Za kilka dni systemy informatyczne łączyć będą Bank BNP Paribas i dawny Raiffeisen Bank Polska. Proces nad ujednoliceniem systemów informatycznych, w tym zmianę sposobu logowania do bankowości elektronicznej zapewne będą próbować wykorzystać oszuści. Uważajcie na podejrzane e-maile i fałszywe bankowe strony internetowe. O tym, na co uważać i jak nie dać się oszukać, rozmawiam z Krzysztofem Słotwińskim z Banku BNP Paribas

Ataki hakerskie na infrastrukturę bankową zdarzały się, zdarzają i będą się zdarzać.Niedawno uczestniczyłem w konferencji poświęconej problemowi wyłudzeń na rynku finansowym. Zaprezentowano na niej najnowszy raport firmy doradczej Deloitte na temat nadużyć w bankach, firmach pożyczkowych i leasingowych.Wynika z niego, że aż 60% przedstawicieli tych firm przyznało, że w ostatnim roku skala nadużyć się zwiększyła. Chodzi np. o wyłudzenia kredytów, pranie pieniędzy czy cyberataki na infrastrukturę tych firm. Hakerzy atakują, firmy się bronią (z jakim skutkiem, znajdziecie w opisie raportu pod tym linkiem), stawiając wciąż nowe zasieki, które oszuści próbują sforsować.

Ale eksperci nie mają wątpliwości, że najsłabszym ogniwem jest… klient instytucji finansowej. Weźmy prosty przykład – kartę płatniczą. Na straży naszych pieniędzy stoi kod PIN. Jeśli go komuś udostępnimy, damy się okraść z karty i stracimy w ten sposób pieniądze, pretensje możemy mieć tylko do siebie. Nieraz widziałem u ludzi płacących w sklepach karty debetowe z naklejonym kodem PIN. A dosłownie kilka dni temu byłem świadkiem śmiesznej, i zarazem strasznej sytuacji. Czekałem w kolejce do bankomatu. Przy maszynie stała na oko 12-letnia dziewczynka z telefonem w ręku. Prawdopodobnie rodzice wysłali ją do bankomatu po pieniądze. Przez telefon ktoś dyktował jej numer PIN, a dziewczynka na głos powtarzała kolejne cyfry PIN-u, po czym wpisywała je na bankomatowej klawiaturze.

Przeczytaj też: Jesteś klientem BNP Paribas lub ex-Raiffeisen Banku? Co masz zapłacić w przyszłym tygodniu, zapłać do czwartku. Nadchodzi ważny weekend

Przeczytaj też: Nadchodzi weekend fuzji. Klientów przenoszą do nowych systemów też Bank Millennium i Euro Bank. Co to oznacza dla klientów?

Dyrektywa PSD2 przyciągnęła hakerów

Dzięki nowoczesnym technologiom nie musimy biegać z każdą sprawą, z każdym zleceniem do oddziału banku. Bankowość elektroniczna i mobilna zaoferowały nam „samoobsługę”. Jest szybciej, wygodniej, taniej, ale czy bezpieczniej, to w dużej mierze zależy od nas samych.

Jest pewna prawidłowość – oszuści lubią, gdy coś na rynku się zmienia, gdy panuje zamieszanie. W ostatnim czasie uaktywnili się w związku z wejściem w życie unijnej dyrektywy PSD2 o usługach płatniczych. Dyrektywa wprowadzała tzw. silne uwierzytelnienie. To dlatego dzisiaj logując się do banku nie wystarczy tylko wpisać login i hasło. Decyzja o wyborze dodatkowej metody, która spełniałaby kryteria silnego uwierzytelnienia, zależała od banku. W jednym klient mógł być proszony dodatkowo o wpisanie kodu SMS, w innym była to mobilna autoryzacja, a jeszcze w innym metoda biometryczna.

Ta wielość rozwiązań mogła uśpić czujność klientów, którzy stają się bardziej podatni na ataki socjotechniczne. W okolicach 14 września, a więc kiedy przepisy dyrektywy wchodziły w życie, nasiliły się tzw. ataki phishingowe, czyli próby wyłudzenia danych do logowania przez osoby podające się za pracowników banków. FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa Związku Banków Polskich – informowało, że po 14 września w sieci pojawiły się fałszywe strony internetowe. A serwis zaufanatrzeciastrona.pl pokazał podrobione strony m.in. operatora płatności PayU, Santander Banku, Alior czy Getin Banku.

Przeczytaj też: Firmowych klientów dawnego Raiffeisen Bank Polska też czeka wkrótce przesiadka na nowe systemy bankowości elektronicznej i mobilnej

Przeczytaj też: Uwaga klienci dawnego Raiffeisen Bank Polska! Już za kilka dni zalogujecie się do „nowego” banku. Jak to zrobić i co znajdziecie w środku?

Dlatego zawsze – zanim podamy login i hasło – koniecznie musimy sprawdzić, czy faktycznie jesteśmy na stronie internetowej banku. Wystarczy spojrzeć na pasek adresu i upewnić się, czy jest to adres należący do banku. Na cel oszuści obrali sobie też klientów PKO BP. Dzwonili podszywając się pod pracowników banku. Powoływali się na dyrektywę PSD2 i przekonywali klientów, że muszą zainstalować dodatkowe oprogramowanie rzekomo służące do autoryzacji transakcji. Tymczasem plik – przesłany e-mailem – zawierał wirusa, który najprawdopodobniej wyłudzał dane do logowania i kody autoryzacyjne.

Trzeba więc zwracać uwagę na to, czy przychodząca od banku korespondencja jest rzeczywiście przez ten bank wysyłana. Chodzi wszelkiego rodzaju wiadomości mailowe, SMS-y oraz próby kontaktu telefonicznego, gdzie osoba po drugiej stronie powołując się np. na wejście w życie nowych rozwiązań, prosi nas o przekazanie informacji zawierających wrażliwe dane, takie jak loginy czy hasła do bankowości elektronicznej.

Fuzje banków to też okazja dla oszustów

A już za chwilę czeka nas kolejnych kilka „krytycznych” dni, które mogą wykorzystać oszuści. W najbliższy weekend (9-11 listopada) na rynku dojdzie aż do dwóch fuzji operacyjnych. Łączone będą m.in. systemy informatyczne Banku BNP Paribas i dawnego Raiffeisen Bank Polska. Dlatego w tym czasie trzeba zachować szczególną ostrożność, zwłaszcza że klienci dawnego Raiffeisen Bank Polska od wtorku 12 listopada będą logować się do nowego systemu bankowości internetowej i mobilnej. Żeby „wejść” do banku, używać będą dotychczasowego loginu bądź identyfikatora, ale będą musieli zmienić hasła.

O tym, jak przez fuzję operacyjną przejść suchą stopą, rozmawiam z Krzysztofem Słotwińskim, dyrektorem departamentu bezpieczeństwa i zarządzania ciągłością działania w Banku BNP Paribas:

Jakiego rodzaju próby kontaktu powinny wzbudzić nasz niepokój? O co bank może poprosić w korespondencji, a czego nigdy nie robi?

– Bank BNP Paribas zwraca szczególną uwagę, by jak zawsze zachować ostrożność i nie reagować np. na e-maile czy SMS-y, zachęcające m.in. do podawania danych logowania do systemów bankowych. Bank nigdy nie wysyła do klientów korespondencji elektronicznej, w której prosi o podanie danych potrzebnych do logowania czy przekazywania haseł autoryzacyjnych do transakcji.

Jak reagować, gdy dostaniemy np. e-mailem lub SMS-em prośbę o podanie informacji potrzebnych do logowania? Czy próby „ataku” powinniśmy komuś zgłaszać?

– Przede wszystkim kluczowe jest dokładne czytanie wiadomości, czasem detal może obudzić naszą czujność. Ponadto pamiętajmy, by w takiej sytuacji, jeśli nie jesteśmy pewni wiarygodności nadawcy lub wiadomość budzi nasze wątpliwości, upewnijmy się, że jest to informacja nadana z naszego banku. W takiej sytuacji należy niezwłocznie skontaktować się z Contact Center banku.

Jak sprawdzić, czy strona, na której się logujemy, nie jest fałszywa?

– Pierwszą rzeczą, która może zmylić użytkownika, jest nazwa strony, która może łudząco przypominać adres prawdziwej domeny. Kluczowa jest więc dokładna weryfikacja adresu, ponieważ istnieje duże prawdopodobieństwo, że przestępcy mogli wykupić certyfikat dla danej strony. Uwiarygodnieniem tego jest tzw. zielona kłódka na zweryfikowanym pasku adresowym.

Ataki socjotechniczne, czyli próba wyłudzenia wrażliwych danych, to jedno. Ale jak bronić się przed wirusami, które mogą „wykraść” dane potrzebne do logowania?  

– Przede wszystkim radzimy, aby nie instalować oprogramowania z niezweryfikowanych źródeł. Pamiętajmy również o tym, by w ustawieniach telefonu zaznaczyć domyślnie odmowę zezwolenia na instalację oprogramowania ze źródeł trzecich, jak również aktualizować regularnie oprogramowanie urządzenia. Rozważne podejście i szczególna ostrożność pozwoli nam na codzienne i bezpieczne „bankowanie”.

Co robić, jeśli uświadomimy sobie, że niestety padliśmy ofiarą oszustów?

– W pierwszej kolejności kluczowy jest kontakt z bankiem. W razie wątpliwości warto np. skorzystać z infolinii swojego banku i poprosić o radę. W przypadku płatności kartą debetową lub kredytową, warto zastrzec kartę. Pamiętajmy jednak, że dane karty wpisane na niezaufanej stronie, np. jej numer i kod CVV, mogły zostać przechwycone przez oszustów. O pomoc można również zwrócić się do Rzecznika Finansowego, a w przypadku zakupu dokonanego u zagranicznego sprzedawcy – do Europejskim Centrum Konsumenckim. O podejrzeniu wyłudzenia pieniędzy na terenie Polski warto również poinformować policję lub prokuraturę.

Źródło zdjęcia: Pixabay