Korzystanie z bankowości internetowej jest znacznym ułatwieniem dla każdego posiadacza rachunku bankowego, w tym również dla przedsiębiorców. Oczywiście fakt zwiększonego zainteresowania bankowością internetową nie umyka uwadze cyberprzestępców. Jakie zagrożenia czyhają na prowadzących działalność gospodarczą i jak zadbać o bezpieczeństwo przy wykonywaniu płatności online?
Szybkość i wygoda a bezpieczeństwo
Dzisiaj ciężko wskazać przedsiębiorcę, który swoje działania w zakresie usług bankowych wykonuje tylko stacjonarnie, w placówkach banków. W czasach, w których jak nigdy wcześniej liczy się szybkość i bezpieczeństwo, dominującym kanałem dostępu do usług finansowych jest sieć Internet.
Niewątpliwa wygoda, jaka towarzyszy korzystaniu z bankowości elektronicznej, jest obarczona pewnym ryzykiem i zagrożeniami, które nigdy wcześniej się w tej dziedzinie nie pojawiały.
Szybkość i bezpieczeństwo są dla przedsiębiorców, korzystających z usług bankowych, kluczowe, a te — z pozoru nieco sprzeczne — wartości, można rozsądnie połączyć.
O bezpieczeństwie podczas korzystania z bankowości elektronicznej można mówić wiele, jednak jest kilka podstawowych zasad, których przestrzeganie niemalże całkowicie wyeliminuje ryzyko padnięcia ofiarą cyberprzestępców.
Cyberprzestępcy nigdy nie śpią
Nieroztropne korzystanie z dobrodziejstw bankowości internetowej niesie za sobą szereg zagrożeń. Tak szybko, jak powstają mechanizmy ochrony użytkowników, tak też — równie dynamicznie — cyberprzestępcy rozwijają technologie i metody, mające na celu przejęcie kontroli, a następnie uzyskanie dostępu do finansów, na przykład w celu kradzieży środków zgromadzonych na koncie.
Zagrożenia czyhają na użytkowników w zasadzie na każdym kroku korzystania z technologii, a grupą szczególnie zagrożoną są przedsiębiorcy. To właśnie w podmioty prowadzące działalność gospodarczą bardzo często wymierzone są różne akcje i kampanie, organizowane przez cyberprzestępców.
Nielegalne działania mogą objąć różne obszary korzystania z bankowości internetowej, toteż wylogowywanie się po dokonaniu transakcji, czy niekorzystanie z niezabezpieczonych sieci publicznych są oczywiście dobrymi praktykami, ale nie eliminują wszystkich zagrożeń, które mogą doprowadzić do katastrofalnych skutków.
„Nigdy nie dam się nabrać na fałszywy e-mail” – do czasu
Zagrożeniem, które czyha na przedsiębiorców, korzystających z systemów bankowości elektronicznej są wszelkiego rodzaju kampanie phishingowe. Jest to w zasadzie szerokie pojęcie, które określa nie tyle rodzaj złośliwego oprogramowania, a całą metodę działania.
Phishing to metoda oszustwa, mogąca być w zasadzie ujęta jako podstęp. Cyberprzestępcy podszywają się pod osobę bądź instytucję, w celu wyłudzenia informacji albo nakłonienia ofiary do podjęcia pewnych działań. Wynikiem phishingu może być podanie cyberprzestępcom na tacy wrażliwych danych, ale także udzielenie dostępu do swojego systemu, co w dalszej perspektywie może doprowadzić — na przykład — do zainfekowania systemu.
Phishing, z racji tego, że jest zjawiskiem, może przybierać w indywidualnych przypadkach najróżniejsze formy. Najbardziej bezczelną formą tego typu podstępu jest podszycie się pod instytucję zaufania publicznego, na przykład bank, i zachęcenie do otwarcia załącznika, czy linku do strony internetowej. Ta jest najczęściej spreparowaną stroną, przypominającą do złudzenia jej „prawdziwą” wersję, a dane wpisane w formularzu trafią od razu do cyberprzestępców.
Keyloggery, czyli swoiste podsłuchy
Jednym z zagrożeń, które może pojawić się wskutek przeprowadzenia udanej kampanii pshishingowej i na które przedsiębiorca musi zwrócić uwagę, jest keylogger, czyli złośliwe oprogramowanie, które rejestruje, przechwytuje i wysyła cyberprzestępcom wpisywane za pośrednictwem klawiatury znaki.
Jest to swoisty podsłuch, mogący dostarczyć cyberprzestępcom nie tylko wrażliwą służbową korespondencję, ale również loginy i hasła, które mogą pozwolić na nieuprawniony dostęp do bankowości internetowej przedsiębiorcy.
Właściwą ochroną przed keyloggerem jest zaktualizowane oprogramowanie antywirusowe, takie jak ESET, które blokuje działalność złośliwego oprogramowania „podsłuchującego” wpisywane przez Ciebie hasła.
Jak się chronić przed phishingiem oraz keyloggerami?
Kamil Sadkowski, starszy analityk zagrożeń z laboratorium ESET w Krakowie radzi wprost, jak chronić się przed phishingiem i keyloggerami: zawsze, otrzymując e-mail od instytucji zaufania publicznego (na przykład banku), pamiętaj o kilku podstawowych zasadach.
Rób bezpieczne przelewy online
Żaden przedsiębiorca nie wyobraża sobie sytuacji, w której nie mógłby dokonywać płatności, przelewów online. Dlatego, aby nie myśleć o czyhających niebezpieczeństwach, takich jak wspomniane keyloggery, czy phishing, powinien korzystać z pakietów bezpieczeństwa, które szyfrują komunikację pomiędzy klawiaturą a przeglądarką, zabezpieczając w ten sposób przeprowadzane transakcje płatnicze.
Niektóre z rozwiązań antywirusowych, takich jak programy ESET dla małych firm, posiadają specjalnie zabezpieczoną przeglądarkę, która automatycznie uruchamia się w sytuacji, gdy wchodzisz do serwisu transakcyjnego banku lub korzystasz z serwisu, w którym wpisujesz dane np. karty kredytowej. W związku z tym nie musisz myśleć o tym, żeby w specjalny sposób włączać dodatkową ochronę płatności. W przypadku ESET program zrobi to sam. Jeśli potrzebujesz mieć szybki dostęp do zabezpieczonej przeglądarki, możesz ustawić do niej skrót na pulpicie. W wypadku większych firm warto wydzielić w sieci firmowej jeden komputer, który będzie służył wyłącznie do realizowania przelewów. Taki komputer powinien zostać dodatkowo zabezpieczony antywirusem, być regularnie aktualizowany i mieć ustalone restrykcyjne uprawnienia dostępu dla konkretnej osoby lub grupy osób (np. z działu księgowości).
Z bezpiecznej przeglądarki ESET można korzystać również z poziomu pulpitu
Nowy kanał zagrożeń — aplikacje mobilne
Nie tylko komputery stacjonarne oraz laptopy są narażone na infekcje złośliwych wirusów, które mogą wyprowadzić dane logowania do rachunku bankowego. Liczba zagrożeń oraz fałszywych aplikacji dla urządzeń mobilnych rośnie.
Firma ESET jakiś czas temu odkryła, że w Google Play pojawiły się dwie aplikacje, których prawdziwe działanie jest zgoła inne od tego, na co wskazywałby ich opis. Chodzi o CryptoMonitor i StorySaver. Pierwsza aplikacja rzekomo śledzi ceny kryptowalut, a druga z kolei służy do zapisywania instagramowych Stories.
Eksperci ESET odkryli, że wspomniane aplikacje faktycznie robiły to, co do nich należy, ale niestety nie tylko to. Programy wyświetlały powiadomienia systemowe, które wyglądały tak samo, jak te, które wysyłają oficjalne aplikacje banków. Jakby tego było mało, wyświetlały fałszywe okna logowania do banków (sprawdzając najpierw, które aplikacje bankowe znajdują się na urządzeniu), a także były w stanie przechwycić loginy i hasła oraz powiadomienia SMS, przez co jednorazowe kody autoryzacyjne nie stanowiły dla nich żadnej bariery.
Cyberprzestępcy, korzystając z nieuwagi użytkowników, mogli przejąć dane logowania, uzyskać dostęp do konta, a w wypadku konieczności autoryzacji SMS, bez problemu przechwycić wysyłane przez bank informacje. Dlatego warto zadbać nie tylko o ochronę antywirusową swojego służbowego komputera, ale również smartfonu, czy tabletu.
Jedyna słuszna metoda niezawodnej ochrony przed cyberprzestępcami
…nie istnieje.
Fundamentem, który niemalże do zera zmniejsza ryzyko padnięcia ofiarą cyberprzestępców, jest rozsądek, a także świadomość zagrożeń. Bankowość internetowa nie jest niczym złym i niezmiernie ułatwia dokonywanie przelewów, wypłat, czy — w wypadku niektórych banków i małych przedsiębiorstw — czynności księgowe.
Podstawami bezpieczeństwa w tej dziedzinie są: rozsądne korzystanie z Internetu, spostrzegawczość, a także aktualne i funkcjonalne oprogramowanie antywirusowe, które ma funkcję zabezpieczania naszych płatności online. Odpowiednie rozwiązania w tym zakresie mogą odciążyć użytkowników na tyle, że, nawet gdy zapomni się o zasadach bezpieczeństwa i otworzy załącznik ze złośliwym oprogramowaniem, to antywirus może je wykryć i usunąć.