Ofiarami są osoby, które otwierają strony internetowe na podstawie wyników wyszukiwania – mówi Kamil Drzymała Architekt bezpieczeństwa IT w Banku Gospodarstwa Krajowego. Obok phishingu są to najpopularniejsze metody na wyłudzenie danych do logowania – przede wszystkim użytkowników bankowości elektronicznej – dodaje.
Na czym polega takie oszustwo?
Jest ono banalne, jeżeli chodzi o wykonanie, a zarazem bardzo skuteczne. Wszystko sprowadza się do wykupienia w Google reklamy dla fałszywej strony internetowej. Taka strona swoim opisem i nazwą jest bliska prawdziwej stronie bankowości elektronicznej banku. Po wykupieniu takiej reklamy to właśnie fałszywa strona staje się pierwszą prezentowaną w wynikach wyszukiwania, a nie prawdziwa strona. W tym momencie przestępcom pozostaje już tylko czekać na potencjalne ofiary.
Co może się stać, jeżeli wejdziemy na fałszywą stronę?
Samo wejście na fałszywą stronę nie generuje jeszcze niebezpieczeństwa, dopiero od tego co na niej zrobimy spowoduje ewentualne konsekwencje. Fałszywa strona zazwyczaj będzie wiernym odwzorowaniem prawdziwej strony i patrząc na jej wygląd – poza różnicą w adresie strony – najprawdopodobniej nic nie znajdziemy. Zostaniemy tam poproszeni o podanie swoich danych logowania. Jeżeli nasz bank wykorzystuje hasła maskowane (w procesie logowania podaje się tylko wybrane litery hasła) to wtedy na pewno zostaniemy poproszeni o całe hasło. Jest to moment, kiedy jeszcze możemy wykryć oszustwo. Potencjalne oszustwo może sugerować jeszcze podejrzane działanie strony np. dłuższe niż zwykle przechodzenie procesu logowanie lub komunikaty np. „Trwa weryfikacja komputera, proszę czekać”. Z wykorzystaniem tych danych przestępcy niezwłocznie próbują uzyskać dostęp do naszego konta. Wtedy konsekwencje mogą być różne: najczęściej zależne od naszych zabezpieczeń w bankowości tj. limity transakcji, konieczność autoryzacji operacji itd.
Jak nie paść ofiarą?
Aby uchronić się przed atakiem należy wdrożyć kilka podstawowych zasad cyberhigieny:
•zawsze weryfikuj widoczny adres URL strony – czy na pewno jest to ten, którego oczekujesz, zwłaszcza jeżeli podajesz tam swoje dane np. login i hasło;
•na stronę swojej bankowości wchodź wpisując jej adres bezpośrednio w oknie przeglądarki;
W przypadku cyberataków najważniejsze są szczegóły, więc warto wypracować sobie nawyk i weryfikować adres każdej strony zanim podamy na niej swój login i hasło. Taka weryfikacja zajmie 10 sekund, a może uratować nas i nasze pieniądze.
Jak banki chronią swoich klientów przed takimi atakami?
Z punktu widzenia banku takie ataki są najbardziej niebezpieczne, jeżeli chodzi o ochronę środków klienta. W takiej sytuacji to nie bank jest atakowany, a klient i to od jego świadomości zależy to, czy da się złapać.
Banki podejmują szereg działań mających na celu zapewnienie bezpieczeństwa klientów od wdrażania najlepszych zabezpieczeń teleinformatycznych, poprzez ciągły monitoring podejrzanych sesji oraz działania takie jak edukacja i budowanie świadomości klientów w zakresie cyberzagrożeń.
Jako Bank Gospodarstwa Krajowego aktywnie angażujemy się w edukację z obszaru cyberzagrożeń. Organizujemy webinary poświęcone tej tematyce pod hasłem #CyberAkademiaBGK oraz informujemy w naszych kanałach komunikacji o cyberzagrożeniach.
>>Zapraszamy do udziału w naszych webinarach<<. Pamiętajmy, że najwięcej w zakresie bezpieczeństwa zależy od nas samych.