Współczesna bankowość elektroniczna to nie tylko wygodny podgląd do bieżących środków lub opłacanie rachunków za telewizję, prąd lub Internet. To również szybki i łatwy dostęp do usług kredytowych maklerskich, a nawet walutowych. Cyberprzestępcy zyskując dostęp do kont bankowych osiągają nie tylko korzyści finansowe, ale również pobierają wrażliwe dane, które mogą im się przydać do dodatkowych wyłudzeń. Sprawdź, jak bezpiecznie zalogować się do konta bankowego i nie paść ofiarą ataku hakerów.
Adres strony internetowej banku
Pierwszym elementem pomijanym przez ofiary tzw. phishingu bankowego jest adres strony internetowej, na której chcą zalogować się do konta. Oszuści, wykorzystując nasz pośpiech i nieuwagę, stosują proste sztuki związane z uruchomieniem fałszywej strony WWW o podobnym adresie domeny, zawierającym najczęściej literówki. Pomimo faktu, że banki starają się minimalizować ryzyko poprzez zakup dodatkowych domen z potencjalnymi błędami – liczba kombinacji jest na tyle duża, że prędzej czy później oszuści dopną swego i na takiej stronie internetowej pojawią się dziesiątki, jak nie setki nieświadomych użytkowników.
Fałszywe adresy domen są na tyle podobne do oryginalnych, że wychwycenie ich na pierwszy rzut oka może być trudne. Jak uchronić się przed błędem i wyświetleniem fałszywej witryny bankowej?
Po pierwsze – jeżeli korzystasz z e-bankowości, dodaj adres internetowy banku do Ulubionych w swojej przeglądarce internetowej.
Po drugie – warto skorzystać z nowoczesnych rozwiązań tj. programy antywirusowe z funkcją ochrony bankowości. Dzięki tej opcji nawet popełniając błąd w adresie URL nie trafisz od razu na fałszywą stronę, podszywającą się pod dany bank. Aplikacja antywirusowa po prostu zablokuje takie działanie.
Fałszywa strona internetowa z certyfikatem SSL – jak to działa?
Certyfikat SSL umożliwia stosowanie szyfrowanego połączenia ze stroną internetową, tak aby dane wpisywane w formularzach kontaktowych lub oknie logowania zostały przesłane w bezpieczny sposób. I choć przechwycenie danych w trakcie wysyłki nie jest obecnie możliwe przy aktywnych protokole HTTPS, sam SSL nie jest gwarancją, że docelowa strona internetowa jest w pełni wiarygodna. O ile samo stosowanie certyfikatu jest dzisiaj niezbędne jeżeli chcesz prowadzić profesjonalny biznes w Internecie, podobną drogą podążają internetowi oszuści poprzez kreowanie bezpiecznego wizerunku na bazie certyfikatu SSL dla fałszywej domeny.
Cyberprzestępcy nie są jednak w stanie wykonać kolejnego kroku, który mógłby uwiarygodnić ich stronę internetową. W przeciwieństwie do banków – stosują oni najczęściej darmowe lub tanie certyfikaty SSL, których weryfikacja związana jest z adresem email dla posiadanej domeny. Banki z kolei stosują weryfikację rozszerzoną, a więc całej organizacji.
W efekcie po kliknięciu na ikonę kłódki w adresie URL sprawdzisz nie tylko szczegóły wystawionego certyfikatu, ale także nazwę organizacji korzystającej z tej usługi. Fałszywe strony internetowe nie będą zawierać dodatkowych szczegółów, ponieważ ich certyfikaty SSL są wystawiane tylko dla weryfikacji domeny.
Tak wyglądają przykładowe informacje o certyfikatach SSL dla banków Pekao, ING oraz mBank:
Jak rozpoznać fałszywą stronę logowania do banku?
Załóżmy, że jednak nie sprawdziłeś/aś adresu strony, na której logujesz się do konta, jak również nie wiesz czy certyfikat SSL został wystawiony dla danej organizacji. Nie posiadasz również programu antywirusowego z funkcją bezpiecznej bankowości. Jak w tej sytuacji uchronić się przed phishingiem? Cyberprzestępcy na tym etapie popełniają kilka błędów. Jak je rozpoznać?
- Treść strony napisana jest niezrozumiałym językiem, bez polskich znaków – zdecydowana większość ataków na klientów banków realizowana jest przez osoby, które nie mają styczności z naszym językiem. To użytkownicy, którzy przygotowują pieczołowicie kopię strony internetowej banku, ale nie mają pojęcia o gramatyce w języku polskim. Nie wspominając o polskich znakach diakrytycznych typu ą, ę, ź. Phishing charakteryzuje się najczęściej wiernie odwzorowaną warstwą wizualną z tekstem, który od razu zwraca na siebie uwagę niską jakością. Zamiast podawać swój login i hasło do konta – sprawdź, czy to co znajduje się pod oknem logowania jest napisane w języku polskim.
- Czy Twój bank zawsze prosi o pełne hasło? NIGDY. W przypadku logowania do konta elektronicznego hasło jest wyświetlane w formie niepełnej, a klient ma za zadanie uzupełnić losowo wybrane pola znakami ze swojego pełnego hasła. Banki w ten sposób zwiększają bezpieczeństwo użytkowników i utrudniają życie cyberprzestępcom. Nawet w momencie, gdy Twoje dane są w jakikolwiek sposób podsłuchiwane – nie uzyskają oni pełnego hasła do konta. Phishing z kolei skupia się na uzyskiwaniu jak największej ilości danych, więc przestępcy siłą rzeczy muszą “prosić” o pełne hasło.
- Bank nigdy nie wysyłka linków do stron w wiadomościach email, a te są kluczową bronią hakerów szukających swoich ofiar w sieci. Wszelkiego rodzaju komunikaty o koniecznej aktualizacji danych lub potwierdzaniu tożsamości uznaj za próbę wyłudzenia. Wiadomości kierują na fałszywe witryny, przypominające serwisy e-bankowości.
Przykład fałszywej strony banku Pekao. Źródło – niebezpiecznik.pl
Czy bankowość elektroniczna jest bezpieczna?
Biorąc pod uwagę rodzaj zabezpieczeń stosowanych na stronach e-bankowości oraz aplikacjach mobilnych banków, na pytanie zawarte powyżej można odpowiedzieć: TAK. W przypadku bankowości tradycyjnej, związanej z wizytą w placówce banku użytkownik jest narażony na większą liczbę niebezpieczeństw (zwłaszcza w kontekście działań przestępczych o charakterze fizycznym). E-bankowość to nie tylko wygoda i komfort w opłacaniu zakupów internetowych oraz rachunków, ale również wielopoziomowe zabezpieczenia tj. dodatkowy PIN oraz kody autoryzujące, minimalizujące ryzyko przechwycenia danych transakcji.
Najsłabszym ogniwem w całym łańcuchu bankowości internetowej jest wciąż człowiek, który jest podatny na manipulacje ze strony cyberprzestepców. Do uniknięcia 99% zagrożeń wystarczy jednak czujność.
Nie czekaj, aż staniesz się ofiarą doskonałego phishingu. Sprawdź ofertę programów antywirusowych z funkcją ochrony bankowości internetowej: