Bezpieczeństwo w sieci
Szanowni Państwo
Pragniemy Was ostrzec przed różnego rodzaju manipulacją prowadzącą do kradzieży Waszych pieniędzy z rachunku bankowego. Przestępcy wyłudzają od swoich ofiar dane kartowe, identyfikatory do kanałów zdalnych, hasła, kody sms, PIN. Niestety nie wszyscy zachowujemy zasady bezpieczeństwa i ujawniamy dane, które powinniśmy chronić.
Poniżej przedstawiamy przykładowe sposoby wyłudzeń danych wrażliwych.
Sposobów na dotarcie do klienta jest oczywiście o wiele więcej i zależą tylko od wyobraźni i umiejętności sprawców.
Dlatego Pamiętaj!
- Zachowaj rozsądek
- Jeśli coś budzi Twoją wątpliwość lub nie działa tak jak powinno, jak najszybciej skontaktuj się z bankiem
- Przestrzegaj podstawowych zasad bezpieczeństwa
Zasady bezpieczeństwa
- Nigdy nie loguj się do bankowości internetowej z linku, który przyszedł do Ciebie mailem lub SMS-em, ani poprzez link z wyszukiwarki. Wpisuj adres strony logowania ręcznie lub korzystaj z przycisku logowania na oficjalnej stronie banku.
- Sprawdzaj adresy stron www, na których się logujesz, oraz ważność ich certyfikatów. Adres strony logowania powinien zaczynać się od https (oznacza to bezpieczne połączenie internetowe).
- Zadbaj o skomplikowane hasła, unikatowe i trudne do odgadnięcia przez postronne osoby.
- Nie używaj tego samego hasła do różnych kont.
- Nie zapisuj haseł na kartkach ani w plikach na komputerze.
- Login i hasło do bankowości oraz numery kart to dane, które powinny być znane tylko Tobie. Nigdy nie podawaj ich innym.
- Nie loguj się przez publiczną, niezabezpieczoną sieć wi-fi lub hotspot do bankowości internetowej czy aplikacji mobilnej.
- Nie loguj się do bankowości na urządzeniach publicznie dostępnych, np. w kafejkach czy w hotelach.
- Pamiętaj aby po każdej sesji wylogować się z bankowości internetowej.
- Ustaw bezpieczne limity operacji dla przelewów, płatności kartami i wypłat gotówki.
Aktualne informacje o zagrożeniach można znaleźć m.in
– na stronach Związku Banków Polskich: http://zbp.pl/dla-konsumentow/bezpieczny-bank/aktualnosci
– na stronie SGB Bank S.A.: https://www.sgb.pl/bezpieczenstwo-w-sieci/
Proponujemy dodać stronę logowania do systemu Internet Banking:
- do „ulubionych” lub „zakładek”
- ustawić ją jako stronę startową w momencie uruchamiania przeglądarki internetowej.
- Regularnie aktualizuj oprogramowanie na komputerze i telefonie (system, aplikacje, przeglądarkę, antywirusy).
- Używaj zapory sieciowej (firewall) i systematycznie skanuj komputer programem antywirusowym.
- Nie instaluj na komputerze i smartfonie oprogramowania z nieznanych źródeł.
- Nie podłączaj zewnętrznych nośników danych (np. pendrive) do swojego komputera, jeśli nie masz pewności co do ich bezpieczeństwa. Podobnie z podłączaniem telefonu do komputera.
- Pobieraj aplikację mobilną banku i jej aktualizacje wyłącznie z autoryzowanych sklepów: Google Play i App Store.
- Zawsze blokuj dostęp do telefonu i komputera. Zabezpiecz telefon hasłem, wzorem, odciskiem palca lub Face ID.
W razie utraty karty lub telefonu z aktywną aplikacją – od razu je zablokuj.
- Zastanawia Cię wiadomość o dziwnym zamówieniu lub zaległej płatności? Przed podjęciem czynności w niej wskazanej skontaktuj się z biurem obsługi klienta firmy, która wysłała tę wiadomość.
- Nie otwieraj załączników w niespodziewanych mailach, jeśli nie wiesz co może w nich być.
- Nie klikaj w linki i nie pobieraj żadnych aplikacji, jeśli nie znasz nadawcy wiadomości.
- Dokładnie czytaj powiadomienia o transakcjach, w tym SMS-y – jeśli coś się nie zgadza, nie zatwierdzaj operacji.
- Jeżeli dzwoni do Ciebie przedstawiciel banku, ale nie masz pewności, że nim jest – zerwij połączenie. Potem samodzielnie zadzwoń do Banku.
- Nie przekazuj kodu BLIK nikomu, nawet znajomemu.
- Kupujesz w nowym sklepie? Poszukaj opinii na jego temat (z różnych źródeł) i sprawdź czy adres sklepu na pasku przeglądarki jest zgodny z nazwą sklepu.
- Nie podawaj PIN-u do karty podczas zakupów w internecie. Do potwierdzenia transakcji kartą w internecie nigdy nie jest wymagane podanie PIN.
- Jeśli płacisz kartą płatniczą w sklepie internetowym, który obsługuje 3D Secure, wymagane może być dodatkowe potwierdzenie transakcji. Takie zakupy potwierdzisz na dwa sposoby: w aplikacji mobilnej lub przez udzielenie odpowiedzi na pytanie weryfikacyjne oraz podanie hasła 3D Secure (jednorazowego kodu SMS), które otrzymasz na numer telefonu komórkowego podany przez Ciebie do kontaktu w Banku.
Przykładowe sposoby wyłudzeń danych wrażliwych
Chcesz sprzedać swój towar za pomocą popularnego serwisu internetowego np. OLX? Wystawiasz ogłoszenie o sprzedaży przedmiotu. Kupujący kontaktuje się z Tobą za pomocą komunikatora np. WhatsApp i wykazuje zainteresowanie kupnem przedmiotu. Dostajesz od niego gotową instrukcję:
Uważaj! To oszustwo, link prowadzi do fałszywej strony, na której masz ujawnić dane swojej karty płatniczej.
- Nie klikaj!
Oszuści wykorzystają każdą okazję, żeby nakłonić Cię do przekazania danych Twojej karty płatniczej czy danych do logowania do bankowości internetowej. Mogą poprosić Cię o hasła, kody z wiadomości SMS od banku. Dla nich nie jest istotne, czy sprzedajesz przedmioty, czy je kupujesz. Przestępcom chodzi o przejęcie Twoich danych, by móc Cię okraść. Jeśli nie będziesz postępował według oczekiwań oszustów – 1:0 dla Ciebie!
- Zadbaj o to, na co masz wpływ
Bądź uważny i ostrożny w tym, gdzie kupujesz. Jeśli Twoja intuicja podpowiada Ci, że przedstawiona okazja jest podejrzana – wycofaj się z niej. Przed transakcją sprawdź opinie o sklepie i o sprzedającym. Sprawdź także, gdzie ewentualnie będziesz mógł złożyć reklamację oraz w jaki sposób będziesz mógł skontaktować się ze sprzedającym w razie napotkanych problemów.
Koniecznie zapoznaj się z ostrzeżeniami Związku Banków Polskich: www.zbp.pl/dla-klientow/bezpieczne-bankowanie/bezpieczne-zakupy-przez-internet
Ostrzegamy przed kolejną odsłoną manipulacji przestępców stosowanej wobec Klientów Banków.
Pod pretekstem zawieszenia konta u powszechnie znanego dystrybutora filmów Netflix, oszuści nakłaniają potencjalną ofiarę do przekazania danych umożliwiających dokonanie oszukańczych transakcji kartowych.
Oto jeden z przykładów tego typu fałszywej wiadomości:
Co prowadzi do utraty pieniędzy?
3 x „P”
- Postępowanie wg zaleceń oszustów (na to liczą)
- Pośpiech (w końcu czas to pieniądz)
- Przepisywanie zawartości kodów SMS z wiadomości z Banku (przestępcy liczą na to, że nie doczytasz treści wiadomości z Banku, nie zastanowisz się nad tym na co wyrażasz zgodę i, że podasz wszystko o co Cię poproszą na fałszywej stronie).
Pamiętaj, że:
- to Ty masz wpływ na to co zrobisz z fałszywą wiadomością (e-mail czy SMS);
- od Ciebie zależy gdzie i komu ujawnisz informacje o sobie czy o swoich produktach
- to Ty masz „klucze” do swoich pieniędzy w Banku!
W razie jakichkolwiek wątpliwości skontaktuj się z Bankiem.
Zbliżający się okres Świąt to czas, w którym pojawiają się różnego rodzaju fałszywe sklepy internetowe. Celem takich działań, pod pretekstem sprzedaży produktów (często po bardzo atrakcyjnych cenach), jest np. wyłudzenie danych kart płatniczych.
Szczególną uwagę warto zwrócić na:
- niedostępność danej metody płatności,
- brak szyfrowanego połączenia (SSL),
- błąd certyfikatu SSL,
- podejrzaną nazwę domeny,
- niepoprawną polszczyznę.
Oszuści podszywają się również (phishing) pod istniejące, znane sklepy, przyciągając Klientów mocno zaniżonymi cenami oferowanych produktów. Dlatego zawsze należy zwracać uwagę na domenę widoczną w pasku adresu – przestępcy tworzą nazwy, które łudząco przypominają oryginał.
Warto zwrócić uwagę także na komunikaty wyświetlane na stronie sklepu. Chcąc sprawdzić wybrane dane o sklepie, np. kontakt, regulamin, formy płatności itd. prezentowany jest komunikat: „trwają prace serwisowe, spróbuj ponownie później”.
Co więcej, w fałszywym sklepie zazwyczaj mamy tylko jedną opcję płatności – kartą płatniczą przez internet. Sklep internetowy za zakupiony towar powinien oferować kilka metod płatności np. za pośrednictwem systemów szybkich płatności m.in. PayU, Dotpay, Przelewy24 oraz opcję płatności przy odbiorze zamówienia.
Jeśli sklep, w którym zdecydowałeś się zrobić zakupy oferuje tylko jedną metodę płatności, lepiej zrezygnuj z zakupów.
Jeśli wybierzesz metodę płatności kartą – zweryfikuj na jakiej stronie wpisujesz jej dane. Zawsze warto również porównywać ceny w kilku sklepach lub korzystać np. z internetowych porównywarek cen.
W przypadku jakichkolwiek podejrzeń dot. autentyczności sklepu lub oferty należy zrezygnować z zakupów.
W razie jakichkolwiek wątpliwości skontaktuj się z Bankiem.
Ostrzegamy przed przestępcami, którzy podają się za pracowników banku lub innych zaufanych instytucji (np. policjantów). Oszuści podają się za pracowników SGB-Banku pod pretekstem weryfikacji podejrzanego logowania czy transakcji. Proszą o instalację oprogramowania, które pozwala na przejęcie kontroli nad pulpitem, np. Any Desk, TeamViewer.
Próbują podszywać się również pod pracowników zaufanych instytucji (np. policjantów). Informują o zagrożeniu finansów na koncie. Proszą o przekazanie pieniędzy na „konto techniczne”, na którym będą bezpieczne. Nie rób tego!
Przestępcy mogą korzystać z techniki tzw. spoofingu numeru telefonu, w taki sposób, by na Twoim telefonie wyświetlił się numer infolinii banku lub zaufanego pracownika banku. W rzeczywistości ich celem jest m.in. zdobycie danych do logowania czy narzędzia autoryzacyjnego lub Twoich innych, równie cennych danych.
Przypominamy, że pracownik banku podczas rozmowy telefonicznej nigdy nie poprosi Cię o:
- podanie haseł dostępu, kodów PIN/SMS lub innych danych pozwalających na dokonanie transakcji,
- instalację jakiegokolwiek oprogramowania na Twoim komputerze lub telefonie.
W przypadku, gdy:
- odbierzesz podejrzany telefon lub wiadomość tekstową od osoby podającej się za pracownika banku lub instytucji zaufanej,
- masz jakiekolwiek wątpliwości, czy zasadne jest podawanie kodu z narzędzia autoryzacyjnego lub innych danych,
- podczas korzystania z elektronicznych kanałów dostępu spotkasz się z sytuacją, która wyda Ci się nietypowa, podejrzana lub wzbudzi Twoje zaniepokojenie
rozłącz się i skontaktuj się z bankiem.
Pamiętaj – nigdy nie podawaj przez telefon nadmiarowych informacji. Nie zdradzaj szczegółów swoich transakcji. Nie oddzwaniaj na połączenie, z którego wcześniej rozmawiałeś z podejrzanym rozmówcą!
Jeżeli masz wątpliwości – skontaktuj się osobiście z placówką banku lub zadzwoń do nas na znany Tobie numer telefonu (koniecznie wybierz numer ręcznie, najlepiej korzystając z innego urządzenia). Nasze numery kontaktowe znajdziesz na www.bslasin.pl
Ostrzegamy o masowo rozsyłanych SMS-ach, które informują o skierowaniu na kwarantannę albo zgubionych dokumentach.
Wiadomości w nazwie mają nadpis Kwarantanna, a w treści znajduje się link do strony nakłaniającej do pobrania fałszywej aplikacji Flash Player.
Jeśli zainstalujesz aplikację z linku, zainfekujesz swój smartfon z systemem Android złośliwym oprogramowaniem. W efekcie oszuści uzyskają dostęp do wrażliwych danych z Twojego telefonu, m.in. danych uwierzytelniających do bankowości mobilnej.
Pamiętaj, że samo kliknięcie w link z wiadomości SMS – bez pobrania i zainstalowania aplikacji, nie stanowi zagrożenia dla Twojego telefonu. Jeśli jednak aplikacja została przez Ciebie zainstalowana, to jak najszybciej wyłącz smartfon. Następnie z innego telefonu skontaktuj się z Bankiem.
Ostrzegamy o kampaniach phishingowych, które wykorzystują złośliwe oprogramowanie oparte na luce w oprogramowaniu Microsoft Office (CVE-2021-40444).
Atakujący mogą próbować nakłaniać użytkowników do uruchomienia złośliwego pliku, korzystając z metod opartych na socjotechnice. Najczęściej stosowaną metodą jest atak polegający na rozsyłaniu e-mailowych wiadomości ze złośliwym załącznikiem lub linkiem do pobrania złośliwej treści.
Mogą to być e-maile podszywające się pod istniejące – zaufane organizacje, a także wiadomości, których celem jest np. zainteresowanie odbiorcy.
Jeśli uruchomisz plik zawierający złośliwe oprogramowanie, zainfekujesz urządzenie i umożliwisz wykonanie dowolnego kodu na swoim komputerze. W praktyce doprowadzi to do przejęcia Twojej stacji roboczej przez atakujących.
Prosimy – zachowaj szczególną ostrożności podczas otwierania korespondencji elektronicznej, zwłaszcza załączników i linków. Nie otwieraj i usuwaj wiadomości, które budzą Twoje podejrzenia.
W razie jakichkolwiek wątpliwości skontaktuj się z Bankiem
Ostrzegamy przed kampanią, w której przestępcy rozsyłają fałszywe SMS-y informujące o zatrzymaniu przesyłki przez służby celne.
Linki znajdujące się w SMS-ach kierują do strony, która udaje firmę kurierską i „zachęca” do pobrania aplikacji śledzącej przesyłkę.
W rzeczywistości aplikacja to szkodliwe oprogramowanie, które umożliwia atakującym m.in. przejmowanie funkcji wysyłania i odbierania wiadomości SMS w celu kradzieży środków z konta bankowego.
W razie jakichkolwiek wątpliwości skontaktuj się z Bankiem.
Obserwujemy kampanię phishingu, podczas której przestępcy podszywają się pod strony Bankowości Internetowej.
Celem ataku jest wyłudzenie środków dostępu do Bankowości Internetowej za pomocą fałszywych stron, które mogą przypominać m.in. strony Bankowości Internetowej SGB oraz innych banków.
Przestępcy mogą wykorzystać wiadomości e-mail, SMS oraz wyszukiwarki internetowe (w otrzymanej korespondencji/jako wynik wyszukiwania mogą pojawić się fałszywe strony).
Pamiętaj:
- Wpisuj adres strony logowania do Bankowości Internetowej lub korzystaj z oficjalnej strony Banku – nie korzystaj ze stron pojawiających się w wynikach wyszukiwania w przeglądarce.
- Zawsze sprawdzaj adres strony www, na której się logujesz oraz jej certyfikat (symbol zamkniętej kłódki. Adres rozpoczyna się od https:// w adresie strony widnieje wyłącznie online.bslasin.pl. Po kliknięciu w kłódkę pojawi się certyfikat wystawiony dla online.bslasin.pl przez firmę Unizeto Technologies S.A.).
- Nigdy nie loguj się do Bankowości Elektronicznej za pośrednictwem linku otrzymanego w wiadomości e-mail lub wiadomości SMS.
W razie jakichkolwiek wątpliwości skontaktuj się z Bankiem.