System Bankowości internetowej Raiffeisen Bank Polska S
Transkrypt
System Bankowości internetowej Raiffeisen Bank Polska S
System Raiffeisen On-Line i Raiffeisen On-Line Business oferują ich użytkownikom wygodny i bezpieczny sposób zarządzania kontem osobistym lub/i korporacyjnym przez Internet. Jednak, o czym należy stale pamiętać, bezpieczeństwo posługiwania się bankowością internetową zależy od wielu czynników - nie zawsze takich, na które bank ma wyłączny, czy decydujący wpływ. Są też czynniki pozostające całkowicie poza jakąkolwiek jego kontrolą. Chodzi tu głównie o stan zabezpieczeń komputerów używanych przez Klientów do łączenia się z bankiem internetowym oraz stosowanie przez nich podstawowych zasad bezpieczeństwa przy dostępie do rachunku przez Internet. Bank dba o bezpieczeństwo swoich systemów, które są dobrze zabezpieczone i podlegają stałej kontroli oraz doskonaleniu w miarę postępu i rozwoju technologii zabezpieczeń. Jednak o wcześniej wspomniane czynniki, które zależą w pełni od użytkownika, niemniej ważne z punktu widzenia bezpieczeństwa, każdy musi zadbać sam. Mając świadomość istotności problemu, nie chcemy zostawiać naszych Klientów samych z nim, nie podpowiadając jednocześnie najlepszych rozwiązań. Temu celowi służy niniejsza Instrukcja Bezpieczeństwa, do której przeczytania, a jeszcze bardziej zastosowania w praktyce, serdecznie Państwa zachęcamy. Na koniec tego dość długiego wstępu, jeszcze jedna uwaga. Wiadomo, że o bezpieczeństwie zawsze decyduje najsłabszy czynnik. Poszukując takowego, głównie w tym celu, by móc go skutecznie wyeliminować, trzeba pamiętać, że nawet najdoskonalsze systemy zabezpieczające mają nikłą wartość, jeśli są w niewłaściwy sposób stosowane. W tym miejscu można posłużyć się analogią do zaawansowanych technicznie, niemal doskonałych systemów zabezpieczających luksusowego samochodu, które mogą okazać się jedynie kosztownym zbytkiem w sytuacji, gdy jego właściciel zostawia za wycieraczką przedniej szyby kluczyki z pilotem i dowód rejestracyjny. Przechodząc do konkluzji: najsłabsze czynniki decydują o powodzeniu ataku. Tymi czynnikami niestety bardzo często bywają braki zabezpieczeń komputera użytkownika lub – jeszcze częściej - sam użytkownik nie stosujący podstawowych zasad bezpieczeństwa. Zdecydowanej większości internetowych zagrożeń można w dość prosty sposób uniknąć. Warunkiem jest stosowanie podstawowych zasad bezpieczeństwa. Zasady, o których mowa, są proste, choć niejednokrotnie opierają się na zaawansowanych rozwiązaniach technologicznych. Łatwo jednak jest je zapamiętać i bez trudu stosować w codziennej praktyce. Przejdźmy zatem do sedna i omówmy je po kolei. Przygotowanie komputera używanego do połączeń z bankiem Ważne jest, aby łączyć się z Bankiem wyłącznie z zaufanych komputerów. W praktyce sprowadza się to do korzystania z tych komputerów, do których użytkownik ma wyłączny dostęp lub które wykorzystywane są jedynie przez niewielkie grono zaufanych osób (na przykład rodzina). Nie należy do połączeń z Bankiem używać komputerów dostępnych publicznie, na przykład w kawiarenkach internetowych. Nigdy nie wiadomo bowiem, czy taki komputer nie został wcześniej zainfekowany oprogramowaniem złośliwym wyspecjalizowanym w kradzieży poświadczeń tożsamości (loginów, haseł), kodów autoryzacyjnych i innych poufnych informacji, zapisanych w pamięci lub wprowadzanych do niego podczas połączenia z bankiem lub innymi usługodawcami. Komputer do połączeń z Bankiem powinien posiadać: legalny system operacyjny, stale (najlepiej automatycznie) aktualizowany udostępnianymi przez producenta poprawkami; zainstalowaną najnowszą dostępną wersję przeglądarki internetowej; oprogramowanie zabezpieczające, na które składa się co najmniej: system antywirusowy, oprogramowanie antyszpiegowskie i osobisty firewall. 1 Niezwykle istotna jest instalacja wszystkich zalecanych przez producenta systemu operacyjnego „łatek”. Często takie „łatki” zawierają zabezpieczenia przed wykrywanymi w systemie lukami w bezpieczeństwie. Wszystkie takie poprawki bezpieczeństwa („łatki”) muszą być instalowane na bieżąco w miarę ich udostępniania przez producenta systemu. Dla komputerów z systemem Windows warto włączyć funkcje automatycznych aktualizacji. Na bieżąco powinny być także aktualizowane bazy oprogramowania antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego. Regularnie, jednak nie rzadziej niż raz na tydzień, należy też uruchamiać pełne kontrole antywirusowe komputerów. Hasła Podstawą bezpieczeństwa dostępu do konta jest identyfikacja i uwierzytelnienie użytkownika. W tym celu użytkownik, w panelu logowania do systemu, podaje swój, przyznany mu przez Bank unikalny identyfikator oraz hasło (uwierzytelnienie, czyli potwierdzenie tożsamości). Bezpieczne hasło użytkownika powinno być odporne na „złamanie” czyli – mówiąc prościej - odgadnięcie różnymi, potencjalnie ogromnie skutecznymi, w pełni zautomatyzowanymi przez atakujących, metodami. Siła hasła jest wprost proporcjonalna do jego odporności na „złamanie”, a ta wynika wprost z długości i nietrywialności (czyli poziomu skomplikowania) hasła. Silne hasła muszą składać się z co najmniej 8 znaków, nie powinny być frazami słownikowymi (nie tylko polskimi) i nazwami skojarzonymi w jakiś przewidywalny sposób z użytkownikiem (jego imię, nazwisko, imię żony czy dziecka, marka samochodu, którym jeździ itp.), nie powinny być identyczne z nazwą konta użytkownika, za to powinny stanowić kombinację wielkich i małych liter, cyfr i znaków specjalnych (na przykład #$!^ itp.). Hasła należy zmieniać co najmniej raz na dwa miesiące. Dane do uwierzytelnień (loginy, hasła) i autoryzacji transakcji (kody autoryzacyjne) są – prawie dosłownie – jak klucze do skarbca. Dlatego powinny być, jak ten klucz, pieczołowicie chronione. W praktyce sprowadza się to do nieujawniania ich absolutnie nikomu oraz nienarażania ich na ujawnienie na skutek przechowywania ich w postaci niezabezpieczonej (jawnej) w miejscach potencjalnie dostępnych dla innych osób. Haseł i kodów autoryzacyjnych nie wolno więc przesyłać emailem, zapisywać w niezabezpieczonych notatkach i w nieszyfrowanej pamięci telefonu komórkowego. Nie wolno też zapamiętywać haseł na stałe w przeglądarkach internetowych. Praktyka ta jest tym bardziej niebezpieczna, jeśli jest stosowana na komputerach współdzielonych (wykorzystywanych przez więcej niż jednego użytkownika). Potencjalne niebezpieczeństwa Na bezpieczeństwo uwierzytelnień w systemie bankowości internetowej ma wpływ nie tylko zabezpieczenie samych poświadczeń tożsamości. To także zabezpieczenie procesu, w którym uwierzytelnienie ma miejsce. W pierwszej kolejności użytkownik powinien zweryfikować autentyczność serwera systemu bankowości, czyli – mówiąc prościej – sprawdzić, że połączenie nawiązane jest do systemu banku, a nie do podstawionego przez agresorów internetowych serwera udającego serwer bankowy. Aby zalogować się do systemu bankowości internetowej, nie należy korzystać z żadnych odnośników (linków) zawartych w treści wiadomości e-mail, czy dostępnych na stronach internetowych nienależących do banku. Rozpowszechnioną praktyką jest bowiem wysyłanie przez oszustów, do potencjalnych ofiar, wiadomości e-mail, w których oszuści podszywają się pod przedstawicieli banku. W celu wywołania wrażenia autentyczności i pozyskania zaufania adresata, często wiadomości tego typu zawierają logo banku i elementy grafiki charakterystyczne dla szaty graficznej oficjalnych materiałów reklamowych, którymi 2 posługuje się bank. Wiadomości te mogą zawierać prośbę o podanie czy weryfikację danych osobowych, haseł, PIN-ów czy numerów kart kredytowych. Należy nieustająco pamiętać, że bank nigdy nie wysyła do użytkowników wiadomości e-mail z prośbą o podanie czy weryfikację tożsamości lub danych o koncie, a tym bardziej haseł, kodów autoryzacji transakcji, PIN-ów czy numerów kart kredytowych. Każda taka wiadomość (określana jako „scam”) powinna być traktowana jako próba wyłudzenia tych informacji. Otrzymawszy ją, użytkownik winien niezwłocznie zgłosić ten fakt do Centrum Telefonicznego (022-549-99-99 lub 0-801-180-801), po czym postępować według zaleceń przekazanych mu przez operatora. W żadnym przypadku nie należy odpowiadać na taką wiadomość, podając jakiekolwiek poufne informacje. Nie należy też wypełniać żadnych przesłanych czy wskazanych formularzy. Korzystanie z odnośników zamieszczonych w treści wiadomości e-mail lub na obcych stronach internetowych, zamiast ręcznego wpisywania adresu banku do przeglądarki internetowej, wiąże się z potencjalnym ryzykiem przekierowania połączenia użytkownika do podstawionego serwisu, udającego bankowość internetową. Tego typu praktyki określane mianem „phishingu”, mają na celu przechwycenie przez internetowych agresorów poświadczeń tożsamości ofiary, w celach ich późniejszego oszukańczego wykorzystania. Podstawowe zasady korzystania z bankowości internetowej Istnieje kilka prostych reguł, których zastosowanie pozwala na uniknięcie niebezpieczeństwa kradzieży tożsamości. Oto one: 1. Dostęp do banku internetowego odbywa się zawsze przez szyfrowane połączenie oparte o protokół SSL lub TLS (nowsza wersja SSL). Aby uniknąć niebezpieczeństwa połączenia z podstawionym przez internetowych agresorów serwerem, udającym nasz bank internetowy i ujawnienia poświadczeń tożsamości i innych poufnych danych przestępcom, należy przestrzegać kilku prostych zasad. Po pierwsze, adres banku: https://www.r-bank.pl powinno się zawsze wpisać ręcznie do okna dialogowego przeglądarki internetowej. Należy przy tym zwrócić uwagę na identyfikator protokołu komunikacyjnego - HTTPS (nie HTTP), bo wskazuje on właśnie na szyfrowany charakter transmisji. Po drugie, po nawiązaniu połączenia szyfrowanego należy sprawdzić, czy w przeglądarce pojawiła się ikona zamkniętej kłódki lub inne oznaczenie bezpiecznego połączenia w jej pasku stanu (przy pasku adresowym lub w prawym dolnym rogu okna, co jest zależne od rodzaju przeglądarki, może być to również podświetlenie paska adresu na zielony lub niebieski kolor). Po trzecie, ostatecznym potwierdzeniem autentyczności serwera jest weryfikacja jego certyfikatu. Ważne jest sprawdzenie trzech elementów: wiarygodności wystawcy, „odcisku palca” certyfikatu oraz jego czasu ważności. Poprawny certyfikat Raiffeisen Banku wygląda następująco: 3 Tak długo dopóki nie zweryfikujemy, że nawiązaliśmy połączenie do naszego banku internetowego, a nie do podstawionego przez przestępców serwera, nie wolno nam ujawniać żadnych informacji poufnych, w tym oczywiście poświadczeń tożsamości. 2. Do połączeń z bankiem należy korzystać wyłącznie z zaufanych komputerów, zabezpieczonych co najmniej oprogramowaniem antywirusowym i osobistą zaporą sieciową. 3. Nie wolno nikomu ujawniać kodów służących do autoryzacji transakcji. 4. Po nawiązaniu połączenia do systemu bankowości internetowej, należy zweryfikować datę ostatniego logowania. Wszelkie wzbudzające wątpliwości przypadki niezgodności dat (i godzin!) należy zgłaszać do Centrum Telefonicznego. 5. W czasie trwania połączenia z bankiem, nie wolno pozostawiać komputera bez nadzoru, tak długo, dopóki sesja pozostaje aktywna. Sesję należy zamknąć przez poprawne wylogowanie się i późniejsze zamknięcie okna przeglądarki internetowej. W szczególnych przypadkach, kiedy połączenie z Bankiem zostało nawiązane z komputera współdzielonego z innymi użytkownikami, należy przed zamknięciem okna przeglądarki wyczyścić jej bufor plików tymczasowych i cookies. 4 Co zrobić w przypadku zaistnienia problemów? W przypadku problemu związanego z obsługą systemu bankowości internetowej, należy podjąć działania zależne od zaistniałego problemu. Do mogących potencjalnie wystąpić problemów należą: 1. 2. 3. 4. 5. 6. 7. Nieudane próby nieuprawnionego dostępu do konta bankowości elektronicznej; Nieuprawniony dostęp do konta bankowości elektronicznej; Nieudane próby wykonania potencjalnie oszukańczych transakcji; Wykonanie oszukańczych transakcji; Ujawnienie poświadczeń tożsamości (identyfikatora użytkownika, hasła); Utrata karty płatniczej lub ujawnienie jej numeru; Ujawnienie kodów autoryzacyjnych; W przypadkach od 1 do 5 i 7 należy niezwłocznie zmienić hasło dostępowe do systemu bankowości elektronicznej oraz niezwłocznie skontaktować się z Centrum Telefonicznym pod numerami: 0 801 180-801 lub 0-22 549-99-99 i przedstawić zaistniały problem, po czym postępować zgodnie z otrzymanymi wytycznymi. W przypadku 6 oraz innych nie wymienionych powyżej także należy skontaktować się z Centrum Telefonicznym. W przypadkach przedstawionych w punktach: 2 i 4 klient Banku może wystąpić do właściwego organu ścigania z informacją o podejrzeniu popełnienia przestępstwa. Takie samo prawo ma klient który stwierdził kradzież np. karty płatniczej. 5