Bezpečnost v oblasti platebního styku

Bezpečnost v oblasti platebního styku Webinář, 26. března 2015, 19.00 hod. Přednášející: Ing. Petr Strnadel, Citibank Europe plc

www.bankovnigramotnost.cz | www.jaczech.cz

1

Cíl této prezentace

• Seznámit posluchače se základními bezpečnostními principy při používání platebních produktů • Poukázat na případné chyby uživatelů platebních produktů • Ukázat i nestandardní jednání týkajících se platebních produktů

2

Obsah a témata webináře • Úvod do základních principů bezpečnosti • Co rozumíme pod pojmem platební produkt? • Životní cyklus platebního produktu z pohledu bezpečnosti • Pravidla bezpečného používání internetového bankovnictví • Bezpečnost informací a dat • Používání platebních karet • Příklady podvodného jednání cizích osob • Prostor pro Vaše dotazy • Závěr 3

Úvod do základních principů bezpečnosti • Nezamykáte si snad dům, byt, kancelář, auto, cyklistické kolo? • Nehlídáte si Vaše osobní doklady nebo půjčujete je komukoliv? • Nevadí Vám snad asistence neznámé osoby při výběru hotovosti z bankomatu? • Na počítači neřešíte aktualizace operačního systému? • Stahujete a instalujete všechny aplikace, které vidíte? • Antivirové programy považujete za zbytečné? • Otevíráte každý email, který obdržíte od neznémého odesílatele? • Na internetu Vás lakají především neznámé webové stránky? • Vaše osobní údaje, včetně čísla Vaší platební karty vkládáte kamkoliv?

4

Úvod do základních principů bezpečnosti • Pokud jste odpověděli ANO na některý z uvedených dotazů na předešlé stránce, tak je tato prezentace vhodná právě pro Vás • Pokud jste však odpověděli NE, tak pro Vás není bezpečnost cizím pojmem, avšak vždy je vhodné si základní principy zopakovat, případně i rozšířit Vaše znalosti

5

Co rozumíme pod pojmem platební produkt? • Účet v bance (běžný, spořící, investiční) • Platební karta (kreditní, debetní, čipové, bezkontaktní) • Internetové bankovnictví • Mobilní bankovnictví • Úvěr • Půjčka • Směnka • Šeková poukázka • Ostatní finanční produkty 6

Životní cyklus platebního produktu z pohledu bezpečnosti

• Získání platebního produktu
Žádost o produkt na základě poskytnutých osobních údajů a dokladů

• Používání platebního produktu a příslušných služeb
Pravidelné využívání
Rozšiřování používaných služeb a možností platebního produktu

• Ukončení používání platebního produktu a příslušných služeb
Podání žádosti o ukončení používání platebního produktu
Vyrovnání dlužné částky
Ověření jaká osobní data a po jak dlouhou dobu může banka využít

7

Základní principy bezpečnosti

• Rozdělujte soukromé a pracovní záležitosti • Dodržujte Vaše soukromí a neukazujte vše na počkání • Nekomunikujte senzitivní informace na veřejnosti • Nezapomínejte, že internet je veřejné místo • Předvídejte možné dopady Vašeho jednání při používání platebních produktů

8

Internet - veřejné místo • Rizikem internetu může být především samotný uživatel, který občas nepřemýšlí o svém počínání a možných důsledcích svého jednání • Cokoliv sdělíte nebo uložíte na veřejném internetu, tak si může kdokoliv prohlédnout a přečíst bez Vašeho vědomí • Můžete tak ztratit kontrolu nad sdělenou informací, fotkou nebo dokonce nad sděleným osobním údajem • Nevíte, kdo a pro jaký účel následně Vaší informaci využije nebo se pokusí zneužít ve svůj prospěch

9

Bezpečné používání internetového bankovnictví Pravidlo 1 • Používejte jen vlastní počítač, notebook, tablet nebo chytrý telefon • Pro přístup na internetové bankovnictví nepoužívejte neznámých počítačů, kde neznáte úroveň zabezpečení a stav takového počítače • Přihlašování do internetového bankovnictví neprovádějte v internetových kavárnách

10

Bezpečné používání internetového bankovnictví Pravidlo 2 • Zajistěte pravidelnou aktualizaci operačního systému, prohlížeče, používaných aplikací a jiného programového vybavení • Nepoužívejte k přístupu na internetové bankovnictví počítač, který nemá nejnovější bezpečnostní instalace • I přenosné zařízení typu tabletu, nebo chytrého telefonu je nutné pravidelně aktualizovat

11

Bezpečné používání internetového bankovnictví Pravidlo 3

• Používejte programy, které jsou určené pro ochranu Vašeho počítače, jako jsou anti-virové programy a anti-spywarové programy • V neposlední řadě používejte i aktivní osobní firewall (bezpečnostní zeď) před vašim počítačem • Zajistěte pravidelnou aktualizaci těchto bezpečnostních programů • Tyto bezpečnostní programy jsou k dispozici i pro tablety a chytré telefony

12

Bezpečné používání internetového bankovnictví Pravidlo 4 • Uzamykejte si heslem Vaše zařízení (telefon, počítač, tablet) • Heslo / PIN zadávejte v soukromí bez účasti jiné, nebo cizí osoby • Zadávání hesla / PINu zakrýjte druhou rukou • Heslo / PIN si nikdy nikam nezapisujte • Hesla pro přístup k internetovému bankovnictví, nikdy neukládejte v prohlížeči • Odhlašujte se řádně z internetového bankovnictví, případně zavřete i používaný prohlížeč a pravidelně vymazávejte uložené dočasné soubory

13

Bezpečné používání internetového bankovnictví Pravidlo 5 • Používejte jen bezpečné heslo / PIN kód, kterému věnujete pozornost ve formě pravidelné změny • Heslo si nastavujte bezpečné - silné (minimálně 8 znaků v kombinaci malých a velkých písmen, čísel a speciálních znaků - #,$,@) • PIN kód si nastavujte bezpečný - nikoliv 1234, anebo část čísla Vaší karty nebo část Vašeho data narození, čísla bydliště, apod. • Heslo by nemělo být stejné pro ostatní Vámi používané přístupy na (sociální sítě, soukromé emaily, webové aplikace a hry, diskuzní fóra)

14

Bezpečné používání internetového bankovnictví Pravidlo 6

• Otevírejte jen důvěryhodné a očekávané e-maily • Neotevírejte nedůvěryhodné e-maily, neklikejte na vložené odkazy, nestahujte podezřelé přílohy, které obdržíte v elektronické poště • Nepřeposílejte podezřelé e-maily dalším příjemcům • Přepošlete podezřelý e-mail pouze na e-mail adresu, která je určená k řešení takových podezřelých e-mailů dle instrukcí Vašeho poskytovatele e-mail služeb • Každou staženou přílohu nechte překontrolovat pomocí anti-virové kontroly 15

Bezpečné používání internetového bankovnictví Pravidlo 7 • Nikdy nereagujte na e-mailové žádosti, které mohou žádat Vaše přihlašovací údaje ve formě hesla, PIN kódu nebo jiného ověřovacího prvku • Nikdy neposílejte v e-mailu žádné hesla, PIN kódy nebo jiné přihlašovací údaje, které používáte pro přihlášení do internetového bankovnictví • Vaše osobní údaje nesdělujte po e-mailu

16

Bezpečné používání internetového bankovnictví Pravidlo 8 • Nenavštěvujte neznámé webové stránky a nestahujte z internetu neznámé soubory, které mohou obsahovat škodlivý malware nebo jiný nežádoucí software • Vždy využívejte jen oficiální aplikace pro Váš operační systém (iOS, Android, Windows, apod), které jsou dostupné na aplikačních marketech

17

Bezpečné používání internetového bankovnictví Pravidlo 9 • Využívejte zasílání informačních zpráv o provedených transakcích, kterými Vás informuje banka a pravidelně sledujte historii svého přihlašování k internetovému bankovnictví • Zajímejte se o bezpečnostní rizika a trendy k bezpečnému používání Vašeho počítače, tabletu nebo chytrého telefonu

18

Bezpečné používání internetového bankovnictví Pravidlo 10 • V případě jakýchkoliv dotazů a nejasností s Vaším přihlašováním k internetovému bankovnictví nebo dotazu k provedeným transakcím na Vašem účtu, tak neváhejte kontaktovat infolinku Vaší banky • Zajímejte se o možnosti Vámi používaných platebních produktů, případně i dalších nabídek, které mohou zvýšit Váš komfort a bezpečnost při používání platebních produktů

19

Bezpečnost informací a dat • Data mít na jednom a pro uživatele přehledném místě • Omezit přístup jiné osoby, případně nastavit kontrolovaný přístup • Pravidelné zálohování Vašich dat na bezpečné uložiště • Používání bezpečnostních nástrojů pro vyšší zabezpečení dat v podobě šifrování souborů • Nepotřebná data bezpečně smazat • Nepotřebné datové nosiče bezpečně likvidovat

20

Používání platebních karet – obchod, eShop • EShop, obchod, restaurace, služby • Vždy využívejte jen důvěryhodných internetových obchodů • Zároveň se ujistěte, že zadáváte požadované údaje z Vaší platební karty, jen do zabezpečené platební brány příslušného internetového obchodu • Nedávejte a neztrácejte Vaší platební kartu z Vašeho dohledu • Nenechte nikoho si opsat / ofotit údaje z Vaší platební karty • Pozor na kamerové systémy v obchodech a pohled na Vaší kartu • Vždy mít potvrzení o provedené transakci kartou nebo potvrzení o neprovedené transakci kartou z jakýchkoliv důvodů (chyba terminálu) 21

Používání platebních karet - bankomat • Využívejte jen důvěryhodných bankomatů na frekventovaných místech, případně přímo instalované na pobočkách bank • Při příchodu k bankomatu se podívejte, zda není viditelně poškozený nebo nejeví viditelné úpravy z důvodu neoprávněných zásahů • Nepoužívat bankomat v případě, že Vás někdo sleduje nebo Vám někdo přímo nabízí asistenci s takovým výběrem hotovosti z bankomatu • Pozor na kamerové systémy u bankomatu, které nemusí patřit majiteli bankomatu a mohou sledovat Vaše zadávané údaje (PIN kód)

22

Sociální inženýrství • Snaha o získání Vašich osobních údajů pomocí telefonického rozhovoru • Nikdy neposkytovat Vaše osobní údaje nebo přihlašovací údaje pomocí telefonu • Také neposkytujte osobní údaje Vašich rodinných příslušníků, kamarádů nebo kolegů a požádejte o telefonní číslo, na které lze zpětně volat • Pokud i tak potřebujete poskytnout Vaše osobní údaje, tak mějte jistotu a zavolejte vy na Vámi ověřené číslo a nikoliv, že Vám volá protistrana a žádá Vás o poskytnutí Vašich senzitivních údajů 23

SPAM = Nevyžádané e-mail zprávy • Až 80% veškerého objemu e-mailu tvoří právě nevyžádané SPAM emaily • E-mail „SPAM" se týká zpráv, které jsou poslané hromadně velkému množství příjemců, aniž by vznikla žádost, důvod a souhlas příjemce • Většina SPAMů je nevyžádaná a liší se obsahem od prodejních nabídek, až po nabídky diet a e-maily typu, jak rychle zbohatnout • E-mailové adresy jsou hodnotné zboží, které se obchodují a jsou dále prodávány za účelem rozesílání dalších a dalších e-mail nabídek • Jakmile odesílatelé nevyžádaných e-mailů získají platnou e-mailovou adresu, šance vyhnout se spamu bez ochrany je minimální

24

Phishing e-maily • Čím více lidé používají internet, tím více spolehají na jeho pohodlné zprostředkování služeb jako jsou např. bankovní služby, on-line nákupy a podobně • Bohužel je internet též zneužíván podvodníky, kteří rozesílají e-maily, které mají především vzbudit dojem, že pocházejí právě od bank • Tyto e-maily vypadají neuvěřitelně věrohodně a běžně se jim říká „Phishing“(název odvozen od anglického slova „Fishing“- Rybaření ) a jejich jediným cílem je „ulovit“ Vás a především Vaše osobní údaje. • Pro výše uvedené vždy následovat základní bezpečnostní principy 25

