Bezpieczne korzystanie z konta bankowego

Najważniejszą sprawą dla bezpiecznego korzystania z bankowości internetowej jest nie dać się złapać na atak phishingowy, który polega na skłonieniu użytkownika do wpisania danych logowania i autoryzacji przelewu na fałszywej stronie WWW. Można się przed tym bardzo prosto ochronić, sprawdzając podczas logowania ważność certyfikatu, który musi mieć każdy serwis transakcyjny banku.

Ważność certyfikatu sprawdza przeglądarka. Jeśli jest poprawny, z lewej strony paska adresu zobaczysz duży zielony przycisk z nazwą banku, dla którego został wystawiony. Możesz go kliknąć i przeczytać informacje o firmie oraz wystawcy certyfikatu i dowiedzieć się, jak długo jeszcze będzie ważny.

Warto zwrócić uwagę także na to, czy hasło podczas wpisywania jest maskowane. Bezpieczny system logowania powinien żądać tylko niektórych liter z hasła lub pojedynczych cyfr numeru PIN. Dzięki temu, nawet jeśli jesteś szpiegowany przez keyloggera lub nieuczciwego administratora sieci, albo po prostu ktoś patrzy ci przez ramię, co może się zdarzyć przy korzystaniu z ogólnodostępnego komputera (np. w bibliotece czy hotelu), nie ujawnisz pełnego loginu do konta.

Artykuł pochodzi z najnowszego numeru "PC Format 12/2011". Zobacz spis treści

Niestety nawet najlepiej rozwiązany system haseł łatwo złamać za pomocą ataku phishingowego czy bardziej wyrafinowanych metod hakerskich, jak man-in-the-middle. Na szczęście sam fakt, że złodziej dostanie się do twojego konta, nie znaczy jeszcze, że zdoła ukraść ci pieniądze. Na drodze stoi jeszcze mechanizm autoryzacji przelewów i płatności, który jest najważniejszym zabezpieczeniem każdego systemu transakcyjnego. Podstawowe metody autoryzacji przelewów to: karta kodów podstawowych, token, hasło SMS. Wszystkie wspomniane metody autoryzacji transakcji, nawet karta kodów jednorazowych, pozwalają na bezpieczne korzystanie z konta internetowego.

O skutecznym zabezpieczaniu peceta pisaliśmy wiele razy. Dla porządku przypomnijmy dwie najważniejsze rzeczy. Po pierwsze niezbędna jest systematyczna aktualizacja oprogramowania: systemu operacyjnego i wszystkich aplikacji. Większość eksploitów, które są wykorzystywane przez złodziei, to znane i już załatane luki w zabezpieczeniach. Po drugie trzeba korzystać z oprogramowania zabezpieczającego: programu antywirusowego oraz skanera antyspyware. Za skuteczną ochronę tymi narzędziami nie musisz płacić, bo podstawowe wersje skutecznych programów zabezpieczających są dostępne za darmo. Polecamy program Avira Free Antivirus oraz Ad-Aware czy Spybot - Search & Destroy.

Zachowaj zdrowy rozsądek

Najlepsze zabezpieczenia nie pomogą, jeśli użytkownik będzie nadmiernie ufny. Złodzieje już dawno wzięli na cel klientów banków, bo wyciąganie sztuczkami socjotechnicznymi danych logowania i kodów od ludzi jest znacznie prostsze niż szpiegowanie użytkowników keyloggerami i przechwytywanie tych kodów w czasie wpisywania ich do formularza.

Dlatego pod żadnym pozorem nie można wprowadzać swoich danych logowania na żadnej innej stronie WWW niż znana strona systemu transakcyjnego banku z ważnym certyfikatem. Tak samo nie wolno podawać tych danych nikomu przez telefon ani wysyłać ich e-mailem. Wszelkie próby kontaktu e-mailowego czy telefonicznego w celu poproszenia cię o podanie tych informacji są wstępem do kradzieży pieniędzy z twojego konta bankowego.

W użyciu jest kilka metod autoryzacji. Pokazujemy je w kolejności od najprostszej do złamania do najbezpieczniejszej.

Karta kodów jednorazowych - wciąż jeszcze standardowe zabezpieczenie w wielu bankach internetowych, niestety niezbyt odporne na ataki phishingowe, za których pomocą złodzieje wyciągają kody od łatwowiernych użytkowników.

Token - w przeciwieństwie do karty drukowanej nie ma listy wcześniej wygenerowanych kodów autoryzacyjnych, lecz generuje je do każdej transakcji. Jest skuteczniejszy niż karta kodów, ale także do złamania. Token jest odporny na atak phishingowy.

Hasło SMS z opisem transakcji - kod przysyłany na telefon komórkowy po zatwierdzeniu transakcji. Oprócz hasła zawiera dokładny opis danego przelewu. Takiego kodu złodziej nie będzie mógł użyć do kradzieży, bo jest ważny tylko dla konkretnej transakcji.

Generator kodów na bazie danych o transakcji - najskuteczniejsze zabezpieczenie, bazujące na aplikacji na smartfony. Kod jednorazowy w tym przypadku nie jest generowany w banku ani wysyłany SMS-em. Do smartfonu wędrują tylko dane o transakcji.