Kiedy ostatnio słyszeliście w wiadomościach o napadzie na bank? No właśnie. To już taki mocny oldschool, który widujemy tylko w hollywoodzkich filmach. Ale to wcale nie znaczy, że nasze pieniądze są bezpieczne. Kradnie się ich znacznie więcej, tylko w białych rękawiczkach.
Zastanawiam się, czy jest jakiś krajowy bank, który po zalogowaniu do serwisu transakcyjnego nie wali po oczach wielkimi czerwonymi literami (ewentualnie białymi na czerwonym tle) informacji o tym, że do korzystania z bankowości mobilnej nie są potrzebne żadne dodatkowe certyfikaty. Fakt, że takie ostrzeżenia są niemal w każdym banku, świadczy o tym, że dobrze nie jest. Ba – jeśli faktycznie „bank” zaproponował Ci instalację czegoś takiego i spytał o numer telefonu, to wręcz znaczy, że jest koszmarnie źle. Bo Twój komputer nie jest już Twój – kontrolują go cyber-przestępcy.
Co zrobić, by tego uniknąć? Wprowadzić w życie osiem krótkich, wydawać by się mogło, że oczywistych, dobrych praktyk.
• Wybierz bank, który oferuje uwierzytelnianie dwuskładnikowe. Mogą to być kody SMS, token, generujący losowy ciąg cyfr, czy nawet drukowane kody jednorazowe. W Polsce nie jest to chyba aż tak wielkim problemem, zastanawiam się, czy w ogóle są banki, które tego nie oferują? To uwaga bardziej pod USA, gdzie przy ogromie instytucji finansowych łatwo znaleźć te, którym nie chciało się jeszcze modernizować
• Używaj mocnego hasła. O sposobach generowania i zapamiętywania haseł pisałem już na Blogu Technologicznym wielokrotnie. Dla forów internetowych, czy innych „ogłupiaczy”, gdzie nie podajemy danych wrażliwych, można sobie odpuścić. Zbyt proste hasło do banku to tak jak zostawienie na stoliku w barze szybkiej obsługi zwitka pieniędzy. Wszystkich naszych pieniędzy, oszczędności całego życia.
• Nie odsuwaj w czasie instalacji łatek bezpieczeństwa i uaktualnień. Jak często zdarza się Wam wybierać opcję „jutro”, gdy komputer upierdliwie monituje o instalację ściągniętych już łatek? Tego typu grzeszki ma na sumie chyba prawie każdy, ja też kamieniem rzucać nie zamierzam. Jeśli coś już trzeba łatać, to znaczy, że jest z tym źle. Jeśli przychodzą uaktualnienia dla antywirusa albo firewalla, to znaczy, że trzeba, a nie, że ktoś miał taki kaprys. Odetchnij, kliknij „instaluj” albo „restartuj” i pójdź na kawę.
• Nie klikaj we wszystko. Wbij sobie w głowę, że w linki w mailach, że o załącznikach już nie wspomnę, z założenia nie klikamy. Musi się stać coś wyjątkowego, żeby Cię przekonać do kliknięcia – a nie do rezygnacji z kliknięcia. Przecież kiedy widzimy rozkładające się w upale ciastko, po którym uroczo buszują sobie bakterie salmonelli nikt nas nie musi namawiać, żeby go nie jeść, prawda?
• Korzystaj z systemów e-bankowości z bezpiecznego miejsca. Nie ma wśród Was nikogo, kto wchodzi do kawiarenki internetowej na szybki przelewik, prawda? Mam nadzieję, bo to by znaczyło, że lata pracy wielu osób (w tym trochę mojej) nad budzeniem świadomości bezpieczeństwa poszły w... (ten, kto oglądał Kilerów 2-óch wie, gdzie). Wpisywanie swojego loginu i hasła na komputerze u znajomego też jest średnio dobrym pomysłem – lepiej używać np. mobilnej aplikacji na telefonie. Ja np. przelewy robię z komputera z zainstalowanym Linuxem.
• Nie zapominaj o wylogowaniu. Tak samo, jak nie zapominasz o zamknięciu drzwi, wychodząc z domu. Na klucz. Jeśli się wylogujesz, przestępcy „dosyć ciężko” będzie ukraść Twoją sesję, zestawioną z bankiem.
• Jeśli Twój bank na to pozwala, korzystaj z powiadomień SMS. Może się to skończyć bladością na twarzy, jak u jednego z moich znajomych, który zobaczył SMSa godzinę po tym jak powiedział dziewczynie: „Kup sobie coś ładnego”, ale przede wszystkim może pomóc zminimalizować straty, blokując konto tylko po jednej transakcji, wykonanej przez „nas” w bankomacie w Argentynie, którą widzieliśmy tylko w internecie i kiedyś na pocztówkach.
• Ustaw limity transakcji. Lepiej raz na kwartał spowodować kolejkę-gigant w markecie i zadzwonić do banku po zmianę limitów, niż obudzić się z pustym kontem.
Święta coraz bliżej – cyber-przestępcy też potrzebują pieniędzy na prezenty. Oby nie były to Wasze pieniądze.
Inspiracja: nakedsecurity.sophos.com