Bezpieczeństwo operacji bankowych w Internecie
opublikowano: 26-10-2005, 00:00
"Banki prowadzące rachunki internetowe tak starają się zabezpieczyć je od strony technologicznej, aby nie było włamań na rachunki klientów" - zapewnia Elżbieta Oleszczuk, sekretarz Rady Bankowości Elektronicznej Związku Banków Polskich.
Wszystkie aplikacje do obsługi internetowych rachunków bankowych są tak skonstruowane, żeby klient logując się nie widział całego systemu bankowego, a jedynie część związaną ze swoimi danymi. "Jeśli u dołu okna przeglądarki wyświetla się zamknięta kłódka, oznacza to, że bank korzysta z systemów szyfrowania zapewniających bezpieczną transmisję danych" - wyjaśnia E. Oleszczuk.
Hasła, szyfry, tokeny
W systemie elektronicznym - podobnie jak w tradycyjnym oddziale banku - klient, żeby uzyskać dostęp do rachunku, musi poddać się procedurze uwierzytelniania. Jego dowodem tożsamości jest identyfikator i hasło. Bardzo często jest tak, że pierwsze hasło jest nadawane przez bank z opcją wymuszającą jego natychmiastową zmianę w czasie pierwszego logowania do systemu, na takie hasło, które jest znane tylko klientowi. Są banki, które po podaniu hasła od razu udostępniają rachunek klientowi. W celu uwierzytelnienia użytkownika i przeprowadzanej przez niego operacji coraz częściej wprowadzany jest jednak jeszcze jeden próg weryfikacji. Rozwiązania stosowane przez banki są różne: od klucza prywatnego, przechowywanego na dyskietce lub karcie chipowej, poprzez listę haseł jednorazowych (np. wydrukowanych lub w formie zafoliowanej ?zdrapki"), do urządzenia elektronicznego o nazwie token, które automatycznie, co kilka minut generuje określony kod liczbowy. Osoba, która chce skorzystać ze swojego konta, logując się wpisuje odczytany z tokena ciąg cyfr do okna przeglądarki. Jeśli podany kod jest zgodny z kodem generowanym przez system bankowy, rachunek zostaje udostępniony klientowi.
Bezpieczna komunikacja pomiędzy bankiem i klientem jest możliwa dzięki zastosowaniu protokołu SSL (Secure Sockets Laser), umożliwiającego uwierzytelnienie stron transmisji oraz zachowanie poufności danych pomiędzy naszym komputerem a bankowym serwerem. W tym celu wykorzystuje tzw. certyfikaty cyfrowe, potwierdzające, że dana osoba czy aplikacja bankowa jest rzeczywiście tą, za którą się podaje. W certyfikacie zawarty jest unikalny numer seryjny, tożsamość urzędu certyfikacji (wystawcy certyfikatu), okres ważności certyfikatu, identyfikator właściciela certyfikatu, klucz publiczny właściciela certyfikatu oraz podpis cyfrowy urzędu certyfikacji, potwierdzający jego autentyczność.
Duża grupa banków prowadzi audyt elektroniczny, umożliwiający niezależne monitorowanie i kontrolowanie poprawności wszystkich operacji przeprowadzanych za pomocą Internetu.
Ostrożność w sieci
"Niestety, mimo najlepszych chęci i zabezpieczeń stosowanych przez bank, nieostrożność użytkownika rachunku elektronicznego lub jego nieumiejętność posługiwania się narzędziami systemu, powodują, że czasami klienci są narażeni na pewne straty" - przyznaje E. Oleszczuk.
Jej zdaniem, właściciele kont bankowych online często, być może z powodu pośpiechu, zapominają o zachowaniu nawet podstawowych zasad bezpieczeństwa. Zdarza się, że zostawiają identyfikatory i hasła w widocznym miejscu przy komputerze. Dokonują operacji w kawiarenkach internetowych albo udostępniają nierozważnie swój osobisty komputer dzieciom lub znajomym. "Poważnym błędem jest też nieznajomość narzędzia, którym się posługujemy czy beztroskie akceptowanie domyślnych propozycji aplikacji. System Windows często pyta, czy zapamiętać identyfikator, czy zapamiętać hasło na następną sesję. Nieumiejętność odczytania tych pytań lub ich ignorowanie i bezmyślne wybieranie odpowiedzi TAK lub OK skutkuje tym, że osoba niepowołana bardzo łatwo może uzyskać swobodne dojście do naszego konta - zwraca uwagę E. Oleszczuk. - Bardzo często zamykamy po prostu okno, w którym wykonywaliśmy operację ("klikamy w krzyżyk"). To nie powinno mieć miejsca w aplikacjach dających nam dostęp do rachunku internetowego. Kończąc każdą sesję bezwzględnie należy wylogować się".
Nie daj się hakerom!
Nie wolno także zapominać, że hakerzy coraz częściej sięgają po wyrafinowane metody włamywania się do systemów. Jedną z nich jest wysyłanie do osób posiadających rachunek internetowy e-maila z logo na pierwszy rzut oka bardzo podobnym czy nawet identycznym jak logo konkretnego banku, z pytaniem o aktualne dane czy z prośbą o ich potwierdzenie. Taki mail jest kierowany na fałszywą stronę internetową, wyglądającą jak strona banku i za jej pomocą hakerzy wyłudzają informacje o identyfikatorze i haśle. Najczęściej tłumaczą, że z jakichś powodów jest sprawdzany system albo że była awaria systemu i bank musi odtworzyć dane.
"Pamiętajmy, że banki nigdy takich informacji nie żądają. Nigdy nie proszą też o podanie hasła. Takie zapytanie powinno wzbudzić naszą nieufność i skłonić do natychmiastowego kontaktu z bankiem standardowymi kanałami" - tłumaczy E. Oleszczuk.
Miesięcznik Chip rekomenduje
Wszystkie banki w Polsce oferujące konta internetowe zapewniają, że stosują sprawdzone procedury i systemy zabezpieczeń, skutecznie chroniące internetowe konta przed intruzem. Jak wynika z raportu o zabezpieczeniach kont bankowych online w Polsce, opublikowanego przez branżowe pismo Chip w grudniu 2004 r., najlepiej radzi sobie z tym Bank Zachodni WBK. Dzięki wykorzystaniu smsKodów włamanie na konta prowadzone przez ten bank jest - w opinii Chipa - prawie niemożliwe.
Przeglądowi poddano systemy zabezpieczeń dla 18 kont internetowych oferowanych przez banki w Polsce. Oceniano odporność systemów na przechwycenia hasła za pośrednictwem specjalnego oprogramowania śledzącego działania użytkownika komputera (tzw. koni trojańskich), fałszywej przeglądarki lub ataku na protokół SSL, uznawany za bezpieczny kanał do przesyłania danych. Pod uwagę brano także poziom zabezpieczenia przy logowaniu do systemu i sposób zabezpieczeń wykonywania transakcji.
W czołówce stworzonego w ten sposób rankingu banków oferujących najlepiej zabezpieczone konta internetowe znalazły się także Nordea (konto z tokenem lub z listą jednorazowych haseł, o które system pyta w trakcie logowania i w czasie autoryzacji transakcji) oraz BGŻ (konto z tokenem).
Żelazne zasady bankowości online
1. -Stosuj w swoim komputerze aktualne programy antywirusowe i zabezpieczenia komunikacji internetowej (firewall).
2. -Instaluj na bieżąco aktualizacje systemu operacyjnego.
3. -Do przeprowadzenia sesji korzystaj z jednego, sprawdzonego komputera, nie udostępniaj go rodzinie, dzieciom lub znajomym. Unikaj przeprowadzania elektronicznych operacji bankowych w miejscach ogólnodostępnych, np. w kawiarenkach internetowych, w pracy.
4. -Nie podawaj nikomu swojego identyfikatora i haseł, nie trzymaj ich w miejscu łatwo dostępnym dla osób trzecich.
5. -Nie odpowiadaj na e-maile z prośbą o aktualizację twoich danych identyfikacyjnych, natychmiast informuj o nich swój bank. Sam też nie przesyłaj e-mailem takich informacji.
6. -Przestrzegaj instrukcji banku. Przed zalogowaniem upewnij się, że połączenie jest szyfrowane ważnym certyfikatem. Loguj się zawsze ze strony głównej banku.
7. -Kontroluj rejestr swoich operacji i informacje o ostatnim udanym i nieudanym logowaniu do systemu.
8. -Nie korzystaj z haseł, które są kombinacją cyfr lub liter łatwych do skojarzenia z twoją osobą, np. dat urodzin twoich lub członków rodziny, imion osób bliskich.
Hasła, szyfry, tokeny
W systemie elektronicznym - podobnie jak w tradycyjnym oddziale banku - klient, żeby uzyskać dostęp do rachunku, musi poddać się procedurze uwierzytelniania. Jego dowodem tożsamości jest identyfikator i hasło. Bardzo często jest tak, że pierwsze hasło jest nadawane przez bank z opcją wymuszającą jego natychmiastową zmianę w czasie pierwszego logowania do systemu, na takie hasło, które jest znane tylko klientowi. Są banki, które po podaniu hasła od razu udostępniają rachunek klientowi. W celu uwierzytelnienia użytkownika i przeprowadzanej przez niego operacji coraz częściej wprowadzany jest jednak jeszcze jeden próg weryfikacji. Rozwiązania stosowane przez banki są różne: od klucza prywatnego, przechowywanego na dyskietce lub karcie chipowej, poprzez listę haseł jednorazowych (np. wydrukowanych lub w formie zafoliowanej ?zdrapki"), do urządzenia elektronicznego o nazwie token, które automatycznie, co kilka minut generuje określony kod liczbowy. Osoba, która chce skorzystać ze swojego konta, logując się wpisuje odczytany z tokena ciąg cyfr do okna przeglądarki. Jeśli podany kod jest zgodny z kodem generowanym przez system bankowy, rachunek zostaje udostępniony klientowi.
Bezpieczna komunikacja pomiędzy bankiem i klientem jest możliwa dzięki zastosowaniu protokołu SSL (Secure Sockets Laser), umożliwiającego uwierzytelnienie stron transmisji oraz zachowanie poufności danych pomiędzy naszym komputerem a bankowym serwerem. W tym celu wykorzystuje tzw. certyfikaty cyfrowe, potwierdzające, że dana osoba czy aplikacja bankowa jest rzeczywiście tą, za którą się podaje. W certyfikacie zawarty jest unikalny numer seryjny, tożsamość urzędu certyfikacji (wystawcy certyfikatu), okres ważności certyfikatu, identyfikator właściciela certyfikatu, klucz publiczny właściciela certyfikatu oraz podpis cyfrowy urzędu certyfikacji, potwierdzający jego autentyczność.
Duża grupa banków prowadzi audyt elektroniczny, umożliwiający niezależne monitorowanie i kontrolowanie poprawności wszystkich operacji przeprowadzanych za pomocą Internetu.
Ostrożność w sieci
"Niestety, mimo najlepszych chęci i zabezpieczeń stosowanych przez bank, nieostrożność użytkownika rachunku elektronicznego lub jego nieumiejętność posługiwania się narzędziami systemu, powodują, że czasami klienci są narażeni na pewne straty" - przyznaje E. Oleszczuk.
Jej zdaniem, właściciele kont bankowych online często, być może z powodu pośpiechu, zapominają o zachowaniu nawet podstawowych zasad bezpieczeństwa. Zdarza się, że zostawiają identyfikatory i hasła w widocznym miejscu przy komputerze. Dokonują operacji w kawiarenkach internetowych albo udostępniają nierozważnie swój osobisty komputer dzieciom lub znajomym. "Poważnym błędem jest też nieznajomość narzędzia, którym się posługujemy czy beztroskie akceptowanie domyślnych propozycji aplikacji. System Windows często pyta, czy zapamiętać identyfikator, czy zapamiętać hasło na następną sesję. Nieumiejętność odczytania tych pytań lub ich ignorowanie i bezmyślne wybieranie odpowiedzi TAK lub OK skutkuje tym, że osoba niepowołana bardzo łatwo może uzyskać swobodne dojście do naszego konta - zwraca uwagę E. Oleszczuk. - Bardzo często zamykamy po prostu okno, w którym wykonywaliśmy operację ("klikamy w krzyżyk"). To nie powinno mieć miejsca w aplikacjach dających nam dostęp do rachunku internetowego. Kończąc każdą sesję bezwzględnie należy wylogować się".
Nie daj się hakerom!
Nie wolno także zapominać, że hakerzy coraz częściej sięgają po wyrafinowane metody włamywania się do systemów. Jedną z nich jest wysyłanie do osób posiadających rachunek internetowy e-maila z logo na pierwszy rzut oka bardzo podobnym czy nawet identycznym jak logo konkretnego banku, z pytaniem o aktualne dane czy z prośbą o ich potwierdzenie. Taki mail jest kierowany na fałszywą stronę internetową, wyglądającą jak strona banku i za jej pomocą hakerzy wyłudzają informacje o identyfikatorze i haśle. Najczęściej tłumaczą, że z jakichś powodów jest sprawdzany system albo że była awaria systemu i bank musi odtworzyć dane.
