Zasady bezpiecznego korzystania z konta bankowego przez internet

Justyna Kalicińska
Justyna Kalicińska
Analityk produktów finansowych
Justyna Kalicińska
Justyna Kalicińska
Analityk produktów finansowych

112 publikacji 789 komentarzy

W serwisie Moneteo zajmuje się ofertą oszczędnościową, dla przedsiębiorców oraz dla dzieci i młodzieży. Odpowiada za weryfikację i aktualność danych. Analizuje bankowe regulaminy, dokumenty oraz przepisy prawne związane z podatkami i sprawami finansowymi.


1 komentarz Zasady bezpiecznego korzystania z konta bankowego przez internet
Spis treści

Konta internetowe to rozwiązanie, bez którego większości z nas już trudno sobie wyobrazić funkcjonowanie w świecie finansów. Rachunek internetowy jest nowoczesny i wygodny w użyciu do tego stopnia, że korzystamy z niego niemal instynktownie, bez zastanawiania się nad przeprowadzanymi operacjami.

Nowe technologie to nowe szanse, ale i także nowe zagrożenia. Kiedyś, aby wykonać przelew, należało udać się do placówki banku. Dzisiaj nie musimy wychodzić z domu, aby zarządzać naszymi pieniędzmi. Niestety, również przestępcy korzystają z nowoczesnych udogodnień i swój niecny, złodziejski proceder uprawiają w czterech ścianach przy komputerze.

Jak to jest obudzić się rano bez pieniędzy na koncie?

Brzmi to nieco jak science-fiction, ale niestety ten zły sen dla wielu okazał się smutną rzeczywistością. Próbujemy wykonać przelew lub zapłacić kartą w sklepie i ze zdziwieniem dowiadujemy się, że na naszym rachunku nie ma wystarczającej ilości pieniędzy – lub nie ma ich wcale. Sytuacje są różne, lecz efekt jest najczęściej podobny: zdumienie, przerażenie, wściekłość i poczucie kompletnej bezradności. "Gdzie się podziały nasze pieniądze?!" i zaraz: "jak to się mogło stać?".

Na to drugie pytanie spróbujemy odpowiedzieć w cyklu artykułów poświęconych bezpieczeństwu w bankowości.

Jak zabezpieczyć swoje dane przed wyłudzeniem?

Dziś przestępcy raczej nie koncentrują się na okradaniu samych banków, znaleźli sobie bowiem inną furtkę: tam, gdzie nie zawodzi system bankowych zabezpieczeń, bywa, że zawodzi tzw. czynnik ludzki. Zresztą, niekiedy naprawdę trudno nazwać ten sposób „furtką”, dużo lepszym określeniem byłoby „otwarta brama”.

Hakerzy stosują przeróżne sztuczki, aby wyłudzić od nas informacje o naszych kontach: jedne są mniej wyrafinowane, inne bardziej, ale łączy je jedna przerażająca cecha – zbyt często działają.

Aby kradzież się powiodła, cyberprzestępca musi zdobyć dane, które umożliwią mu:

  1. Dostęp do naszego konta. Tymi danymi są:
    • login,
    • hasło.
  2. Uzyskanie informacji niezbędnych do przelania środków. W tym celu haker spróbuje od nas pozyskać:
    • kody SMS;
    • kody zdrapki (coraz rzadziej używane);
    • numer i rodzaj telefonu wraz z oprogramowaniem (np. wersja systemu Android).

Zastanawiasz się, kto przy zdrowych zmysłach udostępnia dane swojego konta hakerom? Zdecydowana większość ofiar cyberprzestępców podaje im swoje dane w dobrej wierze lub w ogóle nie wie, że to robi. Przestępcy rozumieją, z której strony najlepiej podejść ofiarę i wykorzystują w tym celu techniki, które mają nieco przytłumić zdrowy rozsądek, a dać pole do popisu emocjom.

Phishing – jak go rozpoznać i nie dać się oszukać

Dzień dobry, po awarii Twoje konto zostało zablokowane ze względu na nieautoryzowany dostęp: potwierdź swoją tożsamość, wprowadzając kod autoryzacyjny. Przejdź na stronę banku {link}.

Tego rodzaju e-maile to typowy przykład narażenia klienta na phishing, czyli próbę wyłudzenia danych. Dostajemy na naszą skrzynkę e-mailową wiadomość, która od razu przyprawia nas o palpitacje serca: ktoś próbował włamać się na nasze konto! Na szczęście „bank” w porę wykrył próbę oszustwa i teraz próbuje zweryfikować, czy my to naprawdę my. Musimy tylko kliknąć w przesłany link i podać swoje dane. Rzecz w tym, że nadawcą takiego maila nie jest nasz bank, lecz grupa przestępcza. Podane przez nas informacje posłużą im do błyskawicznego opróżnienia naszego konta. A jeżeli podaliśmy im również dane karty, to płacąc nią w Internecie, dodatkowo mogą nam narobić długów.

Metoda ta musi być skuteczna, gdyż nie ma miesiąca, żeby ktoś nie skarżył się, że w ten sposób „wyczyszczono” mu konto. Częstotliwość ataków także świadczy o tym, że na tę sztuczkę nabiera się całkiem sporo osób.

Przestrzegamy jednak przed wyciąganiem pochopnych wniosków co do kondycji czy systemów zabezpieczeń banków, których klienci zostali zaatakowani przez oszustów; instytucje te prawdopodobnie zachowały się odpowiedzialnie i udostępniły informacje o atakach dla dobra swoich klientów. Fakt, że inny bank tego nie robi, nie oznacza, że nie ma podobnych problemów. Poza tym warto pamiętać, że są to bardzo popularne banki, z usług których korzysta dużo osób.

Schemat działania jest zazwyczaj podobny:

  1. Otrzymujemy na naszą skrzynkę alarmujący e-mail, a w nim link do strony i żądanie zalogowania do banku.
  2. Po kliknięciu linka, przekieruje on nas do fałszywej strony internetowej, do złudzenia przypominającej oficjalną stronę naszego banku. Na dodatek strona ta może zawierać elementy graficzne (np. logo i kolorystykę naszego banku), a nawet komunikaty bezpieczeństwa, które mają wzmagać u ofiary poczucie zaufania i „zaopiekowania się” nią przez bank.
  3. Kiedy już zalogujemy się na fałszywej stronie, przestępcy otrzymają nasze dane niezbędne do zalogowania się na naszym prawdziwym koncie (login, hasło) i zaczną szykować się do przelania naszych pieniędzy.
  4. My z kolei zostaniemy przez hakerów poproszeni o potwierdzenie operacji kodem SMS, który zostanie wysłany od naszego banku, kiedy hakerzy zechcą wykonać przelew lub zmienić nasze zlecenia stałe.
  5. Kiedy wpiszemy ten kod na fałszywej stronie, nasze pieniądze zostaną przelane tam, gdzie zażyczyli sobie przestępcy.

„Proszę autoryzacji”. O ewolucji technik wyłudzania danych

Podany wcześniej przykład to tylko jeden z wielu sposobów na wyłudzenie od nas informacji koniecznych do okradzenia naszego rachunku. Jeszcze nie tak dawno maile/strony phishingowe napisane były najczęściej fatalną polszczyzną, bez polskich znaków, cały zaś tekst sprawiał wrażenie niechlujnie przetłumaczonego w Tłumaczu Google.

Przykład ataku phishingowego na klientów PKO BP
Przykład ataku phishingowego na klientów PKO BP

Niestety, taka językowa „prowizorka” odeszła już w zasadzie do lamusa i co niektórym posiadaczom kont naprawdę może wydawać się, że otrzymali oficjalnego e-maila od banku:

Przykład ataku phishingowego na klientów mBanku
Przykład ataku phishingowego na klientów mBanku

Skąd przestępcy znają nasz adres e-mail? Cóż, zdobycie go jest zazwyczaj bardzo proste (czasami wystarczy wpisać w wyszukiwarce Google), ale często przestępcy rozsyłają wiadomości po prostu losowo.

Smishing, czyli wyłudzanie danych za pomocą wiadomości tekstowej

Jak łatwo można przewidzieć, pomysłowość złodziei nie ogranicza się wyłącznie do e-maili. Równie dobrze możemy otrzymać SMS-a, który przekieruje nas na stronę, z której – nawet nieświadomie – pobierzemy złośliwe oprogramowanie, umożliwiające przestępcom przechwytywanie naszych kodów autoryzacyjnych do transakcji. Ta metoda nosi "wdzięczną" nazwę "smishing".

Zdarza się, że SMS-em przychodzi alarm o rzekomej nieautoryzowanej transakcji, a my musimy czym prędzej oddzwonić do „banku” na wskazany w SMS-ie numer telefonu. Po połączeniu jesteśmy proszeni o podanie naszych danych, które mają ponoć pomóc w zweryfikowaniu naszej osoby. Na koniec pojawia się prośba o potwierdzenie przekazanych informacji za pomocą kodu SMS, który zaraz zostanie do nas przesłany. Jeżeli to zrobimy, przestępcy zdobędą wszystkie potrzebne informacje, aby wykonać przelew z naszego konta.

PAMIĘTAJ! Nigdy nie przechodź na stronę logowania banku za pomocą linka, którego otrzymałeś w wiadomości pocztowej lub w SMS-ie. Jeżeli otrzymałeś komunikat o zablokowaniu konta ze względów bezpieczeństwa – w pierwszej kolejności skontaktuj się z infolinią swojego banku i upewnij, czy jest to prawdziwa wiadomość!

Niemiłe skutki miłej rozmowy - vishing

Zdarzają się także telefony z „banku”, w których uprzejma pani informuje nas o fantastycznej okazji (promocja, kredyt, pożyczka, nagroda) lub właśnie o rzekomym zagrożeniu. Schemat działania jest podobny, konsekwencje – o ile rozmówca nie zorientuje się w porę, że jest oszukiwany – identyczne jak w poprzednich przykładach. Tego rodzaju akcje nazywamy vishingiem.

RADA! Jeżeli chcesz uniknąć przykrych sytuacji i zawsze mieć pewność, z kim rozmawiasz, zapytaj w swoim banku o możliwość ustalenia hasła do kontaktu. Dzięki temu prostemu zabiegowi będziesz mógł zweryfikować, czy na pewno rozmawiasz z osobą z banku.

Pamiętaj o aktualizacji oprogramowania

Socjotechniki w rodzaju phishingu to nie jedyne sposoby przestępców na wyłudzenie danych do naszego konta. Równie łatwo mogą oni „wpuścić” na nasz komputer, tablet czy smartfona wirusa lub tzw. konia trojańskiego (trojana), który informacje, jakie podajemy przy logowaniu się do konta, po prostu prześle hakerowi. Istnieją np. programy, które sczytują hasło z naszej klawiatury w momencie, gdy je wpisujemy.

Dlatego tak ważne jest, abyśmy na bieżąco aktualizowali:

  • program antywirusowy i zaporę sieciową (firewall) - jeżeli korzystasz z systemu Windows, a ich nie posiadasz, dla własnego dobra je zainstaluj;
  • system operacyjny (np. Windows, Android, itd.);
  • przeglądarki internetowe.

Wirusy i trojany, które mogą być niebezpieczne dla naszych pieniędzy, najczęściej nie są pobierane ze stron związanych z bankowością, ale przy okazji np. popularnych programów (plików muzycznych, bezpłatnych gier komputerowych, darmowych aplikacji usprawniających pracę komputera), a także darmowych czy niepewnych operacji w sieci.

  1. Aktualizuj przeglądarki oraz systemy operacyjne (np. Windows, Android na smartfonie) do najnowszych wersji, które są „odporne” na nowe wirusy i trojany – nie tylko w komputerach, ale i w swoich smartfonach i na tabletach.
  2. Używaj aktualnego i legalnego oprogramowania antywirusowego i zapory sieciowej (firewall);
    • specjaliści polecają sprawdzanie komputera programami antywirusowymi przed każdą operacją wykonywaną na swoim koncie internetowym; porada ta dla wielu z nas może się wydawać jednak mało realna. Warto natomiast zastanowić się, czy wkrótce nie nadejdzie czas, w którym będziesz wykonywać większą liczbę przelewów (np. początek miesiąca) – i przed takimi terminami regularnie skanuj swój komputer.
  3. Nie ignoruj komunikatów programu antywirusowego.
  4. Pamiętaj, aby zachować szczególną uwagę przy ściąganiu programów niewiadomego pochodzenia czy wchodzenia na podejrzane strony internetowe.

Nie bądź naiwny, czyli o co nasz bank na pewno nas nie zapyta

Jedynym miejscem, w którym jesteśmy proszeni o podanie kluczowych informacji, jakimi są login, hasło, kody jednorazowe czy ewentualnie PIN, jest wyłącznie strona do logowania się do naszego konta. Od tej zasady nie ma żadnych wyjątków.

Pamiętajmy, że bank NIGDY nie prosi o potwierdzenie naszych poufnych danych w żadnych e-mailach, SMS-ach czy w trakcie rozmów telefonicznych. W szczególności bank nigdy nie zażąda od nas podania:

  • loginu do konta;
  • hasła – hasło jest znane tylko i wyłącznie nam. Bank nie zna naszego kodu dostępu, nie może więc w żaden sposób go potwierdzać
    • w przypadku haseł maskowanych (gdzie wpisujemy tylko część znaków z naszego kodu dostępu) nigdy podczas logowania nie jesteśmy proszeni o podanie całego hasła, jedynie o kilka znaków;
  • kodów SMS / kodów jednorazowych poza momentem wykonywania zamierzonej przez nas operacji bankowej (np. przelewu);
  • rodzaju telefonu i jego oprogramowania;
  • danych kart płatniczych i kredytowych;
  • PIN-u do karty.

Żaden bank nie wysyła także:

  • e-maili z linkami kierującymi do strony do zalogowania się na konto internetowe;
  • SMS-ów z odsyłaczami do logowania;
  • aplikacji lub certyfikatów bezpieczeństwa na telefon komórkowy. Jeżeli otrzymałeś taką wiadomość, to znaczy, że ktoś – i to z pewnością nie bank – próbuje zainfekować Twój telefon złośliwym oprogramowaniem, dzięki któremu uzyska dostęp do kodów SMS, które są ostatnią zaporą przed kradzieżą.

W tym miejscu należy dodać, że jeżeli sami podaliśmy swoje dane, to naprawdę trudno będzie nam odzyskać pieniądze – ponieważ bank niemal na pewno uzna, że transakcja została przez nas autoryzowana. W takim wypadku jedynym rozwiązaniem jest skierowanie sprawy do sądu, ale jest to droga żmudna, czasochłonna, a jej wynik – niepewny. 

Strona banku: autentyczna czy fałszywa?

Jeżeli przyjrzymy się dokładnie, dostrzeżemy znaczące różnice pomiędzy oficjalną stroną do logowania w mBanku, a stroną przygotowaną przez hakerów:

Fałszywa strona mBanku spreparowana przez hakerów. Wygląda identycznie, ale różni się adresem.
Fałszywa strona mBanku spreparowana przez hakerów. Wygląda identycznie, ale różni się adresem.

Adres internetowy rzekomej strony banku to mbankweryfikuj.pw, a przy logowaniu: mbanklogowanie.com. Tymczasem adres internetowy mBanku to mbank.pl, uzupełniony przy logowaniu o subdomenę: online.mbank.pl (domena pozostaje jednak taka sama: „mbank”). W podanym powyżej przykładzie rzekomej strony banku występuje dodatkowo rozszerzenie .pw, które jest przypisane do Republiki Palau, wyspiarskiego państwa na Oceanie Spokojnym. Gdy przyjrzymy się adresowi, ten może (i powinien!) wydać się nam podejrzany – o ile to zrobimy. Cyberprzestępcy doskonale wiedzą, że spora część z nas albo o tym nie pamięta, albo pamięta, ale nie zawsze.

Przyznajmy jednak: same banki również utrudniają to zadanie. Ze świecą można szukać strony internetowej banku, której adres nie zmienia się przy próbie zalogowania do serwisu internetowego. Chlubnym wyjątkiem na tle instytucji bankowych jest Bank Millennium. Inne instytucje dodają subdomeny przed nazwą domeny, podobnie jak mBank: Nest Bank (przedrostek login), Getin Bank (secure), Credit-Agricole (ca24), Alior Bank (login). Niektóre banki w ogóle zmieniają adres do serwisu internetowego: PKO BP na ipko.pl, Pekao S.A. na pekao24.pl, Santander Bank na centrum24.pl – tak więc wchodząc na stronę banku, de facto przechodzimy na kompletnie inny adres przy logowaniu.

To i tak nic w porównaniu do adresów stron banków, które już nie istnieją na polskim rynku. I tak, logowanie do serwisu Deutsche Banku miało adres: https://ebank.db-pbc.pl/auth/login.jsp, BGŻ BNP Paribas: https://www.ebgz.pl/detal-web/jbank/unlogged/choose/method.do, natomiast Eurobank: https://online.eurobank.pl/nbi/bezpieczenstwo/logowanie.

Oczywiście, mamy jeszcze inne zabezpieczenia, nawet dużo ważniejsze. Przyznajmy jednak, że zauważenie jakichkolwiek zmian we wspomnianych wyżej adresach jest, delikatnie rzecz ujmując, trudne.

Pamiętaj! Jeżeli chcesz zalogować się do swojego konta, zawsze wpisuj pełny adres swojego banku w przeglądarce lub przynajmniej sprawdzaj poprawność tego adresu. Jeżeli adres logowania jest trudny do zapamiętania, możesz przejść na stronę banku, a potem na podstronę logowania.

Procedury postępowania przy logowaniu do konta

Fundamentem bezpiecznej bankowości jest legalne i aktualizowane oprogramowanie. Czy znasz pozostałe podstawowe kroki bezpieczeństwa, jakie powinieneś zrobić przy każdym logowaniu (a już na pewno, gdy chcesz wykonać przelew internetowy)?

Pomyśl o nich przez chwilę, a następnie przeczytaj poniższe podpunkty:

  1. Pamiętamy nazwę strony naszego banku, np. www.mbank.pl lub bezpośredniej strony logowania do bankowego serwisu transakcyjnego.
  2. Wpisujemy pełny adres tej strony w przeglądarce, nigdy w Google czy innej wyszukiwarce. Istnieją bowiem konie trojańskie, które mogą podmienić domyślną wyszukiwarkę i przekierować nas na fałszywą stronę banku.
  3. Sprawdzamy poprawność adresu banku (m.in. pod kątem literówki), a następnie weryfikujemy czy przy adresie URL do strony logowania do serwisu transakcyjnego pojawia się:
    • kłódka,
    • protokół https://.
  4. Sprawdzamy certyfikat bezpieczeństwa. Bank okresowo go zmienia i publikuje na swojej stronie. Porównujemy go z tym, który pojawia się w szczegółach strony do logowania.
  5. Po zalogowaniu sprawdzamy datę ostatniego logowania i ostatniego nieudanego logowania.
  6. Po wykonaniu operacji na koncie wylogowujemy się ze strony i wyłączamy przeglądarkę.

Symbol kłódki i protokół https:// w adresie strony

Oznaczają one, że strona, na którą się logujesz, jest szyfrowana i bezpieczna oraz należy tylko i wyłącznie do Twojego banku. Niektóre banki korzystają z protokołu https:// już przy swojej głównej stronie, inne szyfrują dopiero strony z logowaniem do serwisu internetowego.

Podstawowa zasada przy logowaniu brzmi: kłódka i https:// muszą pojawiać się razem. Od tej reguły nie ma wyjątków, w szczególności w rodzaju: „przebudowa strony”, „chwilowa aktualizacja”, „czasowa awaria” itp. Standardowy protokół, na którym działają strony internetowe, to http://. Pamiętajmy, że literka „s” przy https:// oznacza szyfrowanie, nie może go więc zabraknąć.

Poniżej prezentujemy, gdzie i jak wyświetlane są te informacje w najpopularniejszych przeglądarkach na przykładzie logowania do serwisu transakcyjnego ING Banku Śląskiego.

  • Logowanie do serwisu ING w przeglądarce Firefox:
    Logowanie do bankowości internetowej w przeglądarce Firefox
    Logowanie do bankowości internetowej w przeglądarce Firefox
  • Logowanie do serwisu ING w przeglądarce Chrome:
    Logowanie do bankowości internetowej w przeglądarce Chrome
    Logowanie do bankowości internetowej w przeglądarce Chrome
  • Logowanie za pomocą Microsoft Edge:
    Logowanie do bankowości internetowej w przeglądarce Edge
    Logowanie do bankowości internetowej w przeglądarce Edge

Jak widać, w trzech najpopularniejszych przeglądarkach internetowych przy logowaniu do naszego konta internetowego pojawiają się jednocześnie i protokół https://, i kłódka.

Uwaga! Jedna z popularnych przeglądarek – Opera – nie wyświetla przy adresie protokołu https://. Po kliknięciu na kłódkę pojawia się komunikat, że połączenie jest potwierdzone i bezpieczne. Twórcy przeglądarki zrezygnowali z informowania o protokole ze względu na – ich zdaniem – większą przejrzystość adresu. Opcję tę można jednak samemu włączyć w zaawansowanych ustawieniach tej przeglądarki. Brak informacji o protokole https:// nie oznacza, że strona nie jest szyfrowana (o szyfrowaniu świadczy również kłódka), niemniej, jeśli strona rzeczywiście NIE BĘDZIE szyfrowana, łatwiej to w Operze przeoczyć.

Na koniec należy wspomnieć, że cyberprzestępcy, chcąc maksymalnie utrudnić nam życie, tworzą także fałszywe strony banków, na których przy adresie www pojawia się zapis: https:// - nie ma za to kłódki. Dlatego kolejny punkt – weryfikacja certyfikatu – jest niezbędnym krokiem przy logowaniu się do konta internetowego.

Weryfikacja certyfikatu strony banku

Certyfikat strony www potwierdza, że naprawdę znaleźliśmy się na stronie naszego banku. Przy każdym logowaniu do swojego konta – a szczególnie w chwili, gdy zamierzamy wykonać przelew internetowy – należy poświęcić nie więcej niż pół minuty i przyjrzeć się certyfikatowi, który został wystawiony dla danej strony. Sprawdzamy przede wszystkim:

  • aktualność certyfikatu (czy nie wygasł i jaka jest data jego obowiązywania),
  • odcisk palca SHA1.

Jak to zrobić? Poniżej prezentujemy, jak zweryfikować certyfikat w kilku prostych krokach, na przykładzie przeglądarki Firefox:

  1. Wchodzimy na stronę logowania do naszego konta.
  2. Klikamy na symbol kłódki.
    Sprawdzanie certyfikatu strony banku w przeglądarce internetowej - krok 1
    Sprawdzanie certyfikatu strony banku w przeglądarce internetowej - krok 1
  3. Rozwijamy pasek „Zabezpieczone połączenie”.
    Sprawdzanie certyfikatu w przeglądarce - krok 2
    Sprawdzanie certyfikatu w przeglądarce - krok 2
  4. Wyświetla się nam informacja o tym, że połączenie jest bezpieczne, a strona jest prowadzona przez konkretny bank. Ale my chcemy mieć 100% pewności, więc...
  5. Klikamy na przycisk „Więcej informacji” - wtedy dopiero wyświetli się okno prowadzące do certyfikatu.
    Sprawdzenie certyfikatu w przeglądarce - krok 3
    Sprawdzenie certyfikatu w przeglądarce - krok 3
  6. Klikamy na „Wyświetl certyfikat”. Dopiero teraz otrzymujemy informacje, jakich szukaliśmy.
    Certyfikat i odcisk palca mBanku
    Certyfikat i odcisk palca mBanku

Na czerwono zaznaczyliśmy te dane, które są dla nas istotne: data ważności oraz odcisk SHA1. Skąd mamy wiedzieć, czy są poprawne? To proste: każdy bank publikuje je na swojej stronie internetowej i aktualizuje, kiedy wygasa data ważności danego certyfikatu (dla przykładu, aktualny certyfikat mBanku znajdziesz tutaj).

Chociaż sprawdzanie protokołu i certyfikatów może na pierwszy rzut wyglądać na zadanie zawiłe i czasochłonne, to po dwóch-trzech próbach z pewnością wykonanie takiej weryfikacji będzie proste i szybkie.

Bezpieczeństwo przelewów internetowych

W celu uniknięcia kradzieży podczas wykonywania przelewu należy wyrobić w sobie kilka pożytecznych nawyków:

  1. Okresowo sprawdzajmy historię konta – będzie w niej widać wszystkie transakcje, również te, które nie były przez nas autoryzowane.
  2. Po zalogowaniu sprawdzajmy datę ostatniego udanego i nieudanego logowania.
  3. Starajmy się nie kopiować numeru konta przy wypełnianiu przelewu – tak, jest to dość uciążliwe, ale istnieje złośliwe oprogramowanie, które podmienia wskazany numer konta na rachunek hakera. Jeżeli już nie chcemy rezygnować z kopiowania, pamiętajmy, aby za każdym razem sprawdzać wprowadzony numer. Zasada ta dotyczy w szczególności przelewów wykonywanych za pomocą urządzeń mobilnych, np. smartfona.
    • Faktem jest, że istnieją wirusy/trojany, które potrafią tak podmienić numer rachunku, że nie będzie widać żadnej różnicy w przeglądarce. O takim niepożądanym „dodatku” do przeglądarki Firefox, który zmienia numery kont w przelewach, było dość głośno kilka lat temu. Wirus ten był szczególnie niebezpieczny, ponieważ nie wykrywały go programy antywirusowe, i bardzo sprytny, gdyż zmieniał odbiorcę przelewu tylko w przypadkach, gdy przelewana kwota nie była ani za mała, ani... za duża (dzięki temu trudniej zwrócić na niego uwagę). Można go było ściągnąć przez zupełny przypadek razem z zainfekowanymi instalatorami popularnych programów w rodzaju Winamp. Więcej o wirusie czytaj tutaj. Przed takim oszustem można się ustrzec dzięki skrupulatnej weryfikacji numeru odbiorcy przelewu z numerem przesłanym w SMS-ie z kodem do autoryzowania transakcji.
  4. Zawsze dokładnie czytajmy SMS z kodem autoryzacyjnym od banku: podaną kwotę i nr konta (pierwsze i ostatnie znaki). Jest to ostatnia zapora, która może uchronić nas przed kradzieżą, gdyż w informacji od banku widoczny jest rzeczywisty nr konta i rzeczywista kwota, na którą wykonujemy przelew (w sytuacji, gdy nasz komputer jest zainfekowany złośliwym oprogramowaniem).
  5. Regularnie zmieniajmy hasła dostępu i starajmy się je maksymalnie skomplikować. Im bardziej skomplikowane hasło, tym mniejsza szansa na łatwe i szybkie złamanie go przez hakera.

Co warto jeszcze zrobić, aby nasz przelew był „bezpieczny”?

Dodatkowo, aby zmniejszyć ryzyko utraty naszych pieniędzy, należy stosować się do poniższych wskazówek:

  1. Zawsze wpisujmy pełne dane odbiorcy: imię, nazwisko lub nazwę firmy, adres.
  2. Nie logujmy się do swojego konta ani tym bardziej nie zlecajmy przelewów w miejscach, co do których nie mamy 100% pewności, w szczególności w kafejkach internetowych, w pracy, w szkole czy na uczelni. Nigdy nie wiemy, jakie oprogramowanie jest zainstalowane na obcych komputerach ani kto z nich korzysta.
  3. Realizując operację bankową nie korzystajmy z publicznego wifi ani z żadnej sieci, co do której bezpieczeństwa nie ma mamy całkowitej pewności.
  4. Korzystajmy wyłącznie z legalnego oprogramowania antywirusowego. Jeżeli bank odkryje, że oprogramowanie było nielegalne, możesz być pewien, że nie odzyskasz skradzionych pieniędzy.
  5. Nie otwierajmy żadnych linków – w e-mailach oraz w SMS-ach – których źródła nie jesteśmy całkowicie pewni. Ta zasada dotyczy zresztą nie tylko bankowości, ale i ogólnie korzystania z Internetu i innych kanałów elektronicznych.

Odpowiedzialność leży również po stronie klienta

Wielu posiadaczy internetowych kont bankowych przekonanych jest o tym, że za bezpieczeństwo ich pieniędzy odpowiada w zasadzie wyłącznie bank. Nie jest to prawdą: takie same obowiązki względem bezpieczeństwa nałożone są jednocześnie na instytucję, jak i na klienta. W przypadku kradzieży z konta wiele instytucji może stosunkowo łatwo zarzucić nam niedbalstwo bądź przyczynienie się do zaistniałej szkody. Warto o tym pamiętać, gdyż niewypełnienie tych obowiązków może spowodować niemal pewną stratę pieniędzy BEZ możliwości ich odzyskania (o odpowiedzialności banków i klientów za nieautoryzowane transakcje piszemy w artykule Zastrzeżenie a blokada karty płatniczej. Które rozwiązanie wybrać?).

Komentarz redakcji

Bankowość internetowa jest znakomitym wynalazkiem, większość z nas nie ma co do tego wątpliwości. Jednak jak w przypadku niemal każdego wynalazku warto poznać sposób jego działania i zasady bezpieczeństwa. Jeżeli przechodzimy krótki kurs obsługi komputera czy samochodu, dlaczego nie mielibyśmy tego robić w przypadku bankowości internetowej? Choć liczba zamieszczonych powyżej porad i wytycznych może nieco przytłaczać, wskazane jest, aby każdy z nas stosował się do tych zasad. Nie zapewnią nam one całkowitego bezpieczeństwa, ale znacznie zminimalizują ryzyko padnięcia ofiarą cyberprzestępstwa.

Zaufajmy własnej intuicji. Jeżeli coś nas niepokoi, wyda się nam nietypowe czy podejrzane (albo w drugą stronę: nadzwyczaj atrakcyjne) – przerwijmy transakcję / akcję logowania / rozmowę. Lepiej być przewrażliwionym niż szukać swoich pieniędzy gdzieś na azjatyckich rachunkach bankowych.

Warto również w kwestiach bezpieczeństwa przeglądać okresowo stronę swojego banku oraz jego ofertę. Bywa, że sama instytucja może nam pomóc, np. udostępniając specjalną usługę (np. Alerty24 w Santander Bank Polska), w ramach której zostaniemy powiadomieni o wszelkich transakcjach na naszym koncie. Możemy także rozważyć samodzielne wprowadzenie limitów dziennych na podstawowe operacje bankowe, dzięki czemu nawet jeżeli padniemy ofiarą przestępstwa, to złodzieje będą mogli ukraść nam tylko „dozwoloną” przez nas kwotę.

Niestety, musimy przyznać, że na polu bezpieczeństwa również i banki nie są bez skazy (czego zresztą wymagają od nas – klientów). Często podawane przez nie komunikaty są po prostu trudne do zrozumienia dla przeciętnego klienta lub mało konkretne. Jeżeli dostaniemy SMS z alertem od banku i w wiadomości tej przeczytamy, że właśnie przeprowadzono jakąś operację na naszym koncie, to co prawda wiemy, że coś się dzieje, ale nie mamy pojęcia, co takiego. Ponadto banki same przestrzegają przed niecodziennymi komunikatami itp., po czym po zalogowaniu się na nasze konto nieoczekiwanie wyskakuje nam okienko z... reklamą promocji. A w przypadku skomplikowanych adresów niektórych stron do logowania rekomendacja pamiętania adresu strony może być uznana za kpinę.

Bezpieczeństwo bankowości internetowej, a zwłaszcza mobilnej, opiera się już w dużej mierze na biometrii: skanowaniu naszych odcisków palców, twarzy czy siatkówki. Niemniej nawet takie funkcje nie uchronią nas przed cyberprzestępcami, jeżeli sami nie będziemy przestrzegać zasad bezpieczeństwa.

Podstawowe zasady bezpiecznego korzystania z kont internetowych i wykonywania przelewów:

  1. Dbajmy o legalne i aktualne oprogramowanie: antywirus, firewall, zaktualizowany system operacyjny i przeglądarki na komputerze, tablecie i w smartfonie. Aplikacje mobilne ściągamy tylko z autoryzowanych sklepów (bank nigdy nie przesyła żadnej aktualizacji oprogramowania).
  2. Nigdy nie podawajmy swoich danych do konta: loginu, hasła, rodzaju telefonu, numeru karty, PIN-u, kodów SMS, nikomu, co do którego osoby nie mamy 100% pewności. Bank nigdy nie żąda od nas podania hasła do konta czy kodu SMS w miejscu innym niż serwis transakcyjny.
  3. Nie logujmy się do naszego rachunku za pomocą linków przesłanych w e-mailach czy SMS-ach.
  4. Jeżeli coś budzi naszą wątpliwość (np. kilkukrotna prośba o podanie hasła), przerwijmy operację i skontaktujmy się z bankiem za pomocą oficjalnej strony internetowej.
  5. Pamiętajmy prawidłowy adres internetowy naszego banku i - o ile to możliwe - strony do logowania. Nie wpisujmy strony naszego banku w wyszukiwarkach typu Google, lecz bezpośrednio w pasku adresu przeglądarki.
  6. Zawsze sprawdzajmy, czy na stronie do logowania przy adresie internetowym naszego banku znajduje się symbol kłódki i protokół "https://".
  7. Każdorazowo weryfikujmy certyfikat (datę i "odcisk palca").
  8. Okresowo sprawdzajmy historię operacji na koncie.
  9. Dokładnie czytajmy wiadomości SMS od banku przy wykonywaniu przelewu: kwotę przelewu, numer konta odbiorcy (pierwsze i ostatnie znaki) itd.
  10. Nie łączmy się z naszym bankiem za pomocą cudzego komputera czy telefonu ani za pośrednictwem ogólnodostępnej sieci wi-fi.

Jeżeli uważasz, że powyższe porady są wartościowe, udostępnij ten artykuł w swoich serwisach społecznościowych. W ten sposób poinformujesz znajomych, że powinni zwrócić większą uwagę na bezpieczeństwo swojego konta bankowego.

Jeżeli masz jakieś uwagi lub komentarze dotyczące treści, napisz do nas. Każde polubienie/udostępnienie/sugestia są dla nas ważną wskazówką, że poruszanie tematu bezpieczeństwa na łamach serwisu ma sens.

Oceń artykuł
5
(1 ocena)
Aby oddać głos, wskaż odpowiednią liczbę gwiazdek.
Dziękujemy za Twój głos Dziękujemy za Twój głos

Komentarze

(1)
Sortuj odNajnowszych
  • Najnowszych
  • Najstarszych
Dodaj swój komentarz...
K
keliem
Gość

Dodałbym kilka informacji:

1) Dzienny limit przelewów zawsze warto ustawić, ale to od sposobu ich zmiany zależy jak skutecznie będą nas chroniły. Jeśli zmiana limitów jest autoryzowana tak samo jak autoryzacja przelewu to przestępca może podnieść limity i wyczyścić konto. O takich przypadkach pisze np. Rzecznik Finansowy w raporcie o nieautoryzowanych transakcjach. Niektóre banki oferują limity, które można zmienić tylko w oddziale lub tylko przez telefon. Jest to znacznie lepsze zabezpieczenie.

2) Co do powiadomień/alertów to najlepiej jest ustawić powiadomienie o udanym logowaniu. Jeśli dostajemy takie powiadomienie, a to nie my się logujemy, to trzeba natychmiast zablokować dostęp do konta. Jeśli bank nie oferuje powiadomienia o udanym logowaniu to można ustawić powiadomienie o przelewach wychodzących powyżej pewnej kwoty. 

3) W Google Play, a czasami nawet w Apple Store trafiają się aplikacje zawierające szkodliwe oprogramowanie (trojany bankowe) dlatego pobierając aplikację z tych sklepów trzeba uważać o jakie uprawnienia prosi aplikacja i na jakie wyrażamy zgodę. Trojany bankowe proszą o pewne uprawnienia, które są im potrzebne aby nas okraść - polecam poczytać na ten temat. Generalnie jeśli na smartfonie korzystamy z bankowości mobilnej to czym mniej aplikacji posiadamy tym lepiej.

4) Do płacenia za zakupy internetowe lepiej nie używać szybkich przelewów ponieważ aby autoryzować taki przelew trzeba podać login i hasło, który w przypadku przejęcia przez przestępców daje dostęp do wszystkich naszych rachunków. Inne metody płatności są bezpieczniejsze.

5) Polecam do logowania używać aliasu, który w razie czego można łatwo zmienić. Dodatkowo chronimy login, który w wielu bankach służy również do logowania na infolinii.

6) Osoby, które korzystają z autoryzacji za pomocą kodów sms podniosą swoje bezpieczeństwo zastrzegając numer PESEL (od 1 czerwca 2024). Zastrzeżenie powinno chronić przed atakami typu sim swap. 

Odpowiedz