1. Wstęp. 2. Przygotowanie stacji roboczej

Transkrypt

1 1. Wstęp System Bankowości internetowej Raiffeisen Bank Polska S.A. oferuje użytkownikom wygodny i bezpieczny sposób zarządzania kontem osobistym. Jednak bezpieczeństwo dostępu i korzystania z Bankowości internetowej zależy od wielu czynników - nie zawsze takich, na które Bank ma wyłączny czy decydujący wpływ. Chodzi tu głównie o stan zabezpieczeń komputera klienta oraz stosowanie przez niego podstawowych zasad bezpieczeństwa. Spośród wszystkich czynników mających wpływ na bezpieczeństwo krytyczny pozostaje zawsze czynnik najsłabszy. To on na ogół decyduje o wystąpieniu ryzyka ataku. Tym czynnikiem bardzo często bywają braki zabezpieczeń komputera użytkownika lub sam użytkownik nie stosujący podstawowych zasad bezpieczeństwa. Zatem, każdy użytkownik winien mieć pełną świadomość, że bezpieczeństwo jego konta zależy nie tylko od zabezpieczeń serwerów Banku. Te są dobrze zabezpieczone i podlegają stałej kontroli oraz doskonaleniu w miarę postępu i rozwoju technologii zabezpieczeń. W świetle ogromnej i wciąż rosnącej liczby infekcji komputerów oprogramowaniem złośliwym, to głównie poziom i skuteczność zabezpieczeń komputera oraz świadomość klienta decydują o bezpieczeństwie dostępu do konta w Banku. Zdecydowanej większości ataków można w prosty sposób uniknąć. Warunkiem jest stosowanie podstawowych zasad bezpieczeństwa. Zasady, o których mowa, są proste, choć niejednokrotnie opierają się na zaawansowanych rozwiązaniach technologicznych. Łatwo jednak jest je zapamiętać i bez trudu stosować w codziennej praktyce. 2. Przygotowanie stacji roboczej Ważnym zaleceniem jest, aby łączyć się z Bankiem wyłącznie z zaufanych stacji roboczych. W praktyce sprowadza się to do korzystania z tych komputerów, do których użytkownik ma wyłączny dostęp lub które wykorzystywane są przez niewielkie grono zaufanych osób (na przykład rodzina). Nie należy do połączeń z Bankiem używać komputerów dostępnych publicznie na przykład w kawiarenkach internetowych. Nigdy nie wiesz czy taki komputer nie jest zainfekowany oprogramowaniem złośliwym nastawionym na kradzież tożsamości (loginów, haseł, kodów autoryzacyjnych itp.). Komputer do połączeń z Bankiem powinien posiadać: legalny system operacyjny stale (najlepiej automatycznie) aktualizowany udostępnianymi przez producenta poprawkami; zainstalowaną najnowszą dostępną wersję przeglądarki internetowej; oprogramowanie zabezpieczające, na które składa się: system antywirusowy, oprogramowanie antyszpiegowskie i osobisty firewall. Niezwykle istotna jest instalacja na stacji wszystkich zalecanych przez producenta systemu operacyjnego łatek. Często takie łatki zawierają zabezpieczenia przed wykrytymi w systemie operacyjnym lukami w bezpieczeństwie. Zatem wszystkie poprawki bezpieczeństwa ( łatki ) muszą być instalowane na bieżąco w miarę ich udostępniania przez producenta systemu operacyjnego. Dla komputerów z systemem Windows warto włączyć funkcje automatycznych aktualizacji. Na bieżąco powinny być także aktualizowane bazy oprogramowania antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego. Regularnie, nie rzadziej niż raz na tydzień, należy też uruchamiać pełne skany wykrywające wirusy i oprogramowanie szpiegujące. 1

2 3. Hasła Podstawą bezpieczeństwa dostępu do konta jest uwierzytelnienie użytkownika. W tym celu użytkownik podaje swój, przyznany mu przez Bank unikalny identyfikator oraz hasło. Bezpieczne hasło użytkownika powinno być odporne na złamanie. Pod pojęciem łamania hasła należy rozumieć słownikowe (wykorzystujące dostępne w Internecie słowniki), siłowe lub kombinowane próby jego odgadnięcia. Siła hasła jest wprost proporcjonalna do jego odporności na złamanie, a ta wynika wprost z długości i nie trywialności hasła. Silne hasła muszą składać się z co najmniej 8 znaków, nie powinny być frazami słownikowymi (nie tylko w języku polskim) i nazwami skojarzonymi w jakiś przewidywalny sposób z użytkownikiem (jego imię, nazwisko, imię żony czy dziecka, marka samochodu itp.), nie powinny być identyczne z nazwą konta użytkownika, za to powinny stanowić kombinację dużych i małych liter, cyfr i znaków specjalnych (na przykład #$!^ itp.). Hasła należy zmieniać co najmniej raz na dwa miesiące. Dane do uwierzytelnień i autoryzacji transakcji powinny pozostać poufne, co w praktyce sprowadza się do nieujawniania ich nikomu. Użytkownik nie powinien ich przekazywać innym osobom, ani przechowywać w postaci niezabezpieczonej (jawnej) w miejscach potencjalnie dostępnych dla osób niepowołanych. Haseł i kodów autoryzacyjnych nie wolno przesyłać em, zapisywać na papierze i jakkolwiek eksponować, narażając je na utratę poufności. W szczególności nie wolno zapisywać haseł na stałe w przeglądarkach internetowych, w tzw. menadżerach haseł. Praktyka ta jest tym bardziej niebezpieczna, jeśli jest stosowana na komputerach obcych (na przykład w kawiarenkach internetowych), albo współdzielonych (wykorzystywanych przez więcej niż jednego użytkownika). 4. Potencjalne niebezpieczeństwa Na bezpieczeństwo uwierzytelnień ma wpływ nie tylko zabezpieczenie danych na podstawie których użytkownik jest uwierzytelniany. To także zabezpieczenie samego procesu uwierzytelnień. W tym celu użytkownik powinien zadbać o to, żeby zweryfikować, że połączenie odbywa się do właściwego serwisu (prawidłowej strony WWW) Banku. Aby zalogować się do systemu Bankowości internetowej nie należy korzystać z żadnych odnośników (linków) zawartych w treści wiadomości czy dostępnych na stronach WWW nie należących do Banku. Rozpowszechnioną praktyką jest wysyłanie do potencjalnych lub rzeczywistych użytkowników Bankowości internetowej wiadomości przez osoby podszywające się pod przedstawicieli Banku. W celu wywołania wrażenia autentyczności i wzbudzenia zaufania adresata często zawierają one logo Banku i elementy grafiki charakterystyczne dla szaty graficznej materiałów reklamowych, którymi posługuje się Bank. Mogą zawierać prośbę o podanie czy weryfikację danych osobowych, haseł, PIN-ów czy numerów kart kredytowych. Należy pamiętać, że Bank nigdy nie wysyła do użytkowników wiadomości z prośbą o podanie czy weryfikację danych o koncie, a tym bardziej haseł, kodów autoryzacji transakcji, PIN-ów czy numerów kart kredytowych. Każda taka wiadomość (określana jako scam ) powinna być traktowana jako próba wyłudzenia tych informacji. Otrzymawszy ją, użytkownik winien niezwłocznie zgłosić ten fakt do Centrum Telefonicznego ( lub ), po czym postępować według zaleceń przekazanych mu przez operatora. W żadnym przypadku nie należy odpowiadać na taką wiadomość podając swój identyfikator, hasła, numery kart kredytowych, PIN-y czy kody autoryzacji transakcji. Nie należy też wypełniać żadnych przesłanych czy wskazanych formularzy. Korzystanie z odnośników zamieszczonych w treści wiadomości lub na stronach internetowych nie należących do Banku, rzekomo wskazujących na serwis Bankowości internetowej, zamiast ręcznego wpisywania adresu Banku do przeglądarki internetowej, wiąże się z potencjalnym ryzykiem przekierowania połączenia użytkownika do podstawionego serwisu, udającego serwis Banku. Tego typu praktyki określane mianem ataków przez phishing są zorientowane na przechwycenie haseł dostępowych czy kodów autoryzacyjnych użytkowników w celach ich późniejszego nieuprawnionego użycia. 2

3 5. Podstawowe zasady korzystania z serwisu Bankowości internetowej Istnieje kilka prostych reguł, których zastosowanie pozwala na uniknięcie niebezpieczeństwa przechwycenia przez niepowołane osoby danych potwierdzających tożsamość użytkownika w systemie Bankowości internetowej. 1. Należy korzystać wyłącznie z szyfrowanych kanałów komunikacyjnych z właściwym, zweryfikowanym serwerem Banku. Adres powinno się wpisać ręcznie do okna dialogowego przeglądarki internetowej. Należy zwrócić uwagę na poprzedzający adres Banku identyfikator protokołu HTTPS (nie HTTP). Wskazuje on właśnie na szyfrowany charakter kanału komunikacyjnego. Po zestawieniu kanału szyfrowanego powinna pojawić się ikona zamkniętej kłódki w pasku stanu przeglądarki internetowej (prawy, dolny róg okna). Ostatecznym potwierdzeniem tego, że połączenie zostało nawiązane do właściwego, zaufanego serwera jest weryfikacja autentyczności i ważności certyfikatu Banku. Ważne jest sprawdzenie wiarygodności wystawcy, odcisku palca certyfikatu oraz jego czasu ważności. Poprawny certyfikat Raiffeisen Banku wygląda następująco: Użytkownik nie powinien podawać danych uwierzytelniających go, dopóki nie posiada pewności, że odwołuje się do zaufanego serwisu Banku. 3

4 2. Ważne z punktu widzenia ochrony przed kradzieżą haseł i kodów autoryzacyjnych jest korzystanie do połączeń z Bankiem wyłącznie z zaufanych stacji, sprawdzonych oprogramowaniem antywirusowym i antyszpiegowskim. 3. W celu ochrony karty kodów jednorazowych przed nieuprawnionym użyciem, należy ją przechowywać w bezpiecznym miejscu i nie ujawniać osobom niepowołanym. Istotne jest, aby kodów jednorazowych używać w odpowiedni sposób, to jest tylko przy wykonywaniu przelewów, ustanawianiu lub usuwaniu przelewów predefiniowanych i zleceń stałych, aktywacji i zmianie limitów kart debetowych/kredytowych oraz aktywacji list haseł jednorazowych. Bank nigdy nie wymaga stosowania kodów jednorazowych przy uwierzytelnianiu użytkownika, ani też podania więcej niż jednego kodu na raz. 4. Po otwarciu sesji do systemu Bankowości internetowej należy zweryfikować datę ostatniego logowania. Wszelkie wzbudzające wątpliwości przypadki niezgodności dat (i godzin!) należy zgłaszać do Centrum Telefonicznego. 5. W czasie trwania połączenia z Bankiem nie wolno pozostawiać komputera bez nadzoru, tak długo dopóki sesja pozostaje aktywna. Sesję należy zamknąć przez poprawne wylogowanie się i późniejsze zamknięcie okna przeglądarki internetowej. W szczególnych przypadkach, kiedy połączenie z Bankiem zostało nawiązane z publicznego lub współdzielonego komputera należy przed zamknięciem okna przeglądarki wyczyścić jej bufor plików tymczasowych i cookies. 6. Co zrobić w przypadku zaistnienia problemów? W przypadku problemu związanego z obsługą systemu Bankowości internetowej należy podjąć działania zależne od zaistniałego problemu. Do mogących potencjalnie wystąpić problemów należą: 1. stwierdzenie nieudanych prób (próby) nieautoryzowanego dostępu do konta systemu Bankowości elektronicznej; 2. stwierdzenie udanych prób (próby) nieautoryzowanego dostępu do systemu Bankowości elektronicznej; 3. stwierdzenie nieudanej próby wykonania nieautoryzowanych transakcji Bankowych; 4. stwierdzenie udanej próby wykonania nieautoryzowanych transakcji Bankowych; 5. stwierdzenie utraty poufności hasła dostępowego; 6. stwierdzenie utraty karty płatniczej lub utraty poufności jej numeru; 7. stwierdzenie utraty poufności listy z hasłami jednorazowymi; W przypadkach od 1 do 5 należy niezwłocznie zmienić hasło dostępowe do systemu Bankowości elektronicznej oraz niezwłocznie skontaktować się z Centrum Telefonicznym pod numerami: lub i przedstawić zaistniały problem, po czym postępować zgodnie z otrzymanymi wytycznymi. W przypadku 6 oraz innych nie wymienionych powyżej także należy skontaktować się z Centrum Telefonicznym. Natomiast w przypadku 7 konieczne jest zablokowanie ujawnionej listy haseł jednorazowych poprzez system Raiffeisen on-line lub Centrum Telefoniczne. W przypadkach przedstawionych w punktach: 2 i 4 klient Banku może wystąpić do właściwego organu ścigania z informacją o podejrzeniu popełnienia przestępstwa. Takie samo prawo ma klient który stwierdził kradzież np. karty płatniczej. 4

