Безпека користування послугою електронного банкінгу залежить від безпеки банку та безпеки клієнта. Заходи безпеки банку відповідають високим стандартам і періодично перевіряються. Злочинці знають, що саме безпека клієнта є слабким пунктом, і тому їхні дії спрямовані на це найслабше місце. Безпека використання веб-сайту інтернет-банкінгу значною мірою залежить від рівня поінформованості його користувачів, у тому числі від усвідомлення захисту власного комп’ютера. Незахищений комп’ютер піддається атакам різного роду шкідливих програм і навіть повному захопленню його зловмисником. У такій ситуації неважко уявити, скільки свободи має злодій, який може контролювати та змінювати як номери банківських рахунків, на які ми здійснюємо перекази, так і перераховані суми.
1. Не використовуйте комп'ютер щодня, використовуючи обліковий запис адміністратора.
2. Використовуйте програмне забезпечення або брандмауери, а також антивірусне та антишпигунське програмне забезпечення.
3. Встановіть усі виправлення та оновлення, рекомендовані виробниками вашого програмного забезпечення, включаючи операційну систему, браузер і програмне забезпечення для захисту вашого комп’ютера.
4. Регулярно перевіряйте свій комп’ютер, запустивши антивірусну програму. Ми рекомендуємо регулярно перевіряти весь вміст комп’ютера (наприклад, раз на тиждень). Управління також може бути автоматичним.
5. Встановлюйте тільки легальне програмне забезпечення з надійних джерел.
6. Не відкривайте вкладення в електронних листах від невідомих відправників, не натискайте на посилання, розміщені в цих повідомленнях.
7. Ніколи не відповідайте на електронні листи, в яких вас просять ввести чи перевірити конфіденційні дані, наприклад пароль для онлайн-банкінгу.
Нагадуємо, що як карткові організації (MasterCard, VISA), так і банки ніколи не зв’язуються з клієнтами за листуванням для перевірки/оновлення конфіденційних даних. Відповідно, якщо ви отримали такий електронний лист, текстове повідомлення на свій телефон/смартфон або запит через сайти соціальних мереж, це слід розглядати як незаконну спробу отримати дані у злочинних цілях.
У такій ситуації не слід:
- відповідати на електронний лист,
-перeходити на надіслані посилання та вкладення,
- надавати конфіденційні дані шляхом листування або в телефонній розмові.
Банк ніколи не запитує таких даних!
Просимо повідомляти про такі випадки за номером 500 990 500.
8. Зверніть увагу на інформацію про технічні перерви в роботі інтернет-банкінгу, щоб пам'ятати про наявність каналів зв'язку.
9. Інформація про загрози, пов'язані з онлайн-банкінгом, розміщена на нашому веб-сайті у вкладці «Безпека», а також на: CERT - www.cert.pl, зокрема серія статей OUCH на: www.cert.pl/ouch Польського банку- www.zbp.pl, особливо інформація для споживачів: https://www.zbp.pl/dla-klientow/biuro-obslugi-klienta
1. Використовуйте захищені паролі (відповідно до рекомендацій банку), використовувати додаткові паролі профілів на комп'ютері, обмежувати фізичний доступ сторонніх осіб.
2. Ніколи нікому не розкривайте свої паролі, записуйте їх і не надсилайте в електронному вигляді. Якщо ви думаєте, що хтось дізнався ваші паролі, негайно змініть їх.
3. Якщо ви входите за допомогою замаскованого пароля, пам'ятайте, що банку ніколи не потрібен ваш повний пароль, за винятком операції зміни пароля на новий. Використовуйте лише вибрані символи з пароля під час входу.
4. Якщо ви входите за допомогою електронного підпису, не надавайте нікому USB-криптографічний пристрій чи криптографічну картку, на якій зберігаються ваші ключі, а також PIN-код для них.
У разі методу входу та авторизації транзакцій електронним підписом криптографічний носій (USB-ключ або криптографічна карта) слід використовувати тільки під час роботи в системі інтернет-банкінгу.
Нагадуємо, що і криптографічний носій, і криптографічна картка потрібні лише тоді, коли з’явиться вікно вибору ключа авторизації. Після введення коду та виконання операції відключіть пристрої / вийміть картку з зчитувача.
Чому це важливо? Бувають випадки, коли, наприклад, шахраї просять клієнтів банку ввести свої паролі для ймовірної перевірки і таким чином отримати паролі клієнтів, які вони можуть використовувати для входу до своїх рахунків. Бувають також випадки, коли комп’ютер клієнта зламаний і тоді сторонні особи можуть отримати доступ до ключа на носії, який підключений до комп’ютера, але не використовується.
5. При введенні ідентифікатора та пароля переконайтеся, що їх ніхто не дивиться.
6. Правила створення «надійного» пароля:
- Паролі не повинні бути словниковими фразами (польськими та іноземними)
- Пароль повинен містити більше 7 символів
- Пароль не повинен базуватися на відомих персональних даних користувача або бути загальновідомим ім'ям чи ідентифікатором, таким як ім'я (власне ім'я, друг, член сім'ї тощо), прізвище, ім'я (наприклад, системи, команди, програми, процеси тощо), назва організації чи структури (відділ, відділ тощо), дата (дата народження, дата відомих історичних подій тощо), адреса, номер телефону та комбінації згаданих фраз
- Пароль не повинен бути повторюваною комбінацією символів (наприклад, aaabbbccc), легко передбачуваною послідовністю символів (наприклад, 12345, qwerty тощо) або їх зворотною транспозицією (наприклад, 54321)
- Пароль не може бути простою комбінацією однієї з цих фраз із цифрою на початку або в кінці (наприклад, secret1 або 1secret)
- Надійний пароль має містити комбінацію як малих, так і великих літер і спеціальних символів (наприклад, такі як! @ # $% ^ & * () _ + | ~ - = \ `{} []:"; '<> ?,. /)
Рекомендованим способом створення надійних паролів є т. зв парольні фрази, створені за такою схемою: (1) має бути розроблено базове речення для парольної фрази, наприклад «Чи можна створити безпечний пароль?», (2) елементи парольної фрази мають бути виділяється в основному реченні, наприклад "Чи можна створити безпечний пароль?", wo? -> 1o?), що призводить до сильної фрази, наприклад: 3MsBez # 1o?
7. Використовуючи паролі, користувачі повинні пам'ятати:
- не використовуйте однакові паролі для аутентифікації на всіх системах, до яких вони входять. Наприклад, не використовуйте один і той самий пароль для входу в банк, наприклад пароль для систем електронної пошти або соціальних мереж (соціальні мережі або загальнодоступні системи електронної пошти часто пропускають різну інформацію, тому ви повинні переконатися, що витік даних від таких систем не означає, що розкриття нашого пароля для онлайн-банкінгу)
- не повідомляйте пароль іншим користувачам (навіть членам сім'ї)
- не розкривати паролі іншим людям (у прямій розмові, по телефону, в повідомленнях електронної пошти
Оскільки перший із вищезазначених постулатів може бути (у випадку людей, які використовують багато різних Інтернет-сервісів) складним і обтяжливим для реалізації, використання різних паролів в окремих групах сервісів слід прийняти як абсолютний мінімум: інші для електронної пошти облікові записи, інші в соціальних мережах, і ще інші (і бажано значно складніші для вгадування та дуже чутливі) для послуг Інтернет-банкінгу.
8. Основними принципами безпечного керування паролями є:
- Неможливість запам'ятати паролі в системах і програмах, якщо вони не збережені в спеціальному додатку (так званому менеджері паролів, наприклад, безкоштовному KeePass), який зберігає паролі в зашифрованих базах даних.
- Незбереження паролів у відкритому вигляді, доступному для читання сторонніми особами
- Паролі слід міняти регулярно, принаймні кожні два місяці. Крім того, паролі необхідно негайно змінювати, коли існує ймовірність їх розголошення стороннім особам.
- Пароль до послуги інтернет-банкінгу необхідно змінювати не рідше одного разу на місяць. Чим довше ви використовуєте той самий пароль, тим більша ймовірність того, що його захоплять злодії. Причиною необхідності зміни паролів є зростання загроз для клієнтів онлайн-банкінгу. Вони з’являються з різних типів шпигунських програм, напр. паролі та передавати їх злочинцям. Такий перехоплений пароль може бути використаний для того, щоб видати себе за клієнта та пограбувати його навіть через тривалий час з моменту підслуховування.
Пам’ятайте, що під час використання онлайн-банкінгу на вашому комп’ютері має бути:
- Легальна операційна система, постійно (бажано автоматично) оновлюється поправками, наданим виробником
- Тільки легальне програмне забезпечення надходить із надійних джерел і дає нам право використовувати оновлення безпеки та виправлення (так звані виправлення)
- Усі виправлення, оновлення чи «поправки», рекомендовані постачальниками програмного забезпечення, встановленого на апаратному забезпеченні, оскільки багато з них виправляють критичні системні вразливості, виявлені на постійній основі, через які хакери можуть атакувати
- Встановлено останню версію веб-браузера
- Хороше антивірусне програмне забезпечення, а бажано пакет інтегрованих засобів для захисту пристрою, який, крім антивірусного сканера, додатково включає персональний брандмауер, систему запобігання вторгненням на хост, програмне забезпечення для перевірки репутації веб-контенту тощо. ., а також постійно оновлюються бази антивірусного програмного забезпечення та бази сигнатур антишпигунських програм
Важливо підключатися до свого банку лише з надійних комп’ютерів. На практиці це зводиться до використання комп’ютерів, до яких користувач має індивідуальний доступ або якими користується лише невелика група довірених людей (наприклад, сім’я). Громадські комп’ютери, наприклад в інтернет-кафе, не можна використовувати для підключення до банку. Ви ніколи не знаєте, чи не був такий комп’ютер раніше заражений шкідливим програмним забезпеченням, що спеціалізується на крадіжці облікових даних (логінів, паролів), кодів авторизації та іншої конфіденційної інформації, що зберігається в пам’яті або вводиться в неї під час з’єднання з банком чи іншими постачальниками послуг.
Вкрай важливо встановити всі «поправки », рекомендовані виробником операційної системи. Часто такі «поправки» містять виправлення пробілів безпеки, виявлених у системі.
Усі такі виправлення безпеки ("поправки ") повинні встановлюватися на постійній основі, оскільки вони випускаються виробником системи. Для комп’ютерів з ОС Windows бажано ввімкнути автоматичне оновлення. Антивірусні бази та бази даних сигнатур антишпигунських програм також слід регулярно оновлювати. Регулярно, але не рідше одного разу на тиждень, також слід проводити повну антивірусну перевірку на комп’ютерах.
Цифровий сертифікат - також відомий як сертифікат відкритого ключа або електронний сертифікат - засвідчує справжність відкритого ключа організації, для якої був виданий сертифікат. Емітентом сертифіката є т. зв Довірена третя сторона (TTP - Trusted Third Party), тобто центр сертифікації (CA - Certification Authority).
Підписання сертифіката юридичною особою дозволяє повністю довіряти представленому контексту - звичайно, після перевірки дійсності та справжності підпису.
Сертифікат відкритого ключа містить три основні відомості:
• предметний відкритий ключ
• опис особистості суб'єкта
• цифровий підпис, зроблений довіреною третьою стороною
Сертифікат підтверджує: ідентичність його власника або об'єкта, якому він призначений (наприклад, сервер, програма тощо), автентичність відкритого ключа, що міститься в ньому, і (опосередковано) той факт, що суб'єкт має відповідний закритий ключ , тобто пара із сертифікованим відкритим ключем. Довіряючи емітенту сертифіката, ми можемо вважати електронні підписи, розміщені за допомогою цього приватного ключа, такими, що були подані юридичною особою, описаною в сертифікаті, або від імені цієї організації.
Перевірте справжність електронного сертифіката
Перевірка справжності електронного сертифіката полягає у складанні його атрибутів, таких як:
- так звані відбиток пальця сертифіката
- опис особистості суб'єкта
- порівняння даних емітента сертифіката з даними, опублікованими банком
Щоб перевірити правильність сертифіката в Google Chrome, виберіть символ замка, який відображається перед адресою входу, або скористайтеся комбінацією клавіш Ctrl + Shift + I на клавіатурі, або виберіть параметр «Інструменти розробника» з « Більше інструментів». На вкладці «Безпека» виберіть «Переглянути сертифікат».
У веб-браузері Internet Explorer після введення адреси сторінки входу з'явиться символ висячого замка, натиснувши на нього, виберіть «Переглянути сертифікат».
Якщо ви відвідуєте сторінку входу за допомогою Mozilla Firefox, ви побачите значок замка в адресному рядку. Щоб відобразити сертифікат, натисніть на його символ. Виберіть стрілку вправо на панелі інформації про сайт, що випадає. На вкладці «Безпека» виберіть «Переглянути сертифікат».
Нижче ми представляємо сертифікати, видані для окремих сторінок входу в BNP Paribas.
Поле «видано» має містити адресу сторінки входу GOonline: goonline.bnpparibas.pl
Незалежно від використовуваного веб-переглядача, на вкладці «Деталі» поле «Відбиток пальця» завжди має містити номер: 355bdf7e79cc6a12e3576d77766f320d62854928
Поле «видано для» має містити адресу сторінки входу в GOonline Biznes: login.bnpparibas.pl
Незалежно від використовуваного веб-переглядача, на вкладці «Деталі» поле «Відбиток пальця» завжди має містити номер: 7ae33fbe4f53f30b36bccbb4bbb4b00edfb9fb33
Поле «видано» має містити адресу сторінки входу в систему обмінних ордерів: www.webmakler.pl
Незалежно від використовуваного веб-переглядача, у вкладці «деталі» поле «Відбиток пальця» завжди має містити номер: e78a63675ceda9d44a014fc3a7fd1b0e47b3b340
Поле «видано» має містити сторінку входу в систему обмінних ордерів: www.portfele.bnpparibas.pl
Незалежно від використовуваного веб-переглядача, на вкладці «деталі» поле «Відбиток пальця» завжди має містити номер: 6feef9014b78e5d135ee51efd2c304f053d1fc23
HTTPS (Hypertext Transfer Protocol Secure) — це зашифрована версія протоколу HTTP.
Безпека мережевого зв'язку з використанням цього протоколу полягає в шифруванні інформації, що передається між сервером (веб-сервером) і клієнтом (веб-браузером) за допомогою протоколу SSL або TLS. Це запобігає перехопленню та пошкодженню переданих даних. Крім того, ідентичність HTTPS-сервера підтверджується цифровим сертифікатом, завдяки якому користувач HTTPS-з'єднань гарантує, що з'єднання було встановлено з правильним сервером.
Сторони з’єднання HTTPS можуть підлягати односторонній автентифікації (автентифікація сервера проти користувача) або двосторонній автентифікації (автентифікація користувача проти сервера і сервера проти користувача). Цілісність переданих даних забезпечується використанням криптографічних механізмів контрольної суми. Крім того, браузер, який підтримує таку захищену передачу, дозволяє більш обмежувальні налаштування, напр. вимикає кешування вмісту та не дозволяє зберігати потенційно небезпечні елементи веб-сайту (наприклад, Java-аплети) на жорсткому диску комп’ютера.
Символ навісного замка означає, що з'єднання між браузером і сервером захищене за допомогою протоколу HTTPS, а сертифікат сервера дійсний і підписаний довіреним центром сертифікації.
У ситуації, коли виникла проблема з сертифікатом, символ замка з’являється закресленим, зі знаком питання або розрізняється іншим способом (залежно від типу браузера). Кожен випадок зміни зовнішнього вигляду або відсутності правильних символів, що вказують на автентифіковане та зашифроване з’єднання з банком, має бути перевірено. Якщо у Вас виникли сумніви щодо сертифіката на сайті банку, звертайтеся до Колл-центру:
500 990 500 – для внутрішніх дзвінків
+48 22 134 00 00 – для внутрішніх та закордонних дзвінків
Вартість підключення за тарифи оператора.
Гаряча лінія працює 7 днів на тиждень, 24 години на добу, надає відповіді на основні запитання клієнтів та надає послуги, пов’язані з доступом та функціонуванням електронних банківських та карткових операцій.
Комп’ютер може бути заражений кількома способами, які можна розділити на дві групи:
• шкідливе програмне забезпечення встановлюється через використання певної уразливості і відбувається без відома користувача
• введений в оману користувач сам встановлює зловмисне програмне забезпечення, вважаючи, що він встановив щось інше (наприклад, додаткові драйвери)
Якщо у вас застаріле програмне забезпечення (операційна система, браузер і додатки до нього) або ви використовуєте програмне забезпечення, завантажене з потенційно небезпечних веб-сайтів (в основному, що містить еротичний контент або пропонують безкоштовні програми, але не тільки), то зловмисник може скористатися наявними перевагами. уразливості та зараження комп'ютера будь-яким шкідливим кодом - тут ми маємо справу з першою групою методів зараження комп'ютера.
До другої групи належать мережі P2P та вищезгадані веб-сайти, що пропонують різноманітні типи програмного забезпечення. Файли та програми, завантажені з таких мереж або веб-сайтів, можуть містити різні шкідливі коди, які заражають ваш комп’ютер. У цьому випадку найчастіше відбувається один із наступних сценаріїв:
• під час запуску або встановлення завантаженого програмного забезпечення з'являється повідомлення про помилку та неможливість продовжити роботу, при цьому шкідливе програмне забезпечення було встановлено належним чином
• завантажене програмне забезпечення встановлюється та запускається належним чином, і навіть функціонує належним чином, але разом з ним шкідливий код встановлюється та запускається автоматично щоразу, коли комп’ютер увімкнено (навіть без необхідності запускати програмне забезпечення «хост»)
Незалежно від того, як комп'ютер заражається, ефект залишається однаковим - завжди більш-менш негативним і для всіх користувачів цього комп'ютера
Безпека завжди є результатом як використання технічних рішень, так і поведінки користувача.
Тут завжди вирішальним є найслабший елемент. Навіть найдосконаліша система буде марною, якщо користувачі наполегливо ігнорують усі її попередження про загрози та нехтують елементарними правилами безпечного використання такого типу обладнання.