System Bankowości internetowej Raiffeisen Bank Polska S

System Raiffeisen On-Line i Raiffeisen On-Line Business oferują ich użytkownikom wygodny i bezpieczny
sposób zarządzania kontem osobistym lub/i korporacyjnym przez Internet. Jednak, o czym należy stale
pamiętać, bezpieczeństwo posługiwania się bankowością internetową zależy od wielu czynników - nie
zawsze takich, na które bank ma wyłączny, czy decydujący wpływ. Są też czynniki pozostające całkowicie
poza jakąkolwiek jego kontrolą. Chodzi tu głównie o stan zabezpieczeń komputerów używanych przez
Klientów do łączenia się z bankiem internetowym oraz stosowanie przez nich podstawowych zasad
bezpieczeństwa przy dostępie do rachunku przez Internet. Bank dba o bezpieczeństwo swoich systemów,
które są dobrze zabezpieczone i podlegają stałej kontroli oraz doskonaleniu w miarę postępu i rozwoju
technologii zabezpieczeń. Jednak o wcześniej wspomniane czynniki, które zależą w pełni od użytkownika,
niemniej ważne z punktu widzenia bezpieczeństwa, każdy musi zadbać sam. Mając świadomość istotności
problemu, nie chcemy zostawiać naszych Klientów samych z nim, nie podpowiadając jednocześnie
najlepszych rozwiązań. Temu celowi służy niniejsza Instrukcja Bezpieczeństwa, do której przeczytania, a
jeszcze bardziej zastosowania w praktyce, serdecznie Państwa zachęcamy.
Na koniec tego dość długiego wstępu, jeszcze jedna uwaga. Wiadomo, że o bezpieczeństwie zawsze
decyduje najsłabszy czynnik. Poszukując takowego, głównie w tym celu, by móc go skutecznie
wyeliminować, trzeba pamiętać, że nawet najdoskonalsze systemy zabezpieczające mają nikłą wartość, jeśli
są w niewłaściwy sposób stosowane. W tym miejscu można posłużyć się analogią do zaawansowanych
technicznie, niemal doskonałych systemów zabezpieczających luksusowego samochodu, które mogą okazać
się jedynie kosztownym zbytkiem w sytuacji, gdy jego właściciel zostawia za wycieraczką przedniej szyby
kluczyki z pilotem i dowód rejestracyjny. Przechodząc do konkluzji: najsłabsze czynniki decydują o
powodzeniu ataku. Tymi czynnikami niestety bardzo często bywają braki zabezpieczeń komputera
użytkownika lub – jeszcze częściej - sam użytkownik nie stosujący podstawowych zasad bezpieczeństwa.
Zdecydowanej większości internetowych zagrożeń można w dość prosty sposób uniknąć. Warunkiem jest
stosowanie podstawowych zasad bezpieczeństwa. Zasady, o których mowa, są proste, choć niejednokrotnie
opierają się na zaawansowanych rozwiązaniach technologicznych. Łatwo jednak jest je zapamiętać i bez
trudu stosować w codziennej praktyce. Przejdźmy zatem do sedna i omówmy je po kolei.
Przygotowanie komputera używanego do połączeń z bankiem
Ważne jest, aby łączyć się z Bankiem wyłącznie z zaufanych komputerów. W praktyce sprowadza się to do
korzystania z tych komputerów, do których użytkownik ma wyłączny dostęp lub które wykorzystywane są
jedynie przez niewielkie grono zaufanych osób (na przykład rodzina). Nie należy do połączeń z Bankiem
używać komputerów dostępnych publicznie, na przykład w kawiarenkach internetowych. Nigdy nie
wiadomo bowiem, czy taki komputer nie został wcześniej zainfekowany oprogramowaniem złośliwym
wyspecjalizowanym w kradzieży poświadczeń tożsamości (loginów, haseł), kodów autoryzacyjnych i
innych poufnych informacji, zapisanych w pamięci lub wprowadzanych do niego podczas połączenia z
bankiem lub innymi usługodawcami.
Komputer do połączeń z Bankiem powinien posiadać:



legalny system operacyjny, stale (najlepiej automatycznie) aktualizowany udostępnianymi
przez producenta poprawkami;
zainstalowaną najnowszą dostępną wersję przeglądarki internetowej;
oprogramowanie zabezpieczające, na które składa się co najmniej: system antywirusowy,
oprogramowanie antyszpiegowskie i osobisty firewall.
1
Niezwykle istotna jest instalacja wszystkich zalecanych przez producenta systemu operacyjnego „łatek”.
Często takie „łatki” zawierają zabezpieczenia przed wykrywanymi w systemie lukami w bezpieczeństwie.
Wszystkie takie poprawki bezpieczeństwa („łatki”) muszą być instalowane na bieżąco w miarę ich
udostępniania przez producenta systemu. Dla komputerów z systemem Windows warto włączyć funkcje
automatycznych aktualizacji. Na bieżąco powinny być także aktualizowane bazy oprogramowania
antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego. Regularnie, jednak nie rzadziej niż
raz na tydzień, należy też uruchamiać pełne kontrole antywirusowe komputerów.
Hasła
Podstawą bezpieczeństwa dostępu do konta jest identyfikacja i uwierzytelnienie użytkownika. W tym celu
użytkownik, w panelu logowania do systemu, podaje swój, przyznany mu przez Bank unikalny identyfikator
oraz hasło (uwierzytelnienie, czyli potwierdzenie tożsamości).
Bezpieczne hasło użytkownika powinno być odporne na „złamanie” czyli – mówiąc prościej - odgadnięcie
różnymi, potencjalnie ogromnie skutecznymi, w pełni zautomatyzowanymi przez atakujących, metodami.
Siła hasła jest wprost proporcjonalna do jego odporności na „złamanie”, a ta wynika wprost z długości
i nietrywialności (czyli poziomu skomplikowania) hasła. Silne hasła muszą składać się z co najmniej 8
znaków, nie powinny być frazami słownikowymi (nie tylko polskimi) i nazwami skojarzonymi w jakiś
przewidywalny sposób z użytkownikiem (jego imię, nazwisko, imię żony czy dziecka, marka samochodu,
którym jeździ itp.), nie powinny być identyczne z nazwą konta użytkownika, za to powinny stanowić
kombinację wielkich i małych liter, cyfr i znaków specjalnych (na przykład #$!^ itp.). Hasła należy
zmieniać co najmniej raz na dwa miesiące.
Dane do uwierzytelnień (loginy, hasła) i autoryzacji transakcji (kody autoryzacyjne) są – prawie
dosłownie – jak klucze do skarbca. Dlatego powinny być, jak ten klucz, pieczołowicie chronione.
W praktyce sprowadza się to do nieujawniania ich absolutnie nikomu oraz nienarażania ich na ujawnienie
na skutek przechowywania ich w postaci niezabezpieczonej (jawnej) w miejscach potencjalnie dostępnych
dla innych osób. Haseł i kodów autoryzacyjnych nie wolno więc przesyłać emailem, zapisywać
w niezabezpieczonych notatkach i w nieszyfrowanej pamięci telefonu komórkowego. Nie wolno też
zapamiętywać haseł na stałe w przeglądarkach internetowych. Praktyka ta jest tym bardziej niebezpieczna,
jeśli jest stosowana na komputerach współdzielonych (wykorzystywanych przez więcej niż jednego
użytkownika).
Potencjalne niebezpieczeństwa
Na bezpieczeństwo uwierzytelnień w systemie bankowości internetowej ma wpływ nie tylko zabezpieczenie
samych poświadczeń tożsamości. To także zabezpieczenie procesu, w którym uwierzytelnienie ma miejsce.
W pierwszej kolejności użytkownik powinien zweryfikować autentyczność serwera systemu bankowości,
czyli – mówiąc prościej – sprawdzić, że połączenie nawiązane jest do systemu banku, a nie do
podstawionego przez agresorów internetowych serwera udającego serwer bankowy.
Aby zalogować się do systemu bankowości internetowej, nie należy korzystać z żadnych odnośników
(linków) zawartych w treści wiadomości e-mail, czy dostępnych na stronach internetowych nienależących
do banku. Rozpowszechnioną praktyką jest bowiem wysyłanie przez oszustów, do potencjalnych ofiar,
wiadomości e-mail, w których oszuści podszywają się pod przedstawicieli banku. W celu wywołania
wrażenia autentyczności i pozyskania zaufania adresata, często wiadomości tego typu zawierają logo banku
i elementy grafiki charakterystyczne dla szaty graficznej oficjalnych materiałów reklamowych, którymi
2
posługuje się bank. Wiadomości te mogą zawierać prośbę o podanie czy weryfikację danych osobowych,
haseł, PIN-ów czy numerów kart kredytowych.
Należy nieustająco pamiętać, że bank nigdy nie wysyła do użytkowników wiadomości e-mail z prośbą o
podanie czy weryfikację tożsamości lub danych o koncie, a tym bardziej haseł, kodów autoryzacji
transakcji, PIN-ów czy numerów kart kredytowych. Każda taka wiadomość (określana jako „scam”)
powinna być traktowana jako próba wyłudzenia tych informacji. Otrzymawszy ją, użytkownik winien
niezwłocznie zgłosić ten fakt do Centrum Telefonicznego (022-549-99-99 lub 0-801-180-801), po czym
postępować według zaleceń przekazanych mu przez operatora. W żadnym przypadku nie należy
odpowiadać na taką wiadomość, podając jakiekolwiek poufne informacje. Nie należy też wypełniać
żadnych przesłanych czy wskazanych formularzy.
Korzystanie z odnośników zamieszczonych w treści wiadomości e-mail lub na obcych stronach
internetowych, zamiast ręcznego wpisywania adresu banku do przeglądarki internetowej, wiąże się z
potencjalnym ryzykiem przekierowania połączenia użytkownika do podstawionego serwisu, udającego
bankowość internetową. Tego typu praktyki określane mianem „phishingu”, mają na celu przechwycenie
przez internetowych agresorów poświadczeń tożsamości ofiary, w celach ich późniejszego oszukańczego
wykorzystania.
Podstawowe zasady korzystania z bankowości internetowej
Istnieje kilka prostych reguł, których zastosowanie pozwala na uniknięcie niebezpieczeństwa kradzieży
tożsamości. Oto one:
1. Dostęp do banku internetowego odbywa się zawsze przez szyfrowane połączenie oparte o protokół SSL
lub TLS (nowsza wersja SSL). Aby uniknąć niebezpieczeństwa połączenia z podstawionym przez
internetowych agresorów serwerem, udającym nasz bank internetowy i ujawnienia poświadczeń tożsamości
i innych poufnych danych przestępcom, należy przestrzegać kilku prostych zasad. Po pierwsze, adres banku:
https://www.r-bank.pl powinno się zawsze wpisać ręcznie do okna dialogowego przeglądarki internetowej.
Należy przy tym zwrócić uwagę na identyfikator protokołu komunikacyjnego - HTTPS (nie HTTP), bo
wskazuje on właśnie na szyfrowany charakter transmisji. Po drugie, po nawiązaniu połączenia
szyfrowanego należy sprawdzić, czy w przeglądarce pojawiła się ikona zamkniętej kłódki lub inne
oznaczenie bezpiecznego połączenia w jej pasku stanu (przy pasku adresowym lub w prawym dolnym rogu
okna, co jest zależne od rodzaju przeglądarki, może być to również podświetlenie paska adresu na zielony
lub niebieski kolor). Po trzecie, ostatecznym potwierdzeniem autentyczności serwera jest weryfikacja jego
certyfikatu. Ważne jest sprawdzenie trzech elementów: wiarygodności wystawcy, „odcisku palca”
certyfikatu oraz jego czasu ważności.
Poprawny certyfikat Raiffeisen Banku wygląda następująco:
3
Tak długo dopóki nie zweryfikujemy, że nawiązaliśmy połączenie do naszego banku internetowego, a nie
do podstawionego przez przestępców serwera, nie wolno nam ujawniać żadnych informacji poufnych, w
tym oczywiście poświadczeń tożsamości.
2. Do połączeń z bankiem należy korzystać wyłącznie z zaufanych komputerów, zabezpieczonych co
najmniej oprogramowaniem antywirusowym i osobistą zaporą sieciową.
3. Nie wolno nikomu ujawniać kodów służących do autoryzacji transakcji.
4. Po nawiązaniu połączenia do systemu bankowości internetowej, należy zweryfikować datę ostatniego
logowania. Wszelkie wzbudzające wątpliwości przypadki niezgodności dat (i godzin!) należy zgłaszać do
Centrum Telefonicznego.
5. W czasie trwania połączenia z bankiem, nie wolno pozostawiać komputera bez nadzoru, tak długo,
dopóki sesja pozostaje aktywna. Sesję należy zamknąć przez poprawne wylogowanie się i późniejsze
zamknięcie okna przeglądarki internetowej. W szczególnych przypadkach, kiedy połączenie z Bankiem
zostało nawiązane z komputera współdzielonego z innymi użytkownikami, należy przed zamknięciem okna
przeglądarki wyczyścić jej bufor plików tymczasowych i cookies.
4
Co zrobić w przypadku zaistnienia problemów?
W przypadku problemu związanego z obsługą systemu bankowości internetowej, należy podjąć działania
zależne od zaistniałego problemu. Do mogących potencjalnie wystąpić problemów należą:
1.
2.
3.
4.
5.
6.
7.
Nieudane próby nieuprawnionego dostępu do konta bankowości elektronicznej;
Nieuprawniony dostęp do konta bankowości elektronicznej;
Nieudane próby wykonania potencjalnie oszukańczych transakcji;
Wykonanie oszukańczych transakcji;
Ujawnienie poświadczeń tożsamości (identyfikatora użytkownika, hasła);
Utrata karty płatniczej lub ujawnienie jej numeru;
Ujawnienie kodów autoryzacyjnych;
W przypadkach od 1 do 5 i 7 należy niezwłocznie zmienić hasło dostępowe do systemu bankowości
elektronicznej oraz niezwłocznie skontaktować się z Centrum Telefonicznym pod numerami: 0 801 180-801
lub 0-22 549-99-99 i przedstawić zaistniały problem, po czym postępować zgodnie z otrzymanymi
wytycznymi. W przypadku 6 oraz innych nie wymienionych powyżej także należy skontaktować się z
Centrum Telefonicznym. W przypadkach przedstawionych w punktach: 2 i 4 klient Banku może wystąpić
do właściwego organu ścigania z informacją o podejrzeniu popełnienia przestępstwa. Takie samo prawo ma
klient który stwierdził kradzież np. karty płatniczej.
5