Bezpieczeństwo - NatWest Markets
Transkrypt
Bezpieczeństwo - NatWest Markets
______________________________________________ Bezpieczeństwo Badania nad oszustwami internetowymi zwracają uwagę na coraz bardziej wyrafinowane i świetnie zorganizowane działania oszustów. Gangi trudniące się tym procederem, wzięły na cel bezpośrednio klientów bankowości elektronicznej w celu popełnienia oszustw i nadal obserwowany jest znaczny wzrost prób, które łączą ataki na systemy elektroniczne klienta, wraz z metodami socjotechnicznymi (phishing i vishing), w celu przechwycenia wszelkich loginów i kodów autoryzacji płatności. Przy ciagłym wzroście roli portali społecznościowych, odgrywających coraz większą rolę w Ŝyciu codziennym, znacznie łatwiejsze jest wykorzystanie informacji tam dostępnych, pozwalających na obniŜenie poziomu bezpieczeństwa systemów. Ostatnie wiadomości dotyczące bezpieczeństwa, podkreślają luki i ułomności w systemach chroniących hasła (Heart Bleed), które mogą być wykorzystane jako podstawa do ewentualnych ataków phishing i vishing. Pomimo tego, Ŝe moŜemy potwierdzić, Ŝe system Access Online jest bezpieczny i powyŜsze informacje nie mają wpływu na jego bezpieczeństwo, to informacja ta ma na celu zwrócenie Państwa uwagi na nasze najlepsze rady dotyczące tegoŜ bezpieczeństwa. Zachęcamy do poświęcenia niezbędnej uwagi do zapoznania się z niniejszymi informacjami i zachowania najwyŜszej ostroŜności, w odniesieniu do wszelkich systemów bankowości elektronicznej w czasie ich uŜywania. Zapamiętaj! • Przedstawiciele Banku nigdy i pod Ŝadnym pozorem nie proszą podczas rozmowy telefonicznej o podanie kodu PIN, hasła lub jakichkolwiek kodów z urządzenia Digipass. • Nie naleŜy udostępniać urządzenia Digipass i kodu PIN lub innych danych dotyczacych logowania innym nawet zaufanym członkom zespołu. • Zawsze przechowywuj hasła, kody PIN, urządzenie Digipass i wszelkie inne szczegóły finansowe lub szczególnie waŜne w bezpiecznym miejscu. Informacje te, nie powinny być zapisane lub udostępniane, a wszelkie hasła powinny być regularnie zmieniane. • Kod odpowiedzi logowania Digipass (Appli 2) ma długość 6 znaków, kod odpowiedzi autoryzacji (Appli 3) składa się z 8 znaków o które nigdy nie zostaną Państwo poproszeni podczas logowania. Appli3 jest uŜywany tylko jako część procesu autoryzacji. • Zawsze naleŜy sprawdzić abonenta dzwoniącego z Banku. Jeśli niespodziewanie dzwoniący identyfikuje się np. jako wsparcie techniczne, technik IT, który kontaktuje się w sprawie ostatnich raportów dotyczących luk i problemów z hasłami, naleŜy go zweryfikować, pytając o pełne dane dzwoniącego, w tym ich imię i nazwisko, firmę, adres e-mail i numer telefonu. Oszuści umiejętnie badają i wybierają swoje cele fachowo za pomocą drobnych szczegółów jako część calego oszustwa. • Zweryfikuj, Ŝe Ŝądania lub prośby są prawdziwe – czy normalnie kontaktowano by się w ten sposób? Jeśli masz wątpliwość, zadzwoń do osoby kontaktowej w Banku lub bezpośrednio do opiekuna ds. relacji. Jeśli będziesz poinformowany, Ŝe na przykład, Twój opiekun jest aktualnie niedostępny, naleŜy zawiesić rozmowę z podejrzanego źródła, dopóki nie sprawdzisz lub zweryfikujesz wystarczająco rozmówcy. Zalecamy równieŜ uŜyć innego numeru telefonu, aby trzymać podejrzaną linię „otwartą”, dodatkowo konfigurując fałszywy numer telefoniczny, w celu zabezpieczenia się przed kolejnym oszustwem. • Bądź czujny, jeśli Ŝadanie wydaje się podejrzane lub jeśli czujesz się niekomforowo podczas rozmowy telefonicznej. Unikaj ujawniania wszelkich informacji, które mogą być wykorzystywane przez oszustów, w tym nazwisk innych członków organizacji. Sprawdź ze swoim przełoŜonym, usuń wiadomość e-mail lub zapisz numer, aby zadzwonić na ten numer zwrotnie. Lepiej zweryfikować rozmówcę niŜ ujawnić podejrzanym osobom poufne informacje przez pomyłkę, które to mogą być potencjalnie wykorzystane w oszustwie obejmującym Ciebie lub innych członków organizacji. • Podwójna autoryzacja jest zalecanym standardem dla klientów Access Online. To zwiększa bezpieczeństwo i zapewnia, Ŝe przynajmniej dwie osoby są niezbędne do wysłania płatności. • Bądź podejrzliwy wobec wszelkich niespodziewanych lub niechcianych wiadomości e-mail (spam), nawet jeśli wydają się pochodzić z zaufanego źródła. Usuń je bez ich otwierania. Zwracaj szczególną uwagę na e-maile wysyłane z kont internetowych (np. Hotmail , Yahoo , itp.). • Nie naleŜy logować się do Access Online, korzystając z linków zapisanych w internetowej. "ulubionych" w przeglądarce • Zawsze naleŜy logować się do Access Online wpisując http://www.rbsm.com/access do okna adresu i zwracać uwagę na wszelkie błędy w adresach internetowych (tzw. Literówki). • Przy wprowadzaniu wraŜliwych danych na stronach internetowych, naleŜy upewnić się, Ŝe połączenie jest bezpieczne, oznacza to przedrostek "https" oraz ikona zamkniętej kłódki lub symbol klucza. Wiarygodność moŜna sprawdzić, klikając dwukrotnie na wyświetlany symbol. • Zachowaj szczególną ostroŜność, gdy na ekranie logowania do Access Online, pojawi się informacja Ŝe strona jest niedostępna lub prowadzone są prace konserwacyjne, szczególnie jeśli jest to powiązane z rzekomym telefonem z Banku, w którym wymagane są Państwa dane logowania lub kody Digipass. • Korzystaj z aktualnego oprogramowania antywirusowego i regularne skanuj systemy komputerowe. • Utrzymuj systemy operacyjne i przeglądarki internetowe na bieŜąco z najnowszymi poprawkami bezpieczeństwa oraz regularnie aktualizuj inne kluczowe oprogramowanie, które współpracuje z internetem, takie jak odtwarzacze multimedialne, Adobe i aplikację Java . • Jeśli masz jakiekolwiek wątpliwości, zgłoś je natychmiast do Twojego opiekuna w Banku. Stosowanie najlepszych praktyk Pomimo, Ŝe chcemy utrzymać Państwa na bieŜąco z najnowszymi trendami oraz najnowszymi urządzeniami multimedialnymi, pragniemy równieŜ zwrócić uwagę na stosowanie najlepszych praktyk w odniesieniu do środowiska Access Online. Ta rada przekłada się na ustawienia, które proponujemy zastosować w module administracyjnym. Gdzie stosowane są tylko domyślne ustawienia, ustalone podczas konfiguracji dostępu do Access Online, zdecydowanie zalecamy, aby podjąć niezbędne kroki w celu wykorzystania wszelkich dostępnych zabezpieczeń. W szczególności: • Zastosowanie Dual Control jako minimum. Dual Control wymaga zaangaŜowania minimum dwóch osób w inicjowanie i autoryzację zmian w module administracji Access Online. • Rozdzielenie administracji, wprowadzania płatności i ról dotyczących autoryzacji płatności. Aby to zrobić, naleŜy utworzyć listę uŜytkowników, określić ich role, schematy wykonywanych płatności oraz innych funkcji które są niezbędne i których potrzebują. • Przeglądanie schematów autoryzacji, w celu zapewnienia stosowania ograniczeń w odniesieniu do rachunków, typów płatności, grup beneficjentów, limitów transakcji i przez określenie sekwencji autoryzacji (workflow) w przypadku płatności gdzie kwota płatności jest znacząca. • Ustanowienie ograniczeń przelewów do nieznanych beneficjentów, poprzez zapewnienie dodatkowej kontroli beneficjentów. Radzimy, aby zarezerwować sobie czas na zaprojektowanie i wprowadzenie zabezpieczeń określonych jako najlepsze stosowane praktyki oraz utworzenie procesów lokalnych i procedur rozwiązywania incydentów związanych z naduŜyciami finansowymi. To gwarantuje, Ŝe będą Państwo przygotowani do szybkiego reagowania na wszelkie podejrzane incydenty.