Bank zmieniającego się świata
Menu
Zaloguj
 
 

Kontakt

Infolinia (tylko telefony stacjonarne)

801 321 123

+48 22 134 00 00

+48 500 990 500

Infolinia czynna 24/7 (Koszt połączenia wg stawki operatora)

Bezpieczna bankowość

Bezpieczeństwo Twoich finansów
zależy również od Ciebie

Bezpieczeństwo korzystania z serwisu bankowości elektronicznej zależy od zabezpieczeń po stronie Banku i zabezpieczeń po stronie Klienta. Zabezpieczenia po stronie Banku spełniają wysokie standardy i są cyklicznie testowane oraz audytowane. Przestępcy doskonale wiedzą, że to właśnie zabezpieczenia po stronie Klienta stanowią najsłabsze ogniwo, i dlatego ich działania są ukierunkowane na ten najsłabszy punkt. Bezpieczeństwo korzystania z serwisu bankowości internetowej zależy w dużej mierze od poziomu świadomości jego użytkowników, w tym także świadomości na temat ochrony własnego komputera. Niezabezpieczony komputer jest narażony na ataki różnego rodzaju złośliwego oprogramowania, a nawet na całkowite przejęcie nad nim kontroli przez napastnika. W takiej sytuacji nietrudno sobie wyobrazić, jak dużą swobodę posiada złodziej mogący kontrolować i modyfikować zarówno numery rachunków bankowych, na które wykonujemy przelewy, jak i przelewane kwoty.

 

zabezpiecz swój komputer

Ustaw bezpieczne hasło i pin

1. Stosuj bezpieczne hasła (zgodnie z zaleceniami Banku), stosuj dodatkowe hasła do profilu na komputerze, ogranicz fizyczny dostęp dla osób niepowołanych,

2. Nigdy nikomu nie ujawniaj haseł, nie zapisuj ich ani nie przesyłaj drogą elektroniczną. Jeżeli wydaje Ci się, że ktoś mógł poznać Twoje hasła, zmień je niezwłocznie.

3. Jeżeli logujesz się za pomocą hasła maskowanego pamiętaj, że bankowi nigdy nie jest potrzebne Twoje pełne hasło, poza operacją zmiany hasła na nowe. Podawaj tylko wybrane znaki z hasła podczas logowania.

4. Jeżeli logujesz się za pomocą podpisu elektronicznego, nie udostępniaj nikomu nośnika kryptograficznego USB ani karty kryptograficznej, na której przechowywane są Twoje klucze, ani też kodu PIN do nich.

W przypadku metody logowania i autoryzacji transakcji podpisem elektronicznym, nośnik kryptograficzny (klucz USB lub karta kryptograficzna) powinny być używane wyłącznie w momencie pracy w systemie bankowości internetowej.

Przypominamy, że zarówno nośnik kryptograficzny, jak i karta kryptograficzna wymagane są tylko i wyłącznie w momencie pojawienia się okienka wyboru klucza autoryzacyjnego. Po wprowadzeniu hasła i dokonaniu operacji należy odłączyć urządzenia/usunąć kartę z czytnika.

Dlaczego jest to ważne? Zdarzają się sytuacje, w których na przykład oszuści proszą klientów banków o wpisanie swoich haseł w celu rzekomej weryfikacji iw ten sposób uzyskują oni hasła klientów, które mogą wykorzystać do logowania się na ich konta. Zdarzają się też przypadki, kiedy to dochodzi do włamania na komputer Klienta i wówczas osoba nieuprawniona może uzyskać dostęp do klucza na nośniku, który jest podłączony do komputera, a nie jest używany.

5. Wpisując identyfikator i hasło upewnij się, że nikt ich nie podpatruje.

 

Zasady tworzenia "silnego" hasła:

  • Hasła nie powinny być frazami słownikowymi (polskimi i obcojęzycznymi)
  • Hasło powinno zawierać więcej niż 7 znaków
  • Hasło nie powinno bazować na znanych danych osobowych użytkownika lub być znaną powszechnie nazwą czy identyfikatorem, jak na przykład imieniem (własnym, przyjaciela, członka rodziny itp.), nazwiskiem, nazwą (na przykład systemów, poleceń, programów, procesów itp.), nazwą organizacji lub jej struktur (działu, departamentu itp.), datą (datą urodzin, datą dobrze znanych wydarzeń historycznych itp.), adresem, numerem telefonu oraz kombinacjami wymienionych fraz
  • Hasło nie może być powtarzalną kombinacją znaków (na przykład aaabbbccc), łatwo przewidywalną sekwencją znaków (na przykład 12345, qwerty itp.) lub ich odwrotną transpozycją (np. 54321)
  • Hasło nie może być prostą kombinacją jednej ze wspomnianych fraz wraz z cyfrą na początku lub na końcu (na przykład secret1 czy 1secret)
  • Silne hasło musi zawierać kombinację zarówno małych jak i dużych liter oraz znaków specjalnych (na przykład takich jak !@#$%^&*()_+|~-=\`{}[]:";'<>?,./))

Zalecanym sposobem tworzenia silnych haseł są tzw. pass-frazy, tworzone zgodnie z następującym schematem: (1) należy opracować zdanie bazowe do pass-frazy, na przykład „Czy można stworzyć bezpieczne hasło?”, (2) należy wyróżnić w zdaniu bazowym elementy pass frazy, na przykład „Czy można stworzyć bezpieczne hasło?”, (3) należy dokonać mapowania i podmiany znaków (zmiana wielkości, znaki specjalne: Czy ->3; m ->M; s -> s; b ->B; has -> # (od hasz), ło? -> 1o?), w wyniku czego powstaje silna pass-fraza, na przykład: 3MsBez#1o?

Posługując się hasłami, użytkownicy powinni pamiętać o tym, aby:

  • nie używać takich samych haseł do uwierzytelnień we wszystkich systemach, do których się logują. Na przykład nie stosować do logowania się do banku identycznego hasła, jak hasło do systemów pocztowych czy portali społecznościowych (z portali społecznościowych czy z publicznych systemów pocztowych coraz częściej wyciekają różne informacje, zatem trzeba dbać o to, aby wyciek danych z takich systemów nie oznaczał jednocześnie ujawnienia naszego hasła do bankowości internetowej)
  • nie współdzielić hasła z innymi użytkownikami (nawet członkami rodziny)
  • nie ujawniać haseł innym osobom (w bezpośredniej rozmowie, przez telefon, w wiadomościach poczty

Ponieważ pierwszy z powyższych postulatów może być (w przypadku osób korzystających z wielu różnych usług internetowych) trudny i uciążliwy w realizacji, jako absolutne minimum należy przyjąć stosowanie różnych haseł w oddzielnych grupach usług: inne dla kont pocztowych, inne w portalach społecznościowych, a jeszcze inne (i najlepiej istotnie trudniejsze do odgadnięcia oraz szczególnie chronione) do usług bankowości internetowej.

Podstawowe zasady bezpiecznego zarządzania hasłami to:

  • Niezapamiętywanie haseł w systemach i aplikacjach, chyba że zapisywane są w specjalnie do tego celu przeznaczonej aplikacji (tzw. Password Manager, na przykład darmowy KeePass), przechowującej hasła w szyfrowanych bazach
  • Niezapisywanie haseł w postaci jawnej, możliwej do odczytania przez niepowołane osoby
  • Hasła powinny być regularnie zmieniane, przynajmniej raz na dwa miesiące. Ponadto, hasła muszą być zmienione natychmiast, w sytuacji, kiedy zachodzi prawdopodobieństwo ich ujawnienia niepowołanym osobom
  • Hasło do serwisu bankowości internetowej powinno być zmieniane nie rzadziej niż raz na miesiąc. Im bowiem dłużej wykorzystuje się to samo hasło, tym większe jest prawdopodobieństwo jego przejęcia przez złodziei. Powodem konieczności zmiany haseł są nasilające się zagrożenia dla Klientów bankowości internetowej. Pojawiają się one ze strony różnego rodzaju oprogramowania szpiegowskiego, podsłuchującego m.in. hasła i przekazującego je przestępcom. Takie przechwycone hasło może być użyte do podszycia się pod Klienta i okradzenia go nawet po upływie długiego czasu od momentu podsłuchania.

Zwróć uwagę na oprogramowanie

Pamiętaj aby podczas korzystania z bankowości internetowej twój komputer posiadał:

  • Legalny system operacyjny, stale (najlepiej automatycznie) aktualizowany udostępnianymi przez producenta poprawkami

Tylko legalne oprogramowanie pochodzi z zaufanych źródeł i upoważnia nas do korzystania z aktualizacji i poprawek bezpieczeństwa (tzw. łatek)

  • Wszystkie zalecane przez dostawców zainstalowanego na sprzęcie oprogramowania poprawki, aktualizacje czy „łatki”, ponieważ wiele z nich koryguje identyfikowane na bieżąco krytyczne podatności systemu, przez które hakerzy mogą przeprowadzić atak
  • Zainstalowana najnowsza wersja przeglądarki internetowej
  • Dobre oprogramowanie antywirusowe, a najlepiej pakiet zintegrowanych narzędzi do ochrony urządzenia, zawierający obok skanera antywirusowego dodatkowo osobistą zaporę sieciową (ang. personal firewall), system przeciwdziałania włamaniom (ang. host intrusion prevention system), oprogramowanie do badania reputacji treści WWW itp., a także na bieżąco aktualizowane bazy oprogramowania antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego

 

Ważne jest, aby łączyć się z Bankiem wyłącznie z zaufanych komputerów. W praktyce sprowadza się to do korzystania z tych komputerów, do których użytkownik ma wyłączny dostęp lub które wykorzystywane są jedynie przez niewielkie grono zaufanych osób (na przykład rodzina). Nie należy do połączeń z Bankiem używać komputerów dostępnych publicznie, na przykład w kawiarenkach internetowych. Nigdy nie wiadomo bowiem, czy taki komputer nie został wcześniej zainfekowany oprogramowaniem złośliwym wyspecjalizowanym w kradzieży poświadczeń tożsamości (loginów, haseł), kodów autoryzacyjnych i innych poufnych informacji, zapisanych w pamięci lub wprowadzanych do niego podczas połączenia z bankiem lub innymi usługodawcami.

Niezwykle istotna jest instalacja wszystkich zalecanych przez producenta systemu operacyjnego „łatek”. Często takie „łatki” zawierają poprawki dla wykrywanych w systemie luk w bezpieczeństwie.

Wszystkie takie poprawki bezpieczeństwa („łatki”) muszą być instalowane na bieżąco w miarę ich udostępniania przez producenta systemu. Dla komputerów z systemem Windows warto włączyć funkcje automatycznych aktualizacji. Na bieżąco powinny być także aktualizowane bazy oprogramowania antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego. Regularnie, jednak nie rzadziej niż raz na tydzień, należy też uruchamiać pełne kontrole antywirusowe komputerów.

sprawdź certyfikat

Certyfikat cyfrowy – zwany także certyfikatem klucza publicznego lub certyfikatem elektronicznym – stanowi poświadczenie autentyczności klucza publicznego podmiotu, dla którego certyfikat ten został wystawiony. Wystawcą certyfikatu jest tzw.

Zaufana Strona Trzecia (ang. TTP – Trusted Third Party), czyli urząd certyfikacyjny (ang. CA – Certification Authority).

Podpisanie certyfikatu przez ten podmiot pozwala w pełni ufać prezentowanej zawartości – oczywiście po sprawdzeniu ważności i autentyczności podpisu.

Certyfikat klucza publicznego zawiera trzy podstawowe informacje:

  • klucz publiczny podmiotu
  • opis tożsamości podmiotu
  • podpis cyfrowy złożony przez Zaufaną Stronę Trzecią

Certyfikat potwierdza: tożsamość jego właściciela lub obiektu, do którego jest przypisany (np. serwer, aplikacja itp.), autentyczność zawartego w nim klucza publicznego oraz (pośrednio) fakt dysponowania przez dany podmiot odpowiednim kluczem prywatnym, tj. stanowiącym parę z certyfikowanym kluczem publicznym. Ufając wystawcy certyfikatu, możemy więc podpisy elektroniczne złożone przy użyciu tego klucza prywatnego uznawać za złożone przez podmiot opisany w certyfikacie lub w imieniu tego podmiotu.

 

Zweryfikuj autentyczność certyfikatu elektronicznego

Weryfikacja autentyczności certyfikatu elektronicznego polega na zestawieniu takich jego atrybutów jak:

  • tzw. odcisk palca (ang. fingerprint) certyfikatu
  • opis tożsamości podmiotu
  • porównanie danych wystawcy certyfikatu z danymi publikowanymi przez Bank

Aby sprawdzić poprawność certyfikatu w przeglądarce Google Chrome należy wybrać symbol kłódki, który jest widoczny przed adresem logowania lub na klawiaturze skrót Ctrl + Shift + I ewentualnie z menu „Więcej narzędzi” wybrać opcję „Narzędzia dla deweloperów”.

W zakładce „Security” wybieramy „View certificate”.

W przeglądarce internetowej Internet Explorer, po wpisaniu adresu strony logowania pojawi się symbol kłódki, po kliknięciu na niego wybieramy „Wyświetl certyfikat”.

Jeśli odwiedzasz stronę logowania za pomocą Mozilli Firefox, w pasku adresu zobaczysz ikonę kłódki. Aby wyświetlić certyfikat, klikamy na jej symbol. Wybieramy strzałkę w prawo w rozwijanym panelu informacji o witrynie.

W zakładce „Security” wybieramy „View certificate”.

Poniżej prezentujemy certyfikaty wydane dla poszczególnych stron logowania w BNP Paribas.

Niezależnie od używanej przeglądarki internetowej, w zakładce „szczegóły”, w polu „Odcisk palca” zawsze powinien być widoczny numer: 85 e7 f9 c7 c1 84 5f 20 d7 bd 40 72 de 18 09 26 8b 5a 85 5b

W polu „wystawiony dla” powinien widnieć adres strony logowania systemu GoOnline: goonline.bnpparibas.pl

Niezależnie od używanej przeglądarki internetowej, w zakładce „szczegóły”, w polu „Odcisk palca” zawsze powinien być widoczny numer: 99 f8 3d c1 69 09 01 fc 90 79 cd bc c5 63 cd a9 a5 89 3d 98

W polu „wystawiony dla” powinien widnieć adres strony logowania systemu GOonline. login.bnpparibas.pl

Niezależnie od używanej przeglądarki internetowej, w zakładce „szczegóły”, w polu „Odcisk palca” zawsze powinien być widoczny numer: 49 67 b8 a7 1c 23 2c 08 f7 00 c2 61 29 40 33 98 91 9c 6e ff

W polu „wystawiony dla” powinien widnieć adres strony logowania systemu zleceń giełdowych: www.webmakler.pl

Niezależnie od używanej przeglądarki internetowej, w zakładce „szczegóły”, w polu „Odcisk palca” zawsze powinien być widoczny numer: e8 4b f4 1b 72 cb f3 13 c7 b1 e7 f2 0a d0 58 03 43 8f c3 26

W polu „wystawiony dla” powinien widnieć adres strony logowania systemu zleceń giełdowych: www.portfele.bnpparibas.pl

Użytkownik nie powinien podawać danych uwierzytelniających go, dopóki nie ma pewności co do tego, że odwołuje się do zaufanego serwisu Banku.

Bezpieczeństwo połączenia sieciowego

HTTPS (ang. Hypertext Transfer Protocol Secure) jest szyfrowaną wersją protokołu HTTP. Bezpieczeństwo komunikacji sieciowej z wykorzystaniem tego protokołu polega na szyfrowaniu informacji przesyłanej pomiędzy serwerem (serwer WWW), a klientem (przeglądarką internetową) przy pomocy protokołu SSL lub TLS. Zapobiega to przechwytywaniu i przekłamywaniu wysyłanych danych. Dodatkowo tożsamość serwera HTTPS jest potwierdzana przy pomocy certyfikatu cyfrowego, dzięki czemu użytkownik połączeń HTTPS zyskuje gwarancję tego, że połączenie zostało nawiązane z właściwym serwerem.

Strony połączenia HTTPS mogą podlegać uwierzytelnieniu jednostronnemu (uwierzytelnienie serwera względem użytkownika) lub dwustronnemu (uwierzytelnienie użytkownika względem serwera i serwera względem użytkownika). Integralność przesyłanych danych jest zabezpieczana przez zastosowanie mechanizmów kryptograficznych sum kontrolnych. Ponadto przeglądarka, obsługując tak zabezpieczoną transmisję, włącza bardziej restrykcyjne ustawienia, m.in. wyłącza buforowanie treści i nie zezwala na zapisywanie na dysku komputera potencjalnie niebezpiecznych elementów strony WWW (np. tzw. apletów Java).

Ważna kłódka

Symbol kłódki oznacza, że połączenie pomiędzy przeglądarką a serwerem jest zabezpieczone za pomocą protokołu HTTPS oraz że certyfikat serwera jest ważny i podpisany przez zaufane centrum certyfikacji. W sytuacji gdy występuje problem z certyfikatem, symbol kłódki pojawia się jako przekreślony, ze znakiem zapytania lub staje się on w inny sposób wyróżniony (zależnie od rodzaju przeglądarki). Każdy przypadek zmiany wyglądu lub braku poprawnych symboli wskazujących na uwierzytelnione i szyfrowane połączenie z Bankiem musi zostać zweryfikowany. Jeśli certyfikat na stronie banku wzbudza twoje wątpliwości, skontaktuj się z Centrum Telefonicznym:

801 321 123 – dla połączeń krajowych

+48 22 134 00 00 – dla połączeń krajowych i z zagranicy

Koszt połączenia wg. stawki operatora.

Infolinia dostępna jest 7 dni w tygodniu, 24h na dobę, udzielając odpowiedzi na podstawowe pytania Klientów i wykonując usługi związane z dostępem i obsługą bankowości elektronicznej oraz transakcjami na karcie.

Jak nie złapać wirusa

Komputer może zostać zainfekowany na kilka sposobów, które można podzielić na dwie grupy:

  • oprogramowanie złośliwe jest instalowane wskutek wykorzystania pewnej podatności i dzieje się to bez wiedzy użytkownika
  • wprowadzony w błąd użytkownik sam instaluje złośliwe oprogramowanie – w przekonaniu, że zainstalował coś innego (np. dodatkowe sterowniki)

 

Jeśli posiadasz nieaktualizowane oprogramowanie (system operacyjny, przeglądarkę oraz dodatki do niej) lub używasz oprogramowania pobranego z potencjalnie niebezpiecznych stron WWW (zawierających głównie treści erotyczne lub oferujących darmowe programy, lecz nie tylko), wówczas napastnik może wykorzystać istniejące luki i zarazić twój komputer dowolnym złośliwym kodem – mamy tutaj do czynienia z pierwszą grupą sposobów infekowania komputera.

Do drugiej można zaliczyć sieci P2P oraz wspomniane już strony WWW oferujące różnego rodzaju oprogramowanie. Pliki i programy pobrane z takich sieci lub stron internetowych mogą zawierać rozmaite złośliwe kody, zarażające twój komputer. W tym przypadku najczęściej występuje jeden z poniższych scenariuszy:

  • podczas uruchomienia lub instalowania pobranego oprogramowania pojawia się komunikat o błędzie i niemożności dalszego działania, podczas gdy oprogramowanie złośliwe zostało oczywiście prawidłowo zainstalowane
  • pobrane oprogramowanie instaluje się i uruchamia prawidłowo, a nawet prawidłowo funkcjonuje, lecz wraz z nim instaluje się złośliwy kod i samodzielnie uruchamia się wraz z każdym włączeniem komputera (nawet bez konieczności uruchomienia oprogramowania „nosiciela”)

 

Bez względu na to, w jaki sposób komputer zostaje zarażony, efekt jest taki sam – zawsze mniej lub bardziej negatywny, i to dla wszystkich użytkowników tego komputera.

Podsumowując temat bezpieczeństwa korzystania z komputerów, warto pokusić się o krótką puentę: bezpieczeństwo jest zawsze wypadkową zarówno zastosowania rozwiązań technicznych, jak i zachowań użytkownika. Zawsze też decyduje tu najsłabszy element. Na nic zda się nam nawet najdoskonalszy system, jeśli użytkownicy będą uporczywie lekceważyć wszelkie jego ostrzeżenia o zagrożeniach oraz zaniedbywać podstawowe zasady bezpiecznego korzystania z tego typu sprzętu.

dODATKOWE ZABEZPIECZENIE, CZYLI CO TO JEST IBM Trusteer Rapport

Trusteer Rapport to zaawansowane oprogramowanie zabezpieczające opracowane przez IBM z myślą o zapobieganiu kradzieży danych bankowych przekazywanych drogą elektroniczna. Polecamy to rozwiązanie bank jako dodatkowa i bezpłatna warstwa ochrony, w uzupełnieniu oprogramowania antywirusowego lub zabezpieczającego wykorzystywanego przez Państwa. Poprzez zabezpieczenie połączenia internetowego oraz utworzenie tunelu bezpiecznej komunikacji z serwisem WWW banku oprogramowanie Trusteer Rapport blokuje podejmowane przez szkodliwe oprogramowanie próby kradzieży m.in. tożsamości czy środków z Państwa rachunków. 

 

BNP PARISBAS  

jako jeden z dwóch banków  w Polsce

udostępnia  

IBM TRUSTEER RAPPORT  

 swoim klientom

 

Dowiedz się więcej

KONTAKT  Z BANKIEM W PILNYCH SPRAWACH

Zastrzeż

ZASTRZEŻ KARTĘ

W przypadku utraty karty należy ją bezzwłocznie zastrzec

 

 

ZADZWOŃ 

 

przez Internet

ZGŁOŚ INCYDENT

Jeśli podejrzewasz, że padłeś ofiarą internetowego oszustwa, zgłoś to  zespołowi reagowania na incydenty 

 

NAPISZ

Dowiedz się więcej na temat bezpieczeństwa w sieci

W naszym serwisie stosuje się pliki cookies, które są zapisywane na dysku urządzenia końcowego użytkownika w celu ułatwienia nawigacji oraz dostosowania serwisu do preferencji użytkownika. Szczegółowe informacje o plikach cookies znajdziesz w Polityce prywatności. Zablokowanie zapisywania plików cookies na urządzeniu końcowym lub ich usunięcie możliwe jest w po właściwym skonfigurowaniu ustawień przeglądarki internetowej. Więcej o blokowaniu i usuwaniu plików cookies znajdziesz w Polityce prywatności. Zablokowanie możliwości zapisywania plików cookies może spowodować utrudnienia lub brak działania niektórych funkcji serwisu. Niedokonanie zmian ustawień przeglądarki internetowej na ustawienia blokujące zapisywanie plików cookies jest jednoznaczne z wyrażeniem zgody na ich zapisywanie. Rozwiń

We use cookies on our website, which are saved to the hard drive of the user’s terminal device to help you navigate and customize the site to your preferences. For more information about cookies, see Privacy Policy. Disabling on or deleting cookies from the terminal device is possible after the web browser settings have been properly configured. For more information about blocking and deleting cookies, see Privacy Policy. Disabling the option to save cookies may make it difficult or impossible to use certain features of the Website. If you do not change your web browser settings to settings that disable saving of cookies, you agree to have them saved. Expand