8 listopada 2019

W najbliższy weekend aż dwa banki łączyć będą systemy informatyczne. A takie zmiany lubią oszuści. Na co uważać i jak się nie dać oszukać?

Za kilka dni systemy informatyczne łączyć będą Bank BNP Paribas i dawny Raiffeisen Bank Polska. Proces nad ujednoliceniem systemów informatycznych, w tym zmianę sposobu logowania do bankowości elektronicznej zapewne będą próbować wykorzystać oszuści. Uważajcie na podejrzane e-maile i fałszywe bankowe strony internetowe. O tym, na co uważać i jak nie dać się oszukać, rozmawiam z Krzysztofem Słotwińskim z Banku BNP Paribas

Ataki hakerskie na infrastrukturę bankową zdarzały się, zdarzają i będą się zdarzać.Niedawno uczestniczyłem w konferencji poświęconej problemowi wyłudzeń na rynku finansowym. Zaprezentowano na niej najnowszy raport firmy doradczej Deloitte na temat nadużyć w bankach, firmach pożyczkowych i leasingowych.Wynika z niego, że aż 60% przedstawicieli tych firm przyznało, że w ostatnim roku skala nadużyć się zwiększyła. Chodzi np. o wyłudzenia kredytów, pranie pieniędzy czy cyberataki na infrastrukturę tych firm. Hakerzy atakują, firmy się bronią (z jakim skutkiem, znajdziecie w opisie raportu pod tym linkiem), stawiając wciąż nowe zasieki, które oszuści próbują sforsować.

Ale eksperci nie mają wątpliwości, że najsłabszym ogniwem jest… klient instytucji finansowej. Weźmy prosty przykład – kartę płatniczą. Na straży naszych pieniędzy stoi kod PIN. Jeśli go komuś udostępnimy, damy się okraść z karty i stracimy w ten sposób pieniądze, pretensje możemy mieć tylko do siebie. Nieraz widziałem u ludzi płacących w sklepach karty debetowe z naklejonym kodem PIN. A dosłownie kilka dni temu byłem świadkiem śmiesznej, i zarazem strasznej sytuacji. Czekałem w kolejce do bankomatu. Przy maszynie stała na oko 12-letnia dziewczynka z telefonem w ręku. Prawdopodobnie rodzice wysłali ją do bankomatu po pieniądze. Przez telefon ktoś dyktował jej numer PIN, a dziewczynka na głos powtarzała kolejne cyfry PIN-u, po czym wpisywała je na bankomatowej klawiaturze.

Przeczytaj też: Jesteś klientem BNP Paribas lub ex-Raiffeisen Banku? Co masz zapłacić w przyszłym tygodniu, zapłać do czwartku. Nadchodzi ważny weekend

Przeczytaj też: Nadchodzi weekend fuzji. Klientów przenoszą do nowych systemów też Bank Millennium i Euro Bank. Co to oznacza dla klientów?

Dyrektywa PSD2 przyciągnęła hakerów

Dzięki nowoczesnym technologiom nie musimy biegać z każdą sprawą, z każdym zleceniem do oddziału banku. Bankowość elektroniczna i mobilna zaoferowały nam „samoobsługę”. Jest szybciej, wygodniej, taniej, ale czy bezpieczniej, to w dużej mierze zależy od nas samych.

Jest pewna prawidłowość – oszuści lubią, gdy coś na rynku się zmienia, gdy panuje zamieszanie. W ostatnim czasie uaktywnili się w związku z wejściem w życie unijnej dyrektywy PSD2 o usługach płatniczych. Dyrektywa wprowadzała tzw. silne uwierzytelnienie. To dlatego dzisiaj logując się do banku nie wystarczy tylko wpisać login i hasło. Decyzja o wyborze dodatkowej metody, która spełniałaby kryteria silnego uwierzytelnienia, zależała od banku. W jednym klient mógł być proszony dodatkowo o wpisanie kodu SMS, w innym była to mobilna autoryzacja, a jeszcze w innym metoda biometryczna.

Ta wielość rozwiązań mogła uśpić czujność klientów, którzy stają się bardziej podatni na ataki socjotechniczne. W okolicach 14 września, a więc kiedy przepisy dyrektywy wchodziły w życie, nasiliły się tzw. ataki phishingowe, czyli próby wyłudzenia danych do logowania przez osoby podające się za pracowników banków. FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa Związku Banków Polskich – informowało, że po 14 września w sieci pojawiły się fałszywe strony internetowe. A serwis zaufanatrzeciastrona.pl pokazał podrobione strony m.in. operatora płatności PayU, Santander Banku, Alior czy Getin Banku.

Przeczytaj też: Firmowych klientów dawnego Raiffeisen Bank Polska też czeka wkrótce przesiadka na nowe systemy bankowości elektronicznej i mobilnej

Przeczytaj też: Uwaga klienci dawnego Raiffeisen Bank Polska! Już za kilka dni zalogujecie się do „nowego” banku. Jak to zrobić i co znajdziecie w środku?

Dlatego zawsze – zanim podamy login i hasło – koniecznie musimy sprawdzić, czy faktycznie jesteśmy na stronie internetowej banku. Wystarczy spojrzeć na pasek adresu i upewnić się, czy jest to adres należący do banku. Na cel oszuści obrali sobie też klientów PKO BP. Dzwonili podszywając się pod pracowników banku. Powoływali się na dyrektywę PSD2 i przekonywali klientów, że muszą zainstalować dodatkowe oprogramowanie rzekomo służące do autoryzacji transakcji. Tymczasem plik – przesłany e-mailem – zawierał wirusa, który najprawdopodobniej wyłudzał dane do logowania i kody autoryzacyjne.

Trzeba więc zwracać uwagę na to, czy przychodząca od banku korespondencja jest rzeczywiście przez ten bank wysyłana. Chodzi wszelkiego rodzaju wiadomości mailowe, SMS-y oraz próby kontaktu telefonicznego, gdzie osoba po drugiej stronie powołując się np. na wejście w życie nowych rozwiązań, prosi nas o przekazanie informacji zawierających wrażliwe dane, takie jak loginy czy hasła do bankowości elektronicznej.

Fuzje banków to też okazja dla oszustów

A już za chwilę czeka nas kolejnych kilka „krytycznych” dni, które mogą wykorzystać oszuści. W najbliższy weekend (9-11 listopada) na rynku dojdzie aż do dwóch fuzji operacyjnych. Łączone będą m.in. systemy informatyczne Banku BNP Paribas i dawnego Raiffeisen Bank Polska. Dlatego w tym czasie trzeba zachować szczególną ostrożność, zwłaszcza że klienci dawnego Raiffeisen Bank Polska od wtorku 12 listopada będą logować się do nowego systemu bankowości internetowej i mobilnej. Żeby „wejść” do banku, używać będą dotychczasowego loginu bądź identyfikatora, ale będą musieli zmienić hasła.

O tym, jak przez fuzję operacyjną przejść suchą stopą, rozmawiam z Krzysztofem Słotwińskim, dyrektorem departamentu bezpieczeństwa i zarządzania ciągłością działania w Banku BNP Paribas:

Jakiego rodzaju próby kontaktu powinny wzbudzić nasz niepokój? O co bank może poprosić w korespondencji, a czego nigdy nie robi?

– Bank BNP Paribas zwraca szczególną uwagę, by jak zawsze zachować ostrożność i nie reagować np. na e-maile czy SMS-y, zachęcające m.in. do podawania danych logowania do systemów bankowych. Bank nigdy nie wysyła do klientów korespondencji elektronicznej, w której prosi o podanie danych potrzebnych do logowania czy przekazywania haseł autoryzacyjnych do transakcji.

Jak reagować, gdy dostaniemy np. e-mailem lub SMS-em prośbę o podanie informacji potrzebnych do logowania? Czy próby „ataku” powinniśmy komuś zgłaszać?

– Przede wszystkim kluczowe jest dokładne czytanie wiadomości, czasem detal może obudzić naszą czujność. Ponadto pamiętajmy, by w takiej sytuacji, jeśli nie jesteśmy pewni wiarygodności nadawcy lub wiadomość budzi nasze wątpliwości, upewnijmy się, że jest to informacja nadana z naszego banku. W takiej sytuacji należy niezwłocznie skontaktować się z Contact Center banku.

