Zacznij od podstaw - chcąc dokonać płatności przez witrynę banku, upewnij się, czy nie znajdujesz się na podstawionej stronie. Banki stosują bezpieczne połączenie, ale i tak należy zastosować zasadę ograniczonego zaufania. Tym bardziej, że nie musisz robić niczego specjalnego - przeglądarka zaalarmuje Cię jeśli:

• certyfikat bezpieczeństwa jest nieważny,

• certyfikat nie został wystawiony przez zaufanego dostawcę,

• certyfikat jest wystawiony dla tej właśnie witryny (zdarzają się ataki z użyciem autentycznych certyfikatów na podrobionych stronach).

Zanim ze zniecierpliwieniem przejdziesz dalej, upewnij się, jaka jest przyczyna ostrzeżenia i czy nie znajdujesz się na podstawionej stronie.

Sprawdź, na jaki rachunek przesyłasz pieniądze

Jeśli chcesz połączyć się z bankiem, ostrożnie z klikaniem w linki - lepiej wpisać adres banku w przeglądarkę ręcznie. Kiedy już jesteś na stronie, przed logowaniem przeczytaj uważnie adres witryny.

To tylko pozorne dziwactwo. Cyberprzestępcy to świetni socjotechnicy - w przypadku płatności internetowych wykorzystają np. zaufanie do instytucji, rutynę w działaniu czy wszechobecny pośpiech. Wizualne podrobienie witryny banku jest łatwe, a że znajduje się pod innym adresem? Na niewielki błąd w adresie www (np. bnak zamiast bank) użytkownik może nie zwrócić uwagi. Dlatego sprawdzaj, czy w adresie nie ma błędu - literówki, cyfry udającej literę etc.

Równie poważna jest sprawa z możliwością zmiany numeru konta, na które chcesz dokonać przelewu. Szkodliwe oprogramowanie, takie jak VBKlip czy Banatrix, wykrywa kopiowanie numeru rachunku bankowego (np. z maila lub ze strony kontrahenta) i przy wklejaniu podmienia cyfry – na numer konta przestępców. Po wklejeniu numeru konta przeczytaj więc go uważnie. Najnowsze wersje Banatrixa potrafią wręcz pokazać w przeglądarce właściwy numer konta, a do banku wysłać sfałszowany. Dlatego sprawdź numer jeszcze raz - przed wpisaniem jednorazowego kodu potwierdzającego transakcję!

Pamiętaj też o złośliwych aplikacjach, które atakują telefony i podmieniają przychodzące z banku SMS-y. Zawsze więc sprawdzaj poprawność numeru konta podanego w SMS-ie. Możesz też sprawdzić numer tuż po potwierdzeniu operacji na stronie banku (w większości banków operację można cofnąć).

Jako dodatkowe zabezpieczenie warto zastosować także rozwiązania związane z przeglądarkami:

• funkcja „bezpiecznej przeglądarki”, która często jest zintegrowana z programami antywirusowymi,

• przeglądarka z wbudowanym systemem zabezpieczającym przed wyłudzeniem poufnych danych (mechanizm antyphishingowy) – obecne np. w Internet Explorer 11 czy Edge.

Telefon i odrobina zdrowego rozsądku

Stosuj także dwie pozornie oczywiste, ale wcale nierzadko lekceważone rady w zakresie wykorzystywania telefonu do kontaktów z bankiem:

• Zachowaj wszelkie informacje o firmowym koncie bankowym dla siebie. Jeśli załatwiasz jakąś sprawę w banku przez telefon i musisz podać informacje uwierzytelniające - pilnuj, by nikt nie słuchał Twoich rozmów.

• Ostrożnie z podawaniem danych uwierzytelniających, jeśli żąda ich od Ciebie dzwoniący do Ciebie przedstawiciel banku. Zwróć uwagę, że:
  
  • telefon z banku następuje w dni robocze, w godzinach pracy;
  • nie każda rozmowa wymaga uwierzytelniania (konsultant nie powinien zaczynać od tego rozmowy). Bank nie pyta o hasła czy loginy, także te używane w innych kanałach;
  • jeśli masz wątpliwości, czy rzeczywiście rozmawiasz z bankiem, zadzwoń pod (sprawdzony!) numer i spytaj, czy osoba, która się z Tobą kontaktowała, rzeczywiście pracuje w banku.

Niektóre banki proponują ustanowienie dodatkowego hasła, którym będą się posługiwać osoby dzwoniące w imieniu banku.

Zagrożenia transakcji mobilnych

Telefon coraz częściej służy nie tylko do kontaktów z bankiem, ale i do wykonywania transakcji mobilnych. Zalecamy szczególnie dużą ostrożność, bo zagrożeń nie brakuje, a do takich transakcji często skłania konieczność ich pilnego wykonania, działa się więc w pośpiechu. Stop. Chwila skupienia i uwagi nie kosztuje jednak wiele – odwrotnie może być przy jej braku…

Bezpieczeństwu przelewów mobilnych sprzyjają wszystkie znane zasady korzystania z urządzeń mobilnych. Warto jednak zwrócić uwagę na kilka charakterystycznych zagrożeń, jakie niesie złośliwe oprogramowanie „dedykowane” bankowości mobilnej:

• załączniki do wiadomości e-mail, zawierające szkodliwe oprogramowanie, które po otwarciu (czyli kliknięciu w załącznik) pozwala przestępcom przechwytywać dane przekazywane między zainfekowanym telefonem a bankiem (np. dane logowania);

• zmodyfikowana strona banku, wyświetlająca zachętę do pobrania z legalnego sklepu aplikacji, która umożliwia przestępcy dostęp do konta użytkownika i przechwytywanie haseł jednorazowych z urządzenia mobilnego;

• podstawienie fałszywej aplikacji, udającej aplikację mobilną banku i wyświetlenie fałszywej strony logowania, co pozwala przestępcy na przechwycenie wpisywanych tam danych.

Warto zauważyć, że funkcja szybkich przelewów internetowych (bez wpisywania numeru konta) jest stosunkowo bezpiecznym rozwiązaniem.

Zaufane instytucje płatnicze

Do kanonów bezpieczeństwa płatności internetowych należy też zaliczyć korzystanie z usług sprawdzonych dostawców - zarówno samego systemu płatności, jak i opłacanych towarów czy usług.

Chcesz korzystać z usług innej instytucji płatniczej niż banki? Sprawdź rejestr Komisji Nadzoru Finansowego, która weryfikuje, czy akredytowana firma spełnia wszystkie wymagania dotyczące bezpieczeństwa. W każdej chwili na stronie https://erup.knf.gov.pl/View/ możesz sprawdzić, czy wybrany przez Ciebie podmiot znajduje się w rejestrze dostawców usług płatniczych. Dodatkowo możesz prześledzić rejestr licencjonowanych Agentów Rozliczeniowych prowadzony przez Narodowy Bank Polski. Zwróć uwagę, czy dana firma posiada certyfikat PCI DSS, świadczący o zgodności z popularnymi systemami płatności kartami kredytowymi.

Zaufany kontrahent

Szukasz nowego dostawcy dla swojej firmy? Na pewno sprawdzisz oferentów pod wieloma względami. Weź też pod uwagę, jak działa w internecie, szczególnie jeśli chcesz korzystać z sieci do kontaktów, zamówień i płatności:

• rozszerzenie .pl nie wskazuje jednoznacznie, że masz do czynienia z polskim przedsiębiorcą. Pamiętaj, że z punktu widzenia prawa liczy się geograficzna siedziba przedsiębiorcy, nie położenie serwerów.

• sprawdź, czy sprzedawca korzysta z usług agregatora płatności internetowych (dającym możliwość wykonania bezpiecznej transakcji za pomocą wszystkich dostępnych metod).

Artykuł pochodzi z pierwszej edycji Niezbędnika DI: cyberbezpieczeństwo - bezpłatnego magazynu w formacie PDF, w którym znajdziesz gotowe odpowiedzi i łatwe do wdrożenia rozwiązania zwiększające bezpieczeństwo Twojej firmy w internecie.

Poradnik opracowali doświadczeni redaktorzy Dziennika Internautów we współpracy z ekspertami z firmy Microsoft oraz licznym gronem ekspertów od bezpieczeństwa i prawa w IT.

POBIERZ NIEZBĘDNIK DI #1: CYBERBEZPIECZEŃSTWO