11:42
28/4/2022

Kiedy pytamy uczestników naszych szkoleń dla firm i widzów naszych lajwów o bezpieczeństwie, czego obawiają się bardziej — utraty danych czy pieniędzy, większość z nich ma nie lada problem. Ale w końcu mówią nam, że to jednak pozostanie bez środków do życia byłoby dla nich bardziej dotkliwe niż utrata kontroli nad np. kontem mailowym lub kradzież danych z dysku ich laptopa.

Ale kiedy dopytujemy jak w takim razie zabezpieczają swoje pieniądze przed cyberprzestępcami, słyszymy że… w zasadzie to nie zabezpieczają. Wierzą, że ich bank o to dba. I w sumie to prawda, ale…

  • Większość aktualnych ataków wymierzona jest nie w banki, a w użytkownika. Cyberprzestępcy tak manipulują ofiarą, że ona …okrada się sama. Oszuści nie muszą obchodzić żadnych bankowych zabezpieczeń, bo robi to za nich …właściciel konta, które okradają.
  • Banki wdrażają wiele systemów bezpieczeństwa, ale część z nich przestępcy mogą prosto ominąć.

 
Szczęśliwie, banki umożliwiają też każdemu klientowi zmianę pewnych ustawień swojego konta. I dzięki tym zmianom, ewentualne ataki (te z winy klienta lub samego banku) będą dla ofiary mniej dotkliwe.

Co warto włączyć w ustawieniach banku?

Zanim napiszemy co włączyć, podkreślmy, że te zmiany nie wyeliminują ryzyka ataku lub kradzieży środków! Mogą jednak zarówno ryzyko ataku, jak i ewentualną wysokość strat po stronie ofiary znacznie zminimalizować. Dlatego każdego zachęcamy do zalogowania się do swojego banku i włączenia poniższych opcji, najlepiej już teraz, choć może niekoniecznie z służbowego, jeśli czytacie ten artykuł w pracy ;)

1. Ustaw limity na przelewy. Na jednorazową kwotę transakcji, na sumaryczną kwotę dzienną, na liczbę transakcji.

Różne banki mają różne możliwości ustawienia limitów. Nie w każdym banku każdy typ limitu będzie dostępny. Ale warto wejść w ustawienia limitów na swoim koncie i ustawić je na takie, jakie są adekwatne do Twojego sposobu korzystania z konta i wysokości kwoty, z jaką możesz się bez bólu pożegnać na zawsze.

W czym pomaga ustawienie limitów? Wiele z piszących do nas osób oszukanych atakiem “na OLX/Vinted” lub jednym z wariantów “na pracownika Banku” pisze, że złapało się na atak, ale na szczęście stracili tylko X 000 złotych, bo uratowały ich limity. To prawda, że przestępcy mogą tak manipulować ofiarą, żeby limity zmieniła (i robią to), ale niektóre scenariusze ataków i skrypty phishingowe wciąż nie obsługują tego dodatkowego kroku. Zmiana limitów wymaga pozyskania dodatkowego kodu, co często powoduje, że ofiary zaczynają wątpić, że mają do czynienia z poprawnym procesem transakcji i część z nich wtedy orientuje się, że coś jest tu jednak nie tak…

 
2. Ustaw limity na transakcje kartowe. Na kwotę transakcji, na liczbę transakcji, na typ transakcji.

Kartami w internecie warto płacić — od zawsze do tego zachęcamy, bo tylko ta forma płatności daje Wam dodatkową ochronę w postaci procedury Chargeback (tak, nie wszystko Chargeback obejmie, ale lepiej mieć tę, bardzo korzystną dla konsumenta ścieżkę reklamacji, niż jej nie mieć. Tu więcej na ten temat.). Natomiast nawet pomimo tej ochrony, ktoś może pozyskać dane Twojej karty (najczęściej wypływają z hotelowych recepcji lub skimmerów), a wtedy może rachunek powiązany z Twoją kartą okraść. Do zera albo właśnie do wysokości limitu.

Nie ma znaczenia to, czy karta jest chroniona przez 3DSecure albo że płatność wymaga CVV2, którego nikomu nie podałeś. Jest wiele miejsc w sieci, gdzie te mechanizmy bezpieczeństwa nie są weryfikowane. Jasne, że w wielu przypadkach po takich kradzieżach bank zwróci Ci pieniądze, ale to może trwać, a czasem także wiązać się z jakimiś kosztami manipulacyjnymi. Lepiej ograniczyć sobie stres i poprawnie ustawić limity na kartach.

 
3. Zamień kody wysyłane SMS-em na autoryzacje transakcji przez aplikację mobilną banku

Autoryzowanie transakcji przez jednorazowe kody wysyłane SMS-em nie jest dobrym pomysłem. Przestępcy te kody mogą łatwo przejąć, jeśli mowa o scenariuszu ataku ze złośliwą aplikacją, którą ktoś sobie zainstalował na Androidzie lub o ataku z użyciem duplikatu karty SIM.

Potwierdzanie transakcji w aplikacji mobilnej jest wolne od tych wad, a dodatkowo może dać bankowi pewien przydatny sygnał – informacje o lokalizacji w której się znajdujecie. To może być analizowane przez bankowe algorytmy antyfraudowe, które wykrywając anomalię, zablokują transakcję nie pochodzącą od Ciebie. Jasne, to “naruszenie prywatności”, ale mowa o banku, któremu po pierwsze i tak musisz ufać, skoro powierzyłeś mu swoje środki, a po drugie, bank i tak widzi gdzie jesteś jeśli korzystasz z karty płatniczej lub płacisz blikiem.

Na marginesie — to że swojemu bankowi powierzasz swoje dane, to coś zupełnie innego niż zasilanie go danymi o Twoich znajomych. To do niczego nie jest potrzebne, a wiele banków naciska na dostęp do książki kontaktowej, aby “ułatwić przelewy do znajomych na telefon”… Silne nie z naszej strony. Numer tych kilku znajomych wolimi raz na jakiś czas wpisać sami niż oddawać bankowi listę wszystkich kontaktów.

 
4. Włącz szyfrowanie wyciągów i komunikacji z bankiem

Twoje saldo, historia transakcji i inne dokumenty przesyłane przez bank to żyła złota dla wszelkiej maści firm reklamowych. Jeśli bank wysyła Ci co miesiąc podsumowanie transakcji lub inne dokumenty w niezaszyfrowanej formie, to miej świadomość, że te dane mogą być analizowane przez skrypty reklamowe Twojego dostawcy poczty elektronicznej, aby Cię sprofilować i lepiej “dopasować” reklamy które widzisz.

Niektórzy twierdzą, że właśnie dlatego Amazon i inni dostawcy sklepowi zaczęli chować w e-mailach z potwierdzeniem zakupów listę zamawianych przez klienta produktów (jest ona dostępna dopiero po zalogowaniu, żeby konkurencyjne firmy reklamowe nie mogły łatwo profilować ich klientów). A jeśli to Ci nie przeszkadza, to miej świadomość, że każdy, kto włamie się Twoją na skrzynkę prawdopodobnie w pierwszej kolejności przeszuka ją pod kątem tych wyciągów. I billingów. I aktów notarialnych… Szyfrowanie dokumentów zawierających nasze dane to dobra rzecz. Włącz ją gdzie możesz, nie tylko w banku.

 
5. Włącz powiadomienia o transakcjach i logowaniu na konto

Warto wiedzieć, kiedy ktoś zalogował się na Twoje konto. Albo kiedy ktoś wykonał transakcję Twoją kartą płatniczą. Zwłaszcza jeśli to nie byłeś Ty. I możesz o tym wiedzieć, jeśli włączysz powiadomienia dotyczące swojego konta. Bardzo często zgłaszający nam jakiś atak Czytelnicy informują, że o tym iż są okradani dowiedzieli się dzięki takim powiadomieniom i mogli w porę zareagować.

W różnych bankach są różne rodzaje powiadomień, czasem można nawet określić kwotę, powyżej której otrzymamy powiadomienie, aby nie być nękanym powiadomieniami o “niewielkich” transakcjach. Preferuj powiadomienia wysyłane na aplikację mobilną lub e-mailem, bardziej niż te wysyłane SMS-em. Z powodów, które wymieniliśmy w poprzednich punktach.

Smutek. Kolorowane. Zdjęcie przedstawia pana hakiera, który rozpacza, bo trafił na dobezpieczoną powyższymi radami ofiarę i nie mogł jej okraść.

Co jeszcze warto zrobić, aby być bezpieczniejszym?