Jak sprawdzić, czy strona, na której się logujemy, nie jest fałszywa?

– Pierwszą rzeczą, która może zmylić użytkownika, jest nazwa strony, która może łudząco przypominać adres prawdziwej domeny. Kluczowa jest więc dokładna weryfikacja adresu, ponieważ istnieje duże prawdopodobieństwo, że przestępcy mogli wykupić certyfikat dla danej strony. Uwiarygodnieniem tego jest tzw. zielona kłódka na zweryfikowanym pasku adresowym.

Ataki socjotechniczne, czyli próba wyłudzenia wrażliwych danych, to jedno. Ale jak bronić się przed wirusami, które mogą „wykraść” dane potrzebne do logowania?  

– Przede wszystkim radzimy, aby nie instalować oprogramowania z niezweryfikowanych źródeł. Pamiętajmy również o tym, by w ustawieniach telefonu zaznaczyć domyślnie odmowę zezwolenia na instalację oprogramowania ze źródeł trzecich, jak również aktualizować regularnie oprogramowanie urządzenia. Rozważne podejście i szczególna ostrożność pozwoli nam na codzienne i bezpieczne „bankowanie”.

Co robić, jeśli uświadomimy sobie, że niestety padliśmy ofiarą oszustów?

– W pierwszej kolejności kluczowy jest kontakt z bankiem. W razie wątpliwości warto np. skorzystać z infolinii swojego banku i poprosić o radę. W przypadku płatności kartą debetową lub kredytową, warto zastrzec kartę. Pamiętajmy jednak, że dane karty wpisane na niezaufanej stronie, np. jej numer i kod CVV, mogły zostać przechwycone przez oszustów. O pomoc można również zwrócić się do Rzecznika Finansowego, a w przypadku zakupu dokonanego u zagranicznego sprzedawcy – do Europejskim Centrum Konsumenckim. O podejrzeniu wyłudzenia pieniędzy na terenie Polski warto również poinformować policję lub prokuraturę.

Źródło zdjęcia: Pixabay

7
Dodaj komentarz

avatar
3 Comment threads
4 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
6 Comment authors
AnnaBdbMichałGrzegorzMaciej Bednarek Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Adam
Gość
Adam

Czy systemy informatyczne może łączyć jeden bank? Pytam zupełnie poważne, bo nie rozumiem stwierdzenia z nagłówka „aż dwa banki”.

Michał
Gość
Michał

Wykopałem grób zbiorowy dla klirntów BNPP. Pierwszy raz spotkałem się, że aktywacja karty i zmiana ewentualnie pinu robi się płatnymi smsami. Kiedy przelew wrócił 5zł, to zabierają 5zł. Jeśli płacisz prepaid na wakacjach (np. samoobsługowy shell), to musisz mieć ponad 2x tyle pieniedzy, co wydajesz. Zerwanie umowy w innym banku, to jest napisanie wiadomości na koncie, a w BNPP trzeba iść do oddziału.

Anna
Gość
Anna

I to pójście,to jeszcze mało,bo gangsterka na całego: za przelanie pieniędzy z r-ku lokacyjnego na r-k osobisty biorą pieniądze :PLN 5.00.I jeszcze łżą,że za mało,bo na opłaty nie ma,to się nie da przelać…takie spryciule ;-)Całe szczęście, to moje pierwsze i ostatnie opłaty u nich…I jeszcze od złożenia dyspozycji 31 dni czekać muszę na wyplątanie się …

Anna
Gość
Anna

Pan dyrektor klepie formułki o zgłaszaniu na policję,jakby nie wiedział,jakie skutki takie zgłoszenia mają.Bo mają żadne.Na wejściu jest jakiś „pan aspirant nocul”,jak żywcem wyjęty z „Ojca Mateusza” i robi wszystko,by w 5 minut spławić takiego kumatego inaczej,bo mu właśnie w banku wmówili,że ma się na policję udać.Ja się nie dałam i zajęłam całe 25 minut,sprawę wyłożyłam i pan mi poradził zrobić to,co już sama przed przyjściem zrobiłam.Zgłoszenie mogłam złożyć na…Berdyczów…

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss