Zestaw zaleceń i porad dotyczących ochrony przed oszustwami związanymi z kradzieżą tożsamości oraz dokonywaniem płatności elektronicznych
Zestaw zaleceń i porad dotyczących ochrony przed oszustwami związanymi z kradzieżą tożsamości oraz dokonywaniem płatności elektronicznych
Phishing to oszustwo polegające na podszywaniu się pod firmę lub instytucję, którą znamy, po to, by pozyskać od nas prywatne dane. Jest to szczególnie niebezpieczne w przypadku korzystania z usług bankowych, gdyż wyłudzenie haseł do kont czy numerów kart kredytowych może narazić nas na kradzież środków finansowych.
Jak poznać, że doszło do próby ataku?
• Treść wiadomości może być złej jakości, zawiera błędy ortograficzne i gramatyczne albo nazwa znanej firmy ma nieprawidłowy zapis (małe różnice w wersji graficznej logo).
• Jeżeli w polu adresata („Do”) nie widnieje Twoje imię i nazwisko to wiadomość taka najprawdopodobniej została wysłana do tysięcy ludzi. Każda instytucja finansowa prowadząca Twój rachunek wie, jak się nazywasz. Wiadomość e-mail rozpoczynająca się od słów: „Szanowny Kliencie”, „Do wszystkich zainteresowanych”, a nawet „Witaj” może sygnalizować oszustwo.
• Adres e-mail nadawcy jest „podejrzany”, może zawierać nieco inaczej zapisaną nazwę znanej firmy lub urzędu, różnica jednej litery lub wcześniej nie występujące dodatki.
• Adres URL jest fałszywy. Po umieszczeniu kursora myszki na linku ze słowami „kliknij tutaj” albo „podejmij działanie już teraz” znajduje się dziwny adres URL zamiast prawidłowej witryny firmy. NIE KLIKAJ GO!
• Otrzymałeś informację, że bezpieczeństwo Twojego rachunku zostało naruszone, a niepodjęcie działań zalecanych w wiadomości e-mail będzie skutkować jego tymczasowym zawieszeniem.
• Treść wiadomości elektronicznej zawiera pytanie o Twoje dane osobowe, dane karty kredytowej lub konta internetowego, skan dokumentu tożsamości albo wiadomość przekierowuje cię do witryny, na której są one wymagane. Firmy działające zgodnie z prawem tak nie postępują.
Należy pamiętać o kilku podstawowych zasadach bezpieczeństwa:
• zawsze upewnijmy się, czy adres internetowy banku w przeglądarce jest poprawny. Przy okazji sprawdźmy również, czy połączenie jest szyfrowane (adres powinien zaczynać się od https://) oraz czy na pasku przy adresie lub u dołu ekranu pojawia się ikona z zamkniętą kłódką. Po kliknięciu w nią powinien wyświetlić się certyfikat potwierdzający autentyczność odwiedzanej przez nas strony www.
• pamiętajmy, że po zalogowaniu podawanie jednorazowych kodów jest konieczne tylko wtedy, gdy wykonujemy takie operacje jak zlecenie przelewu – system banku nigdy nie poprosi o podanie żadnego kodu podczas logowania, zaraz po zalogowaniu ani przy przeglądaniu historii rachunku.
• system teleinformatyczny banku nigdy nie poprosi o podanie kilku kodów czy haseł jednocześnie (podanie więcej niż jednego kodu jednorazowego może posłużyć do dodania numeru rachunku oszusta do tzw. zaufanych i przelania na niego całości środków bez podawania kodu jednorazowego),
• należy stosować dobry program antywirusowy i zapewnić możliwość jego regularnych aktualizacjach (aktualizacja sygnatur wirusów). Pomoże to wyeliminować zagrożenia z sieci. Należy aktualizować także system operacyjny i przeglądarkę internetową,
• nigdy nie należy odpowiadać na e-maile, których autorzy proszą o ujawnienie czy zweryfikowanie danych osobowych, informacji dotyczących numeru konta, karty kredytowej czy haseł i kodów jednorazowych. Nie przesyłamy kopii (skanu dokumentu tożsamości). Warto też pamiętać, że banki nigdy nie proszą o tego typu informacje (ze swojej strony wysyłają jedynie różnego rodzaju materiały informacyjne). Jeśli więc otrzymamy e-mail z prośbą o ww. dane od autora, podającego się za przedstawiciela banku, pod żadnym pozorem ich nie udostępniajmy! To z pewnością próba oszustwa.
Jak chronić się przed oszustami?
Aby zabezpieczyć się przed próbą wyłudzenia danych, dopilnujmy, żeby poufne informacje były dobrze przechowywane i nie mogły wpaść w niepowołane ręce.
W tym celu:
• nigdy nie udostępniajmy nikomu numeru swojej karty, haseł ani narzędzi autoryzacyjnych (mogą to być: kod PIN, numer telefonu, na który przychodzą kody SMS czy specjalny token, który generuje jednorazowe kody dostępu do konta). Nie podawajmy ich także na nieszyfrowanych stronach,
• nie zapisujmy nigdzie haseł ani PIN-u. Hasło i PIN otrzymane z banku należy zapamiętać, a następnie zniszczyć, lub zmienić na takie, które zapamiętamy,
• jeżeli nie chcemy polegać wyłącznie na swojej pamięci i musimy zapisać hasło, nie przechowujmy go w miejscu, gdzie łatwo może zostać znalezione przez inne osoby,
• nie używajmy tego samego hasła, którego używamy do logowania się w banku, na innych stronach internetowych,
• wymyślając hasło, starajmy się stworzyć trudną kombinację liter i cyfr, a nie coś prostego do odgadnięcia, zalecane jest posługiwanie się wyrazami tzw. niesłownikowymi,
• regularnie sprawdzajmy wyciągi bankowe, dotyczące transakcji dokonywanych kartą, aby kontrolować, czy nikt z niej nie korzysta bez naszej wiedzy,
• przy korzystaniu z bankowości elektronicznej używajmy własnego komputera, a nie dostępnego w kawiarence internetowej czy innym miejscu publicznym, na potrzeby służbowe należy wykorzystywać wyłącznie sprzęt służbowy,
• gdy jesteś zalogowany na swoim rachunku bankowym, nigdy nie odchodź od komputera,
• po realizacji wszystkich działań wyloguj się z konta poprzez opcję „Wyloguj”.
Jeżeli otrzymasz podejrzaną wiadomość e-mail:
• nie otwieraj jej i najlepiej natychmiast ją usuń,
• nie klikaj linków w wiadomości e-mail — nawet w celu „anulowania subskrypcji” — ani nie otwieraj żadnych załączników,
• jeżeli nie masz pewności, czy wiadomość pochodzi z bezpiecznego źródła, nie otwieraj linków, nie klikaj załączników ani nie podawaj haseł czy identyfikatorów użytkownika.
Gdzie zgłosić phishing ?
Każdą próbę phishingu należy jak najszybciej zgłosić. Należy zadzwonić do banku, za który podawał się cyberprzestępca, i wyjaśnić, co miało miejsce. W ten sposób pomożemy sobie, ale i innym jego klientom.
Nawet jeśli tylko podejrzewamy, że próbowano od nas wyciągnąć dane, niezwłocznie należy o tym poinformować instytucję, pod którą się podszywano. Im szybciej powiadomimy bank o tym, że otrzymaliśmy od niego fałszywą wiadomość, tym większa szansa, że złodziej zostanie zidentyfikowany, a jego oszustwo udaremnione.
Pamiętajmy, że bank nigdy nie poprosi nas:
• o podanie kodu jednorazowego podczas logowania do serwisu transakcyjnego,
• o podanie kilku kodów lub haseł jednocześnie,
• o podanie danych karty płatniczej podczas korzystania z serwisu transakcyjnego takich jak: numer konta, data ważności i kod CVV (ostatni trzycyfrowy numer wydrukowany na pasku podpisu na odwrocie karty kredytowej lub debetowej),
• o przesłanie skanu (kopii) dokumentu tożsamości.