Bankowość internetowa

  • System Bankowości Internetowej EBO zapewnia wysoki poziom bezpieczeństwa m.in. dzięki wykorzystaniu szyfrowania protokołem SSL oraz stosowaniu m.in. haseł jednorazowych przekazywanych za pomocą wiadomości SMS.

    Przed wpisaniem swojego identyfikatora oraz hasła do systemu sprawdź::

    1. Czy adres strony internetowej rozpoczyna się od https;
    2. Czy w prawym dolnym rogu okna przeglądarki (pasek statusu) lub obok paska adresowego znajduje się symbol zamkniętej kłódki; świadczy on o nawiązaniu szyfrowanego połączenia z bankiem;
    3. Czy po kliknięciu w kłódkę pojawia się informacja, że certyfikat został wystawiony dla witryny ebo.bsjl.pl, której właścicielem jest Bank Spółdzielczy w Janowie Lubelskim, zweryfikowany przez GeoTrust Inc. i jest on ważny.

    Ze względów bezpieczeństwa po 3 próbach wprowadzenia nieprawidłowego hasła dostęp do systemu zostanie automatycznie zablokowany. W takim przypadku możesz zgłosić dyspozycję odblokowania telefonicznie bądź poprzez zgłoszenie się do placówki Banku Spółdzielczego w Janowie Lubelskim.

    Pamiętaj, że:

    • System EBO nigdy nie żąda wpisania więcej niż jednego hasła jednorazowego  przesłanego za pomocą SMS.
    • Na stronie logowania nigdy nie jest wymagane podanie hasła jednorazowego.
    • Podczas logowania wpisuje się wyłącznie identyfikator użytkownika i ustalone przez siebie hasło (a przy pierwszym logowaniu hasło aktywacyjne z koperty lub przesłane przez SMS).
    • Jeżeli widzisz stronę logowania, na której trzeba wpisać hasło jednorazowe, albo stronę, na której trzeba podać kilka haseł jednorazowych jednocześnie, potraktuj to jako próbę oszustwa.
    • Nie wolno ujawniać nikomu haseł.
    • Nie wolno przechowywać swoich haseł razem z identyfikatorem. Własne hasło do logowania - podobnie jak numery PIN do kart płatniczych - najlepiej zapamiętać lub zapisać w sposób uniemożliwiający rozpoznanie przez inne osoby. Kartę z hasłami jednorazowymi należy przechowywać w bezpiecznym miejscu.
    • Regularnie zmieniaj swoje hasło dostępu. Staraj się, aby było ono trudne do rozszyfrowania. Hasło powinno składać się co najmniej z ośmiu znaków, zawierać małe i wielkie litery, cyfry oraz może zawierać znaki specjalne. Dostęp do hasła powinna mieć wyłącznie osoba, której dane hasło dotyczy
    • W internecie krążą maile, w których znajdują się odsyłacze do fałszywych stron bankowości internetowej i prośby o zalogowanie się na takich stronach w celu np. potwierdzenia swoich danych. Bank nigdy nie wysyła tego typu informacji do klientów. Nie próbuj logować się do systemu bankowości internetowej za pomocą odsyłacza przesłanego w takich wiadomościach.
    • Ustal bezpieczne limity transakcyjne dla przelewów internetowych.
    • Korzystaj wyłącznie ze sprawdzonych i pewnych komputerów. W żadnym wypadku nie korzystaj z ogólnodostępnych stanowisk internetowych (np. w kawiarenkach internetowych, bibliotekach publicznych, szkolnych laboratoriach, itd.).
    • Systematycznie używaj oprogramowania antywirusowego i stale dbaj o jego aktualizacje.
    • Instaluj nowo pojawiające się poprawki (łaty, patche) systemowe i programowe związane z bezpieczeństwem w sieci, pamiętając o tym, żeby pobierać je z wiarygodnych źródeł (producentów oprogramowania).
    • Używaj osobistego firewalla (Firewall - system ochrony komputera przed ingerencją wewnętrzną lub zewnętrzną przez ograniczenie dostępu do informacji o Użytkowniku i zasobach jego komputera).
    • Nie zostawiaj komputera podłączonego do sieci, jeśli z niego nie korzystasz.
    • Nie otwieraj i nie uruchamiaj plików i programów nieznanego pochodzenia.
    • Zapamiętaj hasło dostępu do Twojego konta i pod żadnym pozorem nie udostępniaj go osobom trzecim.
    • Po zakończeniu czynności w systemie EBO pamiętaj, aby się zawsze wylogować.
    • Na stronie logowania nigdy nie jest wymagane podanie hasła jednorazowego. Podczas logowania wpisuje się wyłącznie identyfikator użytkownika i ustalone przez siebie hasło (a przy pierwszym logowaniu hasło aktywacyjne z koperty lub przesłane przez SMS). Jeżeli widzisz stronę logowania, na której trzeba wpisać hasło jednorazowe, albo stronę, na której trzeba podać kilka haseł jednorazowych jednocześnie, potraktuj to jako próbę oszustwa.
    • Poszerzaj regularnie swoje horyzonty śledząc nasze komunikaty oraz doniesienia dot. najnowszych zabezpieczeń oraz narzędzi, dzięki którym możesz się chronić przed atakiem złośliwych oprogramowań.
    • Bank Spółdzielczy w Janowie Lubelskim nie wysyła e-maili, w których Klient jest proszony o podanie jakichkolwiek poufnych danych np. Identyfikatora, imienia i nazwiska, numeru PESEL itd. Jeżeli otrzymasz takiego e-maila - nie odpowiadaj na niego; skontaktuj się z Bankiem i poinformuj personel o próbie wyłudzenia.
    • Pracownik banku NIGDY nie prosi o instalację jakiegokolwiek oprogramowania firm trzecich (np. aplikacji typu zdalny pulpit).

    Jeżeli wygląd strony logowania do systemu EBO wzbudzi Twój niepokój, ZANIM ZALOGUJESZ SIĘ, zadzwoń najpierw do Banku: (+48) 15 8725-231, 15 8720-415, 15 8723-385, 15 8725-225, 15 8725-227 (z telefonów komórkowych lub z zagranicy, opłata według taryfy operatora).
    Także jeżeli już po zalogowaniu do systemu EBO cokolwiek wzbudzi Twoje podejrzenie, ZANIM AUTORYZUJESZ jakąkolwiek transakcję, najpierw zadzwoń do Banku na jeden z ww. numerów telefonów.

    Zapraszamy także do zapoznania się z: publikacją Komisji Nadzoru Finansowego:

  • Szanowni Państwo,

    Rada Bankowości Elektronicznej ZBP pragnie ostrzec przed nowym typem ataków na użytkowników internetu. W tym przypadku atak nie jest nakierowany bezpośrednio na klientów banków korzystających z bankowych internetowych serwisów transakcyjnych, choć jego skutki mogą być również dla nich bardzo odczuwalne.

    W sieci pojawił się trojan, który po zainfekowaniu szyfrują wszystkie dostępne na komputerze dokumenty.  Celem ataku są dokumenty utworzone przy użyciu aplikacji MS Office, takie jak: MS Word, czy MS Excel, ale również inne pliki tekstowe, graficzne i spakowane archiwa.

    Po zakończeniu szyfrowania trojan wyświetla ofierze stosowną informację:

    01

    02

    Wszystkie dokumenty są faktycznie zaszyfrowane i otrzymują dodatkowe rozszerzenie np. „mojtrove”. Zabieg ten ma na celu zwrócenia uwagi użytkownika, iż jego pliki zostały zaszyfrowane i są nieczytelne.

    03

    Za odblokowanie komputera hakerzy żądają okupu – w tym przypadku równowartość 750 USD .

    04Rada Bankowości Elektronicznej ZBP pragnie przestrzec przed pochopnym otwieraniem wiadomości pochodzących z niewiadomego źródła oraz załączonych do e-maili plików lub linków, które mogą zawierać ukryte złośliwe oprogramowanie. Dodatkowo, zalecamy ostrożność, gdyż świeżo spreparowany przez cyberprzestępców trojan może nie być zidentyfikowany przez program antywirusowy, ponieważ jego sygnatura może nie znajdować się jeszcze w bazie systemu. Przestępcy wykorzystują socjotechnikę, której celem jest wywołanie u odbiorcy wiadomości zainteresowania lub nawet niepokoju, który sprawi, że odbiorca otworzy wiadomość i przesłane w raz z nią załączniki lub linki. Poniżej przedstawiamy przykładową treść takiej wiadomości:

    05Dołączone do maila pliki są z reguły ze spakowanym trojanem, a ich opis oraz umieszczona w nich ikona dokumentu sugeruje inne przeznaczenie. Poniżej spreparowany trojan, który wyglądem przypomina dokument WORD, zaś faktycznie jest plikiem wykonywalnym.

    06

    W związku z powyższym Rada Bankowości Elektronicznej ZBP zaleca:

    1. nie otwieranie przesyłek poczty elektronicznej niewiadomego pochodzenia oraz załączonych do nich plików lub linków, szczególnie w przypadkach gdyby wskazywały na okoliczności zdarzeń, które nie miały miejsca z Państwa udziałem,
    2. dokonywania regularnej – okresowej - archiwizacji własnych zasobów danych na innych (zewnętrznych) nośnikach informacji.

    Rada Bezpieczeństwa Banków

    Związek Banków Polskich

  • Informujemy Państwa o pojawieniu się złośliwego oprogramowania, które zmienia wpisywany przez Klienta numer Rachunku Bankowego.

    Po wpisaniu lub wklejeniu wcześniej skopiowanego numeru NRB Klient widzi jak cyfry wpisane przez niego się zmieniły na zupełnie inne.
    Szczegółowe informacje znajdują się w linku poniżej.

    http://www.cert.pl/news/8999

  • Rada Bankowości Elektronicznej ostrzega przed nasilającą się ostatnio metodą na tzw. „poczekalnię” z wykorzystaniem złośliwego oprogramowania: Tinba i Vawtrak.

    Rada Bankowości Elektronicznej ostrzega przed nasilającą się ostatnio metodą na tzw. „poczekalnię” z wykorzystaniem złośliwego oprogramowania: Tinba i Vawtrak, dzięki którym hakerzy uzyskują dostęp do rachunku bankowego oraz przeprowadzają transakcję oszukańczą.

    • Działanie ww. malware’ów polega na dodaniu skryptu, który podczas logowania do sesji bankowości internetowej wykonuje następujące czynności:
    • Klient podaje hasło i login do bankowości internetowej, które są następnie przesyłane na serwer hakerów;
    • Na komputerze klienta przez okres czasu około minuty lub dłużej wyświetlany jest komunikat „ trwa przesyłanie danych” , „proszę czekać”, „trwa aktualizacja danych” itp.;
    • W tym czasie na podstawie wykradzionego loginu i hasła następuje:
    1. logowanie przez hakerów do bankowości internetowej klienta,
    2. badanie dostępnych środków,
    3. przygotowywanie transakcji oszukańczej,
    4. pobranie informacji z banku o konieczności podania numeru wygenerowanego przez Token
      w celu autoryzacji ww. transakcji,
    • Po tych czynnościach na komputerze nieświadomego klienta skrypt wyświetla komunikat o rzekomych problemach z uwierzytelnieniem i generuje prośbę o wprowadzenie dodatkowego numeru wygenerowanego przez Token w celu prawidłowego przeprowadzenia procesu uwierzytelnienia tożsamości klienta;
    • Nieświadomy użytkownik wprowadzając numer z Tokena „de facto” autoryzuje transakcję oszukańczą myśląc, iż dokonuje dodatkowego uwierzytelnienia swojej tożsamości;
    • W celu opóźnienia identyfikacji kradzieży po wykonaniu przelewu, na zainfekowanym komputerze wyświetlany jest przez trojan komunikat przez hakerów o rzekomych pracach modernizacyjnych i przymusowej przerwie w pracy bankowości internetowej.

    kom01Wyżej opisany mechanizm może być stosowany jest również w przypadku autoryzacji kodami SMS. Ponadto dzięki takim malware’om przestępcy mogą utworzyć nowy przelew zdefiniowany i posiadając już hasło i login do systemu transakcyjnego klienta, mogą samodzielnie dokonywać transakcji oszukańczych z użyciem utworzonego przez siebie przelewu zdefiniowanego (takie przelewy nie wymagają dodatkowej autoryzacji). W związku z powyższym w przypadku gdy użytkownik bankowości internetowej dostrzeże nietypowe działanie systemu bankowości internetowej m. in. wyżej opisane powinien:

    • nie podawać dodatkowych informacji w celu „uwierzytelnienia” swojej tożsamości;
    • bezzwłocznie skontaktować się ze swoim bankiem w celu powiadomienia banku o odbiegającym do typowego działaniu bankowego serwisu transakcyjnego;
    • zmienić hasło dostępowe do systemu bankowości elektronicznej poprzez kanał telefoniczny lub z użyciem innego komputera.

    Dobrze byłoby gdyby użytkownik podczas dostrzeżenia ww. anomalii zrobił zrzut ekranu (wciskając przycisk na klawiaturze „PrtScn” i wklejając go do nowego pliku w programie np. „Paint”). Zrzut ten może być pomocny bankowi przy identyfikacji zagrożenia.