Jak być bezpiecznym w bankowej sieci

Cerowanie sieci
Ponad 8 mln Polaków korzysta z usług bankowych przez Internet, ale wielu innych wciąż boi się spróbować. Zagrożeń rzeczywiście nie brakuje. Jednak arsenał środków bezpieczeństwa jest imponujący. Jak z niego korzystać?
Marek Sobczak/Polityka

Statystyki bankowości internetowej w Polsce
Polityka

Statystyki bankowości internetowej w Polsce

Zalety i wady systemów ochrony przed internetowymi złodziejami
Polityka

Zalety i wady systemów ochrony przed internetowymi złodziejami

Bezpłatne prowadzenie konta, najczęściej darmowe przelewy, błyskawiczna kontrola ostatnio wykonanych operacji, poręczne doładowanie telefonu komórkowego – lista zalet bankowości internetowej jest długa. Usługa niegdyś niszowa teraz stała się nieodłącznym elementem oferty każdego banku.

Jednak im więcej pojawia się nowych, niedoświadczonych użytkowników, tym bardziej rosną szanse złodziei, którzy właśnie w sieci chcą okradać swoje ofiary. Obawy o to, czy pieniądze będą bezpieczne, wciąż odstraszają wielu, zwłaszcza starszych klientów, od banku w sieci. Zresztą sama terminologia, opisująca różne rodzaje zagrożeń, może szybko zniechęcić każdego, kto chciałby zapomnieć o coraz wyższych prowizjach za operacje zlecane w okienku.

Uwaga: złodzieje!

Najczęściej zagraża nam phishing (z ang. password fishing – łowienie hasła), czyli próba wyłudzenia danych dotyczących naszego konta. Oszuści przygotowują w tym celu specjalną stronę internetową, łudząco podobną do witryny banku. Ma ona nawet bardzo podobny adres internetowy– zazwyczaj różni się tylko jedną literą bądź innym znakiem. Aby zachęcić do wejścia na taką fałszywą stronę, przestępcy rozsyłają olbrzymie ilości e-maili, słusznie zakładając, że część z nich trafi również do osób, które mają konto w banku będącym przedmiotem ataku. Jeżeli nie zauważymy próby oszustwa i spróbujemy zalogować się na swoje konto na tak podstawionej witrynie, złodzieje poznają nasze hasło i login. Później będą mogli dobrać się do naszego rachunku na prawdziwej stronie banku. Zresztą niekoniecznie muszą używać tak pracochłonnych metod. Niektórzy próbują wyłudzić login i hasło, po prostu dzwoniąc do przypadkowych osób i podając się za przedstawicieli banku. Pamiętajmy, że prawdziwy pracownik instytucji finansowej nigdy czegoś takiego nie zrobi – nie wolno mu prosić nas o żadne poufne dane.

Przed phishingiem stosunkowo łatwo się bronić, jeśli uważnie patrzymy, czy weszliśmy na prawidłową stronę internetową banku i ignorujemy podejrzane wiadomości elektroniczne czy telefony. Znacznie trudniej poradzić sobie z rzadziej spotykanymi, ale bardziej wyrafinowanymi atakami. Są one określane angielskimi terminami man-in-the-middle ( z ang. człowiek pośrodku) oraz man-in-the-browser (z ang. człowiek w przeglądarce). Wówczas oszust na bieżąco śledzi nasze ruchy w sieci, a nie tylko zbiera dane do wykorzystania w przyszłości.

W pierwszym przypadku złodziej, fałszując certyfikaty bezpieczeństwa, jest w stanie na bieżąco przechwytywać informacje wychodzące z naszego komputera do serwera banku, jak login i hasło.

Najbardziej niebezpieczna jest druga sytuacja, gdy wykorzystując specjalne wirusy przestępca przejmuje kontrolę bezpośrednio nad naszym komputerem. Wówczas jest w stanie zrobić praktycznie wszystko – łącznie z zamaskowaniem swojego ataku. Wtedy bardzo trudno się zorientować, że weszliśmy na fałszywą stronę banku, bo wygląda ona, łącznie z adresem, dokładnie tak jak prawdziwa. Na szczęście takie ataki są stosunkowo rzadkie.

