• Home
  • Wiadomości
  • Bankowość internetowa pod ostrzałem. Jak się bronić przed cyberprzestępcami?
Bankowość internetowa pod ostrzałem. Jak się bronić przed cyberprzestępcami?
26 czerwca 2015

Bankowość internetowa pod ostrzałem. Jak się bronić przed cyberprzestępcami?

Robisz przelewy przez Internet? Możesz nawet nie wiedzieć, że twoje przelewy trafiają na konto cyberprzestępców. Jak się przed tym bronić?

Dostajesz e-mailem fakturę. Jak zwykle, kopiujesz numer konta i robisz przelew przez Internet. Zerkasz na końcówkę SMS-a potwierdzającego płatność, z którego przepisujesz kod do wprowadzenia na stronie banku. Przelew trafia na listę oczekujących operacji, a za kilka godzin pieniądze zostaną ściągnięte z twojego konta.

Trafią prosto na konto cyberprzestępcy.

Wszystko wyglądało zwyczajnie, aż do czasu…

Jak przebiegał atak? Przecież na stronie wszystko wyglądało poprawnie, a numer konta odbiorcy zmienił się dopiero, kiedy pieniądze zniknęły z banku. Jak to się mogło stać?

Typowy proces wykonywania zwykłego przelewu przez Internet wygląda następująco:

  1. dostajemy e-mail lub PDF z numerem konta, na który mamy zrobić przelew,
  2. kopiujemy numer rachunku,
  3. wklejamy numer konta w formularzu na stronie banku,
  4. przepisujemy z SMS-a kod potwierdzający transakcję,
  5. przelew trafia na listę oczekujących do wykonania.

Niestety taki proces to miejsce do ataku, a cyberprzestępcy coraz częściej wykorzystują naszą nieuwagę.

Jak działają wirusy zamieniające numer konta?

Złośliwe oprogramowanie zainstalowane w naszym komputerze wykrywa moment, w którym kopiujemy numer konta i podmienia go na inny, zdefiniowany przez cyberprzestępców. Nie zwracamy uwagi czy wklejony numer rachunku jest taki sam jak skopiowany, więc wykonujemy przelew dalej. Dopiero kiedy odbiorca upomni się o przelew, orientujemy się, że został wysłany na inne konto.

Uwaga! To niestety tylko najprostsza wersja ataku. W ostatnich miesiącach cyberprzestępcy zmodyfikowali go o dodatkowe sposoby na zamaskowanie nieuczciwego procederu:

  • wklejony numer konta wygląda tak jak skopiowany, jednak do banku wysyłany jest zmodyfikowany,
  • na stronie banku wyświetlają się sfałszowane komunikaty proszące o instalację dodatkowego oprogramowania w telefonie (np. fałszywego „certyfikatu bezpieczeństwa” lub „aplikacji ochronnej”), które podmienia numery kont również w SMS-ach,
  • w historii bieżących operacji numer konta podmieniony jest na numer rzeczywistego odbiorcy,
  • cyberprzestępcy skupiają się na bankach, w których potwierdzenie przelewu odbywa się za pomocą kodu z tokena (bez funkcji challenge–response), a nie kodu z SMS-a.

W najgorszym przypadku o ataku dowiemy się dopiero przeglądając archiwum wykonanych przelewów – cyberprzestępcy nie podmieniają historii, ponieważ zrealizowanych przelewów nie da się już anulować.

Jak bronić się przed atakiem?

W miarę możliwości powinniśmy korzystać z systemów płatności online zamiast z przelewów przez Internet. Czym to się różni? W przypadku systemu płatności online, sprzedawca wysyła do naszego banku informację o swoich danych i kwocie transakcji, a my tylko potwierdzamy chęć transakcji na stronie banku.

dotpay_rysunek_1

Rys. 1: Transakcja przez system płatności Dotpay. Bank otrzymuje numer konta od systemu płatności, tak że ani my, ani cyberprzestępcy nie mamy możliwości jego zmiany. Płatność zostaje zrealizowana wyłącznie po otrzymaniu z banku nieodwołalnego potwierdzenia złożenia przez kupującego dyspozycji wykonania przelewu z rachunku. To gwarancja, że poprawność płatności została zweryfikowana.

