Jak to robić bezpiecznie

Kluczowym momentem dokonywania transakcji w banku przez Internet jest autoryzacja, czyli potwierdzenie, że zlecający przelew lub inną operację jest tym za kogo się podaje i ma odpowiednie uprawnienia. Nie ma sposobów gwarantujących 100 proc. bezpieczeństwa. Dlatego duże zagrożenie dla bezpieczeństwa transakcji – zawsze – stanowi nieuwaga lub niefrasobliwość użytkownika. Polscy przedsiębiorcy coraz chętniej korzystają z bankowości elektronicznej i na szczęście są też coraz bardziej świadomi związanych z tym zasad.

– Najwyższe bezpieczeństwo to nasz priorytet. Słowo to dla nas oznacza znacznie więcej niż dbałość o życie i zdrowie pracowników oraz turystów. Pamiętamy o nim w każdym aspekcie naszej działalności, także jeśli chodzi o bankowość elektroniczną. Korzystamy z niej od lat, doceniając fantastyczne możliwości „wirtualnego” oddziału, ale zawsze towarzyszy nam świadomość, że to my – użytkownicy nasze nawyki, zachowania i postawy w największym stopniu decydują o bezpieczeństwie stosowanych technologii – opowiada Elżbieta Szumska, właścicielka Kopalni Złoty Stok. Kluczowy moment zlecania transakcji to jej autoryzacja – czyli potwierdzenie poprawności danych i zaakceptowanie – najczęściej za pomocą jednorazowego kodu. Firmy korzystające z bankowości elektronicznej mają możliwość wyboru różnych metod autoryzacji.

Najpopularniejszą obecnie metodą autoryzacji transakcji jest kod SMS. Po zdefiniowaniu żądania np. przelewu, klient otrzymuje SMS na telefon komórkowy z jednorazowym kodem. I tu następuje kluczowy moment: sprawdzenie czy dane z SMS zgadzają się z treścią operacji, którą klient chciał przeprowadzić. Jest to kluczowe dla dokonania bezpiecznej transakcji. – SMS-y zawierają podstawowe informacje o aktualnie wykonywanej operacji: datę, nazwę operacji, kwotę i 6-cyfrowy kod do wprowadzenia w systemie. Należy więc sprawdzić, czy treść SMS-a zgadza się z opisem wykonywanej transakcji, czy zgadzają się dane konta, na które przelewu dokonujemy– informuje Konrad Czarnecki z Biura Bankowości Zdalnej w PKO Bank Polski.

Złośliwe oprogramowanie rozsyłane przez cyberprzestępców i trafiające na niewystarczająco zabezpieczone komputery może bowiem np. zmienić w ostatniej chwili numer konta, na który zamierzamy dokonać przelewu, a także jego kwotę. Na ekranie monitora wszystko może wyglądać w porządku, ale już na SMS – zupełnie inaczej.

Trzeba również zwracać uwagę na sytuację, w której nie otrzymujemy SMS-a z hasłem. Może to być sygnał, że nasz telefon został przejęty przez przestępców, do którego trafiają jednorazowe hasła. Wówczas trzeba szybko skontaktować się z bankiem. Jedną ze starszych, ale wciąż popularnych metod potwierdzania są karty zdrapki lub papierowe listy (nośniki jednorazowych haseł do zdrapywania). Każda operacja wymaga wpisania kolejnego hasła. Wiele banków oferuje klientom również tzw. token sprzętowy, czyli autoryzację przy pomocy specjalnego urządzenia generującego jednorazowe hasła.

Jednym z nowocześniejszych rozwiązań jest token w postaci aplikacji na telefon. Łączy on zalety haseł SMS i tokenu. Służy on tak do weryfikacji transakcji, jak i wzmocnienia bezpieczeństwa logowania. Dostęp takiej aplikacji chroniony jest indywidualnym kodem PIN. Podanie błędnego PIN skutkuje generowaniem przez token nieprawidłowych haseł, którymi nie da się potwierdzić żadnej operacji. Dobry zwyczaj, nie pożyczaj Szczególnie w mniejszych firmach panuje zwyczaj scentralizowania uprawnień do przelewów u jednej osoby (szefa, właściciela). Gdy dochodzi do sytuacji awaryjnej i z powodu choroby lub innego losowego wydarzenia dotychczasowy wykonujący przelewy nie może obsługiwać konta, ad hoc jest robiona prowizorka. To są właśnie niebezpieczne sytuacje. Lepiej zawczasu mieć przygotowany plan awaryjny i wydzielony dostęp do kont lub części transakcji wśród pracowników lub księgowości. W niektórych firmach przelewy powyżej pewnej wysokości zależą od złożenia np. autoryzacji przez dwie upoważnione osoby. Należy przeprowadzać szkolenia pracowników wykonujących operacje bankowe, ale i innych osób, których nieostrożność mogłaby doprowadzić do przeniknięcia przestępców do firmowej sieci. Im większa świadomość zagrożenia, tym mniejsze szanse złodzieja. Ponieważ efektowne włamania na e-konta, to w skali milionów użytkowników rzadkość, ludzie zapominają o zasadach bezpieczeństwa. Podkreślać należy wagę korzystania z bezpiecznego, zaufanego sprzętu komputerowego, który jest chroniony przez programy antywirusowe i antywłamaniowe. Idealną sytuacją jest specjalny komputer w firmie służący tylko do wykonywania transakcji w Internecie, a nie do innych celów jak sprawdzanie poczty czy wyszukiwanie informacji.

Osoby przejmujące kompetencje do przelewów „w biegu”, czasem z wykorzystaniem cudzych haseł stanowią idealny cel ataku złodzieja, mogą tez najzwyczajniej w świecie popełnić pomyłkę. Właśnie kryzysowe, niespodziewane sytuacje, powodują, że ludzie łamią zasady bezpieczeństwa. – Jedną z nich jest nieudostępnianie narzędzi autoryzacyjnych osobom trzecim. Narzędzia wykorzystywane są przy wszelkich dyspozycjach finansowych oraz w podstawowych czynnościach związanych z bezpieczeństwem. Metoda autoryzacyjna jest przypisana tylko do jednego klienta. Jeśli firmą zarządza dwóch właścicieli, to ważne, by każdy z nich miał swoje narzędzie autoryzacyjne – podkreśla Konrad Czarnecki z PKO Banku Polskiego. Najważniejsze, aby pamiętać, że utrata karty kodów lub telefonu musi skutkować natychmiastowym skontaktowaniem się bankiem i zablokowaniem ewentualnych transakcji. Myślenie życzeniowe, że zguba może się znaleźć i nie ma sensu utrudniać sobie życia, może bardzo dużo kosztować.

 

Zasady potwierdzania transakcji

1. Jeżeli korzystasz z autoryzacji transakcji przy pomocy kodów SMS – zawsze sprawdzaj w ich treści dane operacji.

2. Zwróć uwagę, gdzie podajesz kody z narzędzia autoryzacyjnego – służą one głównie do potwierdzania transakcji, jeśli zobaczysz nietypowy komunikat z prośbą o ich podanie, zachowaj ostrożność.

3. Korzystaj tylko z zaufanych i sprawdzonych komputerów.

4. Nie udostępniaj nikomu swoich danych logowania – nawet zaufanemu współpracownikowi czy członkowi rodziny.

5. W razie jakichkolwiek wątpliwości kontaktuj się jak najszybciej ze swoim bankiem. Więcej na temat bezpiecznego bankowania na www. bankomania.pkobp.pl

Materiał powstał przy współpracy z PKO Bankiem Polskim