5 7. Najczęściej zadawane pytania (FAQs) 1. Co to jest certyfikat cyfrowy lub elektroniczny? Certyfikat cyfrowy, zwany także certyfikatem klucza publicznego lub certyfikatem elektronicznym, stanowi poświadczenie autentyczności klucza publicznego podmiotu, dla którego certyfikat ten został wystawiony oraz tożsamości tego podmiotu. Wystawcą certyfikatu jest zaufana trzecia strona czyli centrum certyfikacyjne. Dzięki podpisaniu certyfikatu przez zaufaną trzecią stronę w praktyce niemożliwe staje się jego sfałszowanie. Certyfikat klucza publicznego zawiera trzy podstawowe informacje: klucz publiczny podmiotu, opis tożsamości podmiotu, podpis cyfrowy złożony przez zaufaną stronę trzecią. Certyfikat potwierdza tożsamość jego właściciela lub obiektu do którego jest przypisany (np. serwer, aplikacja itp). 2. W jaki sposób mogę zweryfikować poprawność certyfikatu elektronicznego? Weryfikacja poprawności elektronicznego certyfikatu Banku polega na porównaniu takich jego atrybutów, jak: tzw. odcisk palca (ang. fingerprint) certyfikatu; opis tożsamości podmiotu, dla którego certyfikat został wystawiony; dane określające wystawcę certyfikatu z odpowiednimi danymi publikowanymi przez Bank. Poniższa ilustracja przedstawia m.in. te dane certyfikatu wystawionego dla Raiffeisen Bank Polska S.A. i wykorzystywanego przez usługi bankowości internetowej: 5

6 3. Jaka jest różnica pomiędzy protokołami HTTP i HTTPS? HTTPS (ang. HyperText Transfer Protocol Secure) jest szyfrowaną wersją protokołu HTTP. Bezpieczeństwo komunikacji sieciowej z wykorzystaniem tego protokołu polega na szyfrowaniu informacji przesyłanej pomiędzy serwerem (serwer WWW) i klientem (przeglądarką internetową) przy pomocy protokołu SSL lub TLS. Zapobiega to przechwytywaniu i przekłamaniu przesyłanych danych. Dodatkowo, tożsamość serwera HTTPS jest potwierdzana przy pomocy certyfikatu cyfrowego, dzięki czemu użytkownik połączeń HTTPS zyskuje gwarancję, że połączenie jest nawiązane do właściwego serwera. Strony połączenia HTPS mogą podlegać uwierzytelnieniu jednostronnemu (uwierzytelnienie serwera względem użytkownika) lub dwustronnemu (uwierzytelnienie użytkownika względem serwera i serwera względem użytkownika). Integralność przesyłanych danych jest zabezpieczana przez zastosowanie mechanizmów kryptograficznych sum kontrolnych. Ponadto, przeglądarka, obsługując tak zabezpieczoną transmisję, włącza bardziej restrykcyjne ustawienia, m.in. wyłącza buforowanie treści i nie zezwala na zapisywanie na dysku komputera potencjalnie niebezpiecznych elementów strony WWW (np. tzw. apletów Java). 6

7 4. Co oznacza symbol kłódki w przeglądarce internetowej i gdzie go szukać? Symbol kłódki oznacza, że połączenie pomiędzy przeglądarką i serwerem jest zabezpieczone za pomocą protokołu HTTPS oraz, że certyfikat serwera jest ważny i podpisany przez zaufane centrum certyfikacji. W sytuacji kiedy występuje problem z certyfikatem, wówczas (zależnie od rodzaju przeglądarki) symbol kłódki pojawia się jako przekreślony, ze znakiem zapytania lub staje się on w inny sposób wyróżniony. Każdy przypadek zmiany wyglądu lub braku poprawnych symboli wskazujących na uwierzytelnione i szyfrowane połączenie z bankiem musi zostać zweryfikowany. 5. Jak zmienić hasło do mojej bankowości internetowej? Po zalogowaniu do serwisu bankowości internetowej należy wcisnąć przycisk Ustawienia (prawy górny róg okna), a następnie wybrać zakładkę Zmiana hasła. Wprowadzić stare hasło oraz dwa razy nowe, po czym nacisnąć przycisk Zmień hasło. 6. Gdzie mogę dowiedzieć się więcej o bezpieczeństwie bankowości internetowej? Informacje takie są zawarte przede wszystkim w zakładce Bezpieczne korzystanie z systemu na stronie a także można je uzyskać w: w centrum telefonicznym pod numerami telefonów dla klientów indywidualnych lub oraz dla klientów korporacyjnych pod numerami lub , w oddziałach Banku, u doradców klienta. 7. W jaki sposób mogę uzyskać pomoc w sprawach dotyczących bezpieczeństwa korzystania z bankowości internetowej? Pomoc w sprawach dotyczących bezpieczeństwa korzystania z bankowości internetowej, w tym możliwość zgłoszenia ewentualnych incydentów bezpieczeństwa można uzyskać: poprzez kontakt z centrum telefonicznym pod numerami telefonów dla klientów indywidualnych lub oraz dla klientów korporacyjnych pod numerami lub , poprzez kontakt z oddziałem Banku, poprzez zapoznanie się z informacjami zawartymi w zakładce Bezpieczne korzystanie z systemu na stronie 8. Na co zwrócić uwagę przed, podczas i po zalogowaniu się do bankowości internetowej? Przed zalogowaniem do bankowości internetowej należy zwrócić uwagę na następujące kwestie: czy wpisany został do paska adresowego przeglądarki internetowej prawidłowy adres banku ( oraz czy występuje literka s w nazwie protokołu https, czy w przeglądarce jest widoczny symbol zamkniętej kłódki, czy certyfikat banku jest ważny, czy elementy graficzne i treści na stronie logowania nie wzbudzają podejrzeń (na przykład pojawienie się żądania podania numerów kart kredytowych czy innych danych, o które bank nigdy nie pyta, uwierzytelniając użytkownika), 7

8 pojawienie się różnego typu komunikatów o błędach. Natomiast po zalogowaniu należy sprawdzić czy wcześniej nie występowały jakiekolwiek nieznane użytkownikowi dostępy na konto, bądź nieudane próby dostępu ze strony nieuprawnionych osób. 9. Dlaczego należy instalować poprawki i aktualizacje bezpieczeństwa systemu operacyjnego i przeglądarki internetowej oraz aktualizacje baz sygnatur skanera antywirusowego na moim komputerze, żeby móc korzystać z bankowości internetowej? Każdego dnia powstają nowe wirusy i inne szkodliwe oprogramowanie oraz opracowywane są nowe sposoby ataku na komputery podłączone do sieci. Odpowiedzią producentów legalnego oprogramowania na przestępcze działania jest udostępnianie aktualizacji i poprawek, zwiększających odporność komputerów jego użytkowników na nowo opracowane ataki. Nieinstalowanie tych aktualizacji i poprawek pozostawia nasz komputer bezbronnym w obliczu nowych zagrożeń, nie jest więc świadectwem rozsądku jego użytkownika i może być w razie np. włamania na konto w bankowości internetowej uznane za przyczynienie się posiadacza konta do powstania szkody. Warte polecenia jest korzystanie z usług automatycznej aktualizacji, dostępnych w wielu systemach operacyjnych i dla większości programów użytkowych. Korzystanie z takich usług uwalnia właściciela komputera od konieczności uciążliwego śledzenia informacji o dostępnych aktualizacjach i poprawkach. 10. Dlaczego program antywirusowy nie wystarcza jako jedyne zabezpieczenie mojego komputera? Należy pamiętać, że wirusy nie są jedynym zagrożeniem dla komputerów, a w szczególności dla tych z których odbywa się łączenie do serwisu bankowości internetowej. Jedynie kompleksowe rozwiązania, polegające na zastosowaniu wielu poziomów ochrony, różnego rodzaju oprogramowania oraz specjalistycznych produktów, są w stanie zapewnić wysoki poziom bezpieczeństwa naszych komputerów. Do przykładowych produktów tego typu można zaliczyć: Norton 360 firmy Symantec; Internet Security 2010 firmy Kacpersky; Total Protection 2009 firmy McAfee; Internet Security 2009 firmy AVG; Smart Security 4 firmy ESET; Avast Professional Edition firmy ALVIL Software; AntiVir Premium Security Suite firmy Avira. 11. Jak często należy zmieniać hasło do serwisu bankowości internetowej? Hasło do serwisu bankowości internetowej powinno być zmieniane nie rzadziej niż raz na miesiąc - przypomina o tym sam serwis bankowości elektronicznej za pomocą stosownego komunikatu. Dodatkowo w celu podniesienia poziomu bezpieczeństwa Klienta, serwis wymusza zmianę hasła co trzy miesiące. Powodem wprowadzenia tej pozornie zbędnej uciążliwości są nasilające się zagrożenia dla Klientów bankowości internetowej. Zagrożenia te pochodzą od strony różnego rodzaju oprogramowania szpiegowskiego, podsłuchującego m.in. hasła i przekazującego je przestępcom. Takie przechwycone hasło może być użyte do podszycia się pod Klienta i okradzenia go, nawet po upływie relatywnie długiego czasu. W związku z powyższym, powszechnie zaleca się użytkownikom systemów bankowości internetowej jak najczęstsze zmiany haseł. Propozycja zmiany hasła co 90 dni jest arbitralnie przez Bank określonym kompromisem pomiędzy bezpieczeństwem, a wygodą Klienta. Im dłużej wykorzystuje się to samo hasło, tym większe jest prawdopodobieństwo jego przejęcia przez złodziei. 8

9 12. W jaki sposób mogę zablokować lub odblokować dostęp do swojej bankowości internetowej? Dostęp można zablokować lub odblokować poprzez kontakt telefoniczny z biurem obsługi dla klientów indywidualnych oraz małych firm pod numerami telefonów: lub oraz dla klientów korporacyjnych pod numerami lub , a także w każdym oddziale Banku. 13. Czy korzystanie z serwisu bankowości internetowej z publicznie dostępnych komputerów (np. kawiarenki internetowe, dworce lotnicze itp.) jest bezpieczne? Komputery takie najczęściej nie są odpowiednio zabezpieczone, są natomiast używane przez różne osoby i do różnych celów w tym także do odwiedzania stron WWW zawierających oprogramowanie złośliwe. Ponieważ zapewnienie wysokiego poziomu bezpieczeństwa najczęściej nie jest priorytetem dla właścicieli tego typu komputerów, dlatego Bank kategorycznie odradza stosowanie ich do połączeń z serwisem bankowości internetowej. 14. Czy mogę bezpiecznie korzystać z serwisu bankowości internetowej z prywatnego komputera podłączonego do publicznej sieci bezprzewodowej (np. hotspot, WLAN na lotniskach, w kawiarniach i w hotelach)? Bezpieczeństwo połączeń z serwisem bankowości internetowej nie zależy w krytycznym stopniu od rodzaju podłączenia do sieci Internet. Podstawowe zagrożenie ujawnieniem i przechwyceniem transmitowanych danych praktycznie nie istnieje z uwagi na szyfrowany charakter transmisji całej komunikacji pomiędzy przeglądarką użytkownika i serwerem systemu bankowości internetowej. Przy korzystaniu z serwisu za pośrednictwem publicznej sieci bezprzewodowej, należy stosować wszelkie zabezpieczenia komputera, tak jak przy połączeniach przez sieć przewodową. Natomiast, jeżeli punkt dostępowy sieci bezprzewodowej jest naszą własnością, zalecane jest jego bezpieczne skonfigurowanie według wskazówek producenta, w tym między innymi zmiana na ogół niebezpiecznych startowych ustawień domyślnych (głównie zmiana domyślnego hasła administratora tego urządzenia). Zaleca się też korzystanie z zabezpieczeń WPA lub WPA-2 (TKIP lub AES). 15. Dlaczego bezpieczne korzystanie z bankowości internetowej zależy od stanu zabezpieczeń mojego komputera? Bezpieczeństwo serwisu bankowości internetowej jest zależne od zabezpieczeń stosowanych po stronie banku, natomiast bezpieczeństwo korzystania z tego serwisu zależy od zabezpieczeń po stronie klienta, a także poziomu jego świadomości. Zabezpieczenia po stronie banku spełniają wysokie standardy i są cyklicznie testowane i audytowane. Przestępcy doskonale wiedzą, że to właśnie zabezpieczenia po stronie klienta są najsłabszym ogniwem i dlatego ich działania są głównie ukierunkowane na ten właśnie punkt. Bezpieczeństwo korzystania z serwisu bankowości internetowej w dużej mierze zależy od poziomu świadomości jego użytkowników, w tym także świadomości z obszaru zabezpieczeń własnego komputera. Niezabezpieczony komputer jest narażony na ataki różnego rodzaju oprogramowania złośliwego, a nawet całkowite przejęcie nad nim kontroli przez napastnika. W sytuacji takiej nietrudno sobie wyobrazić jak dużą swobodę posiada złodziej kontrolując i modyfikując zarówno numery rachunków bankowych na które wykonujemy przelewy jak i ich kwoty. 16. Co to jest phishing i jak się przed nim chronić? Termin phishing jest akronimem od słów password harvesting fishing, co można przetłumaczyć jako łowienie haseł dostępowych. Idea tego rodzaju ataku polega na nakłonieniu Klienta (za pomocą np. odpowiednio spreparowanej strony WWW) do ujawnienia swoich identyfikatorów, haseł itp. wrażliwych informacji. Następnie przestępcy logują się do serwisu bankowości internetowej, podszywając się pod łatwowiernego klienta i wyprowadzają środki z jego 9

10 rachunku. W celu ochrony przed phishingiem należy przestrzegać poniższych zasad: po otrzymaniu wiadomości poczty elektronicznej nakłaniającej (pod dowolnym pretekstem, np. powołując się na rzekomą potrzebę weryfikacji danych) do zalogowania się do serwisu bankowości internetowej należy niezwłocznie skontaktować się z Biurem Obsługi Klienta - Bank nigdy nie wysyła tego typu wiadomości; nie należy otwierać odnośników znajdujących się w otrzymanych listach elektronicznych; nie należy umieszczać w listach elektronicznych żadnych informacji wrażliwych (dane osobowe, numery kart płatniczych, loginy, hasła itp.); należy regularnie uaktualniać system operacyjny, oprogramowanie antywirusowe oraz przeglądarkę internetową; należy sprawdzać czy przy połączeniu do serwisu bankowości internetowej przeglądarka wyświetla zamkniętą kłódkę oraz weryfikować autentyczność certyfikatu elektronicznego; regularnie skanować cały komputer oprogramowaniem antywirusowym, jednocześnie oprogramowanie to powinno na bieżąco skanować pliki pobierane do komputera z zewnątrz (Internet, dyski wymienne itp.). 17. W jaki sposób dochodzi do infekcji komputera wirusami zagrażającymi bezpieczeństwu korzystania z bankowości internetowej? Komputer może zostać zainfekowany na kilka sposobów, które można podzielić na dwie grupy: oprogramowanie złośliwe jest instalowane wskutek wykorzystania pewnej podatności i dzieje się to bez wiedzy użytkownika; wprowadzony w błąd użytkownik sam instaluje oprogramowanie złośliwe w przekonaniu, że zainstalował całkowicie co innego (np. dodatkowe sterowniki). Jeśli użytkownik posiada nieaktualizowane oprogramowanie (system operacyjny, przeglądarkę oraz dodatki do niej) lub używa oprogramowania pochodzącego z nieznanych źródeł, wówczas napastnik może wykorzystać istniejące w tym oprogramowaniu luki i zarazić nasz komputer dowolnym kodem złośliwym mamy tutaj do czynienia z pierwszą grupą sposobów infekowania komputera. Do drugiej można zaliczyć korzystanie z oprogramowania uzyskanego poprzez np. sieci p2p lub serwisy oferujące różnego rodzaju oprogramowanie. Pliki oraz programy pobrane z takich sieci lub serwisów internetowych mogą zawierać kody złośliwe zarażające nasz komputer. Podczas uruchamiania lub instalacji takiego oprogramowania, najczęściej występuje jeden z poniższych scenariuszy: podczas uruchomienia lub instalacji pobranego oprogramowania pojawia się komunikat o błędzie i niemożności dalszego działania, przy czym oprogramowanie złośliwe zostało oczywiście prawidłowo zainstalowane; pobrane oprogramowanie instaluje się oraz uruchamia prawidłowo i nawet prawidłowo funkcjonuje, lecz wraz z nim instaluje się kod złośliwy który samodzielnie uruchamia się wraz z każdym włączeniem komputera (nawet bez konieczności uruchomienia oprogramowania nosiciela ). Bez względu na to w jaki sposób komputer zostaje zarażony, efekt jest taki sam i zawsze (mniej lub bardziej) negatywny i to dla wszystkich użytkowników takiego komputera. 10