Jak sprawdzić czy strona banku jest prawdziwa i bezpieczna? Bezpieczeństwo i zagrożenia bankowości internetowej.

Wiele się ostatnio mówi w mediach o tak zwanym pishingu, czyli kierowaniu
użytkownika do strony wyglądającej jak strona banku, ale nie należącej do banku, tylko do oszustów próbujących wyłudzić nasze dane do logowania. Nie jest to aż tak powszechny i wielki problem jak to przedstawiają czasem media, ale wzmożona uwaga jest zawsze wskazana i owa wzmożona uwaga uchroni nas przed tego rodzaju ryzykiem. Wystarczy sobie wyrobić nawyk spoglądania na pasek adresu i certyfikaty.

Cała sprawa byłaby prostsza gdyby banki używały zawsze tych samych domen ze swoją nazwą, ale banki używają różnych domen - skrótów, nazw brandowych, nazw i skrótów grup finansowych, do których dany bank należy, domen z różnymi końcówkami itp. Dlatego mamy certyfikaty. Dodatkowo uchronią nas przed sytuacją, gdyby jakaś jedna literka w domenie była podmieniona i byłby to już inny adres. Także na same domeny nie ma co aż tak zwracać uwagi. Patrzymy za to na certyfikat - czyli zieloną kłódkę przy pasku adresu url, koło której zwykle, aczkolwiek nie zawsze, pojawia się nazwa banku lub grupy kapitałowej, do której dany bank należy. Czasem pojawia się sama zielona kłódka certyfikatu bez nazwy banku, a po kliknięciu w nią widać szczegóły certyfikatu. Przy czym owy certyfikat często pojawia się dopiero przy połączeniu np. na podstronie z logowaniem lub jak podajemy nasze dane np. we wniosku o lokatę lub konto. Nie koniecznie od razu na stronie, na którą wchodzimy z innego miejsca w sieci. Często też strona główna banku nie ma certyfikatu i połączenia szyfrowanego, bo w zasadzie po co? Zwykle certyfikaty pojawiają się dopiero na podstronach, na których podajemy dane lub logujemy się do konta. Linki, które Wam podajemy w naszych wpisach na blogu, są zawsze sprawdzane.
W sieci jest też cała masa reklam, akcji specjalnych i innych linków, które kierują najpierw do tak zwanego landing page. Czyli strony z danym produktem finansowym i dopiero po kliknięciu dalej, przechodzimy do strony z wnioskiem. Landing pages często nie mają certyfikatów, co nie znaczy, że to oszustwo. W wielu przypadkach certyfikat pojawia się tylko we wniosku, gdzie podajemy swoje dane. To normalny proces, także nie ma się czego obawiać, ale warto w momencie, gdy już mamy wpisywać nasze dane lub gdzieś się logować, zerknąć czy odpowiedni certyfikat pojawił się w pasku adresu.

Strona Landing Page z reklamy Idea Banku

Po kliknięciu "Sprawdź ofertę":
Także nie zawsze certyfikat się pojawia od razu, ale powinien być już w momencie, w którym wprowadzamy dane.

Inny przykład reklama Banku Smart

Po kliknięciu "ZAŁÓŻ KONTO" zostajemy przenoszeni do wniosku i certyfikat już się pojawia.
W tym przypadku pojawia się sama zielona kłódka, bez nazwy banku, a dopiero po kliknięciu w nią widzimy szczegóły certyfikatu. To także prawidłowa strona.
Zatem nie tak trudno rozpoznać, że strona jest prawidłowa. Przy czym to, że nie ma certyfikatu nie oznacza, że to oszustwo. Jednak na podstronie z wnioskiem w miejscach, w których wprowadzamy nasze dane, powinien już być. Jeżeli nie ma, to powinniśmy podjąć dalsze kroki w celu sprawdzenia, czy to właściwa strona. Na przykład zadzwonić do banku. Aczkolwiek pishing najczęściej spotyka się raczej w mailowym spamie i w takich przypadkach ewidentnie widać, że coś jest nie tak. Banki nigdy nie proszą o zalogowanie do systemu podając link, ani o podanie jakichkolwiek danych w mailu. Takie rzeczy się załatwia na infolinii i co najwyżej pytają o nazwisko panieńskie matki, pesel, datę urodzenia, czy mamy jakieś kredyty, konta oszczędnościowe u nich, a to w celu potwierdzenia naszej tożsamości. Nigdy nie proszą o podanie hasła i loginu do bankowości internetowej, a jak proszą o telekod, to tylko o wybrane cyfry, które poda im system. Nigdy całe. Pracownik banku również nie powinien znać naszych haseł dostępu.

Dlatego poniekąd uważam, że bankowość internetowa jest nawet bezpieczniejsza od tej tradycyjnej, bo nie mamy zagrożenia wynikającego z czynnika ludzkiego, czyli potencjalnego nieuczciwego pracownika. To wszystko jest bardzo dobrze przemyślane. Wyłudzenia danych to rzadkość, ale warto być czujnym.
Dodatkowo chronią nas jeszcze listy haseł jednorazowych, tokeny, hasła smsowe - te są najwygodniejsze i darmowe, ale mniej bezpieczne od tych poprzednich metod, bo po wyłudzeniu danych do logowania do bankowości internetowej, tacy przestępcy mogą często znaleźć nasz numer telefonu w panelu administracyjnym - co teoretycznie mogłoby stwarzać zagrożenie, ale to też nie tak łatwo wykorzystać. Dużo się słyszy o zagrożeniach, ale czy ktoś z Was słyszał o przypadku, że komuś opróżnili tacy przestępcy konto? Ja na razie na szczęście nie.

Przed pishingiem chroni nas też maskowanie hasła, czyli warto je stosować. Wprawdzie wygodniej się wpisuje całe hasło, ale bezpieczniejsze jest maskowanie i wpisywanie wybranych znaków. Większość banków daje taką możliwość, ale niestety nie wszystkie.

Należy też systematycznie aktualizować system operacyjny oraz program antywirusowy. Podobno jest też wirus, który podmienia nr konta przy kopiowaniu i wklejaniu (kopiuj/wklej). Dlatego warto zerknąć, czy wklejony numer konta to ten sam, który skopiowaliśmy.

System bankowości internetowej jest raczej bezpieczny. Zagrożenia jednak są i warto być czujnym, i dmuchać na zimne. Więcej zagrożeń niesie za sobą korzystanie z kart debetowych i kredytowych szczególnie, gdzie posiadając same dane z karty kredytowej, można zrobić zakupy przez Internet.
Jak zwykle zachęcam do komentowania i wyrażania własnych opinii.

Opinie na forum: 5 komentarzy

Proszę nie przedstawiać się jako nazwy domen / portali. Zanim wyślesz komentarz przeczytaj co napisałeś. Można publikować komentarze jako anonim, ale prosimy o przedstawianie się chociaż imeniem - ułatwia to komunikację.
Komentarze są wyłącznie prywatnymi opiniami internautów. Administaor nie ponosi odpowiedzialności za opinie i komenatrze czytelników. Treści niezgodne z prawem i zasadmi moralnymi, obraźliwe oraz komenatrze ze słowem kluczowym zamiast nazwy nie będą publikowane.

  1. "Podobno jest też wirus, który podmienia nr konta przy kopiowaniu i wklejaniu (kopiuj/wklej). Dlatego warto zerknąć, czy wklejony numer konta to ten sam, który skopiowaliśmy." Wirus jak najbardziej istnieje i zerkniecie na wklejony numer niewiele pomoże. Więcej informacji na ten temat: http://niebezpiecznik.pl/post/to-nie-wina-mbanku-ze-jego-klient-stracil-40-000-pln/

    OdpowiedzUsuń
    Odpowiedzi
    1. Słyszałam o tym, który podmienia numer konta w schowku, ale jest też podobno taki, który modyfikuje numer nawet na ostatnim ekranie w potwierdzeniu, czy podobno nawet w historii. Coraz gorsi są Ci cyberprzestępcy. Trzeba sobie wyrobić nawyk patrzenia na numer konta przychodzący w smsie z kodem jednorazowym. Tam są podane zwykle 2 pierwsze i 4 ostatnie cyfry numeru konta, na który wykonywany jest przelew.

      Usuń
  2. Każdy chce się dorobić czyimś kosztem. Przecież na co dzień dzieją się rzeczy, w których łamane jest prawo, a nikt na to nie zwraca uwagi. Im więcej zezwalają, tym więcej ludzi popełnia przestępstwa.

    OdpowiedzUsuń
  3. Dowidziałam się niedawno, że za granicą nie lubią WBK.

    OdpowiedzUsuń
    Odpowiedzi
    1. Sandra, ale w jakim sensie? Co to znaczy nie lubią i jak to się ma do bezpieczeństwa bankowości internetowej?

      Usuń