style type="text/css"

Cyberbezpieczeństwo

Cyberbezpieczeństwo -

Rozpoczął się Europejski Miesiąc Cyberbezpieczeństwa

1 października już po raz jedenasty wystartowała kolejna edycja Europejskiego Miesiąca Cyberbezpieczeństwa (ECSM). Kampania organizowana przez agencję ENISA z inicjatywy Komisji Europejskiej w tym roku skupia się na zagrożeniach, w których wykorzystywana jest socjotechnika.


To właśnie z inicjatywy Agencji Unii Europejskiej ds. Cyberbezpieczeństwa ENISA (European Union Agency for Cybersecurity) każdego roku październik określany jest mianem bezpiecznego miesiąca. W tym miesiącu szczególny nacisk kładziemy na popularyzację wiedzy, zwiększanie świadomości i wymianę dobrych praktyk w obszarze cyberbezpieczeństwa wśród wszystkich użytkowników internetu, w tym również profesjonalistów czy osób zajmujących się szeroko pojętą edukacją oraz profilaktyką dzieci i młodzieży. To także doskonała okazja do podjęcia współpracy z różnymi organizacjami i partnerami. Polską edycję kampanii ECSM od początku koordynuje Państwowy Instytut Badawczy NASK.

Nasze społeczeństwo jest gotowe, aby korzystać z e-usług. Elektroniczna bankowość, zakupy online, bilety w komórce czy załatwianie spraw urzędowych za pomocą aplikacji mObywatel to rzeczywistość wielu ludzi, niezależnie od wieku. Wiemy także, że wzrost liczby użytkowników zwiększa jednocześnie liczbę ataków, dlatego kwestia cyberbezpieczeństwa jest tak ważna. Zapewnienie cyberochrony to jedno z ważniejszych wyzwań, przed jakimi stają nie tylko rządy poszczególnych państw, ale także eksperci sektora prywatnego i naukowcy – zaznaczył minister cyfryzacji Janusz Cieszyński.

Europejski Miesiąc Cyberbezpieczeństwa to doskonała okazja do tego, by jeszcze mocniej skupić uwagę na kwestiach związanych z cyberbezpieczeństwem. Żyjemy w „epoce cyfrowej” , w której coraz więcej aspektów naszego życia podlega digitalizacji. Cyberbezpieczeństwo nie jest zatem abstrakcyjnym terminem, lecz istotnym czynnikiem wpływającym na nasz dobrostan. Dlatego warto pogłębiać wiedzę w tym obszarze poprzez inicjatywy takie jak ECSM – podkreślił Wojciech Pawlak, dyrektor Państwowego Instytutu Badawczego NASK.

Jednym z najsłabszych ogniw cyberbezpieczeństwa jest człowiek. Dlatego wyjaśnienie, jak inżynieria społeczna działa w praktyce, zwiększa świadomość użytkowników i ułatwia im unikanie potencjalnych pułapek – powiedział dyrektor wykonawczy ENISA, Juhan Lepassaar.


Tegoroczna edycja Europejskiego Miesiąca Cyberbezpieczeństwa skupia się na zagadnieniach związanych z inżynierią społeczną (socjotechniką), czyli szerokorozumianym wykorzystaniu przez przestępców różnych technik manipulacji stosowanych w kampaniach phishingowych, wymierzonych w użytkowników internetu.

Czym jest inżynieria społeczna w kontekście oszustw internetowych?

Zastosowanie inżynierii społecznej ma miejsce w sytuacji, w której dana osoba poddawana jest manipulacji w celu skłonienia jej do podejmowania określonych działań lub ujawniania poufnych informacji. Przestępcy wykorzystują te informacje, aby oszukać swoje ofiary i wykraść ich pieniądze. Ataki socjotechniczne mogą być przeprowadzane z wykorzystaniem różnych metod, np. poczty e-mail, komunikatora, telefonu lub osobistego kontaktu. Aby przyciągnąć uwagę potencjalnej ofiary, oszuści używają wielu fałszywych komunikatów, np. informacji o nieopłaconej fakturze, konieczności dopłaty do paczki, wygranej w konkursie albo informacji, że komputer został zainfekowany.

Oszuści stają się coraz bardziej kreatywni podczas atakowania osób prywatnych i organizacji. W związku z tym konieczne jest zachowanie czujności wobec nowych technologii i poważne traktowanie kwestii bezpieczeństwa w sieci. Zagrożenia cybernetyczne ewoluują w szybkim tempie, a zachowanie obywateli może odegrać zasadniczą rolę w zapewnieniu bezpieczeństwa cybernetycznego. To nasza wspólna odpowiedzialność – podkreślił Thierry Breton, komisarz ds. rynku wewnętrznego ENISY.

Zgłoś własną inicjatywę na tegoroczny ECSM!

Idea kampanii ECSM polega na zgłaszaniu przez firmy, instytucje i inne podmioty inicjatyw z zakresu cyberbezpieczeństwa, których celem jest podnoszenie świadomości i kompetencji w tym zakresie. Kampania ma charakter niekomercyjny, a udział w inicjatywach jest bezpłatny. Przykładami inicjatyw są webinary, konferencje, akcje zwiększające kompetencje z zakresu cyberbezpieczeństwa wśród klientów i pracowników oraz tematyczne zajęcia w szkołach. Udział w kampanii to dobry sposób, aby poszerzyć swoją i innych wiedzę o cyberzagrożeniach – w domu, w pracy, czy w szkole. Edukacja jest najlepszą profilaktyką!

Pierwszy i najważniejszy sposób ochrony przed atakami socjotechnicznymi to podnoszenie świadomości w zakresie cyberbezpieczeńśtwa, zarówno w przypadku zwykłych użytkowników internetu, jak i pracowników firm i instytucji. Umiejętność rozpoznawania zagrożeń, a przede wszystkim uwrażliwienie na różne metody manipulacji, może ochronić nas i nasze firmy przed atakami socjotechnicznymi. Europejski Miesiąc Cyberbezpieczeństwa to doskonała okazja, aby nie tylko wziąć udział w organizowanych przez innych inicjatywach, ale również do przeprowadzania własnej akcji podnoszącej świadomość cyberbezpieczeństwa oraz wprowadzenia dobrych praktyk w swoim środowisku – zachęca Anna Kwaśnik, kierowniczka Zespołu projektów informacyjno-popularyzatorskich w NASK, koordynatorka ECSM w Polsce.

W tym roku patronatu kampanii udzielili m.in. Minister Cyfryzacji, MEiN, Komenda Główna Policji, Warszawski Instytut Bankowości, Fundacja Bezpieczna Cyberprzestrzeń i inni. Więcej informacji jest dostępnych tutaj.

Jak zgłosić swoją inicjatywę?

Zapraszamy do wzięcia udziału w tegorocznej edycji Europejskiego Miesiąca Cyberbezpieczeństwa i zgłaszania swoich inicjatyw poprzez formularz oraz śledzenie aktualności na social mediach:

  • FB https://www.facebook.com/ECSMPL
  • Twitter https://twitter.com/ecsmpolska

W przypadku dodatkowych pytań, prosimy o kontakt na adres: ecsm@nask.pl

 

 

Ostrzeżenie dla Klientów Banku przed próbami wyłudzeń

Pamiętaj!!!

Nigdy nie podawaj żadnych swoich prywatnych danych osobom postronnym.

 

W związku z medialnymi informacji dotyczącymi wycieków danych,

dotyczącymi wycieków z prywatnych komputerów użytkowników dotyczących serwisów: OLX, Allegro, Facebook, banków, informujemy, że są dostępne strony, gdzie można dokonać sprawdzenia czy Państwa dane nie wyciekły:


W przypadku pojawienia się Państwa adresu na liście, należy zmienić hasła do tych serwisów.

Hasła używane do bankowości elektronicznej powinny być inne niż do innych serwisów logowania !

Przypominamy, że każdy użytkownik korzystający z danego urządzenia jest obowiązany do jego właściwego zabezpieczenia.

Poniżej 20 zasad bezpieczeństwa, które w naszej ocenie powinny być stosowane przy korzystaniu z systemów informatycznych:

 

  1. Na bieżąco aktualizuj systemy operacyjne.
  2. Systematycznie aktualizuj programy antywirusowe, antymalware i antyspyware.
  3. Regularnie skanuj stacje robocze programami antywirusowymi, antymalware i antyspyware.
  4. Pobieraj oprogramowanie wyłącznie ze stron producentów.
  5. Nie otwieraj załączników z nieznanych źródeł dostarczanych poprzez korespondencję elektroniczną.
  6. Nie zapamiętuj haseł w aplikacjach webowych.
  7. Nie zapisuj haseł na kartkach.
  8. Nie używaj tych samych haseł w różnych systemach informatycznych.
  9. Zabezpieczaj serwery plików czy inne zasoby sieciowe.
  10. Zabezpieczaj sieci bezprzewodowe – Access Point.
  11. Dostosuj złożoność haseł odpowiednio do zagrożeń.
  12. Unikaj wchodzenia na nieznane czy przypadkowe strony internetowe.
  13. Nie loguj się do systemów informatycznych w przypadkowych miejscach z niezaufanych urządzeń lub publicznych niezabezpieczonych sieci Wi-Fi.
  14. Wykonuj regularne kopie zapasowe.
  15. Korzystaj ze sprawdzonego oprogramowania do szyfrowania e-maili lub nośników danych.
  16. Szyfruj dane przesyłane pocztą elektroniczną.
  17. Szyfruj dyski twarde w komputerach przenośnych.
  18. Przy pracy zdalnej korzystaj z szyfrowanego połączenia VPN.
  19. Odchodząc od komputera, blokuj stację komputerową.
  20. Nie umieszczaj w komputerze przypadkowo znalezionych nośników USB. Może znajdować się na nich złośliwe oprogramowanie
     

