Безпека електронного банкінгу - Bank Spółdzielczy w Szczytnie

Пошукова система

Головне меню

Безпека електронного банкінгу

Безпека електронного банкінгу

Безпека банківських транзакцій в Інтернеті

Зважаючи на вашу безпеку, ми представляємо практичний посібник, що містить основну інформацію та правила, про які варто пам’ятати. Завдяки їм ваші гроші будуть ще безпечнішими. Ми надаємо вам інформацію про використання платіжних карток та здійснення транзакцій в інтернет-магазинах, а також про доступ до ваших грошей через віддалені канали доступу – Інтернет, телефон. Варто з цими правилами ознайомитися, варто про них пам’ятати.

Загальні правила 

  1. Пам’ятайте, що жодний банк ніколи не надсилає своїм клієнтам запитань щодо паролів або інших конфіденційних даних, а також запитів на їх оновлення. 
    Банки ніколи не надають у надісланих повідомленнях посилань на транзакційні сайти. Листи, електронні повідомлення або дзвінки з такими запитами слід розглядати як спробу викрадення конфіденційної інформації. Не відповідайте на них, передаючи свої конфіденційні дані. Негайно зв’яжіться з вашим банком і повідомте про інцидент. 
  2. Перевірте на сайті вашого банку, які засоби захисту застосовуються в інтернет-сервісі. 
    При кожному вході обов’язково дотримуйтесь правил безпеки, опублікованих там. У разі виникнення будь-яких аномалій негайно зв’яжіться з працівником банку. 
  3. Комп’ютер або мобільний телефон, підключений до Інтернету, повинен мати встановлену антивірусну програму, і вона повинна постійно оновлюватися. 
    Також необхідно активувати важливі модулі в пакеті захисту, такі як антивірусний монітор, сканер пошти або фаєрвол. Частою помилкою є вимкнення цих модулів для зменшення навантаження системи.
  4. Здійснюйте інтернет-платежі лише за допомогою «надійних комп’ютерів». 
    Не здійснюйте інтернет-платежі з комп’ютерів, що знаходяться в громадських місцях, наприклад, у кафе для серфінгу в Інтернеті або в університеті. 
  5. Зв’яжіться зі своїм постачальником Інтернету, щоб впевнитися, що він використовує безпечні канали розподілу цієї послуги. 
    Звертайте особливу увагу на якість і безпеку інтернет-послуг, які надає ваш постачальник. Якщо у вас є які-небудь сумніви в цьому відношенні, ви завжди маєте право запитати у постачальника про якість безпеки, яку він пропонує. 
  6. Встановлюйте на свій комп’ютер лише легке програмне забезпечення. 
    Програми невідомого походження, в тому числі ті, що завантажуються через програми типу Peer-to-Peer (P2P), можуть бути підготовлені хакерами та містити віруси або інше шкідливе програмне забезпечення. 
  7. Рекомендується періодично виконувати сканування комп’ютера, особливо перед входом на веб-сайт банку та здійсненням будь-якої транзакції. 
    Більшість антивірусних програм при включеному антивірусному моніторі має виявлення (детекцію), таке ж, як і антивірусний сканер, і немає потреби сканувати комп’ютер. Однак є частина програм, у яких детекція антивірусного монітора нижча, ніж у сканера, що призводить до прогалини в системі безпеки. 
  8. Оновлюйте операційну систему та важливі для її роботи програми, наприклад, веб-браузери. 
    Хакери постійно шукають уразливості в програмному забезпеченні, які потім використовуються для здійснення інтернет-злочинів. Виробники операційних систем та додатків публікують відповідні «патчі», метою яких є усунення вразливостей своїх продуктів, пов’язаних із атаками, які проводяться через знайдені уразливості. 
  9. Не відкривайте повідомлення та вкладення, що додаються до них, невідомого походження. 
    Часто такі вкладення містять віруси або інше програмне забезпечення, яке дозволяє шпигувати за вашими діями. 
  10.  Уникайте веб-сайтів, що закликають вас переглянути дуже привабливі матеріали або містять привабливі пропозиції. 
    Особливо небезпечними можуть бути веб-сайти з порнографічними матеріалами. Крім того, на перший погляд невинні сайти, що містять програми типу «freeware», також можуть бути дуже небезпечними, оскільки хакери дуже часто декомпілірують їх, доповнюючи зловмисним кодом.
  11.  Після входу в транзакційну систему не відходьте від комп’ютера, а по завершенню роботи вийдіть та закрийте браузер. 
  12. Якщо при вході з’являються нетипові повідомлення або запити на введення особистих даних або додаткові поля з питанням про паролі для авторизації, негайно повідомте про проблему до свого банку. 
  13. Не заходьте на веб-сайт вашого банку через посилання, що містяться в вхідних повідомленнях електронної пошти (Фішинг). 
    Використовуйте для цього адресу, надану вам банком, з яким ви підписали угоду про відкриття та ведення банківського рахунку. Також не рекомендується використовувати механізм «Закладок» (Firefox) або «Улюблених адрес» (Internet Explorer), оскільки існують шкідливі об’єкти, які можуть модифікувати збережені там адреси. 
  14. Ніколи не використовуйте пошукові системи для знаходження сторінки входу вашого банку. 
    Посилання, знайдені в них, можуть вести до підроблених сторінок або сторінок, що містять віруси. 
  15. Перед входом перевірте, чи з’єднання з банком безпечне. 
    Адреса веб-сайту вашого банку повинна починатися зі скорочення: «https://», а не «http://». Відсутність літери «s» у скороченні «http» означає відсутність шифрування, тобто ваші дані передаються через інтернет у відкритому тексті, що наражає вас на величезну небезпеку. 
  16. Перевіряйте правильність сертифіката. 
    Перед введенням ідентифікатора або логіна та пароля перевірте, чи з’єднання з банком відбувається з використанням шифрування. Якщо знайдете символ замка, натисніть на нього двічі, щоб перевірити, чи відображений сертифікат є дійсним і чи був виданий для вашого банку. Якщо термін дії сертифіката закінчився або він не був виданий для вашого банку або не може бути підтверджено, відмовтесь від з’єднання. 
  17. Ніколи не надавайте третім особам ідентифікатор або пароль доступу. 
    Ідентифікатор є конфіденційним номером, наданим банком, ви не можете його змінити. 
  18. Не зберігайте ніде паролі для входу та пам’ятайте про їх регулярну зміну. 
    Ідеальним варіантом є зміна паролів раз на місяць, але якщо система цього не вимагатиме, змініть їх принаймні раз на два місяці, використовуючи комбінації великих і малих літер та цифр. 
  19. Перевіряйте дату останнього успішного та неуспішного входу в систему. 
  20. Користуйтеся інфолінією, доступною у вашому банку. 
    Ви завжди маєте право звернутися до інфолінії вашого банку, якщо у вас є сумніви щодо безпечних банківських транзакцій, що здійснюються через інтернет. 
  21. Регулярно відвідуйте портал «Безпечний банк» на сайті ZBP – www.zbp.pl 
    Якщо ви хочете дізнатися більше про безпечне користування електронним банкінгом, в тому числі інтернетом, регулярно відвідуйте цей портал. Там фахівці в сфері банківської безпеки пояснюють, як уникнути небезпек, що чатують у мережі.
  22. Зберігайте обережність при передачі номеру картки. 
    Не слід надавати номер картки нікому, хто телефонує до вас, також у ситуаціях, коли особа, що телефонує, повідомляє, що є проблеми з комп’ютером і просить перевірити інформацію. Немає звичаю, що компанії телефонують, просячи по телефону номер платіжної картки. Якщо це ми ініціюємо дзвінок, також не слід надавати номер картки по телефону, якщо ми не впевнені, що співрозмовник заслуговує на доверие. 
  23. Ніколи не відповідайте на електронну пошту, з якої випливає необхідність надання інформації про картку – повідомте про таку ситуацію у вашому банку. 
    Ніколи також не відповідайте на електронні листи, які запрошують відвідати веб-сайт для перевірки даних, у тому числі про картки. Цей тип шахрайства називається «фішингом». 
  24. Ніколи не надавайте інформацію про картку на сайтах, які не є безпечними. 
    Наприклад, сайти з порнографічними матеріалами або сайти невідомих компаній, які пропонують брендові товари за суперрозумними цінами. Прежде ніж вводити номер картки у формулярі на сайті, слід впевнитися, що дані, які надсилаються з формуляру, належним чином захищені (тобто – спростивши – чи адреса сайту з формуляром починається з https і чи сайт має відповідні сертифікати – цю інформацію надає браузер, зазвичай у рядку стану внизу вікна). 
  25. Не зберігайте PIN-код на картці і не зберігайте його разом із карткою. 
    У таких обставинах ви не лише дієте всупереч законам, але також у разі викрадення гаманця чи портмоне та використання вашої платіжної картки банк буде звільнений від обов’язку покриття шкоди 
  26. Захищайте свій номер картки та інші конфіденційні коди, що дозволяють здійснювати транзакції, наприклад, номер PIN, номер CVV2 або CVC2 – останні три цифри номера, розміщеного на полосі для підписи на звороті картки. 
    Злочинці можуть отримати їх, записуючи зображення картки, наприклад, за допомогою мобільного телефону з фотокамерою, відеокамерою або іншим способом. 
  27. Здійснюйте транзакції в відомих та перевірених вами інтернет-магазинах. У разі менших сервісів досліджте їх надійність, наприклад, зателефонувавши в такий сервіс і перевіряючи його пропозицію, умови здійснення транзакції та рекламації. 
    Упевніться, що ви не на сайті, який маскується під сайт вашого банку/магазину (схожі назви та вигляд сайту, з якими використовують нечесні імітатори, щоб заплутати й обдурити вас). Ознайомтеся з правилами інтернет-магазину, а особливо з інформацією про безпеку транзакцій. Перед здійсненням транзакції впевніться, що передача відбувається в безпечному з’єднанні за допомогою протоколу SSL/TLS.
  28. Банк не надає послуги підтримки через застосунки, що використовують з’єднання так званого віддаленого робочого столу. Якщо хтось пропонує вам таке з’єднання, завершіть зв’язок і зв’яжіться з банком.

Як банки дбають про безпеку своїх клієнтів: 

  • Основна ідентифікація клієнта: – ідентифікатор + PIN, токен, токен + PIN 

  • Протокол шифрування передачі даних в Інтернеті – SSL 
  • Доступ на основі сертифікатів 
  • Коди, відправлені SMS 
  • Одноразові коди, що авторизують транзакції 
  • Електронний підпис, функція хешування та її застосування 
  • Мікропроцесорні картки з записаним сертифікатом 
  • Ліміти транзакцій
  •  Автоматичне закінчення сесії після періоду неактивності користувача 

Які дані є привабливими для злому: 

  • усі особисті дані 

  • паролі 
  • номери платіжних карток 
  • електронні документи, що містять банківські дані

Безпека комп’ютера в Інтернеті 

1. Що нас захищає 

Firewall

Мережевий екран (англ. firewall – мережевий екран, стіна вогню) – це один зі способів захисту комп’ютерів, мереж і серверів від зловмисників. Firewall може бути як апаратним забезпеченням зі спеціальним програмним забезпеченням, так і самим програмним забезпеченням, що блокує доступ до наших ресурсів несанкціонованим особам або програмам. Ще кілька років тому програмне забезпечення, яке виконувало функцію брандмауера, було доступним та спеціально призначалося для важливих серверів або при великих мережах. Однак з величезним темпом технологічного прогресу брандмауер стає необхідним програмним забезпеченням кожного домашнього комп’ютера, підключеного до локальної мережі LAN або Інтернету. Брандмауер на такому домашньому комп’ютері перевіряє весь мережевий трафік, що входить і виходить, обмежує і забороняє доступ в обидва боки незнайомим програмам або користувачам. 

Антивірусні програми 
Це комп’ютерне програмне забезпечення, яке має на меті виявлення, захист, боротьбу, видалення та відновлення шкоди, викликаної комп’ютерними вірусами. Якщо запускається програма, що містить шкідливе програмне забезпечення, тоді програма виконає відповідні дії, які виключать вірус і дозволять доступ до запущеної програми. Важливою функцією будь-якого антивірусу є відповідно часте оновлення визначень вірусів, що містяться в програмі. Це служить для «підтримки актуальності» у світі вірусів. Завдяки оновленим визначенням програма збирає інформацію про останні віруси і отримує інструкції, які дозволяють їй з ними боротися і відновлювати. Шановані компанії, що виробляють антивірусні програми, використовують щоденне оновлення визначень вірусів у своїх продуктах. 

 

Антиспамові програми 
Це вид програмного забезпечення, що призначене для блокування небажаного електронного листування. Програми фільтрують повідомлення та використовують так звані чорні списки адрес і доменів, що використовуються спамерами. Більшість такого програмного забезпечення має можливість налаштування власних правил, які ми можемо модифікувати та визначати, наприклад, слова-ключі, що містяться в рекламних матеріалах, блокуючи таким чином нашу поштову скриньку на повідомлення, що містять ці слова в заголовку відправки. Проте ці програми не безпомилкові, і іноді можуть заблокувати кореспонденцію, яка повинна бути доставлена 

IDS 
Це система виявлення вторгнень (Intrusion Detection System), метою якої є виявлення небезпечних дій, що відбуваються в мережі. Шукає всі заборонені або підозрілі дії в мережі, які можуть становити загрозу для системи. 
Виявляє невдалі спроби атаки або підготовки до повномасштабного злому, наприклад: сканування портів або відображення мережі шляхом пошуку її критичних серверів, послуг і додатків. Завданням зонда системи IDS є збір інформації, а завданням системи управлінь є обробка зібраної інформації та виділення з неї сигналів атаки.

2. Загрози в Інтернеті 

Віруси 
Комп’ютерний вірус – це самовідтворювальний сегмент виконуваного коду, що розміщений в іншій програмі або з’єднаний з нею. Вірус не може діяти самостійно, йому потрібен носій у вигляді комп’ютерної програми. Після запуску цієї програми зазвичай спочатку активується шкідливий код вірусу, а потім власне програма. 
Після успішної інфекції подальші дії залежать від визначеного типу вірусу і можуть включати: 

  • Реплікацію лише в інфікованій системі. 
  • Інфекцію подальших файлів під час їх запуску або створення. 
  • Стирання або пошкодження даних в системах і файлах. 
  • Марнування системних ресурсів без спричинення шкоди. 

В залежності від видів вірусів їх можна поділити на: 

  • дискові – інфікують стартові сектори дискет і жорстких дисків 
  • файлові – інфікують виконувані файли певної операційної системи 
  • віруси BIOS-у – знищують BIOS комп’ютера (програмне забезпечення, що відповідає за правильну конфігурацію та старт системи) 
  • макровіруси – атакують через невиконувані файли, наприклад: файли документів Word або Excel, інфекція відбувається через макроси, що містяться в цих документах 
  • мобільні віруси – поки нечасто зустрічаються, але в майбутньому становитимуть істотну загрозу у зв’язку з розвитком програмного забезпечення для телефонів 

Черв’яки 
Черв’як – це самовідтворювальна комп’ютерна програма, подібна до комп’ютерного вірусу. Головна різниця між вірусом та черв’ягом полягає в тому, що, в той час як вірус потребує носія, який модифікує, приєднуючи до нього свій виконуваний код, черв’як є самодостатнім і поширюється по всіх мережах, підключених до інфікованого комп’ютера. Окрім основної функції реплікації, черв’як може мати вбудовані інші функції, такі як знищення системи, надсилання пошти і через неї зараження наступних комп’ютерів або встановлення троянських коней. В даний час черв’яки використовують всі доступні способи поширення, такі як: локальні мережі, Інтернет, електронна пошта, мережі обміну файлами, мобільні телефони. Протягом кількох років черв’яки викликають спустошення у всьому світі: переносять троянських коней, спам, допомагають проводити атаки Dos, викликають збій систем і перевантаження канали інтернету. 

Шпигунські програми 
Шпигунська програма є видом шкідливих програм, які охоплюють застосунки, що без згоди користувача збирають і надсилають інформацію про його комп’ютерну систему. Окрім порушення приватності, шпигунські програми генерують непотрібний і обтяжливий мережевий трафік, а в разі помилок у коді можуть спричинити пошкодження операційної системи.

Снаффінг 
Техніка, що була створена для потреб адміністраторів, полягає у «прослуховуванні» усіх пакетів, що циркулюють у комп’ютерній мережі. Аналіз таких пакетів дозволяє легко виявити будь-які аномалії в функціонуванні мережі. Завдяки моніторингу роботи мережі адміністратор бачить її слабкі і сильні сторони. Снаффінг як адміністративний інструмент створює величезні діагностичні можливості. Переваги Снаффінгу також помітні хакерам. Можливість перехоплення всієї інформації, що обмінюється через мережу, є для них величезним спонуканням. Для аналізу «відстежуваних» пакетів вони створили власне програмне забезпечення, яке дозволяє виловлювати важливу інформацію, таку як паролі, номери кредитних карток чи особисті дані. Обмеження загрози, пов’язаної зі снфінгом, полягає в застосуванні безпечного з’єднання типу SSL. 

Stealware 
Stealware (з англ. «Stealing Software» – програмне забезпечення, що краде) служить для крадіжки грошей у користувачів. Модуль, що краде, стежить за всіма діями користувача в системі. Коли користувач хоче заплатити за якусь послугу через Інтернет, відповідний модуль для крадіжки активується і перенаправляє даний платіж на відповідний рахунок. В даний час модулів типу Stealware небагато, але їхня кількість швидко зростає. 

Фішинг 
Це підступне отримання конфіденційної особистої інформації, такої як паролі чи деталі кредитної картки, шляхом удавання особи, якій ці інформації терміново потрібні. Це вид атаки, заснованої на соціальному інжинірингу. Сьогодні кібершахраї можуть використовувати техніки фішингу в комерційних цілях. Популярними цілями є банки чи інтернет-аукціони. Фішер зазвичай надсилає спам великій кількості потенційних жертв, направляючи їх на сторінку в мережі, що удає з себе справжній інтернет-банк, а насправді перехоплює введені там жертвами атаки інформацію. Типовим способом є повідомлення про нібито деактивацію рахунку і необхідність повторної активації, з вказівкою усіх конфіденційних даних. Часто це також імітує сторінку банку інтернет-банку, користувач вводить усю необхідну інформацію для правильного входу, але це не відбувається, а дані, введені користувачем, отримує фішер.

Троянські коні 
Троянський кінь є комп’ютерним вірусом, хоча принцип його роботи значно відрізняється від дії традиційного вірусу. Троянський кінь не множить і не розповсюджується самостійно. Комп’ютер – жертва інфікується лише шляхом навмисного встановлення програми-переносника. Носієм може бути будь-яка програма, що встановлюється на комп’ютері. Під час установки, троянський кінь, що вбудований у код програми, інсталюється у фоновому режимі, і тому не є видимим для користувача. Дуже часто ці віруси розсилаються електронною поштою у формі заражених анімацій або зображень, хоча, мабуть, найбільш підступними видами троянських коней є програми, що представляються як антивірусні інструменти. Цілі атак троянського коня можуть бути різними, головним чином це захоплення контролю над зараженим комп’ютером або отримання збережених на ньому даних. 

Спам 
Спам – це небажане листування, що розсилається електронним шляхом у вигляді електронної пошти. Зазвичай його надсилають масово. Суть спаму полягає в розсилці великої кількості комерційних повідомлень однакового змісту невідомим особам. Не має значення зміст цих повідомлень. Спам можна порівняти з бюлетенями, що залишаються під дверима наших квартир, або які додаються до нашої кореспонденції. У більшості випадків спам використовується для комерційних цілей, електронна кореспонденція закликає нас купити певні статті або заманює виграшною подорожжю. Інколи ж спам є інструментом нападу на нас через спроби витягти конфіденційну інформацію, маскуюсь під банк або іншу установу. 

Adware 
Adware – це вид програмного забезпечення, яке у повній, функціональній версії надається безкоштовно, а його автор або виробник отримує винагороду за рекламу, яку замовляють спонсори, які зазвичай відображаються у вікні програми. Прикладами adware є, зокрема, Opera, Eudora, GetRight, Gozilla, Gadu – Gadu. Статус adware зазвичай є опціональним; користувач може відмовитися від настирливих рекламних банерів, купуючи традиційну ліцензію на використання програми. Програми цього типу часто містять приховані функції, які моніторять дії користувача; ми маємо справу зі шпигунством користувача, і статус програми з adware змінюється на spyware. 

Гібридна атака 
Гібридна атака – це словникова атака з урахуванням можливих перестановок і тактик, наприклад, перетворення паролів до говірки креакера, додавання до паролів цифр або інших неалфавітних символів.

Словникова атака 
Словникова атака – це атака, що полягає в спробі несанкціонованого входу в комп’ютерну систему без знання пароля доступу. Замість пароля підставляються чергові слова, що містяться у файлі – словнику. Файл – словник може містити навіть до кількох тисяч слів. Чим він більший, тим більше ймовірність того, що буде підібрано правильний пароль. Основна методика захисту від атаки – це часта зміна паролів. Важливо, щоб використовувані паролі не були простими словами, що містяться в словнику, наприклад, дім, велосипед тощо. Адміністратор системи повинен змусити користувачів змінювати пароль, наприклад, раз на місяць. Добрим рішенням є введення до паролів великих і малих літер та нестандартних символів типу %#@.

Peer-to-Peer (P2P) – це модель комунікації в мережі, наприклад, в Інтернеті, між користувачами, у якій кожен із користувачів має рівні права. Найчастіше зустрічається модель P2P, коли програми служать для обміну файлами в Інтернеті, де кожен з користувачів виконує роль сервера – джерела завантажуваних файлів та клієнта – користувача, що завантажує файли з інших джерел-клієнтів. Обмін даними в моделі P2P відбувається завжди без участі центрального сервера. Крім того, модель P2P є структурою, що характеризується великою мінливістю, оскільки залежить від того, скільки користувачів у даний момент онлайн.