Bezpieczeństwo Bankowości Internetowej

Transkrypt

1 Bezpieczeństwo Bankowości Internetowej CO KLIENT POWINIEN WIEDZIEĆ NA TEMAT DOSTĘPU DO SERWISU BANKOWOŚCI INTERNETOWEJ I HASŁA DO LOGOWANIA? Podstawą bezpieczeństwa dostępu do serwisu bankowości internetowej jest uwierzytelnienie użytkownika. W tym celu użytkownik podaje przyznany mu przez Bank unikalny identyfikator oraz hasło. Hasła powinny być traktowane przez każdego z nas tak, jak traktuje się klucz do skarbca. Wiadomo, że utrata go oznacza kłopoty i ma przeważnie bardzo nieprzyjemne następstwa. Podobnie jak z kluczem do skarbca czy do domu, rzecz ma się z hasłami ujawnienie ich skutkuje zagrożeniem nieuprawnionego dostępu do naszych poufnych danych i kont, ze wszystkimi tego, nieraz bardzo bolesnymi, konsekwencjami. Warto więc pamiętać o podstawowych zasadach bezpieczeństwa, dotyczących: (1) tworzenia haseł, (2) posługiwania się nimi (zarządzania nimi, zmieniania ich i przechowywania). W taki sam sposób jak w przypadku haseł należy dbać o bezpieczeństwo urządzeń wykorzystywanych do uwierzytelnień dostępu do systemów i do autoryzacji transakcji. Mowa tu o tokenach i telefonach, na które wysyłane są kody jednorazowe do autoryzowania transakcji oraz komunikaty o zdarzeniach związanych z użytkowaniem internetowych systemów transakcyjnych (logowaniach, operacjach itp.). Tokeny z kluczami kryptograficznymi do podpisywania transakcji powinny być podłączane do komputera wyłącznie na czas korzystania z systemu transakcyjnego. Innymi słowy, nie mogą one pozostawać podłączone do niego na stałe. O JAKICH ZASADACH NALEŻY PAMIĘTAĆ PODCZAS TWORZENIA HASŁA? Hasło nie powinno być frazą słownikową (polską ani obcojęzyczną). Hasło powinno zawierać co najmniej 8 znaków. Hasło nie powinno bazować na znanych danych osobowych użytkownika, być znaną powszechnie nazwą czy łatwym do odgadnięcia identyfikatorem, np.: imieniem własnym, przyjaciela, członka rodziny itp., nazwiskiem, nazwą systemów, poleceń, programów, procesów itp., nazwą organizacji lub jej struktur, datą urodzin, datą dobrze znanych wydarzeń historycznych itp., adresem, numerem telefonu ani kombinacjami wyżej wymienionych fraz. Hasło nie może być powtarzalną kombinacją znaków (np.: AAABBBCCC), łatwo przewidywalną sekwencją znaków (np.: 12345, QWERTY itp.) lub ich odwrotną transpozycją (np.: 54321). Hasło nie może być prostą kombinacją jednej ze wspomnianych fraz z cyfrą dołączoną na początku lub na końcu (np.: secret1 czy 1secret). Silne hasło musi zawierać kombinację zarówno małych, jak i dużych liter, cyfr oraz znaków specjalnych (np.:!@#$^*()_ ~- =\`{}[]: ; <>?,.)). Zalecanym sposobem tworzenia silnych haseł są tzw. pass-frazy, tworzone zgodnie z następującym schematem: (1) należy opracować zdanie bazowe do pass-frazy, np.: Czy można stworzyć bezpieczne hasło?, (2) należy wyróżnić w zdaniu bazowym charakterystyczne elementy pass-frazy, (3) należy dokonać mapowania wyróżnionych elementów pass-frazy na przyjęte, łatwe do zapamiętania reprezentujące je symbole, a następnie przeprowadzić ewentualną podmianę znaków (zmiana wielkości, znaki specjalne), np.: Czy 3; m M; s s; b B; has # (od hasz), ło? 1o?. W wyniku tego powstaje silna pass-fraza, np.: 3MsBez#1o?. 1

2 POSŁUGUJĄC SIĘ HASŁAMI, POWINNIŚMY RÓWNIEŻ PAMIĘTAĆ O NASTĘPUJĄCYCH ZASADACH: Nie należy używać takich samych haseł do uwierzytelnień we wszystkich systemach, do których się logujemy. Np. nie powinniśmy stosować do logowania się do Banku identycznego hasła jak hasło do systemów pocztowych czy portali społecznościowych (z portali społecznościowych czy z publicznych systemów pocztowych coraz częściej wyciekają różne informacje, zatem trzeba dbać o to, aby wyciek danych z takich systemów nie oznaczał jednocześnie ujawnienia naszego hasła do bankowości internetowej). Nie powinno się współdzielić dostępu do bankowości internetowej a co za tym idzie: również hasła do niej z innymi użytkownikami (nawet członkami rodziny). Nie należy ujawniać haseł i kodów autoryzacyjnych innym osobom (w bezpośredniej rozmowie, przez telefon, w SMS-ach, w wiadomościach itd.). Nie powinno się ustawiać zapamiętywania haseł w systemach i aplikacjach, chyba że zapisujemy je w specjalnie do tego celu przeznaczonej aplikacji (tzw. Password Manager), przechowującej hasła w szyfrowanych bazach. Należy regularnie zmieniać hasła. Nie wolno zapisywać haseł w postaci jawnej, możliwej do odczytania przez niepowołane osoby. Karty kodów jednorazowych należy przechowywać w bezpiecznym miejscu oraz nie ujawniać ich osobom niepowołanym. JAK CZĘSTO NALEŻY ZMIENIAĆ HASŁO DO SERWISU BANKOWOŚCI INTERNETOWEJ? Hasło do serwisu bankowości internetowej powinno być zmieniane nie rzadziej niż raz na miesiąc. Dodatkowo w celu podniesienia poziomu bezpieczeństwa Klienta serwis wymusza zmianę hasła co trzy miesiące. Powodem wprowadzenia tej pozornie zbędnej uciążliwości są nasilające się zagrożenia dla Klientów bankowości internetowej. Pojawiają się one ze strony różnego rodzaju oprogramowania szpiegowskiego, podsłuchującego m.in. hasła i przekazującego je przestępcom. Takie przechwycone hasło może być użyte do podszycia się pod Klienta i okradzenia go nawet po upływie długiego czasu od momentu podsłuchania. Wymaganie zmiany hasła co 90 dni stanowi kompromis pomiędzy bezpieczeństwem a wygodą Klienta. Im bowiem dłużej wykorzystuje się to samo hasło, tym większe jest prawdopodobieństwo jego przejęcia przez złodziei. JAK MAM ZMIENIĆ HASŁO DO BANKOWOŚCI INTERNETOWEJ? Po zalogowaniu się do serwisu bankowości internetowej należy wybrać przycisk kierunkowskazu Twoje systemy (prawy górny róg okna), a następnie wybrać kafelek Zmień hasło. Wprowadzić stare hasło oraz dwa razy nowe, po czym nacisnąć przycisk Zmień. 2

3 W JAKI SPOSÓB MOGĘ ZABLOKOWAĆ LUB ODBLOKOWAĆ SWÓJ DOSTĘP DO BANKOWOŚCI INTERNETOWEJ? Dostęp można zablokować lub odblokować poprzez kontakt telefoniczny z biurem obsługi dla Klientów indywidualnych oraz małych firm pod numerami telefonów: lub oraz dla Klientów korporacyjnych pod numerami: lub , a także w każdym oddziale Banku. CO MOGĘ ZROBIĆ, ABY MÓJ SPRZĘT KOMPUTEROWY BYŁ BEZPIECZNY? Spośród wszystkich czynników mających wpływ na bezpieczeństwo krytyczny pozostaje zawsze czynnik najsłabszy. To on na ogół decyduje o wystąpieniu ryzyka ataku. Tym czynnikiem bardzo często bywają albo braki zabezpieczeń sprzętu komputerowego (komputera stacjonarnego, laptopa, tabletu, smartfona) wykorzystywanego przez użytkownika do połączeń z bankowością internetową, albo niestosowanie się przez samego użytkownika do podstawowych zasad bezpieczeństwa. Reguły te są proste, choć niejednokrotnie opierają się na zaawansowanych rozwiązaniach technologicznych. Łatwo jednak jest je zapamiętać i stosować w codziennej praktyce. DLACZEGO BEZPIECZNE KORZYSTANIE Z BANKOWOŚCI INTERNETOWEJ ZALEŻY OD STANU ZABEZPIECZEŃ MOJEGO SPRZĘTU? Bezpieczeństwo korzystania z serwisu bankowości elektronicznej zależy od zabezpieczeń po stronie Banku i zabezpieczeń po stronie Klienta. Zabezpieczenia po stronie Banku spełniają wysokie standardy i są cyklicznie testowane oraz audytowane. Przestępcy doskonale wiedzą, że to właśnie zabezpieczenia po stronie Klienta stanowią najsłabsze ogniwo, i dlatego ich działania są ukierunkowane na ten najsłabszy punkt. Bezpieczeństwo korzystania z serwisu bankowości internetowej zależy w dużej mierze od poziomu świadomości jego użytkowników, w tym także świadomości na temat ochrony własnego komputera. Niezabezpieczony komputer jest narażony na ataki różnego rodzaju złośliwego oprogramowania, a nawet na całkowite przejęcie nad nim kontroli przez napastnika. W takiej sytuacji nietrudno sobie wyobrazić, jak dużą swobodę posiada złodziej mogący kontrolować i modyfikować zarówno numery rachunków bankowych, na które wykonujemy przelewy, jak i przelewane kwoty. JAKIE OPROGRAMOWANIE POWINIEN POSIADAĆ SPRZĘT WYKORZYSTYWANY DO POŁĄCZEŃ Z BANKIEM? Legalny system operacyjny, stale (najlepiej automatycznie) aktualizowany udostępnianymi przez producenta poprawkami. Tylko legalne oprogramowanie pochodzi z zaufanych źródeł i upoważnia nas do korzystania z aktualizacji i poprawek bezpieczeństwa (tzw. łatek). Wszystkie zalecane przez dostawców zainstalowanego na sprzęcie oprogramowania poprawki, aktualizacje czy łatki, ponieważ wiele z nich koryguje identyfikowane na bieżąco krytyczne podatności systemu, przez które hakerzy mogą przeprowadzić atak. Zainstalowana najnowsza wersja przeglądarki internetowej. Dobre oprogramowanie antywirusowe, a najlepiej pakiet zintegrowanych narzędzi do ochrony sprzętu, zawierający obok skanera antywirusowego dodatkowo zaporę sieciową (ang. personal firewall), system przeciwdziałania włamaniom (ang. host intrusion prevention system) itp., a także na bieżąco aktualizowane bazy oprogramowania antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego. 3

4 DLACZEGO PROGRAM ANTYWIRUSOWY NIE WYSTARCZA JAKO JEDYNE ZABEZPIECZENIE MOJEGO SPRZĘTU? Program antywirusowy służy do wyszukiwania i usuwania z komputerów pewnej odmiany szkodliwego oprogramowania tzw. wirusów. Nie mniej istotna jest jego funkcja prewencyjna, polegająca na zapobieganiu infekcji takim oprogramowaniem. Należy jednak pamiętać o tym, że wirusy nie są jedynym zagrożeniem dla komputerów, a w szczególności dla tych, z których odbywa się łączenie z serwisem bankowości internetowej. Program antywirusowy nie jest w stanie skompensować luk w bezpieczeństwie wynikających z braku aktualizacji systemu operacyjnego czy innych programów np. przeglądarki internetowej, odtwarzacza plików audio lub wideo. Jedynie kompleksowe rozwiązania, polegające na zastosowaniu wielu poziomów ochrony oraz zróżnicowanych produktów, są w stanie zapewnić wysoki poziom bezpieczeństwa komputerów. JAKIE SĄ PODSTAWOWE ZASADY BEZPIECZEŃSTWA W ZAKRESIE DOSTĘPU DO BANKOWOŚCI INTERNETOWEJ? Ważną zasadą jest to, aby łączyć się z Bankiem wyłącznie z zaufanych stacji roboczych. W praktyce sprowadza się to do korzystania z tych urządzeń, do których użytkownik ma wyłączny dostęp lub które użytkowane są przez niewielkie grono zaufanych osób (np. przez członków rodziny). Do połączeń z Bankiem nie należy używać komputerów dostępnych publicznie, np. w kawiarenkach internetowych. Nigdy bowiem nie wiesz, czy taki komputer nie jest zainfekowany złośliwym oprogramowaniem, nastawionym na kradzież tożsamości (loginów, haseł, kodów autoryzacyjnych itp.). Regularnie nie rzadziej niż raz na tydzień należy też wykonywać pełne skanowanie sprzętu, wykrywające wirusy i oprogramowanie szpiegujące. Nie powinniśmy udostępniać swoich urządzeń osobom postronnym. Nie powinniśmy pobierać z Internetu niezaufanego oprogramowania. Należy unikać surfowania po podejrzanych stronach WWW. Nie powinniśmy otwierać podejrzanych wiadomości . Po otwarciu sesji w systemie bankowości internetowej należy zweryfikować datę ostatniego logowania. Wszelkie budzące wątpliwości przypadki niezgodności dat (i godzin!) należy zgłaszać w Centrum Telefonicznym. W czasie trwania połączenia z Bankiem nie wolno pozostawiać komputera bez nadzoru dopóty, dopóki sesja jest aktywna. Sesję należy zakończyć przez poprawne wylogowanie się i późniejsze zamknięcie okna przeglądarki internetowej. W szczególnych przypadkach, kiedy połączenie z Bankiem zostało nawiązane z publicznego lub współdzielonego komputera, przed zamknięciem okna przeglądarki powinno się usunąć pliki tymczasowe i cookies. Należy zadbać o zabezpieczenie swojego sprzętu przed kradzieżą, zagubieniem, uszkodzeniem, zniszczeniem i nieuprawnionym użyciem. W szczególności powinniśmy zadbać o bezpieczeństwo sprzętu pozostawianego bez osobistego nadzoru, tym bardziej gdy mamy do czynienia z urządzeniami mobilnymi typu laptop, tablet, smartfon. Szczególna dbałość o fizyczne bezpieczeństwo sprzętów oznacza m.in.: niepozostawianie urządzeń w samochodzie i w pokojach hotelowych oraz ciągły nadzór nad sprzętem w podróży. Podczas podróży publicznymi środkami transportu (takimi jak autokar, samolot) należy zawsze przewozić laptop, tablet itp. w taki sposób, by mieć je stale na oku, czyli jako bagaż podręczny. Należy unikać uruchamiania plików wykonywalnych (na ogół z rozszerzeniami nazw:.exe,.com,.bat,.dll,.cmd,.vbs,.vbe lub.pif) otrzymanych w załącznikach do wiadomości poczty elektronicznej. To samo odnosi się do pobierania i uruchamiania plików wykonywalnych ze stron WWW oraz do kopiowania danych z niesprawdzonych nośników. 4

5 Ważne jest to, by weryfikować, czy połączenie odbywa się z właściwym serwisem (prawidłową stroną internetową) Banku. Aby zalogować się do systemu bankowości internetowej, nie należy korzystać z żadnych odnośników (linków) zawartych w treści wiadomości czy dostępnych na stronach WWW nienależących do Banku. Rozpowszechnioną praktyką jest wysyłanie i do potencjalnych lub rzeczywistych użytkowników bankowości internetowej przez osoby podszywające się pod przedstawicieli Banku. W celu wywołania wrażenia autentyczności i wzbudzenia zaufania adresata często są one opatrzone logo Banku i elementami grafiki charakterystycznymi dla szaty graficznej materiałów reklamowych, którymi posługuje się Bank. Mogą zawierać prośbę o podanie czy weryfikację danych osobowych, haseł, PIN-ów, numerów kart kredytowych. Należy pamiętać o tym, że Bank nigdy nie wysyła do użytkowników wiadomości z prośbą o podanie czy weryfikację danych o koncie, a tym bardziej kodów do autoryzowania transakcji, PIN-ów czy numerów kart kredytowych. Każda taka wiadomość (określana jako scam ) powinna być traktowana jako próba wyłudzenia tych informacji. Otrzymawszy ją, użytkownik winien niezwłocznie zgłosić ten fakt w Centrum Telefonicznym ( lub ), po czym należy postępować według zaleceń przekazanych przez operatora. W żadnym przypadku nie wolno odpowiadać na taką wiadomość, podając swój identyfikator, hasła, numery kart kredytowych, PIN-y czy kody do autoryzowania transakcji. Nie należy też wypełniać żadnych przesłanych czy wskazanych formularzy. CO TO JEST PHISHING I JAK SIĘ PRZED NIM CHRONIĆ? Termin phishing jest akronimem od angielskich słów: password harvesting fishing co można przetłumaczyć jako: łowienie haseł dostępowych. Idea tego rodzaju ataku polega na nakłonieniu Klienta (za pomocą np. odpowiednio spreparowanej strony WWW) do ujawnienia swoich identyfikatorów, haseł i innych informacji wrażliwych. Następnie przestępcy logują się do serwisu bankowości internetowej, podszywając się pod łatwowiernego Klienta, i wyprowadzają środki z jego rachunku. W celu ochrony przed phishingiem należy przestrzegać poniższych zasad: po otrzymaniu wiadomości nakłaniającej (pod dowolnym pretekstem, np. powołując się na rzekomą potrzebę weryfikacji danych) do zalogowania się do serwisu bankowości elektronicznej należy niezwłocznie skontaktować się z Biurem Obsługi Klienta Bank nigdy nie wysyła tego typu wiadomości; nie należy otwierać odnośników znajdujących się w otrzymanych listach elektronicznych; nie należy umieszczać w listach elektronicznych żadnych informacji wrażliwych (dane osobowe, numery kart płatniczych, loginy, hasła itp.); należy regularnie uaktualniać system operacyjny, oprogramowanie antywirusowe oraz przeglądarkę internetową; należy sprawdzać, czy przy wchodzeniu do serwisu bankowości internetowej przeglądarka potwierdza bezpieczne połączenie np. poprzez wyświetlenie zamkniętej kłódki i/lub nazwy podmiotu certyfikacji w kolorze niebieskim bądź zielonym a także zweryfikować autentyczność certyfikatu elektronicznego oraz jego datę ważności; należy regularnie skanować cały komputer oprogramowaniem antywirusowym; ponadto powinno ono na bieżąco skanować pliki pobierane z zewnątrz (Internet, dyski wymienne itp.). CZY MOGĘ BEZPIECZNIE KORZYSTAĆ Z SERWISU BANKOWOŚCI INTERNETOWEJ Z PRYWATNEGO KOMPUTERA PODŁĄCZONEGO DO PUBLICZNEJ SIECI BEZPRZEWODOWEJ (NP. HOTSPOT, WLAN NA LOTNISKACH, W KAWIARNIACH CZY W HOTELACH)? Bezpieczeństwo połączeń z serwisem bankowości internetowej nie zależy w krytycznym stopniu od rodzaju podłączenia do sieci Internet. Podstawowe zagrożenie polegające na ujawnieniu i przechwyceniu transmitowanych danych praktycznie nie istnieje, z uwagi na szyfrowany charakter transmisji całej komunikacji pomiędzy przeglądarką użytkownika a serwerem systemu bankowości internetowej. 5

6 Przy korzystaniu z serwisu za pośrednictwem publicznej sieci bezprzewodowej należy stosować wszelkie zabezpieczenia komputera, tak jak przy połączeniach przez sieć przewodową. Natomiast jeżeli punkt dostępowy sieci bezprzewodowej jest naszą własnością, zaleca się jego bezpieczne skonfigurowanie według wskazówek producenta w tym m.in. zmianę na ogół niebezpiecznych startowych ustawień domyślnych (chodzi tu głównie o zmianę domyślnego hasła administratora tego urządzenia). Zaleca się też korzystanie z zabezpieczeń WPA lub WPA-2 (TKIP lub AES). W JAKI SPOSÓB DOCHODZI DO ZAINFEKOWANIA KOMPUTERA WIRUSAMI ZAGRAŻAJĄCYMI BEZPIECZEŃSTWU KORZYSTANIA Z BANKOWOŚCI INTERNETOWEJ? Komputer może zostać zainfekowany na kilka sposobów, które można podzielić na dwie grupy: oprogramowanie złośliwe jest instalowane wskutek wykorzystania pewnej podatności i dzieje się to bez wiedzy użytkownika; wprowadzony w błąd użytkownik sam instaluje złośliwe oprogramowanie w przekonaniu, że zainstalował coś innego (np. dodatkowe sterowniki). Jeśli użytkownik posiada nieaktualizowane oprogramowanie (system operacyjny, przeglądarkę oraz dodatki do niej) lub używa oprogramowania pobranego z potencjalnie niebezpiecznych stron WWW (zawierających głównie treści erotyczne lub oferujących darmowe programy, lecz nie tylko), wówczas napastnik może wykorzystać istniejące luki i zarazić komputer dowolnym złośliwym kodem mamy tutaj do czynienia z pierwszą grupą sposobów infekowania komputera. Do drugiej można zaliczyć sieci P2P oraz wspomniane już strony WWW oferujące różnego rodzaju oprogramowanie. Pliki i programy pobrane z takich sieci lub stron internetowych mogą zawierać rozmaite złośliwe kody, zarażające nasz komputer. W tym przypadku najczęściej występuje jeden z poniższych scenariuszy: podczas uruchomienia lub instalowania pobranego oprogramowania pojawia się komunikat o błędzie i niemożności dalszego działania, podczas gdy oprogramowanie złośliwe zostało oczywiście prawidłowo zainstalowane; pobrane oprogramowanie instaluje się i uruchamia prawidłowo, a nawet prawidłowo funkcjonuje, lecz wraz z nim instaluje się złośliwy kod i samodzielnie uruchamia się wraz z każdym włączeniem komputera (nawet bez konieczności uruchomienia oprogramowania nosiciela ). Bez względu na to, w jaki sposób komputer zostaje zarażony, efekt jest taki sam zawsze mniej lub bardziej negatywny, i to dla wszystkich użytkowników takiego komputera. Kończąc temat bezpieczeństwa korzystania z komputerów, warto pokusić się o krótką puentę: bezpieczeństwo jest zawsze wypadkową zarówno zastosowania rozwiązań technicznych, jak i zachowań użytkownika. Zawsze też decyduje tu najsłabszy element. Na nic zda się nam nawet najdoskonalszy system, jeśli będziemy uporczywie lekceważyć wszelkie jego ostrzeżenia o zagrożeniach oraz zaniedbywać podstawowe zasady bezpiecznego korzystania z tego typu sprzętu. 6

7 CO NALEŻY SPRAWDZIĆ PRZED ZALOGOWANIEM? NA CO ZWRÓCIĆ UWAGĘ PRZED LOGOWANIEM, PODCZAS LOGOWANIA I PO ZALOGOWANIU SIĘ DO BANKOWOŚCI INTERNETOWEJ? Należy zwrócić uwagę na następujące kwestie: czy do paska adresowego przeglądarki internetowej wpisany został prawidłowy adres Banku ( oraz czy występuje literka s w nazwie protokołu https (pierwszy człon adresu powinien zatem mieć formę: https ); czy w przeglądarce jest widoczny symbol zamkniętej kłódki lub inny symbol (podświetlone na zielono bądź niebiesko nazwa podmiotu certyfikatu lub/i pasek adresu); czy certyfikat Banku jest ważny; czy elementy graficzne i treści na stronie logowania nie budzą podejrzeń (np. czy nie pojawia się żądanie podania numerów kart kredytowych lub innych danych, o które Bank nigdy nie pyta podczas procesu uwierzytelniania użytkownika); czy nie pojawiają się różnego typu komunikaty o błędach; czy nie następuje niespodziewane przerwanie sesji zaraz po podaniu poprawnego hasła; czy nie występują inne nieoczekiwane i nietypowe zachowania aplikacji. JAKA JEST RÓŻNICA POMIĘDZY PROTOKOŁAMI: HTTP A HTTPS? HTTPS (ang. Hypertext Transfer Protocol Secure) jest szyfrowaną wersją protokołu HTTP. Bezpieczeństwo komunikacji sieciowej z wykorzystaniem tego protokołu polega na szyfrowaniu informacji przesyłanej pomiędzy serwerem (serwer WWW) a klientem (przeglądarką internetową) przy pomocy protokołu SSL lub TLS. Zapobiega to przechwytywaniu i przekłamywaniu wysyłanych danych. Dodatkowo tożsamość serwera HTTPS jest potwierdzana przy pomocy certyfikatu cyfrowego, dzięki czemu użytkownik połączeń HTTPS zyskuje gwarancję tego, że połączenie zostało nawiązane z właściwym serwerem. Strony połączenia HTTPS mogą podlegać uwierzytelnieniu jednostronnemu (uwierzytelnienie serwera względem użytkownika) lub dwustronnemu (uwierzytelnienie użytkownika względem serwera i serwera względem użytkownika). Integralność przesyłanych danych jest zabezpieczana przez zastosowanie mechanizmów kryptograficznych sum kontrolnych. Ponadto przeglądarka, obsługując tak zabezpieczoną transmisję, włącza bardziej restrykcyjne ustawienia, m.in. wyłącza buforowanie treści i nie zezwala na zapisywanie na dysku komputera potencjalnie niebezpiecznych elementów strony WWW (np. tzw. apletów Java). CO OZNACZA SYMBOL KŁÓDKI W PRZEGLĄDARCE INTERNETOWEJ I GDZIE GO SZUKAĆ? Symbol kłódki oznacza, że połączenie pomiędzy przeglądarką a serwerem jest zabezpieczone za pomocą protokołu HTTPS oraz że certyfikat serwera jest ważny i podpisany przez zaufane centrum certyfikacji. W sytuacji gdy występuje problem z certyfikatem, symbol kłódki pojawia się jako przekreślony, ze znakiem zapytania lub staje się on w inny sposób wyróżniony (zależnie od rodzaju przeglądarki). Każdy przypadek zmiany wyglądu lub braku poprawnych symboli wskazujących na uwierzytelnione i szyfrowane połączenie z Bankiem musi zostać zweryfikowany. 7

8 W JAKI SPOSÓB MOGĘ UZYSKAĆ POMOC W SPRAWACH DOTYCZĄCYCH BEZPIECZEŃSTWA KORZYSTANIA Z BANKOWOŚCI INTERNETOWEJ? Pomoc w sprawach dotyczących bezpieczeństwa korzystania z bankowości internetowej w tym możliwość zgłoszenia ewentualnych incydentów naruszenia bezpieczeństwa można uzyskać: poprzez kontakt z Centrum Telefonicznym pod numerami telefonów: dla klientów indywidualnych lub , a dla klientów korporacyjnych lub ; u doradcy Klienta, poprzez kontakt z oddziałem Banku; na stronie: CO TO JEST CERTYFIKAT CYFROWY LUB ELEKTRONICZNY? Certyfikat cyfrowy zwany także certyfikatem klucza publicznego lub certyfikatem elektronicznym stanowi poświadczenie autentyczności klucza publicznego podmiotu, dla którego certyfikat ten został wystawiony. Wystawcą certyfikatu jest tzw. Zaufana Strona Trzecia (ang. TTP Trusted Third Party), czyli urząd certyfikacyjny (ang. CA Certification Authority). Podpisanie certyfikatu przez ten podmiot pozwala w pełni ufać prezentowanej zawartości oczywiście po sprawdzeniu ważności i autentyczności podpisu. Certyfikat klucza publicznego zawiera trzy podstawowe informacje: klucz publiczny podmiotu; opis tożsamości podmiotu; podpis cyfrowy złożony przez Zaufaną Stronę Trzecią. Certyfikat potwierdza: tożsamość jego właściciela lub obiektu, do którego jest przypisany (np. serwer, aplikacja itp.), autentyczność zawartego w nim klucza publicznego oraz (pośrednio) fakt dysponowania przez dany podmiot odpowiednim kluczem prywatnym, tj. stanowiącym parę z certyfikowanym kluczem publicznym. Ufając wystawcy certyfikatu, możemy więc podpisy elektroniczne złożone przy użyciu tego klucza prywatnego uznawać za złożone przez podmiot opisany w certyfikacie lub w imieniu tego podmiotu. 8

9 W JAKI SPOSÓB MOGĘ ZWERYFIKOWAĆ AUTENTYCZNOŚĆ CERTYFIKATU ELEKTRONICZNEGO? Weryfikacja autentyczności certyfikatu elektronicznego polega na zestawieniu takich jego atrybutów jak: tzw. odcisk palca (ang. fingerprint) certyfikatu; opis tożsamości podmiotu; porównanie danych wystawcy certyfikatu z danymi publikowanymi przez Bank. Poniższa ilustracja przedstawia podgląd certyfikatu wystawionego dla Raiffeisen Bank Polska S.A. Użytkownik nie powinien podawać danych uwierzytelniających go, dopóki nie ma pewności co do tego, że odwołuje się do zaufanego serwisu Banku. 9