Podvodný e-mail Vám může zavirovat počítač • Policie ČR průběžně varuje občany před podvodnými e-maily, které jsou rozesílány zejména do pracovních e-mailových schránek různých organizací, firem a veřejných institucí. • E-mail byl rozesílán z různých internetových domén, doposud s uživatelským jménem „debt“. Předmět zprávy obsahuje text „Výše pohledávky na vašem účtu“ a číslo pohledávky. V textu zprávy je uvedeno upozornění na výši dlužné částky na osobním účtu, s tím, že pohledávku je možné dobrovolně uhradit do uvedeného termínu. Součástí e-mailu je příloha – soubor s příponou .zip s názvem „smlouva“ a její číslo. V příloze je spustitelný .exe soubor, který obsahuje virovou nákazu. Po jeho otevření dojde k napadení počítače a nainstalování škodlivého kódu, v tomto případě se jedná o tzv. "trojského koně". Zdroj: http://www.policie.cz/clanek/policie-cr-policie-ceske-republiky-podvodny-e-mail-vam-muze-zavirovat-pocitac.aspx

26

Podvodné e-maily – ukázka 1 (Exekuce)

27

Podvodné e-maily – ukázka 2 (Nález osobní dokumentace) • Policie ČR v posledních dnech zaznamenává zvýšený počet případů, ve kterých dochází k šíření škodlivého počítačového kódu v přílohách e-mailových zpráv, tvz. malware. Předmětem hromadně rozesílaných e-mailových zpráv jsou nyní především sdělení o omylem zaslaných kopiích dokladů a smlouvě, které odesílatel zasílá zpět z důvodu, aby se již na jeho email omylem nezasílaly další zprávy obsahující citlivé informace. E-mailové adresy odesílatelů jsou zpravidla podvrženy a telefonní čísla a jména uvedená v textu e-mailů smyšleny. • Kromě neoprávněného získání přístupu k počítačovému systému může být skutečným cílem snaha o získání citlivých informací, včetně možných přístupů do internetového bankovnictví uživatele. Ze strany pachatelů může následně dojít k neoprávněným finančním transakcím. Zdroj: http://www.policie.cz/clanek/dalsi-podvodne-e-maily.aspx (25/2/2015)

28

Podvodné e-maily – ukázka 3 (odběr zboží přes internet)

29

Podvodné e-maily – ukázka 4 (Email – bonus)

30

Další ukázky zneužití platební karty • Scénář Facebook - Uživatel FB je osloven svým „přítelem“

se žádostí o půjčku malého finančního obnosu (důvody jsou různé). Tato „půjčka“ má být poskytnuta prostřednictvím platební karty. V textu je poskytnutý link, který uživatele přesměruje na stránky, kde se mají zadat data o platební kartě pro provedení „půjčky“. Jakmile uživatel tyto údaje vyplní, pachatel získává všechna data potřebná k transakcím přes internet a následují podvodné transakce s takto odcizenou platební kartou.

• Scénář Hráč - Pachatelé inzerují na stránkách sázkových

společností (Např. SYNOTTIP, FORTUNA, BWIN) možnost získat finanční bonus v případě zaregistrování platební karty. Dále je přiložen link na stránky, kde je možné PK (platební kartu) „zaregistrovat“. Pokud držitel PK požadované údaje vyplní, nezískává žádný bonus a jeho PK je ve velmi krátkém čase zneužita na internetu. 31

Bankomat a přídavné podvodné doplňky

32

Ostatní • Cloudové (internetové) uložiště – Ano, pro nesenzitivní data / Ne, pro osobní údaje, pokud není použita další úroveň zabezpečení - šifrování • Sociální sítě (Facebook, Twitter, LinkedIn, ..) - Ano, pro sdělování nesenzitivních dat / Ne, pro ukládání osobních dat a nevhodného materiálu • Používání WiFi - Ano, pokud máte pod kontrolou a je zabezpečeno heslem / Ne, pokud se jedná o neznámé a jinak nezabezpečené WiFi připojení • Mobilní bankovnictví - Ano, ale vždy následovat doporučení banky • Internetové bankovnictví - Ano, vždy následovat doporučení banky • Pro výše uvedené, vždy následovat základní bezpečnostní principy

33

Vaše dotazy?

34

Děkuji za pozornost

35