"Pamiętajmy, że banki nigdy takich informacji nie żądają. Nigdy nie proszą też o podanie hasła. Takie zapytanie powinno wzbudzić naszą nieufność i skłonić do natychmiastowego kontaktu z bankiem standardowymi kanałami" - tłumaczy E. Oleszczuk.
Miesięcznik Chip rekomenduje
Wszystkie banki w Polsce oferujące konta internetowe zapewniają, że stosują sprawdzone procedury i systemy zabezpieczeń, skutecznie chroniące internetowe konta przed intruzem. Jak wynika z raportu o zabezpieczeniach kont bankowych online w Polsce, opublikowanego przez branżowe pismo Chip w grudniu 2004 r., najlepiej radzi sobie z tym Bank Zachodni WBK. Dzięki wykorzystaniu smsKodów włamanie na konta prowadzone przez ten bank jest - w opinii Chipa - prawie niemożliwe.
Przeglądowi poddano systemy zabezpieczeń dla 18 kont internetowych oferowanych przez banki w Polsce. Oceniano odporność systemów na przechwycenia hasła za pośrednictwem specjalnego oprogramowania śledzącego działania użytkownika komputera (tzw. koni trojańskich), fałszywej przeglądarki lub ataku na protokół SSL, uznawany za bezpieczny kanał do przesyłania danych. Pod uwagę brano także poziom zabezpieczenia przy logowaniu do systemu i sposób zabezpieczeń wykonywania transakcji.
W czołówce stworzonego w ten sposób rankingu banków oferujących najlepiej zabezpieczone konta internetowe znalazły się także Nordea (konto z tokenem lub z listą jednorazowych haseł, o które system pyta w trakcie logowania i w czasie autoryzacji transakcji) oraz BGŻ (konto z tokenem).
Żelazne zasady bankowości online
1. -Stosuj w swoim komputerze aktualne programy antywirusowe i zabezpieczenia komunikacji internetowej (firewall).
2. -Instaluj na bieżąco aktualizacje systemu operacyjnego.
3. -Do przeprowadzenia sesji korzystaj z jednego, sprawdzonego komputera, nie udostępniaj go rodzinie, dzieciom lub znajomym. Unikaj przeprowadzania elektronicznych operacji bankowych w miejscach ogólnodostępnych, np. w kawiarenkach internetowych, w pracy.
4. -Nie podawaj nikomu swojego identyfikatora i haseł, nie trzymaj ich w miejscu łatwo dostępnym dla osób trzecich.
5. -Nie odpowiadaj na e-maile z prośbą o aktualizację twoich danych identyfikacyjnych, natychmiast informuj o nich swój bank. Sam też nie przesyłaj e-mailem takich informacji.
6. -Przestrzegaj instrukcji banku. Przed zalogowaniem upewnij się, że połączenie jest szyfrowane ważnym certyfikatem. Loguj się zawsze ze strony głównej banku.
7. -Kontroluj rejestr swoich operacji i informacje o ostatnim udanym i nieudanym logowaniu do systemu.
8. -Nie korzystaj z haseł, które są kombinacją cyfr lub liter łatwych do skojarzenia z twoją osobą, np. dat urodzin twoich lub członków rodziny, imion osób bliskich.
Prawo w medycynie
Newsletter przygotowywany przez radcę prawnego specjalizującego się w zagadnieniach prawa medycznego
ZAPISZ MNIE
×
Prawo w medycynie
Wysyłany raz w miesiącu
Newsletter przygotowywany przez radcę prawnego specjalizującego się w zagadnieniach prawa medycznego
ZAPISZ MNIE
Administratorem Twoich danych jest Bonnier Healthcare Polska.
Źródło: Puls Medycyny
Podpis: Ewa Szarkowska
![W Europie zanieczyszczenia powietrza powodują 800 tys. zgonów rocznie [WIDEO]](https://images.pb.pl/filtered/84b29d13-0727-4f42-8b21-de9566273376/76b0a951-3dc2-5503-975c-34480424e917_xc_l.jpg)
![Szansa na poprawę jakości życia dla pacjentów z HS [WIDEO]](https://images.pb.pl/filtered/08d54b79-36f0-499d-9e5e-731b6fdc1725/5e01a470-0cd4-51a2-9c4e-afeee2fc55b0_xc_l.png)