To doskonałe pytanie. I jeśli tylko masz 3 godziny, to chętnie Ci o tym opowiemy, pokazując część z ataków na jakie jesteś narażony na żywo :-) Wystarczy, ze wpadniesz na nasz pełen praktycznych porad wykład pt. “Jak nie dać się zhackować?“, z którym odwiedzimy w najbliższych tygodniach te miasta:

Ten wykład zawiera wszystko, co każdy dziś już nie tyle powinien, co musi wiedzieć o atakach ze strony cyberprzestępców, jakimi codziennie obrywamy. Całość jest prowadzona przystępnym językiem, więc materiał zrozumie każdy, nawet osoby nietechniczne. Zapraszamy Cię z Twoimi rodzicami lub dziećmi (14+ lat). Gwarantujemy brak nudy i potężną dawkę porad, które podniosą Twoje bezpieczeństwo i ochronią Twoje dane i pieniądze przed cyberprzestępcami. Stawiamy tylko na sensowne rady, te które — jak pokazują setki analizowanych przez nas ataków — faktycznie działają.

Przeczytaj także:





Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

41 komentarzy

Dodaj komentarz
  1. “tylko ta forma płatności daje Wam dodatkową ochronę w postaci procedury Chargeback”
    ale tu mamy problem pod tytułem chargeback vs wyciek danych karty, a jeśli nic w tej kwestii się nie zmieniło do dzisiaj operatorzy obsługują płatności w oparciu o sam front karty (jeszcze niedawno tak było na amazonie, bo operatorzy nie wymuszają aktualizacji na merchantach, stąd 3D secure nie jest wymagany automatycznie)
    oczywiście jeśli dane karty trafiają do pośrednika odpada ryzyko włamu do sklepu, ale pozostaje ryzyko włamu do pośrednika (możemy wierzyć, że mają odpowiednie zabezpieczenia itp. ale nic nam nie szkodzi trochę uważać), więc w zaufanych (oni sami mi nie zrobią psikusa) sklepach płacę inaczej, chargeback nie będzie potrzebny, a dane karty nie trafiają do nikogo
    w niezaufanych albo nie kupuję w ogóle, albo generuję kartę

    • Na infolinii probowalam zresetowac haslo do kontaktu z infolinia. Okazalo sie to niemozliwe mimo weryfikacji glosowej (slusznie).
      Podczas wizyty w oddziale konsultantka nic nie wiedziala na temat hasla do kontaktu z infolinia. Twierdzila ze jest to po prostu nazwisko panienskie matki. Przy mnie zadzwonila na infolinie aby to potwierdzic.
      Jednoczesnie bez pytania o zgode zeskanowala moj nowy dowod osobisty. Po zalogowaniu na konto okazalo sie ze wlaczyla zgody marketingowe nie pytajac o zgode. Nie wiem co jeszcze naklikala, ale w bankowosci internetowej na komputerze nagle pojawila sie opcja nadania pinu do kontaktu z infolinia

  2. Odnośnie punktu 5 – niestety banki bardzo kombinują z tymi powiadomieniami, np w Santanderze nie da się włączyć powiadomienia o POPRAWNYM logowaniu, jest tylko powiadomienie o nieudanym logowaniu. Czyli jak ktoś nie zna naszego hasła to dostaniemy powiadomienie, ale jeśli w jakiś sposób ktoś pozna nasze dane logowania to żadnego powiadomienia nie dostaniemy. Jasne jest weryfikacja 2 etapowa, ale i tak według mnie każdy bank powinien wysyłać powiadomienia o POPRAWNYM logowaniu (a przynajmniej w ustawieniach powinna być opcja włączenia).

    Dla porównania np PKO wysyła za każdym emaila przy poprawnym logowaniu (bo tak to skonfigurowałem)

    • Santander Bank ma również luki w zabezpieczeniach infolinii.
      Weryfikacja na infolinii polega na odpowiedzi na pytania, które znajdują się na dowodzie osobistym (możliwe do zdobycia) oraz bardzo proste pytania dotyczące produktów, z których się korzysta (można to obejść dzwoniąc wiele razy i próbując różne odpowiedzi). Pracownicy infolinii nie pytają o hasło, które trzeba było ustalić przy otwieraniu konta, którego nie ma na dowodzie tożsamości i którego nie można obejść metodą prób i błędów.
      Chętne osoby (trzeba samemu o to się upomnieć) mogą zabezpieczyć dostęp do infolinii biometrią głosową. Wtedy po połączeniu wystarczy wypowiedzieć formułkę: „Mój głos jest moim hasłem, którego nie muszę pamiętać”. Biometria głosowa wydaje się być bezpieczną metodą. Problem w tym, że nie jest ona wymuszana przy autoryzacji dostępu do infolinii. Można spokojnie zadzwonić na infolinię, przejść autoryzację odpowiadając na proste pytania (jeśli tonowo nie wybierze się opcji: biometria) i zrobić reset hasła do systemu transakcyjnego. Te luki to kompletna porażka.
      Zabawne jest również to, że w serwisie transakcyjnym można ustawić 6-cyfrowy kod do autoryzacji dostępu do infolinii, który w ogóle nie jest wykorzystywany. Pracownicy infolinii nie potrafią nawet wytłumaczyć do czego służy ten kod.
      W Santander przestępcy mogą obejść zabezpieczenia serwisu internetowego (nawet jeśli sobie wszystko dobrze poustawiamy) wykorzystując luki w zabezpieczeniach infolinii. To porażająca niekompetencja jednego z największych banków.

    • Z ciekawości zadzwoniłem na infolinię Santandera, przy okazji aktywowałem autoryzacje biometrią i pomimo, tego że przeszedłem niby rozszerzoną weryfikację to weryfikacja to jakaś porażka. Specjalnie w placówce banku ustawiłem bezpieczne hasło do kontaktu z infolinia, przez internet ustawiłem losowe hasło do kontaktu z infolinią i ani jedno ani drugie nie zostało w ogóle użyte do weryfikacji. Pytań może i zadają sporo, coś koło 8-10 pytań miałem, ale niektóre się powtarzały…. jaki sens ma pytać np 2x o numer dowodu i 2x o imię i nazwisko ? Jak raz mówią że się zgadza, to powinno wystarczyć. Coś system losowania pytań chyba szwankuje.
      Więc faktycznie sporo powinni poprawić, jeszcze ten automat gdzie początek jest ucięty jak coś mówi…

      Szkoda, że nie ma też żadnych powiadomień o zmienionych ustawieniach (np zmieniony limit), o poprawnym logowaniu na infolinii czy wizycie w placówce. A przecież po kontakcie z infolinią czy wizycie w placówce mogli by wysłać info “Dziękujemy za kontakt ….. oceń nas” – jednocześnie mieliby ankietę satysfakcji. Klient gdyby dostał taką informację, a nie kontaktował się z bankiem od razu miałby info że coś złego się dzieje z kontem.

      PKO za to domyślnie nie uruchamia weryfikacji 2 etapowej. Np gdy usuwam aplikację IKO na czas reinstalacji smartfona to żeby zalogować się na konto wystarczy sam login i hasło gdzie komputera nie mam dodanego do zaufanych :( Jak już się uruchomi weryfikację 2 etapową przy logowaniu to w aplikacji wystarczy zwykłe kliknięcie w apk i nie ma możliwości wymusić aby zatwierdzić logowanie przez PIN albo biometrią.

      Odnośnie duplikatu karty SIM, niedawno T-mobile dodał obsługę E-SIM. Skorzystałem z wymiany i jestem pod wrażeniem, jak mało trzeba aby dostać duplikat. Przy fizycznej karcie to jeszcze jakiś dowód chociaż trzeba pokazać, a przy esimmce ? W kilka minut załatwiłem to na czacie podając jedynie numer telefonu, imię, nazwisko oraz hasło do kontaktu (Dali do wyboru pesel / hasło, ale staram się jak najmniej podawać pesel). I tyle. Wszystko otrzymałem na email podany do kontaktu (ten też da się zmienić na czacie podając te same dane). Fakt że dane były zaszyfrowane i trzeba było przepisać kod SMS, ale według tego co podali w email to sms mogą wysłać na inny numer jeśli o to poprosimy!!! Więc w zasadzie obecnie aby przejąć kartę sim wystarczy poprosić o E-sim, wystarczy znać imię, nazwisko, nr tel oraz pesel/hasło. Fizyczna karta SIM przestałą działać od razu po aktywacji E-SIM. Czy nie wydaje Wam się, że to jest zbyt proste ? Nie ma ŻADNEJ dodatkowej weryfikacji, bo w ten sposób weryfikują za każdym razem jak łączymy się przez czat. W zasadzie to umowa nawet nie jest na mnie i nie mam żadnego upoważnienia i Tmobile wysłał mi E-Simkę innej osoby. Fakt, że działałem za zgodą i wiedzą abonenta, ale to chyba nie tak powinno działać !!! @Niebezpiecznik może macie możliwość przyjrzeć się procesowi wymiany karty na E-SIM. Jakiś czas temu pisaliście o problematycznych procedurach w T-Mobile, a obecnie jest chyba jeszcze gorzej :(

    • Kiedys jak pojechalem na urlop, to Santander mnie zblokowal (nietypowy kraj, plus inna nietypowa rzecz jaka zrobilem bedac tam). Zadzwonilem i pytali mnie o wszystkie operacje jakie wykonywalem niedawno, zeby sie upewnic, ze o nich wiem, plus pytali mnie o haslo do infolinii. Kiedys dawno temu jak cos musialem zalatwiac, to tez pytali. Pamietam, bo tak rzadko go uzywam, ze zawsze jak mnie o nie pytaja, to jedyne co pamietam, to to ze jak mnie o nie pytaja, to go nie pamietam :D.
      Moze trafiam na innych konsultantow…

    • @ Z 2022.04.28 23:33
      Zapytałem kiedyś pracownika infolinii Santander Banku dlaczego przestali pytać o hasło podczas weryfikacji. Uzyskałem odpowiedź, że zmieniły się procedury. Po co zmieniać procedury na mniej bezpieczne?

    • Zapytałem się przez emaila jak to jest z tym hasłem i czy da się wymusić aby żądali hasło to dostałem odp z Santandera “Rzeczywiście od kilkunastu tygodni uległa zmianie identyfikacja poprzez kontakt z infolinią naszego banku. Doradcy obecnie w celu identyfikacji nie pytają o hasło do kontaktu telefonicznego, które było ustalane w oddziale banku.

      Może Pan na ten fakt złożyć reklamację.”

      Chyba faktycznie nie pozostaje nic tylko złożyć reklamacje, może jak będą ich mieli więcej to ktoś przyjrzy się procedurom identyfikacji.

    • Santander od strony security jest straszny.
      Np. co z tego, że mam włączone potwierdzanie operacji przez aplikację jeśli mogę sobie zadzwonić na infolinię, podać super tajne nazwisko panieńskie matki i zrestartować metodę autoryzacji na SMS.

      Z PKO z kolei jest ten problem, że przy nietypowych/dużych przelewach (>100kzł) dodatkowo chcą potwierdzić operację telefonicznie. I dzwoni ktoś pytając o “tajne” dane. Oczywiście ich nie dostaje, ale NIE MA sposobu, by do nich zadzwonić samemu i potwierdzić tę operację.

  3. mBank z kolei ma kompletnie bezsensowne powiadomienia o logowaniu, bo przychodzą one dopiero następnego dnia.
    Zaś aplikacja jest super dopóki nie chce się autoryzować transakcji, bo wtedy trzeba je potwierdzać pinem, zamiast np. palcem. A wpisywanie długiego 8-znakowego pinu na telefonie przy każdej operacji jest upierdliwe dużo bardziej niż wklepanie kodu SMS na komputerze.

    Limity zaś, to temat rzeka, bo trzymanie ich niskich/zerowych, a następnie zmiana przed oraz po wykonaniu transakcji to już poziom upierdliwości max.

    • Przecież w aplikacji mBanku w ustawieniach masz możliwość aktywacji logowania do aplikacji i dodatkowo operacji za pomocą odcisku palca lub kamerki.

    • @Mariusz: U mnie to nie działa do transakcji pochodzących z zewnątrz, czyli wykonywanych np. na komputerze, wtedy zawsze woła PIN. Nie robię przelewów na telefonie, więc nie wiem, czy w tym przypadku działa.

    • W mbanku zarówno przelewy z komputera, telefonu i operacje blikiem można potwierdzać pinem lub odciskiem palca. Wystarczy odpowiednia konfiguracja.

    • Akurat autoryzacja transakcji w apce PIN-em jest IMHO dobra i nie warto tego zmieniać. Zabezpiecza przed takim scenariuszem:
      – ktoś mnie spija albo daje jakieś prochy (ew. w wariancie dla ubogich wali w łeb), bierze mój telefon, bierze mojego kciuka, odblokowuje telefon, wchodzi na apkę, zleca przelew, potwierdza kciukiem…

      Tak, wiem, limity transakcji w apce. Tylko bądźmy szczerzy, do wygodnego korzystania z konta te limity nie mogą być jakieś radykalnie niskie, więc parę złotych można stracić.

      Na telefonach Samsunga (nie wiem czy wszystkie modele) jest jeszcze coś takiego jak Sejf vel Bezpieczny Folder. Wejście tam wymaga także wpisania PINU (można chyba też ustawić na odcisk palca, ale jak wyżej – mija się z celem). Ja mam apki bankowe i parę innych krytycznych poinstalowane właśnie tam i nikt mi apki nie otworzy mając mój telefon i mój kciuk :)

    • Co do limitów, to akurat mBank ma taką fajną funkcję jak “limit tymczasowy”, który obowiązuje do końca dnia. Ustawiamy przed planowanymi zakupami i zapominamy, na koniec dnia skasuje się sam.

    • @Roddy

      W którym miejscu niby to jest i dla jakiego rodzaju kont?

    • U mnie działa. że tak powiem… ;)) powiadomienia przychodzą niezwłocznie.

  4. Jeśli chodzi o powiadomienia SMS to mają one jeszcze jedną wadę. Podszycie się pod kogoś w ramach wiadomości SMS jest bardzo proste. Co więcej, telefon sobie połączy te fałszywe wiadomości z tymi prawdziwymi. Pokazywaliście coś takiego w artykule o spoofingu (akurat ostatnio trafiłem na niego).
    Swoją drogą, pamiętam, jak parę lat temu przeprowadziłem się do innego kraju w UE i po uzyskaniu dostępu do konta byłem zszokowany, że nie ma opcji ustalania limitów transakcji.

  5. Czy jest opcja, żeby takie poradniki robić w formie wideo?
    Wiem, że jest kilkanaście banków, aplikacji i wszystko się od siebie różni ale jest wiele bliźniaczych schematów i wiele osób łatwiej zrozumie obraz niż treść pisaną.

    • Daj login i hasło do swojego banku, to zrobimy to na Twoim interfejsie ;)

  6. Podam w następnym wpisie l i h :))
    Dla bezpieczeństwa transakcji celem wyeliminowania błędów postanowiłem zapisać na liście zdefiniowanych odbiorców dane numeru konta wraz z nazwą firmy od której dostałem przelew. Po kwadransie grzebania w całej aplikacji IKO (PKO BP SA) poległem, zadzwoniłem na infolinię banku i miły Pan powiedział mi, że się nie da dodać odbiorcy z poziomu przeprowadzonej transakcji, cały proces można zrobić tylko na piechotę, czyli wszystkie dane wpisywać ręcznie. Nakazałem zająć się ww. problemem :)
    Największy bank w Polsce nie daje takiej opcji w aplikacji mobilnej. Można dodać bez problemu logując się w przeglądarce.

  7. 1. Ustaw limity na przelewy.
    Z limitów należy korzystać, ale jeśli przestępcy przejmą smsy (sim swap, trojan bankowy itp.) lub inną metodę autoryzacji to to mogą sobie łatwo podnieść limity przelewów. Niektóre banki (np. mBank) mają opcję “zmiana limitów tylko na infolinii” – warto z tego skorzystać bo to podnosi bezpieczeństwo.

    2. Ustaw limity na transakcje kartowe
    Niektóre banki (np. mBank, n26)mają opcję zablokowania transakcji zagranicznych. Jeśli rzadko podróżujemy za granicę to warto z tego skorzystać.

    3. Zamień kody wysyłane SMS-em na autoryzacje transakcji przez aplikację mobilną banku
    Credit Agricole i Millennium (konta firmowe) oferują bezpieczniejszą metodę niż kody sms czy autoryzację mobilną.
    Jest to token sprzętowy z czytnikiem, który działa na zasadzie challenge-response. W Niemczech metoda ta nosi nazwę photoTAN.
    CA24
    https://www.credit-agricole.pl/bezpieczenstwo/bezpieczenstwo-serwisu-internetowego-ca24#token
    Millennium
    https://www.bankmillennium.pl/przedsiebiorstwa/bankowosc-elektroniczna/bank-w-internecie/millenet/bezpieczenstwo/token-sprzetowy-z-czytnikiem

    4. Włącz szyfrowanie wyciągów i komunikacji z bankiem
    Po pierwsze adres email podany w banku powinien być porządnie zabezpieczony. Na koncie email należy włączyć 2FA – najlepiej jeśli jest to klucz bezpieczeństwa U2F. Nie chodzi tu tylko o zabezpieczenie treści komunikacji z bankiem, ale również o to, że niektóre banki wykorzystują adres email klienta w procedurze resetu hasła. Jeśli transakcje bankowe oraz konto email zabezpieczamy kodami sms to sim swap umożliwia przestępcom reset hasła w banku.
    Giełda kryptowalutowa Kraken daje klientom opcję szyfrowania korespondencji za pomocą PGP/GPG.

    5. Włącz powiadomienia o transakcjach i logowaniu na konto
    W Santander Bank nie ma powiadomień o udanych logowaniach co jest chore bo jeśli ktoś wykradnie nasze hasło i login i wpisze je w serwisie to nie otrzymamy powiadomienia. Bank udostępnia powiadomienia o nieudanych logowaniach, ale one są w zasadzie niepotrzebne (informują tylko o tym, że konto się obroniło).
    W mBanku powiadomienia sms przychodzą w czasie rzeczywistym. Za to powiadomienia email są wysyłane dopiero następnego dnia co jest bez sensu. Przynajmniej powiadomienia email o udanym logowaniu powinny być wysyłane w czasie rzeczywistym. Bez powiadomień email w czasie rzeczywistym, w przypadku sim swap klient nie będzie miał informacji o tym, że ktoś się zalogował.

  8. “Przestępcy te kody mogą łatwo przejąć, jeśli mowa o scenariuszu ataku ze złośliwą aplikacją, którą ktoś sobie zainstalował na Androidzie”

    Czy nadal jest możliwe zainstalowanie sobie złośliwej aplikacjo, która będzie rysować po oficjalnej aplikacji, albo wręcz ją udawać? Jeśli tak, to twierdzenie, że “aplikacja jest pozbawiona tych wad” jest trochę na wyrost.

  9. W sumie po przeczytaniu tego mogę powiedzieć, że 4 z 5 punktów zrobiłem na swoim koncie już dawno. Jeden punkt nie, bo bank mi tego nie wysyła a i ja sam tego nie potrzebuję :)
    Gdyby jeszcze banki wprowadziły opcję klucza U2F do konta.

  10. Saldo mojego konta wynosi 0 zł. Obecny pracodawca zgodził się na wypłaty w gotówce, więc ostatnia transakcja na moim koncie była w marcu (zwrot podatkowy), który następnego dnia wypłaciłam w kasie (bezpłatna obsługa kasowa). Nie mam i nie zainstaluję aplikacji bankowej. Na koncie e-mail nie ma wiadomości, bo protokół POP3 od razu pobiera je i zachowuje lokalnie. Płacę wyłącznie gotówką, od kilku lat.

    • I trzymasz tą gotówke w materacu czy gdzie?

    • W biustonoszu i w majtkach… ;))

  11. Czy mogę prosić o wyjaśnienie co to mogą być za pliki za lokowane ma koncie czy bank poeiniemi to wyjaśnić . Czy to byly np przelewy przychodzace lub wychodzące np kradzież środków a mnie bank Milenium nie powiadomił Co z tym zrobić czy zgłosić to do prokuratury

  12. Do płatności kartą w internecie polecam karty wirtualne. Wiele banków oferuje taką opcję. Karta nie jest powiązana z naszym głównym kontem. Domyślnie na rachunku z którym powiązana jest taka karta nie mam pieniędzy. Jeśli chcę zapłacić loguję się do banku zasilam konto i płacę kartą. W przypadku wycieku danych z karty nic mi nie ukradną bo nie ma tam środków a ja mogę usunąć kartę i wygenerować nową.

    • Lifehack: w większości banków można za taką kartę nie płacić.
      1. Otwórz nowy rachunek (zazwyczaj za darmo)
      2. Wyrób do niego kartę debetową (zazwyczaj za darmo)
      3. Ustaw na karcie limity na 0 poza “płatności internetowe”.
      Gratukacje, właśnie stworzyłeś sobie kartę do płatności internetowych.

  13. Ad. 4. Jestem za szyfrowaniem dokumentów przesyłanych przez banki, byle nie numerem PESEL. :(

  14. Zabrakło mi informacji (albo niedoczytałem), aby pieniądze trzymać w wielu bankach (daje to dodatkową ochronę w przypadku bankructwa banku i większej gotówki), na tym na którym mamy dostęp z karty bankomatowej być może nie trzymać wszystkich pieniędzy (posiadać przynajmniej osobne konto nawet w tym samym banku), numer SMS/kontaktowy to był numer, którego nikt nie zna po czym można poznać, że ktoś kto dzwoni to nie bank – jak dzwoni na ten publiczny numer (w telefonie mam dwie karty i ta druga jest tylko do kontaktu z bankiem), jeżeli lubimy chodzić po stronach lub dużo apek instalować w telefonie to używać osobnego telefonu (jako aparatu) bo separacja jest ważna, być może może uzywać osobnego środowiska (np maszyny wirtualnej) gdy jesteśmy na stronie banku, nie korzystać z darmowego wifi jak jesteśmy na stronie banku, nie korzystać z firmowego komputera do stron bankowych (w mojej corpo sieć rozpruwa połączenie SSL a certyfikat chociaż chrome raportuje, że jest ok to jest samopodpisany przez root CA mojej firmy). Mam tego więcej.

    • Zabrakło, bo to nie wszystkie rady, a 5 i coś trzeba było pominąć.

    • Ja bym jeszcze dodał radę – blokować kartę jak z niej nie korzystamy, wiele banków pozwala tymczasowo blokować kartę, przy czym jej odblokowanie to nie raz dosłownie 1 kliknięcie (np w IKO można skrót dodać i 1 kliknięcie blokować / odblokować kartę płatniczą). Przez większość czasu karty mam zablokowane, więc nawet jak nr gdzieś wycieknie czy ktoś kartę ukradnie to nic się nie stanie :)
      A płacić teraz w większości można zbliżeniowym BLIK, więc tak na prawdę karta nie jest potrzebna. W internecie też zazwyczaj BLIK-iem można zapłacić

      Jeszcze rada dla mniej technicznych – płatności robić tylko przez aplikację banku, a nie przez www – nie ma ryzyka że hasło się wpisze na phisingowej stronie (zakładając że zainstalujemy poprawną aplikacje)

  15. […] A więc atak polega na wyłudzaniu danych kart płatniczych. Akurat wczoraj opisywaliśmy jak minimalizować ryzyko związane z wyciekiem (lub udostępnieniem, hehe) naszego numeru karty płatniczej — więc odsyłamy Was do tego artykułu: 5 rzeczy które warto ustawić na swoim koncie bankowym, aby było bezpieczniejsze. […]

  16. Dodałbym jeszcze “Ustaw swój indywidualny login i się nim posługuj zamiast numerem klienta / loginem nadanym przez bank” – taki własny login można w każdej chwili usunąć lub zmienić na inny. Niestety z tego co wiem niewiele banków oferuje taką możliwość.

  17. W celu ochrony środków na koncie w banku, pierwszą rzeczą powinno być NIE używanie bankowości na telefonie.

  18. Ze swojej strony polecam aby nie trzymać całej gotówki na jednym rachunku. W mBanku jest taka bezpłatna usługa mBilans która łaczy ekonto i drugie konto np. eMax. Ustawia się telefonicznie limit np. 1000 zł na ekoncie i cała nadwyżka jest przelewana o północy na drugie konto lub jeżeli zmniejszy się saldo na ekoncie to w druga stronę. W przypadku więcej niż jednego konta w mbanku dobrze jest włączyć w ustawieniach konta autoryzację przelewów własnych, jakby ktoś się włamał i chciał całość przelać na główny rachunek.

  19. @ Gotówkowa 2022.04.28 23:44
    Konta z zerowym saldem również mają wartość dla przestępców. Niedawno czytałem o przypadku gdzie takie konto zostało wykorzystane do prania ukradzionych pieniędzy. Właściciel konta musiał się tłumaczyć, że to nie on ukradł pieniądze, które przeszły przez jego konto.
    Czasami na koncie z zerowym saldem można uzyskać kredyt lub kartę kredytową (szczególnie gdy były na nim regularne wpływy). Przestępcy składają wnioski, które zwykle są rozpatrywane w kilka minut. Przestępcy od razu wyprowadzają przyznane środki.

    @ Jan 2022.04.29 12:18
    Aplikacje bankowe nie są bezpieczniejsze od serwisów internetowych. Chyba nie zdajesz sobie sprawy z ryzyka związanego a aplikacjami bankowymi

    @ czezz 2022.04.30 17:28
    Jeszcze bezpieczniejsze jest konto bez dostępu przez aplikację, internet oraz telefon.

    @ Andrzej 2022.05.05 11:49
    Trzymanie części pieniędzy na innym rachunku, w tym samym banku nie chroni przed wszystkimi rodzajami ataków. Jeśli przestępca ma kontrolę nad naszą metodą autoryzacji to jest w stanie wyczyścić wszystkie rachunki – bieżący, walutowe, karty kredytowej itp.

  20. Czyli podsumujmy – więszkość ważnych i potrzebnych rzeczy nie działa w kontakcie z bankiem, ale na pewno działa dla google-a: udostępnianie waszego numeru telefonu google-owi, udostępnianie waszych odcisków palców, wyłączne prawo administrowania telefonem.
    No i oczywiście sami się na to zgadzamy, bo tak jest “bezpieczniej”?

  21. Być może także warto nie mieć dostępu do banku w telefonie. Telefon można zgubić, możne być skradziony. Tak miał mój znajomy, ukradli mu telefon z domku letniskowego. A potem mimo jego zabezpieczenia hasłem włamali mu się na niego i były ruchy z kontem bankowym.

Odpowiadasz na komentarz Jan

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: