Archiwum

Uwaga na internetowych oszustów! Nie otwierajcie e-maili z podpisem „ZUS”

Podkarpacki ZUS ostrzega przed oszustami, którzy chcą uzyskać dostęp do danych komputerowych klientów Zakładu. ZUS nie wysyła maili do swoich klientów.

Jak podaje portal rzeszow-news.pl oszuści podszywający się pod Zakład Ubezpieczeń Społecznych znów się uaktywnili. W zeszłym tygodniu do Zakładu zadzwoniło kilkanaście osób z informacją o dziwnych mailach, w których jako nadawca figuruje właśnie Zakład Ubezpieczeń Społecznych. W temacie wiadomości wpisana była fraza „Zaległe składki”, zaś w samym e-mailu prośba o potwierdzenie odebrania wiadomości.

– Na szczęście klienci zwrócili uwagę na nieprawidłowy adres mailowy ZUS, który był w stopce maila. Stopka, poza prawidłowym adresem centrali ZUS, zawierała bowiem adres skrzynki mailowej oparty o domenę rządową tj. „gov.pl”, tymczasem tak strona www.zus.pl, jak i adresy mailowe pracowników ZUS nie funkcjonują w oparciu o domenę rządową – twierdzi Wojciech Dyląg, rzecznik podkarpackiego ZUS.

ZUS przypomina, że nie wysyła do swoich klientów korespondencji mailowej. Kontakt elektroniczny ze strony Zakładu możliwy jest jedynie w sytuacji, gdy klient ma profil na Platformie Usług Elektronicznych ZUS i wyraził zgodę na taką formę kontaktu.

ZUS ostrzega, by w żadnym przypadku nie odpowiadać na maile, które teoretycznie pochodzą z Zakładu Ubezpieczeń Społecznych, ani nie otwierać zawartych w tej korespondencji załączników. – Korespondencja tego typu ma bowiem najczęściej na celu zainfekowanie komputera lub uzyskanie dostępu do danych wrażliwych, które zapisane są w jego pamięci – ostrzega Wojciech Dyląg.

Jeżeli macie wątpliwości, co do nadawcy otrzymanej korespondencji, skontaktujcie się z najbliższą placówką Zakładu lub Centrum Obsługi Telefonicznej, tel. 22 560 16 00.

Źródło: rzeszow-news.pl

mBank zablokuje ci przelewy przychodzące? To groźny przekręt, stracisz pieniądze

Ktoś próbuje przekonać klientów mBanku o „zmianie formatu konta”. Kto uwierzy może stracić wszystkie oszczędności.
mBank ostrzega przed nowym atakiem na swoich klientów. Nieznani sprawcy rozsyłają e-maile zawierające złośliwe załączniki oraz link prowadzący do fałszywej strony banku. Ofiara, która nie zignoruje wiadomości zobaczy fałszywy komunikat, który brzmi następująco.

mBank zmienia format konta. Prosimy o potwierdzenie danej operacji, w tym celu nowy numer konta należy określić jako odbiorca zdefiniowany. Nowy numer konta będzie aktywny po upływie 7 dni, jeśli dana operacja nie zostanie potwierdzona przyjęcie przelewów na twoje konto nie będzie możliwe.
Wpisując kod z wiadomości SMS tak naprawdę ofiara umożliwia wykonanie zmiany odbiorcy zdefiniowanego. A to w krótkim czasie może skończyć się wyczyszczeniem konta.

Bank radzi, by klient, który widzi powyższy komunikat jak najszybciej przeskanował komputer programem antywirusowym w poszukiwaniu złośliwego oprogramowania i usunięcia go. W skrajnych przypadkach możliwa będzie nawet ponowna instalacja systemu operacyjnego komputera.

Nawet jeśli próba kradzieży pieniędzy okaże się nieskuteczna niedoszłej ofierze rekomenduje się zmianę haseł do serwisu transakcyjnego mBanku oraz wszystkich innych kont bankowych, pocztowych i portali społecznościowych.

Źródło: next.gazeta.pl

CERT: kradzież pieniędzy głównym motywem przestępstw komputerowych

Jak podaje onet.pl alarmujące dane w sprawie działań oszustów. Setki tysięcy zgłoszeń rocznie, skokowy wzrost liczby ataków cyberprzestępców, których głównym celem jest kradzież pieniędzy – takie wnioski przynosi coroczny raport CERT Polska. Najczęstszą metodą stosowaną przez cyberprzestępców w 2016 r. był phishing, czyli podszywanie się pod osobę lub instytucję w celu wyłudzania informacji albo kradzieży tożsamości, był najczęstszą metodą stosowaną przez cyberprzestępców.

CERT Polska (z ang. Computer Emergency Response Team) jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo użytkowników lub instytucji w internecie. Działa od 1996 r. przy NASK (Naukowej i Akademickiej Sieci Komputerowej). Co roku publikuje raport dotyczący cyberbezpieczeństwa.

W najnowszym raporcie „Krajobraz bezpieczeństwa polskiego internetu 2016 r.” jego autorzy podkreślają, że w ubiegłym roku zespół CERT Polska otrzymał łącznie prawie 723 tys. zgłoszeń dotyczących phishingu.

Phishing polega na wyłudzaniu różnymi sposobami od internautów poufnych danych, takich jak loginy, hasła, numery kart kredytowych itp. Typowy atak phishingowy składa się z kilku kroków. Najpierw cyberprzestępcy wybierają, kogo zaatakują – mogą to być np. klienci określonego e-sklepu, platformy aukcyjnej albo banku. Tworzona jest witryna, która zazwyczaj przypomina oryginalną stronę logowania do konta. Wszystkie wprowadzone na niej dane są przekazywane cyberprzestępcom.

Najczęstszym sposobem przyciągnięcia internautów na fałszywe strony jest poczta elektroniczna. Fałszywe e-maile sprawiają wrażenie wiarygodnych, w związku z tym istnieje szansa, że ich odbiorcy klikną w podany link i spróbują zalogować się na podrobionej stronie, przekazując dane cyberprzestępcom.

Z raportu wynika, że liczba incydentów związanych z kradzieżą tożsamości internautów wzrosła w 2016 r. w stosunku do 2015 r. o 106 proc. (495 w 2015 r., 1069 w 2016 r.).

Autorzy raportu wskazują, że głównym motywem przestępstw komputerowych w 2016 r. była, podobnie jak w latach poprzednich, chęć kradzieży pieniędzy.

„Przestępcy posługują się wachlarzem rozwiązań, szczególnie w przypadku kradzieży oszczędności z wykorzystaniem urządzeń mobilnych” – wskazali autorzy raportu.

Raport wskazuje, że poza phishingiem, wzrosła także liczba prób oszustwa w odniesieniu do klientów bankowości mobilnej.

„Nie można przemilczeć również kilku kampanii, które miały na celu podszycie się pod duże spółki z branży telekomunikacyjnej i energetycznej. W ramach tych kampanii rozsyłane były dobrze spreparowane maile, rzekomo zawierające e-fakturę za usługi. W praktyce za ich pomocą rozpowszechniane były w postaci załącznika różne warianty oprogramowania szyfrującego dysk ofiary i wymuszającego niemałą opłatę za udostępnienie klucza odszyfrowującego (ransomware)” – podkreślili autorzy. Ofiarami tego typu ataków padały osoby prywatne, ale też kilka instytucji państwowych.

W ubiegłym roku zespół CERT Polska obsłużył 1926 incydentów związanych z cyberzagrożeniami – to o 32 proc. więcej niż w 2015 r. Autorzy raportu zwracają uwagę, że wzrost wynika z tego, że rośnie świadomość zagrożeń i coraz częściej są one zgłaszane.

Źródło: biznes.onet.pl

Nowa pułapka zastawiona na klientów mBanku. Fałszywe wyciągi z karty kredytowej mogą zainfekować komputer

Jak donosi serwis Zaufana Trzecia Strona, tym razem klienci mBanku mogą paść ofiarą cyberprzestępców polujących na ich naiwność. O podejrzanej wiadomości z załącznikiem do złudzenia przypominającej wyciąg z karty kredytowej poinformował jeden z czytelników.

Zagrożenie jest stosunkowo świeże i przed interwencją Zaufanej Trzeciej Strony nie figurowało w bazie VirusTotal. Wiadomość o tytule „mBank – Elektroniczne zestawienie operacji na karcie kredytowej” pozornie wygląda całkiem standardowo. Podejrzenia wzbudza już jednak załącznik “Elektroniczne Zestawienie Opreacji – VISA CLASSIC nr 45.zip”.

W jego środku znajduje się katalog, a w nim kolejne dwa pliki, tym razem „Elektroniczne Zestawienie Opreacji – VISA CLASSIC nr 45.rar” oraz „Haslo do elektonicznego zestawienia operacji.txt”. Wszystko ostatecznie prowadzi nas do pliku z rozszerzeniem .VBS, którego uruchomienie okazuje się pobierać plik z rozszerzeniem .EXE.

Poniżej pełna treść wiadomości:

Witamy, dziękujemy za korzystanie z usług mBanku. W załączniku przesyłamy wyciąg okresowy z rachunku karty kredytowej.
Jeśli masz aktywną usługę wysyłki szyfrowanych wyciągów, w celu otwarcia załączonego dokumentu wpisz aktualne hasło do szyfrowania wyciągów, które ustaliłeś w serwisie transakcyjnym.
Więcej informacji na temat szyfrowania wyciągów znajdziesz na stronie mBanku.
Pozdrawiamy, Zespół mBanku

Jak tłumaczą dziennikarze Zaufanej Trzeciej Strony, podobną strukturę plików zaobserwowano niedawno w fałszywych fakturach rozsyłanych do klientów Netii.

Na obecnym etapie nie ustalono jeszcze za jakiego typu podejrzaną aktywność odpowiada ostatnich z plików. Przypuszczalnie mamy jednak do czynienia ze złośliwym oprogramowaniem, które infekuje komputer nieświadomej zagrożenia ofiary i w konsekwencji pozwala wykraść jej dane lub wyłudzić pieniądze.

Źródło: next.gazeta.pl

Phishing, czyli rekordowo wielkie wyłudzanie

Jeśli tendencja wzrostowa się utrzyma – a styczeń i luty były miesiącami o 15 proc. wyższego ruchu phishingowego niż w analogicznym okresie roku ubiegłego – rok 2017 może pobić niemiły historyczny rekord phishingu finansowego.

Podszywanie się pod instytucje finansowe, operatorów telekomunikacyjnych, banki, firmy telekomunikacyjne w celu wyłudzenia danych, loginów i haseł do kont, czyli phishing, było jednym z największych zagrożeń bezpieczeństwa 2016 roku. Obecny rok zapowiada się pod względem phishingu jako rekordowy. Jednak nawet proste zabezpieczenia znacznie utrudniają te złośliwe działania.

Phishing jako termin, ale też i prawdopodobnie jako typ działania narodził się w środowisku hackerów z Kalifornii, w połowie lat 90., kiedy usiłowali oni wykraść hasła do kont serwisu AOL. Podszywając się pod pracowników firmy, wysyłali spreparowane e-maile, żądając podania hasła w celu „weryfikacji konta”. Termin miał zostać ukuty od nazwiska Briana Phisha, który po raz pierwszy zastosował tą technikę do wykradania numerów kart kredytowych lub miał być akronimem od określenia password harvesting fishing (łowienie haseł). Sam phishing terminem jest bardzo szerokim – obejmuje kradzież haseł, numerów kart kredytowych, danych kont bankowych i innych poufnych informacji.

Phisher, prowadzący ten proceder dokonuje masowej wysyłki e-mail, podobnie jak spamer. Podrabia zwykle stronę internetową banku, innej instytucji finansowej lub sklepu czy portalu aukcyjnego, do której zamieszcza link w swoim e-mailu. Nakłania do wejścia w link ostrzegając np. o rzekomej możliwości zablokowania konta lub utraty profilu, jeśli nie zweryfikuje się danych zwłaszcza dotyczących płatności jak dane karty kredytowej. Podszywa się przy tym pod pracowników instytucji, której stronę podrobił. Według Anti-Phishing Working Group aż 5 proc. osób do których dotarły takie maile odpowiada na nie i wchodzi na spreparowane strony; jest to kilkukrotnie więcej niż osób odpowiadających na spam.

Co ciekawe w ciągu ostatnich kilku lat pojawiły się wiadomości phishingowe, które ostrzegają przed phishingiem i stwierdzają iż instytucja, od której rzekomo wysłano maila, wprowadziła właśnie zabezpieczenia antyphishingowe, znajdujące się pod linkiem…

Phisher doprowadza to tego, aby użytkownik „zalogował się” na podrobionej stronie. Jednak wtedy, nawet mając dostęp do konta bankowego ofiary, nie może go po prostu wyczyścić, gdyż zostawi ślady manipulacji; toteż jest on najczęściej ogniwem w gangu cyberprzestępców trudniących się oszustwami internetowymi. Po uzyskaniu dostępu do konta przejmują je „specjaliści”, którzy łatwo poprzez firmy-słupy i rzeczywistych słupów, rekrutowanych np. spośród bezdomnych na nazwiska których zakładane są konta, wyprowadzają pieniądze.

Jak prawdziwy e-mail

Skrzynki e-mail przejęte przez phisherów, z kolei służą do rozsyłania masowego spamu. Dane osobowe są także bardzo cenne, zwłaszcza jeśli towarzyszą im skany dokumentów tożsamości – mogą one bowiem posłużyć do zakładania kont do oszustw finansowych.

Czasu kiedy phishing był prymitywnym tekstem, przetłumaczonym Google Translatorem z dodanym logo banku lub firmy, dawno minęły. Teraz wiadomości phishingowe niczym nie różnią się od e-maili z banku czy instytucji finansowej, które mają naśladować. Podobnie jest ze stronami internetowymi – nie różnią się niczym od prawdziwych, mimo iż są zbiorem ich statycznych kopii. Użytkownik nie może niczego podejrzewać, bowiem nie wprowadzi wtedy swoich danych. Phisher używa też URL jak najbardziej przypominających URL prawdziwych firm lub też URL wiarygodnych organizacji; są notowane przypadki iż adres przypominał prawdziwy adres Anti-Phishing Working Group. W przypadku mniej doświadczonych oszustów w pasku adresu pojawia się numer IP, co jednak od razu powinno wzbudzić podejrzenia u internautów. Jednak zwykle URL różni się od prawdziwego kropkami, tam gdzie w rzeczywistym adresie one nie występują, dolnymi podkreślnikami lub ukośnikami np.nazwabanku.pl/login lub www.nazwa.banku.pl.

Podobnie dzieje się z URL fałszywej strony – jak najbardziej przypomina prawdziwą, lecz jest to zwykłe przekierowanie, bowiem pod bardzo przypominającym bankowy adresem fałszywa strona nie zostałaby zarejestrowana (dbają o to specjaliści IT banków i blokują takie adresy). Fałszywy adres jest tylko aliasem, zaś prawdziwy – skrótem literowo-cyfrowym.

Dzieje się tak, bowiem średni czas trwania witryny phisherskiej w Internecie to 5 dni. Filtry antyphishingowe szybko wyłapują informacje dotyczące nowego zagrożenia, stąd phisher musi stale rejestrować nowe fałszywe strony, imitujące prawdziwe witryny i zwykle nie ma czasu na dopracowanie ich adresów.

Inne działania

Odmianą phishingu jest pharming. To domena przestępczości zorganizowanej, bowiem polega na „porywaniu” adresów witryn na serwerach DNS i przekierowywaniu użytkowników do fałszywych stron internetowych. Pharming ma jednak już szczyt swojej aktywności za sobą – serwery DNS są na tyle dobrze zabezpieczone, ze ta technika staje się dla cybergangsterów coraz bardziej ryzykowna.

Phisher nie gardzi dodatkowym zarobkiem jaki daje możliwość podrzucenia trakcie fałszywego logowania, malware na komputer użytkownika. Najczęściej są to trojany finansowe (popularny był zwłaszcza Zeus/Zbot), keyloggery lub spyware.

Według raportu Kaspersky Lab, w 2016 roku phishing był ogromnym zagrożeniem. Niemal połowa, bo 47,8 proc. ataków tego typu była ukierunkowana kradzież pieniędzy. Jest to o 13 proc. więcej niż w roku 2015. Łącznie jak wyliczyli analitycy firmy, w 2016 roku zanotowano niemal 155 mln prób wejść na fałszywe witryny internetowe, z czego 73,5 czyli niemal połowę stanowił phishing finansowy, który miał na celu pozyskanie takich danych jak numery kont bankowych, kart kredytowych, numerów ubezpieczenia społecznego czy loginów i haseł umożliwiających dostęp do e-bankingu. Informacje te z reguły wystarczały do okradzenia kont potencjalnych ofiar.

Obecny rok zapowiada się na jeszcze bardziej rekordowy – jeśli tendencja wzrostowa się utrzyma – a styczeń i luty były miesiącami o 15 proc. wyższego ruchu phishingowego niż w analogicznym okresie roku ubiegłego – rok 2017 może pobić niemiły historyczny rekord phishingu finansowego.

W 2016 roku zdecydowanie najważniejszy był phishing bankowy – dotyczyło go 25,76 proc. wszystkich ataków, czy o 831 proc. więcej niż 2015 roku. Z kolei phishing sklepów internetowych i portali aukcyjnych oraz systemów płatności, wynosił odpowiednio 10,14 proc. i 11,55 proc. co też stanowiło wzrost – odpowiednio o 1,09 proc. i 3,75 proc.

Powołana na początku obecnego stulecia Anti-Phishing Working Group, której członkami są agendy rządowe do walki z cyberprzestępczością państwa Europy i Ameryki Północnej ( są także państwa Azji jak choćby Japonia) oraz producenci oprogramowania antyphishingowego i antyspamowego gromadzi 2500 członków i tworzy standardy systemów bezpieczeństwa dla zabezpieczeń antyphishingowych oraz informuje o zagrożeniach. Od niej oraz od analityków bezpieczeństwa m.in. (Kaspersky Lab i Trend Micro) pochodzą zalecenia antyphishingowe , przeznaczone dla użytkowników indywidualnych.

I tak użytkownik przed dokonaniem płatności powinien sprawdzić czy połączenie jest szyfrowane (adres strony powinien rozpoczynać się od znaków https:// i zawierać symbol kłódki), a domena musi przynależeć do tej samej organizacji, na której konto ma być dokonana płatność.

Autentyczność wiadomości, choćby wyglądających na najbardziej prawdziwe, należy sprawdzać u źródła np. w banku czy organizacji, która rzekomo ją wysłała. Żadne bank czy organizacja finansowa nie poprosi w e-mailu o podanie haseł dostępowych i loginów do strony czy konta. Odsyłacze na stronach WWW lub w e-mailach mogą być pułapką – jeśli istnieją jakiekolwiek wątpliwości, nie należy nie klikać. Najlepiej jest też posiadać oprogramowanie wyposażone w filtry antyphishingowe, które wychwycą fałszywe informacje , domeny bądź strony czy odnośniki.

Marek Meissner

Źródło: biznes.interia.pl

Wyczyścili mu konto przez telefon. Znali odpowiedzi na pytania bezpieczeństwa. Niebezpieczny incydent

Jeden z klientów T-Mobile Usługi Bankowe, prowadzonych przez Alior Bank, odkrył, że z jego konta zniknęły wszystkie pieniądze. Kiedy zadzwonił do banku usłyszał, że przecież sam zamknął konto. Przez telefon. Mężczyzna wkrótce odzyska swoje pieniądze, ale policja prowadzi intensywne dochodzenie. Ma powody.

Aktualizacja

Alior Bank przesłał nam oświadczenie, które publikujemy w całości.

„Alior Bank pragnie wyjaśnić, że klient może zamknąć produkt telefonicznie wyłącznie po potwierdzeniu swojej tożsamości. Weryfikacja obejmuje szereg bardzo szczegółowych pytań osobowych oraz produktowych. Po jej dokonaniu klient może przelać środki na rachunek w obcym banku, obecnie jedynie do kwoty 100 zł. Jeśli na koncie znajdują się środki o wyższej wartości, klient może samodzielnie dokonać przelewu za pośrednictwem systemu bankowości elektronicznej lub zamknąć rachunek osobiście w oddziale.”
******

Serwis Niebezpiecznik donosi o groźnym incydencie, którego ofiarą padł pod koniec stycznia klient banku T-Mobile, prowadzonego technicznie przez Alior Bank. Mężczyzna odkrył, że z jego konta zniknęły wszystkie pieniądze. Podczas rozmowy z konsultantem został poinformowany, że to przecież on sam zadzwonił do banku, zamknął konto, a środki przelał na wskazany rachunek.

Poszkodowany oczywiście nigdzie nie dzwonił. Został okradziony w sposób, który budzi spore wątpliwości.

„Ktoś podszył się pode mnie w kontakcie telefonicznym z bankiem (T-Mobile Usługi Bankowe [dostarczane przez Alior Bank — dop. red.]) i wydał dyspozycję zamknięcia mojego rachunku oszczędnościowego oraz przelania znajdującej się tam dużej sumy pieniędzy na podane przez siebie konto. […] O produktach banku nie informowałem nikogo nigdy. Ciężko mi też uwierzyć w podsłuchanie lub wykradzenie tych danych przez wirusa, jestem programistą i od dawna dość rygorystycznie przestrzegałem zasad bezpieczeństwa. […]Jestem też zaskoczony tym, że można takiej dyspozycji dokonać na telefon, bez innej formy autoryzacji i z pominięciem okresu wypowiedzenia umowy o rachunek.” – wyjaśnił Niebezpiecznikowi.

Wydanie dyspozycji zamknięcia konta wymagało jednak odpowiedzi na pytania konsultanta takie jak nazwisko panieńskie matki. Tego typu informacji użytkownik raczej nigdzie sobie nie zapisuje, co tylko potęguje wątpliwości związane z kradzieżą. Być może wystarczyła znajomość daty urodzenia? Tę informację zdobyć zdecydowanie łatwiej.

„Sprawa jest rozwojowa”

Ofiara przestępstwa została już poinformowana, że pieniądze do niej wrócą. Zostały zabezpieczone przez bank, który otrzymał przelew z konta w T-Mobile Usługi Bankowe.

„GetinBank (…) zaklasyfikował przelew jako podejrzany i zablokował pieniądze do czasu wyjaśnienia sprawy. Policja już pytała o konto na które mogą mi środki zwrócić i mają to ‘niedługo’ zrobić.”
– wyjaśnił mężczyzna. Dodał, że według policji „sprawa jest rozwojowa”, a to oznacza więcej poszkodowanych.

Dobrą wiadomością jest to, że specjaliści od zabezpieczeń w bankach reagują na zuchwałość złodziei. Być może Getin wprowadził mechanizm „obserwujący” przelewy przychodzące na nowo otwarte konta. Prawdopodobnie złodziej, który wyprowadził pieniądze z T-Mobile Usługi Bankowe, powtórzył swój proceder.

Złą wiadomością jest możliwość przejęcia przez przestępcę informacji służących do odpowiedzi na pytania bezpieczeństwa. W kwestiach finansów nie powinniśmy kierować się wygodą, a bezpieczeństwem.

 

Źródło: next.gazeta.pl

Ten przekręt przywędrował do nas z Kanady. Nie mów „TAK” do telefonu – to kradzież tożsamości

Przestępcy znaleźli nowy sposób na kradzież pieniędzy z naszych kart i kont. Dzwonią i zadają proste pytanie: „Czy dobrze mnie pan/pani słyszy”. Kto odpowie naraża się na ryzyko strat finansowych.

Radio Zet ostrzega przed nowym przekrętem , który trafił do Polski z Kanady i USA. Przestępcy dzwonią i w rozmowie dążą do tego, aby ofiara wypowiedziała słowo „tak”. Najczęściej pytają o jakość połączenia, bo w ten sposób najłatwiej zmusić do reakcji.

Kradzież tożsamości

Odpowiadając na pytanie narażamy się na ryzyko strat finansowych. Przestępcy mogą bowiem za pomocą nagranej próbki zamawiać różnego rodzaju towary lub usługi. Kiedy ofiara odmówi zapłaty może być przekonywana, że wyraziła zgodę, przestępcy przedstawią jej nagranie, w którym słychać jak mówi słowo „tak”.

CBC News zwraca uwagę na to, że nie do końca wiadomo na czym polega przekręt, gdyż metoda ataku jest świeża.

Fałszywe wezwania do zapłaty

Polskie prawo od 2014 roku lepiej chroni konsumenta w kwestii zamówień składanych telefonicznie. Umowa zawarta tylko przez telefon do niczego nie zobowiązuje. Konsumenci mogą jednak nie zdawać sobie sprawy z tego i ulegać np. wezwaniom do zapłaty.

Dlatego zalecamy ostrożność – nie potwierdzajmy przez telefon żadnych danych. Pamiętajmy też, że umowa zawarta przez telefon jest ważna wyłącznie po jej potwierdzeniu za pomocą listu lub e-maila.

Źródło: next.gazeta.pl

ZBP wydał poradnik w sprawie cyberbezpieczeństwa usług bankowych

Nasze pieniądze na rachunkach bankowych mogą być znacznie bezpieczniejsze, jeśli unikniemy prostych błędów. Związek Banków Polskich opublikował właśnie specjalny poradnik dotyczący cyberbezpieczeństwa usług bankowych. Bankowcy radzą w nim m.in., by nigdy nie zapisywać numeru PIN na kartkach przechowywanych razem z kartą płatniczą, nie używać tego samego hasła do różnych usług płatniczych i natychmiast zgłaszać utratę karty płatniczej np. na numer +48 828828828.

Według wydanego przez Związek Banków Polskich poradnika „Cyberbezpieczny portfel”, do największych zagrożeń, związanych z korzystaniem z kart płatniczych należą: udostępnianie karty i kodu PIN osobom trzecim, nakłanianie do odwiedzania fałszywej strony internetowej (phishing), przekierowywanie na sfałszowane strony banków (pharming), posługiwanie się kartami skradzionymi lub zagubionymi, zakupy na odległość z wykorzystaniem cudzej karty, klonowanie kart zczytywanych z bankomatów.

Do największych błędów użytkowników kart należą: noszenie kart w portfelu z pieniędzmi (64 proc. mężczyzn, 67 proc, kobiet), noszenie ze sobą wszystkich kart płatniczych, bez względu na to, czy są potrzebne (56 proc. mężczyzn, 57 proc, kobiet), noszenie przy sobie zapisanego PIN do karty (12 proc. mężczyzn, 19 proc. kobiet), brak dbałości o to, by wpisywać PIN w taki sposób, by nie zobaczyły go inne osoby (po 29 proc. mężczyzn i kobiet).

W poradniku zaznaczono, że w razie utraty kart i ewentualnie innych dokumentów natychmiast zastrzec je w banku, a następnie zgłosić do najbliższej jednostki policji. Skradzione dokumenty mogą być bowiem wykorzystane np. do wyłudzenia pożyczki, wynajęcia mieszkania lub pokoju hotelowego, kradzieży lub wypożyczenia samochodu lub innych przedmiotów, założenia fikcyjnych firm w celu wyłudzenia kredytów lub zwrotu podatków.

Pełny raport można pobrać tutaj

mBank ostrzega przed wirusem, przechwytującym poufne dane i wyłudzającym hasła SMS

Przed nowym, złośliwym oprogramowaniem zagrażającym klientom korzystającym z bankowości elektronicznej ostrzega w swoim serwisie internetowym mBank.

„Faktura proforma” lub „Płatność” to tytuły, jakie najczęściej towarzyszą wiadomościom rozsyłanym przez przestępców, podszywających się pod notariusza lub biuro handlowe, którym towarzyszą niebezpieczne załączniki.

Próba otwarcia rzekomej faktury może skończyć się zainfekowaniem komputera. W takim wypadku złośliwe oprogramowanie będzie starało się przejąć identyfikator klienta oraz hasło – ofiara po podaniu danych zobaczy spreparowaną stronę serwisu, sugerującą oczekiwanie na logowanie, a następnie komunikat informujący o aktywacji przez mBank bezpłatnej usługi moneyback, którą trzeba potwierdzić kodem SMS.

W rzeczywistości w tym czasie przestępcy zdążyli już zalogować się na konto i dodać „zaufanego odbiorcę” dla przelewów zdefiniowanych. Oczywiście by potwierdzić taką zmianę na koncie, potrzebny jest kod SMS, który zostaje wysłany na telefon klienta.

Jak widać na załączonym przez mBank zrzucie ekranu, ofiarę może zwieść poprawnie wyświetlający się adres strony oraz „zielona kłódka” i przedrostek https://, sugerujące połączenie szyfrowane.

Warto więc pamiętać, że mBank nigdy nie wymaga wprowadzania haseł SMS w trakcie logowania do serwisu transakcyjnego w celu potwierdzenia aktywacji usług lub transakcji finansowych.

W swoim komunikacie mBank wskazuje również, że „przestępcy potrafią podrabiać strony w internecie, w tym strony banków. Jeśli jakikolwiek komunikat albo element serwisu transakcyjnego lub mobilnego wzbudzi Twoje wątpliwości – przerwij czynność i natychmiast skontaktuj się z konsultantem mLinii lub Ekspertem Online.”

Źródło: technowinki.onet.pl

Nie ma zagrożenia dla obywateli

Obywatele mogą czuć się bezpieczni – to konkluzja spotkania, jakie odbyło się w Ministerstwie Cyfryzacji. Dotyczyło ono pozyskiwania przez kancelarie komornicze dużych pakietów danych z bazy PESEL

W spotkaniu uczestniczyła Minister Cyfryzacji Anna Streżyńska, przedstawiciele Krajowej Rady Komorniczej i Ministerstwa Sprawiedliwości. Obecny był również Generalny Inspektor Ochrony Danych Osobowych oraz przedstawiciele Związku Banków Polskich. Tematem rozmowy były kwestie związane z niepokojem, jakie wywołały u obywateli informacje o pozyskiwaniu przez kancelarie komornicze dużych pakietów danych z bazy PESEL.

Jak wskazano, pięć kancelarii pobierało dane w ramach dostępnych uprawnień. W 2015 r. w całym kraju prowadzonych było ok. 8 mln postępowań egzekucyjnych, w ramach których kancelarie komornicze zaciągnęły w sumie ok. 2 mln rekordów. Po ujawnieniu faktu, że 1,4 mln pobrań dokonało 5 kancelarii, samorząd komorniczy zapowiedział audyt, który ma wykazać, czy pobieranie danych odbywało się w ramach prowadzonych przez kancelarie spraw.

Na spotkaniu ustalono, że służby Ministerstwa Cyfryzacji odpowiedzialne za cyberbezpieczeństwo włączą się w audyt bezpieczeństwa systemów komputerowych w kancelariach komorniczych oraz sprawdzą stosowane przez nie procedury.

Niezależne postępowania kontrolne właściwym sądom zleciło Ministerstwo Sprawiedliwości. Własne postępowanie kontrolne zapowiedziała też Krajowa Rada Komornicza. Działania takie podejmie również Generalny Inspektor Ochrony Danych Osobowych. Wszystkim zależy, by jak najszybciej potwierdzić, że dane Polaków są w pełni bezpieczne.

Postępowanie prowadzi również prokuratura. Na obecnym jego etapie nie można mówić o jakimkolwiek nieautoryzowanym dostępie do danych Polaków czy niewłaściwym ich wykorzystaniu. Nie mamy do czynienia z żadnym wyciekiem danych z systemu PESEL, włamaniem do niego, kradzieżą danych, atakiem hakerskim czy innym nieuprawnionym dostępem do danych Polaków. Nie ma więc ryzyka dla klientów. Prokuratura sprawdza natomiast, czy przy pobieraniu danych z rejestru PESEL wszystko odbywało się zgodnie z procedurami i czy nie doszło do żadnych nadużyć.

Źródło: mc.gov.pl