Czy system płatności online można zawsze wykorzystać?

Systemy płatności online są wykorzystywane coraz częściej i można za ich pośrednictwem płacić nie tylko w sklepach internetowych, ale też opłacić rachunki za telefon i Internet czy kupić bilet na komunikację miejską, na pociąg lub do kina.

Korzystanie z systemu płatności online przez płacącego nie niesie ze sobą dodatkowych kosztów i nie wymaga zakładania konta w systemie – wyjaśnia Bernadetta Madej, dyrektor działu handlowego w Dotpay. – Płatność odbywa się na podstawie umów między bankiem, sprzedawcą i Instytucją Płatniczą pod czujnym okiem Komisji Nadzoru Finansowego – dodaje.

Sprzedawca nie oferuje płatności online – co zrobić?

Pomimo że szybkie transfery bankowe online (tzw. Pay by Link) są najpopularniejszym sposobem płatności w Polsce, częstszym od przelewów i płatności kartą kredytową, to jeszcze nie wszyscy sprzedawcy zintegrowali systemy płatności online. Czy oznacza to, że powinniśmy zrezygnować z transakcji, jeśli nie możemy zapłacić przez Dotpay lub inny system płatności?

dotpay_rysunek_2

Rys. 2: Strona operatora płatności online Dotpay. Wystarczy, że zarejestruje się na niej sprzedawca, kupujący nie musi zakładać żadnego dodatkowego konta.

Niekoniecznie. Jeśli musimy zrobić zwykły przelew przez Internet, naszą linią obrony jest urządzenie uwierzytelniające przelew. Najlepszym wyborem byłby token z funkcją challenge–response, jednak niewiele banków ma je w ofercie. Zdrapka lub token wyświetlający kod niestety w żaden sposób nie chronią przed atakiem – nie poinformują nas o tym, jaką transakcję potwierdzamy.

Jak z poziomu telefonu chronić konto w banku?

Ochronić nas może przede wszystkim czujność. Po otrzymaniu SMS-a z kodem potwierdzającym transakcję powinniśmy upewnić się, że numer konta w SMS-ie zgadza się z numerem konta w PDF-ie lub e-mailu z poleceniem zapłaty. To zdecydowanie zwiększa bezpieczeństwo transakcji.

Oczywiście cyberprzestępcy próbują różnych metod. Aby lepiej się chronić i mieć szansę na wykrycie próby oszustwa, powinniśmy też zadbać o bezpieczeństwo telefonu, na który przychodzą SMS-y z kodem potwierdzającym przelew. Trzeba być nie tylko uważnym i dokładnie weryfikować dane w SMS, ale także zadbać o to, aby na smartfonie był zainstalowany antywirusowy pakiet zabezpieczający przed atakami hakerów. Warto regularnie skanować system operacyjny. Co istotne to wcale nie musi wiązać się z dodatkowymi kosztami. Wystarczy poświęcić chwilę czasu i pobrać nawet darmowy program antywirusowy. W sieci znajdziemy różne aplikacje do skanowania systemu i usuwania wirusów, od koni trojańskich po złośliwe oprogramowania, jak maleware. Korzystanie z oprogramowania antywirusowego jest naprawdę dobrym zwyczajem i może nas ochronić przed przykrymi niespodziankami.

Dlaczego korzystanie z szybkich płatności typu Pay By Link jest bezpieczniejsze od innych?

Pamiętajmy, że dodatkowe warunki stawiane operatorom płatności online sprawiają, że poziom bezpieczeństwa transakcji przeprowadzanych przez tego typu systemy rośnie znacząco, nawet w porównaniu ze zwykłymi przelewami bankowymi. Rejestr takich instytucji płatniczych prowadzi Komisja Nadzoru Finansowego, która weryfikuje, czy akredytowana firma spełnia wymagania bezpieczeństwa. Listę firm można sprawdzić w wyszukiwarce dostępnej na stronie internetowej Komisji Nadzoru Finansowego, dodatkowo warto prześledzić rejestr licencjonowanych Agentów Rozliczeniowych prowadzony przez Narodowy Bank Polski. Jeżeli podmiot podający się za instytucję płatniczą znajduje się na ww. listach, możemy być spokojni o nasze środki finansowe. Można także upewnić się, czy instytucja finansowa posiada certyfikat PCI DSS, którego posiadanie potwierdza zgodność z międzynarodowymi wymogami bezpieczeństwa w zakresie przetwarzania transakcji kartowych. Standard ten potwierdza spełnianie światowej jakości norm dotyczących bezpieczeństwa.

Kwestia bezpieczeństwa podczas transakcji internetowych jest najważniejsza. A szybkie przelewy bankowe, typu Pay By Link, to nie tylko optymalizacja czasu, ale właśnie także bezpieczeństwo – podsumowuje Bernadetta Madej.

Źródło:

Jeśli poszukujesz informacji w zakresie finansowania przedsiębiorstw lub obniżenia kosztów prowadzonej działalności gospodarczej to napisz. Postaramy się skutecznie doradzić i zaproponować najlepsze rozwiązanie.

* Wymagane

Dziękujemy za wypełnienie formularza!

rel=”nofollow”>http://www.dotpay.pl

Previous Jak zaplanować pracę dla zastępcy na czas naszego urlopu?
Next Bezpieczna giełda – poszukiwany priorytet
Kategoria Wiadomości

Może to Ci się spodoba

Jakie były prawdziwe relacje między Jeffreyem Epsteinem a Billem Gatesem?
Wiadomości 0 Comments

Jakie były prawdziwe relacje między Jeffreyem Epsteinem a Billem Gatesem?

Jak młody neurobiolog stał się łącznikiem między współzałożycielem Microsoftu a finansistą pedofilem. Jak świat już wie, jednym z bardziej zaskakujących nazwisk, które pojawiły się wokół Jeffreya Epsteina, jest współzałożyciel Microsoftu

Mniej niż połowa Polaków ma zaufanie do banków
Wiadomości 0 Comments

Mniej niż połowa Polaków ma zaufanie do banków

Klienci oczekują od instytucji finansowych rzetelnej i uczciwej oferty, jasnej komunikacji i podmiotowego traktowania człowieka. To mogłoby zwiększyć zaufanie społeczeństwa. Dziś bankom ufa 49 proc. Polaków, doradcom finansowym – 26 proc., a

Pieczątki – tu liczy się precyzja
Wiadomości 1Comments

Pieczątki – tu liczy się precyzja

Firmowa pieczątka nie jest nowością. Przedsiębiorcy posługują się tym narzędziem od wielu lat. Dzięki niej, nie jest konieczne wypełnianie wielu pól na urzędowych formularzach i łatwiejsze jest adresowanie kopert. Z

Jak wybrać dobrego developera
Wiadomości 0 Comments

Jak wybrać dobrego developera

Z pewnością każdy widział kiedyś jakiś reportaż lub czytał w gazetach na temat nieuczciwych developerów, którzy wzięli zaliczki i znikali w niewyjaśnionych okolicznościach, a ludzie tracili oszczędności całego swojego życia.

Smartfon do 3000 zł z mocą flagowca? Sprawdź jaki
Wiadomości 0 Comments

Smartfon do 3000 zł z mocą flagowca? Sprawdź jaki

Czy trudno znaleźć smartfon do 3000 zł z mocą flagowca? Wbrew pozorom to wcale nie tak karkołomne wyzwanie, jak mogłoby się pozornie wydawać. Wystarczy jedynie, że sięgniesz po rozwiązania oferowane

Czy po wakacjach spada szansa na znalezienie ciekawego zatrudnienia?
Wiadomości 0 Comments

Czy po wakacjach spada szansa na znalezienie ciekawego zatrudnienia?

Wakacje to czas, gdy część osób potrzebuje wolnego od codziennych powinności służbowych. Urlopy planuje się dużo wcześniej, żeby spełniać swoje plany wyjazdowe zgodnie z założeniami. Jednak osoby zatrudnione na umowę