Wszyscy specjaliści od zabezpieczeń podkreślają, że najsłabszym ogniwem jest człowiek – użytkownik, który z powodu nieostrożności albo niewystarczającego doświadczenia stwarza okazję złodziejom. W przypadku bankowości internetowej może się to dziać na wiele różnych sposobów. Jeśli używamy przestarzałej przeglądarki czy nieaktualnego oprogramowania antywirusowego, narażamy się na włamanie do naszego komputera. Jeśli logujemy się na stronę banku i zapominamy dokładnie sprawdzić jej adres oraz certyfikat bezpieczeństwa (symbol zamkniętej kłódeczki), możemy nieświadomie przekazać dane złodziejowi. Jeśli wreszcie chcemy wykonać jakieś operacje bankowe w kawiarence internetowej, łatwo możemy paść ofiarą tych, którzy instalują specjalne programy czytające znaki wybierane przez nas na klawiaturze. Pamiętajmy, by z bankiem kontaktować się tylko z własnego komputera lub laptopa!

Uwaga: hasła i kody!

Warto jednak mieć na uwadze, że zdecydowana większość internautów nigdy nie miała żadnych problemów ze swoim kontem. A największym kłopotem było i jest nie tyle unikanie ataków, co umiejętne korzystanie z szeregu zabezpieczeń. Najbardziej podstawowe z nich to login i główne hasło.

Login – zazwyczaj ciąg cyfr bądź liter i cyfr – jest ustalany przez bank. Przypisany jest nie do konkretnego rachunku, ale klienta. To swoisty klucz do otwarcia całego serwisu transakcyjnego. W przypadku większości banków towarzyszy mu hasło, ustalane już przez samego użytkownika. Powinno być ono stosunkowo długie i trudne do odgadnięcia – najlepiej sprawdzają się kombinacje liter i cyfr. Czasem już na etapie logowania się do serwisu bankowego trzeba podać jeszcze inne dane. Dotyczy to zwłaszcza banków, które oferują swoim klientom tzw. token.

To małe urządzenie w formie breloczka. Jego używanie jest bardzo proste – token został tak zaprogramowany, aby co minutę generować nowy, najczęściej sześciocyfrowy kod. Oczywiście każde takie urządzenie ma w sobie nieco inny algorytm, więc jego aktualny kod będzie inny niż reszty tokenów wydanych przez ten sam bank. Wszystkie wskazania tokena zna natomiast serwer naszego banku. Tym samym może zweryfikować, czy podany przez nas kod, odczytany z własnego tokena, jest prawidłowy. Co ważne, token nie musi komunikować się drogą radiową z centralą banku. Technicznie przypomina zatem kalkulator.

Zazwyczaj, aby włączyć token, musimy wpisać wcześniej ustalony numer PIN. Wadą tokenu jest z pewnością konieczność ciągłego noszenia go ze sobą, jeśli chcemy z bankowości internetowej korzystać poza domem.

Jednak i na to jest już rada. Dwa banki w Polsce – Euro Bank i Pekao – oferują swoim klientom tzw. token GSM, czyli specjalny program działający w telefonie komórkowym. Jak on funkcjonuje? Najpierw trzeba ściągnąć prostą aplikację, która bez problemu powinna działać w aparatach obecnie sprzedawanych i trochę starszych. Co ważne, później, czyli podczas generowania kodów, token GSM nie musi już komunikować się z żadną centralą – dzięki temu nie ma ryzyka przechwycenia danych ani konieczności płacenia za połączenie komórki z Internetem. Według ekspertów zajmujących się sieciową przestępczością, to właśnie token GSM jest w tej chwili najlepszą metodą zabezpieczenia.

 

Czytaj także

Aktualności, komentarze

W nowej POLITYCE

Zobacz pełny spis treści »

Poleć stronę

Zamknij
Facebook Twitter Google+ Wykop Poleć Skomentuj

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną