną długość hasła, hasła maskowane czy brak obsługi wypełniania pół przez managery haseł pokroju bitwarden lub KeePass to mnie skręca.

Straszliwie zacofany jest nadal sektor bankowy, powinien się uczyć od big techow

Admin
1 rok temu
Reply to  Łukasz

Ma Pan sporo racji, Panie Łukaszu, dzięki za cenne uzasadnienie!

jsc
1 rok temu
Reply to  Łukasz

(…)Straszliwie zacofany jest nadal sektor bankowy, powinien się uczyć od big techow(…)
W USA jadą nadal na czekach… Co za nieuki!!!

Waldek
1 rok temu
Reply to  jsc

Czy big tech to są banki w usa które używają nadal czeków? Chyba pora doczytać..

Jacek
1 rok temu

Bardzo ciekawy artykuł, do bieżącego i kreatywnego myślenia o zabezpieczeniu finansów cyfrowych. Ku przestrodze.

Admin
1 rok temu
Reply to  Jacek

Dzięki za dobre słowo!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu