Comperia – Mikołaj Fidziński: Wirtualna kradzież? Realny problem. Jak się uchronić?
Głośno jest ostatnio o niejakim ZeuSie. Z Olimpem czy starożytną Grecją ma on niewiele wspólnego, choć może poczynić szkody doprawdy mitycznych rozmiarów. ZeuS to bowiem ? koń trojański?, dzięki któremu hakerzy mają możliwość plądrowania internetowych kont bankowych.
Czym jest ZeuS?
Cóż, nawet nie można ZeuSa nazwać wirusem, bo nie wkrada się on potajemnie do komputera i go nie niszczy. To złośliwe oprogramowanie, które… sami sobie instalujemy! Po prostu – ZeuS proponuje użytkownikowi komputera zainstalowanie jakiegoś programu, zazwyczaj mającego udoskonalić/przyśpieszyć jego funkcjonowanie. Jeśli nabierzemy się na to, zainstalujemy jedynie ZeuSa… Wchodząc na platformę internetową swojego banku, wejdziemy tak naprawdę na witryną jedynie łudząco przypominającą stronę instytucji, przygotowaną przez wirtualnych oszustów. Stąd już tylko krok do poznania wszystkich danych naszego konta (przede wszystkim chodzi oczywiście o login i hasło). Ale to nie koniec! Bo jeśli tylko haker umiejętnie nas podejdzie, i wyłudzi od nas numer i typ telefonu komórkowego (prosi o ich podanie, rzekomo aby przesłać certyfikat bezpieczeństwa), zyska w ten sposób możliwość przechwytywania haseł SMS, koniecznych do autoryzacji internetowych przelewów. Na razie wirus został stworzony tylko na telefony z systemami operacyjnymi BlackBerry i Symbian.
Egida na ZeuSa i inne
Pamiętaj jednak – nie jesteś zupełnie bezbronny! Ba, wystarczy przestrzegać kilku prostych zasad, aby znacznie zwiększyć bezpieczeństwo swoich pieniędzy, i ustrzec się zarówno przed ZeuSem, jak i przed innymi internetowymi złodziejami czyhającymi na nasze środki.
Oto więc krótki poradnik bezpiecznego korzystania z bankowości elektronicznej:
- Bank nigdy nie poprosi nas o pobranie jakiegoś certyfikatu bezpieczeństwa, podanie modelu, producenta czy numeru telefonu, przesłanie hasła do konta, kodu jednorazowego, PIN-u, czy numeru karty kredytowej. Jest mu to zupełnie niepotrzebne. Co innego hakerowi… Kilka banków już wysłało swoim klientom odpowiednie maile w tej sprawie, uczulające na podobne przypadki.
- Sprawdź, czy adres strony banku rozpoczyna się od liter „https”!
- Szukaj kłódki na stronie banku! Symbol kłódki powinien znajdować się w prawym dolnym rogu witryny bankowości elektronicznej. Znaczek ten oznacza, że strona jest odpowiednio zabezpieczona, uwierzytelniona, posiada Certyfikat Bezpieczeństwa. Po kliknięciu na kłódkę sprawdź, czy jej właścicielem na pewno jest Twój bank, i kiedy ważność certyfikatu wygasa (czy na pewno jest aktualna).
- Bank nigdy nie prześle Ci mailem (albo sms-em) adresu/linka do serwisu transakcyjnego. Jeśli otrzymasz taką wiadomość, może być to „podpucha” hakerów.
- Bank zawsze przeprowadzi naprawdę szeroko zakrojoną kampanię informacyjną, jeśli będzie zmieniał wygląd serwisu transakcyjnego. Nigdy nie zrobi tego nagle, z dnia na dzień, niespodziewanie dla klientów. Jeśli zatem witryna transakcyjna Twojego banku będzie inna niż zwykle, dowiedz się, czy faktycznie jakieś zmiany zostały naniesione, czy może to hakerzy „pobawili” się w tzw. phishing, czyli stworzyli stronę niemal identyczną do bankowej.
- Używaj dobrych, sprawdzonych i zawsze zaktualizowanych programów antywirusowych, a najlepiej także innych narzędzi, typu firewall, program anty-spyware albo program do wykrywania phishingu.
- Hasła do konta. „Trąbi” się o tym wciąż, że ludzie używają haseł typu „qwertyuiop”, „123456789”, „iloveyou”, „krzysiek”. To są BARDZO PROSTE hasła, i jeśli nie chcesz, aby ktoś wszedł na Twoje konto bankowe (ta sama uwaga tyczy się zresztą także choćby poczty elektronicznej czy portali społecznościowych), postaraj się o coś bardziej oryginalnego. Ale uwaga! Nigdy, przenigdy nie używaj tego samego hasła do banku i do innych stron! Inna sprawa, że same banki robią wiele, aby wykrzesać z użytkowników trochę kreatywności przy wymyślaniu hasła. Każą mieszać litery z cyframi, nie pozwalają na kilka takich samych znaków obok siebie. Niektóre stosują tzw. hasła maskowane, a więc żądają od klienta podczas logowania podania tylko kilka znaków z hasła. Za następnym logowaniem proszą o inne znaki. W ten sposób haker przechwyci tylko część hasła, a nie całość. Jeszcze inne banki hasło podają klientowi same – za pomocą tokena, zmieniane co minutę.
- Nigdy nie loguj się do bankowości elektronicznej z komputera albo sieci, co do bezpieczeństwa której masz wątpliwości. Chodzi m.in. o sieci publiczne. Kafejki internetowe odpadają.
- Strzeż loginu i hasła do konta jak oka w głowie. Nie noś karteczki z nimi w portfelu, nie zapisuj ich sobie w książce adresowej telefonu komórkowego, nie wieszaj kartki z tymi informacjami naprzeciwko kamerki internetowej.
- Niektóre banki oferują też limit dzienny bądź miesięczny sumy przelewów. Może warto go oszacować i ustanowić – wtedy haker nie wyczyści nam całego konta.
- Jeśli kończysz pracę na swoim koncie, kliknij „wyloguj”, a nie po prostu zamykaj okno wyszukiwarki.
- Może wyda się to śmieszne, ale nigdy nie podawaj swojego hasła, numeru klienta albo kodów z karty haseł jednorazowych nikomu, co do kogo nie masz 1000% zaufania. To uwaga nie przeciw hakerom, ale przeciw… każdemu. Bywało już, że chłopak/dziewczyna poza złamanym sercem zostawiał też ogołocone konto…
I dodatkowe, jasne, przykazanie. Jeśli tylko zauważysz coś niepokojącego – strona wygląda jakoś dziwnie, sądzisz że jakaś kwota „wyparowała” z Twojego konta, dostałeś, rzekomo od banku, dziwną wiadomość z formularzem albo prośbą o jakąś informację – nie wahaj się ani chwili i czym prędzej poinformuj o tym swoją instytucję.
MIkołaj Fidziński
www.comperia.pl