Jak zabezpieczyć pieniądze na koncie – 10 najważniejszych zasad!
Bardzo popularnym i wdzięcznym tematem w ostatnich czasach stało się bezpieczeństwo naszych finansów. To, jak je zabezpieczyć, gdzie przechowywać oraz jak nie dać się okraść. Właśnie w tym artykule postanowiłem przedstawić Wam 10 najważniejszych zasad, jak nie dać się obrobić i zadbać o swoje własne pieniądze. Pokażę tutaj najczęściej stosowane ataki, jakich możemy się spodziewać – nawet te mniej znane – oraz sposoby jak się przed nimi ustrzec. Zacznijmy więc…
1. Polityka haseł
Temat wielokrotnie poruszany, wałkowany praktycznie w każdym artykule, a mimo to przez użytkowników najczęściej po prostu bagatelizowany. W obliczu olbrzymiej liczby wycieków i ataków na znane serwisy internetowe – również rządowe – trudno nie wspomnieć o tak ważnym zagadnieniu. M.in. ogromny wyciek danych z ponad 5mln serwisów internetowych korzystających z usługi Cloudflare, wcześniejszy głośny wyciek setek tysięcy haseł z Yahoo (skrzynki mailowej na której mogło być zarejestrowane nasze konto bankowe), Sony, Linkedin, last.fm, czy wielu innych portali.
Nie istnieją w sieci strony w pełni bezpieczne i wolne od luk bezpieczeństwa, a najprostsze ataki typu SQL injection niestety są codziennością. Z tego też powodu powinniśmy zadbać o swoje hasła – nie tylko pamiętając o ich długości, trudności, ale również odmienności dla każdej witryny oraz przede wszystkim, zmienianiu ich co jakiś czas. Trudne hasło to takie, które składa się z kilkunastu znaków (małych, dużych liter, cyfr i znaków specjalnych), nie zawiera w sobie naszego imienia, nazwiska, imienia dziecka, psa, daty urodzenia, innych łatwo dostępnych danych, które pozyskać można m.in. z mediów społecznościowych lub od znajomych.
Niewiele osób zdaje sobie sprawę z tego, że mimo, iż na serwerach nasze hasła przechowywane są w postaci zaszyfrowanej (najczęściej przy pomocy hashy MD5), to „złamanie” krótkiego hasła np. metodą bruteforce (wpisywania przez komputer kolejnych haseł z listy) trwa od kilku sekund, do godziny czasu. W przypadku trudniejszych haseł w Internecie dostępne są gotowe do pobrania dla każdego bazy, tzw. rainbow tables, a nawet gotowe serwisy, dzięki którym pozyskując z atakowanej strony odpowiedni hash z zakodowanym HASŁEM NAWET DO 12 ZRÓŻNICOWANYCH ZNAKÓW, możemy rozszyfrować je w nie dłużej, niż 5 minut – nie posiadając najmniejszej wiedzy w tym zakresie (obojętnie jaką znaną metodą by nie były szyfrowane). Używając więc prostego lub tego samego hasła do większej ilości kont ułatwiamy pracę złodziejowi, który wykradając nasze hasło z małego sklepiku internetowego zyskuje jednocześnie dostęp do naszego maila, a zaraz z nim poprzez hasło lub jego przypomnienie do naszego banku.
Wystrzegajmy się również wszelkiego rodzaju logowań opartych na tzw. łączeniu punktów oferowanym przez wiele aplikacji (m.in. banki, czy systemy operacyjne), gdyż najczęściej są one bardzo proste do odgadnięcia, a na pewno prostsze, niż hasło złożone z 16 zróżnicowanych znaków!
2. Ochrona kart – czyli kody CVV i CVC
Każdy z nas wie, że wkładając kartę do bankomatu, ktoś przez zamieszczone na nim specjalnie spreparowane urządzenie może sczytać jej dane i wykorzystać je do włamania. Czy wiemy jednak, czym jest kod CVV, CVV2, CVC2 lub CID? A jeżeli wiemy, to czy dbamy wystarczająco dobrze o to, by nie wyciekł on dalej? Wyżej wymienione kody są to 3-4 cyfrowe kody weryfikacyjne, służące uwierzytelnieniu naszej transakcji. By dokonać za nas płatności kartą, nie jest wymagane jej posiadanie, a jedynie znajomość numeru, daty ważności oraz powyższego 3-4 cyfrowego klucza znajdującego się na jej odwrocie. Pytanie więc, czy zdajemy sobie z tego sprawę za każdym razem, wpisując dane naszej karty przy zakupach w chińskich sklepach internetowych, wymachując nią przy kasie, gdy każdy może nagrać to, co na niej widnieje zwykłym aparatem w telefonie lub – o zgrozo – chcąc komuś pomóc. Jak kobieta, która po znalezieniu na drodze czyjejś karty płatniczej – chcąc odszukać właściciela – wrzuciła do Internetu ładne zdjęcia zawierające jej przód oraz tył. Sytuacja sprzed kilku dni.
Najlepszą metodą w takim wypadku jest zapamiętanie lub zapisanie sobie tego kodu (nie na karteczce w portfelu) i zdrapanie go z karty. Mamy wtedy pewność, że nikt go nie podpatrzy, nie zeskanuje go wkładając kartę do interfejsu w sklepie, czy wprost nie zrobi nam zdjęcia stojąc za nami w kolejce. Numery te są swojego rodzaju PINem, a czy trzymamy swoje PINy razem z kartami? Mam nadzieję, że nie… Gdy natomiast przypadkiem zgubimy kartę, będziemy mieli więcej czasu na jej zablokowania. Możemy go też zakleić naklejką, lecz wtedy nie ochroni nas to, jeżeli zgubimy naszą kartę, bo naklejkę każdy może sobie odkleić.
Jednak jak pokazuje praktyka, do przelania pieniędzy z konta nie potrzebne nam są wszystkie te dane, wystarczy jedynie, że ktoś pozna wytłoczony na karcie numer i już pojawia się zagrożenie. W sieci powstały już specjalne skrypty, które wykorzystując wcześniej wspomnianą metodę bruteforce na podstawie przykładowej transakcji, wklejając ciągle ten sam numer karty i kolejne, wygenerowane daty ważności/kody jest w stanie w kilka sekund uzupełnić brakujące informacje. Do tego potrzebna jest już jakaś wiedza, lecz powinniśmy nie tylko dbać o kod CVV, ale również i sam numer karty. Dobrą praktyką jest nie przekazywanie jej nikomu do rąk i nie udostępnianie wszędzie jej numeru, a przede wszystkim nie pozostawiania jej danych w wielu sklepach on-line, bo o ile nawet te nas nie okradną, o tyle ktoś może im wykraść te dane. Zdecydowanie lepszym sposobem jest dokonywanie płatności przy pomocy systemu bankowego, unikając pośredników oraz archiwizowania naszych kart. Na rynku za grosze dostępne są całe bazy skradzionych kart, łącznie z całą ich zawartością. Dla złodzieja taka karta ma niewielką wartość ok. 30-40zł, przy zakupach większej ilości nawet mniej. W przypadku kont bankowych 40-3000zł – zależnie od ich zawartości i są one sprzedawane masowo, dlatego wiele osób pada ofiarą m.in. phishingu. Teoretycznie, gdy dochodzi do nieuprawnionej płatności bez użycia PIN, bank bierze odpowiedzialność na siebie, jednak z życia wiem, że czasami egzekwowanie tego może być problematyczne i czasochłonne, dlatego lepiej zadbać o to, by do tego nie musiało dochodzić.
3. 3-D Secure
Modny temat dodatkowych (a moim zdaniem podstawowych) zabezpieczeń płatności internetowych. W przypadku normalnych płatności kartą w Internecie nie jesteśmy nigdy proszeni o podanie kodu SMS lub jakiegokolwiek uwierzytelnienia transakcji, przez co, by dokonać za nas płatności nawet nie posiadając karty wystarczy sam numer, kod CVV i jej data ważności. Po wdrożeniu metody 3-D Secure dochodzą dodatkowe zabezpieczenia w postaci konieczności przepisania na stronie sklepu kodu SMS wysłanego przez bank, ale niestety i to rozwiązanie ma swoje minusy, gdyż jak czytamy na stronach banku, samo zabezpieczenie zależne jest tylko i wyłącznie od sklepu: „Dodatkowa weryfikacja 3-D Secure zależy od wielu czynników m.in. od sklepu internetowego. W niektórych przypadkach potwierdzenie hasłem SMS nie będzie wymagane”. Dlatego jeżeli napastnik natrafi na sklep korzystający ze starej metody zapłaty, to skorzysta z niej bez problemu. Zawsze jednak jest to jakieś zabezpieczenie – szkoda, że nie wymuszone domyślnie przez instytucje.
Rozwiązanie to pozwala w niektórych bankach w aplikacji zastąpić zwykłe hasło danymi biometrycznymi w postaci odcisku palca, jednak przy rozwoju technologii fotograficznej i bardzo dużej dokładności zdjęć uważać musimy, jak pozujemy do zdjęć, komu pozujemy oraz czy ktoś nie robi nam zdjęcia naszych dłoni w czasie, gdy stoimy w kolejce, a już tym bardziej, jakie zdjęcia wrzucamy do sieci. Bo nawet takie zdjęcie może posłużyć skradzeniu naszej tożsamości. O ile machanie, czy znak victoria są mało spotykane w naszym kraju, o tyle podczas wyjazdów do USA, czy Japonii dużo częściej możemy skusić się na podobne odbitki.
4. Subkonta, dodatkowe rachunki
Wiedząc jak łatwo stracić pieniądze z karty, dobrą praktyką poza pilnowaniem jej danych jest także stosowanie subkont, czy inaczej zwanych dodatkowych rachunków niepowiązanych z kartą w ramach naszego konta. Mając do konta w banku przypisany osobny rachunek na nasze fundusze i osobny na płatności kartą, zmniejszamy ryzyko utraty wszystkich pieniędzy. Trzymając na subkoncie przynależącym do karty jedynie drobne sumy na bieżące wydatki lub przelewając je tam bezpośrednio przed dokonaniem przelewu, w przypadku wykradzenia danych karty ryzykujemy tylko tym, co się tam znajduje. W końcu, jeżeli trzymamy już jakieś pieniądze na koncie, to nigdy nie są one w całości przeznaczone na bieżące transakcje. Po co więc ryzykować wszystkim, nawet tym, co nie jest w obiegu?
5. Dbanie o swoje dane
Jak wcześniej wspomniałem, do okradzenia naszego konta nie trzeba wiele, starczy numer karty, a jak pokazały ostatnie wydarzenia – w przypadku jednego z dużych banków – nawet sam numer rachunku. Znając go, napastnik wykorzystał pewną lukę w procedurach bankowych, która zezwalała na telefoniczne zamknięcie rachunku, bez konieczności potwierdzenia tego działania przy pomocy kodu SMS – znając po prostu odpowiedzi na kilka prostych pytań. A w obecnych czasach odpowiedzi te znajdują się na portalach społecznościowych, gdzie z zadowoleniem chwalimy się zdjęciami z rodziną, naszymi pupilami, czy nawet imprezami w okolicach domu. W taki sposób bardzo łatwo jest pozyskać nazwisko panieńskie matki, imię naszego pupila, czy chociażby adres domowy. Właśnie w ten sposób złodziej nie tylko zamknął konto ofiary bez jej wiedzy, ale również przelał sobie jej pieniądze – bo gdzieś w końcu musiały one trafić. I zapewniam Was, że w wielu instytucjach jest jeszcze więcej smaczków, gdzie nawet dobrego socjotechnika nie trzeba, by pozyskać dostęp do naszego kapitału. Uważajmy więc, gdzie udostępniamy swój numer konta oraz dane o sobie, które nie tylko mogą pomóc we włamaniu się na nasz rachunek, ale również na maila, z którego już uzyskanie dostępu do konta nie jest takie trudne.
Innym ostatnio modnym przykładem kradzieży, jest po prostu zawieranie kredytów na podstawie skanu dowodu osobistego. I tak, są przypadki, w których posiadając jedynie informacje zawarte na dowodzie jesteśmy w stanie wziąć kredyt, nawet nie zjawiając się w punkcie. Z tego też powodu powinniśmy uważać, komu pozwalamy zeskanować nasz dowód. Zgodnie z prawem nie ma takiej instytucji, która mogłaby żądać od nas takiej czynności. Wielu o tym nie wie i myśli, że gdy operator sieci komórkowej lub inna firma wymaga od nas skanu dowodu do umowy, to ma ku temu największe prawo jako zabezpieczenie – nic bardziej mylnego.
6. Niebezpieczne płatności zbliżeniowe
Legendy miejskie o tym, jak można szybko stracić pieniądze z kart zbliżeniowych słyszał już chyba każdy. Nie będą to duże sumy, zazwyczaj ograniczające się do 100zł (wcześniej 50zł), w niewielkiej ilości transakcji tego typu w ciągu dnia, jednak nadal będą to nasze pieniądze. Bardzo często o zaistnieniu takich wpłat – jak o wszystkich innych płatnościach off-line – dowiadujemy się z opóźnieniem, a teoretycznie nie trzeba wiele, by zostać okradzionym w ten sposób. Starczy jedna osoba, która przejdzie przez autobus lub sklep z ukrytym, specjalnie ustawionym czytnikiem w torbie i już może się okazać, że nasze konto zostało obciążone. W rzeczywistości jednak takie sytuacje są bardzo mało prawdopodobne z racji tego, iż każdy z terminali jest rejestrowany na konkretną firmę, pieniądze przelewane przez bank obsługujący taki terminal są z opóźnionym terminem, a każda z płatności kartą może być reklamowana procedurą chargeback, gdzie takie pieniądze od razu wracają na nasze konto. Napastnik natomiast przy wielu takich zgłoszeniach będzie miał zablokowane konto lub terminal. Istnieje oczywiście zagrożenie firm stawianych na tzw. „słupa” oraz osób okradających na małą skalę między normalnymi transakcjami. Bardziej jednak znanymi przypadkami są te, gdy terminal nie jest ukryty w torbie, lecz leży na barze, a napastnik nie ukrywa się, lecz prowadzi „legalny” biznes. Mowa tutaj np. o barach, w których zadaniem kelnera jest upić ofiarę (często dorzucając coś do drinka), a następnie pozyskaną od niej kartą przeprowadzić cały szereg nieautoryzowanych transakcji, po całej sytuacji usprawiedliwiając się, że właśnie tyle dana osoba wypiła. Mimo iż nie jesteśmy osobami korzystającymi z takich miejsc, a szansa na złodzieja z terminalem w komunikacji miejskiej jest bardzo niska, to warto jednak być świadomym istnienia takiego zagrożenia.
W dawnych czasach popularnym sposobem zapobiegawczym było prześwietlanie karty w poszukiwaniu anteny odpowiadającej za tego typu transakcje i przecinanie jej nożykiem. Z jednej strony chroniło to ludzi przed takimi wypadkami jak wyżej, jednak w przypadku zgubienia karty bardzo łatwo było połączyć antenę, przywracając ją do pierwotnej funkcjonalności. Od jakiegoś czasu jednak niektóre banki udostępniają na karcie możliwość wyłączenia płatności zbliżeniowych. Zazwyczaj wymaga to telefonu do banku oraz przejścia odpowiedniej procedury zaktualizowania chipu na karcie poprzez jednokrotne włożenie jej np. do czytnika w bankomacie. Bez fizycznego kontaktu niestety nie ma możliwości aktualizacji jego zawartości. Część banków oferuje także możliwość ograniczenia limitu dziennego do 0zł, co działa w podobny sposób. Warto wtedy przy okazji zmniejszyć również limity do innych rodzajów transakcji – podwyższając je jedynie, gdy spodziewamy się większych zakupów. Jeżeli jednak nie chcemy rezygnować zupełnie z możliwości płacenia zbliżeniowego, a planujemy uchronić się przed przypadkowymi płatnościami (nie związanymi z jej utratą), to prostym trikiem może być zawinęcie kartę w folię aluminiową lub specjalne etui uniemożliwiające odczytanie z niej danych na odległość. Takie rozwiązanie działa jak swoista klatka Faradaya, blokując komunikację z naszą kartą. Proste rozwiązanie, które praktycznie nic nas nie kosztuje, a zwiększa nasze bezpieczeństwo.
7. Niebezpieczeństwo socialmedia
Bardzo częstym jest łączenie wszystkich naszych kont z mediami społecznościowymi, czy różnego rodzaju pośredniczącymi serwisami ułatwiającymi płatności, kuszącymi nas różnymi promocjami, gdy dokonamy transakcji dzięki ich stronie, aplikacji. Czy jednak takie ułatwienie nie jest przypadkiem ułatwieniem również dla złodzieja? Otóż im więcej serwisów ma możliwość zarządzania naszymi środkami, a nawet bez konkretnej autoryzacji dokonywania transakcji, tym większe niebezpieczeństwo, że ktoś nie włamie się bezpośrednio do naszego rachunku, ale po prostu do jednego z połączonych kont, wynajdując tam lukę, z której nie mógłby skorzystać np. w przypadku banku. A włamania na konta portali społecznościowych wcale nie są taką rzadkością – o czym często możecie się przekonać śledząc swoje ściany Facebookowe oraz te, należące do Waszych znajomych, bogatych w różnego rodzaju zainfekowane linki rozsyłane przez nich. Od niedawna plaga ta rozrasta się jeszcze bardziej. By paść ofiarą nie musimy już klikać w zainfekowany link, obrazek na ścianie Facebooka lub w wiadomości prywatnej. Starczy, że będziemy chcieli pomóc naszemu przyjacielowi, który za pośrednictwem Messengera poprosi nas o przelanie kilku zł na swoje konto przy pomocy znanych portali transakcyjnych (w rzeczywistości spreparowanych stron udających je, wysłanych przez napastnika, który włamał się na jego konto), by logując się tam przekazać dane naszego konta złodziejowi. To przykład sprzed kilku dni.
Zastanówmy się więc, komu dajemy dostęp do naszych usług bankowych, bo im więcej osób go otrzyma, tym większa szansa na wystąpienie zagrożenia. Uważajmy też na co klikamy w Internecie i komu podajemy nasze dane. Bo czasami nawet strona wyglądająca jak witryna naszego banku może być tą spreparowaną – ba! Nawet sam portal banku może paść ofiarą banku i zbierać nasze dane dla złodzieja. W tym ostatnim przypadku niewiele będziemy mogli zrobić, jednak w każdym innym sprawdzajmy, czy adres strony banku rzeczywiście się zgadza i nie jest tylko podobny oraz czy strona łączy się przy pomocy bezpiecznego połączenia.
8. Dywersyfikacja środków bezgotówkowych
Poza stosowaniem wcześniej wspomnianych subkont, warto również rozdzielić swoje dobra na kilka kont lub banków, np. dwa. Wtedy w wypadku kradzieży środków z jednego, wiedząc, że wyjaśnianie takich spraw może zająć dużo czasu (czasami realizacja przez sam bank to około 180 dni, a sądownie nawet kilka lat), nie zostajemy bez jakichkolwiek środków do życia. W przypadku większych sum, rozdzielenie ma dodatkowy atut, gdyż w przypadku upadłości banku, Bankowy Fundusz Gwarancyjny zapewnia nam jedynie zwrot do €100tys., więc trzymając w jednym banku większą ilość pieniędzy ryzykujemy utratę ich części. Co mimo, iż sektor bankowy jest zwykle bardzo chroniony przez państwa, by nie zaburzyć gospodarki, to w historii miało już miejsca.
9. Dywersyfikacja funduszy gotówkowych
Pomijając rozdział środków na kilka banków, warto pomyśleć także o dywersyfikacji swoich funduszy nie tylko bezgotówkowo, ale również ucząc się na przykładzie Grecji, pozostawieniu części w postaci gotówki (we własnej lub obcej walucie) oraz często w postaci rzeczowej, np. złota – nie koniecznie w sztabkach, bo te z czasem mogą być kłopotliwe w wymianie na gorsze czasy, ale biżuterii, monet, dzieł sztuki. Przykład Grecji bardzo świetnie pokazuje nam, jak nie tylko włamywacz może pozbawić nas wszystkich pieniędzy lub ograniczyć dostęp do nich, ale również państwo w dobie kryzysu.
10. Logowanie z czystego urządzenia
Na koniec rzecz, która właściwie powinna być na samym początku, czyli logowanie się do banku z czystego, niezawirusowanego komputera, do którego mamy pewność, że nie znajduje się tam nic, co mogłoby nam zaszkodzić. Kolejną znaną rzeczą jest korzystanie z płatności mobilnych, przy pomocy telefonów komórkowych. Wiele serwisów i banków namawia nas do tego. Pamiętajmy jednak o tym, że są to urządzenia podatne na kradzież, a także nie są one wolne od złośliwego oprogramowania. Patrząc na wzrost popularności mobilnych technologii oraz płatności mobilnych, właśnie w tą stronę zaczynają się kierować potencjalni złodzieje. Ostatnio telefony wyposażone są również w antenki umożliwiające przeprowadzanie transakcji bezdotykowych podobnych, jak w przypadku kart bezdotykowych – co wiąże się z takim samym ryzykiem, jak w ich przypadku. No i tak, jak wspominałem wcześniej, uważajmy co klikamy oraz gdzie wchodzimy. To, jak zabezpieczyć nasz komputer przed atakiem wspominałem już w jednym ze wcześniejszych wpisów.
Podsumowując, nic nie ustrzeże nas w stu procentach przed zagrożeniem. Jest jednak wiele sposobów, by ograniczyć to ryzyko, a większość z nich jak pokazuje powyższy tekst, opiera się głównie na jednej zasadzie. Zdrowym rozsądku i uważaniu na to, co robimy, komu podajemy nasze dane świadomie lub nie oraz gdzie wchodzimy. Pamiętajmy, nie ma zabezpieczeń doskonałych nie do obejścia, nie ma zabezpieczeń bez luk. Zawsze znajdzie się jakiś sposób, nie pozostawiajmy więc naszego bezpieczeństwa w rękach innych, zadbajmy przynajmniej o podstawy! Pomyślmy o tym co robimy, jeszcze zanim to zrobimy! No i czytajmy regulaminy oraz sprawdzajmy wyciągi. Zmiany w regulaminach banku zmieniają się bardzo szybko, dlatego bardzo często może się okazać, że zaczynamy płacić za coś, co wcześniej miało być darmowe, a tego byśmy chyba nie chcieli? Tak więc bezpiecznego użytkowania kont!
Autor: Daniel 'zoNE’ Gabryś