 

 

Szanowni Państwo,

Coraz częściej do banków trafiają skargi od klientów, którym oszuści wyczyścili konta bankowe wykorzystując do tego zaufanie klientów do banków. Oszuści kontaktują się z klientami telefonicznie, wykorzystując słabość technologii GSM, która umożliwia podszycie się pod dowolny numer (w tym numer infolinii lub nazwę banku). Osoby dzwoniące podają się za pracowników departamentu bezpieczeństwa, cyberbezpieczeństwa itd., często mówią ze wschodnim akcentem. Najczęściej powołując się na względy bezpieczeństwa nakłaniają klientów do podania danych osobowych, danych do logowania do bankowości elektronicznej albo danych z kart płatniczych, namawiają do pobrania i instalacji w telefonie aplikacji umożliwiających kontrolowanie urządzenia czy uzyskiwanie dostępu do przechowywanych w nim danych. Wg ostrzeżeń o najnowszych formach oszustw, na telefon ofiary dzwoni nagrany wcześniej "wirtualny asystent bezpieczeństwa bankowego". Automat informuje, że na koncie została zarejestrowana podejrzana próba logowania lub transakcja na kwotę kilkuset złotych na rzecz osoby XYZ. Jeżeli klient potwierdzi logowanie/przelew wskazanym przyciskiem, za chwilę otrzymuje kolejny telefon, już z "żywym oszustem", który w manipuluje klientem i wyciąga od niego wrażliwe dane.

Pamiętaj!!!

Pracownik Banku nigdy sam nie zadzwoni do Ciebie prosząc o:

  • podanie loginu i hasła do bankowości elektronicznej,
  • podanie pełnych danych karty płatniczej (numer karty, data ważności i trzycyfrowy kod CVV),
  • zainstalowanie dodatkowych aplikacji na komputerze lub smartfonie, które mają ułatwić płatności,
  • potwierdzenie nieznanych transakcji, np. poprzez podanie kodów SMS.

Jeśli mają Państwo wątpliwości czy rozmawiają z pracownikiem Banku należy się rozłączyć, sprawdzić numer Banku na stronie internetowej i oddzwonić.
Należy poinformować Bank o każdej próbie wyłudzenia danych.

Komunikat z dnia 01.12.2021

Szanowni Państwo, prosimy o ostrożność z korzystania z usług płatniczych oraz zapoznanie się z poniższymi komunikatami.

Komunikaty dostępne są na stronach:


ZBP - https://zbp.pl/Aktualnosci/Wydarzenia/Falszywe-polaczenia-telefoniczne-przestepcow-podszywajacych-sie-pod-banki


KGP - https://policja.pl/pol/aktualnosci/210076,Uwazajmy-na-falszywe-polaczenia-telefoniczne-przestepcow-podszywajacych-sie-pod-.html


PIIT - https://www.piit.org.pl/o-nas/aktualnosci/komunikat-kgp,-zbp-i-piit-falszywe-polaczenia-telefoniczne-przestepcow-podszywajacych-sie-pod-banki

 

…………………………………………………………………………………………………….

Komunikat z dnia 24.03.2021

Komenda Główna Policji i FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP ostrzegają przed próbami oszustw przy inwestowaniu w kryptowaluty oraz na rynku Forex.

Inwestycje w kryptowaluty, a także na rynku Forex co do zasady są legalne, ale oszuści wykorzystując fałszywe serwisy internetowe, podszywają się pod pośredników i oferują ułatwienia w inwestowaniu.

Przestępcy nakłaniają potencjalnych pokrzywdzonych do zainwestowania pieniędzy, obiecując wysokie i szybkie zyski bez ryzyka. Proponują pomoc przy inwestowaniu, dlatego zalecamy wysoką ostrożność przed podjęciem decyzji o przeznaczeniu pieniędzy na taki cel.

Wyłudzeń dokonują osoby, które podają się za tzw. „brokerów” inwestycyjnych – pracowników firm pośrednictwa i doradztwa inwestycyjnego. Firmy te reklamują swoje usługi w mediach społecznościowych, serwisach internetowych oraz aplikacjach mobilnych.

Przyciągają uwagę i starają się uwiarygodnić swój przekaz za pomocą wizerunku:

  •  „przeciętnego Kowalskiego”, który szybko zyskał dzięki współpracy z „pośrednikiem”,
  •  powszechnie znanych i rozpoznawalnych osób (sportowców, polityków, aktorów, dziennikarzy, celebrytów) - bez ich wiedzy, zgody i na podstawie zmanipulowanego przekazu.

Oszuści kierują informacje do potencjalnych pokrzywdzonych i wskazują na możliwość osiągnięcia szybkich i wysokich zysków. Tego typu oferta jest nieprawdziwa i zazwyczaj kończy się utratą pieniędzy.

Nie ulegaj presji. Uważaj na pozornie atrakcyjne oferty. Nie działaj pochopnie, pod wpływem chwili i emocji. To może być oszustwo!!!

Jeśli przeczytasz artykuł czy post w mediach społecznościowych lub skontaktuje się z Tobą osoba, która proponuje:

  • szybki i wysoki zysk dzięki inwestycji w kryptowaluty lub na rynku Forex;
  • instalację aplikacji na telefonie lub komputerze, która ma posłużyć do zakupu kryptowaluty lub wykonania operacji na rynku Forex;
  • wsparcie w inwestycjach i obsłudze aplikacji przez „analityka”, którzy zadzwoni do Ciebie i udzieli pomocy,

zastanów się, zachowaj zdrowy rozsądek i ostrożność.

Komenda Główna Policji i FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP zalecają:

  • Zapoznaj się z informacjami KNF i NBP, które dotyczą inwestowania w kryptowaluty – link: https://uwazajnakryptowaluty.pl/;
  • Sprawdź wiarygodność podmiotu. Zweryfikuj opinie w Internecie, np. w połączeniu ze słowem „oszustwo” lub „scam”. Nie poprzestawaj na jednej stronie z opiniami;
  • Sprawdź, czy instytucja – „broker” znajduje się na liście ostrzeżeń KNF – link: https://www.knf.gov.pl/dla_konsumenta/ostrzezenia_publiczne;
  • Nie udostępniaj nikomu danych do logowania w bankowości elektronicznej i mobilnej;
  • Nie udostępniaj nikomu danych poufnych dotyczących Twoich kart płatniczych;
  • Nie przesyłaj nikomu skanów swojego dowodu osobistego;
  • Nie instaluj dodatkowego oprogramowania, na urządzeniach z których logujesz się do bankowości elektronicznej;
  • Jeśli otrzymasz przelew od nieznanego nadawcy, pod żadnym pozorem nie przekazuj środków dalej, nawet jeśli „Twój doradca” o to prosi – nieświadomie możesz brać udział w przestępstwie.

Jeżeli podejrzewasz, że jesteś ofiarą oszustwa skontaktuj się ze swoim bankiem oraz złóż stosowne zawiadomienie na Policji.

Więcej informacji o przestępstwach z użyciem internetowych serwisów do inwestowania w kryptowaluty lub Forex znajdziesz w załączonym pliku.

Komenda Główna Policji

FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP

**************************************************************************************************

 

Bank Spółdzielczy w Legnicy informuje, iż w ostatnim czasie zanotowano w innych Bankach próby wyłudzenia danych poprzez oszustów podszywających się pod numer Infolinii Banku BPS. Możliwe jest to dzięki technice zwanej spoofingowi. Oszuści wykorzystują słabe strony sieci GSM, które pozwalają im podszywać się pod dowolny numer telefonu - w tym Infolinię Banku. Nie jest to związane z jakimkolwiek przełamaniem systemów bezpieczeństwa po stronie Banku.


Schemat działania przestępców:
 

  •  przestępcy dzwonią do klienta banku spółdzielczego z numeru Infolinii Banku tj. 801 321 456 lub 86 215 50 00;
  •  osoba dzwoniąca posiada ukraiński akcent i przedstawia się jako pracownik Banku;
  •  prawdopodobnie oszust będzie znał imię i nazwisko klienta, a może nawet jego adres, który znajdzie w Internecie;
  •  rozmowa będzie dotyczyła zablokowania przelewu wykonanego przez klienta lub dokonania transakcji kartą, aby pod pretekstem usprawnienia komunikacji z bankiem lub usunięcia wirusa, przekonać klienta do zainstalowania aplikacji, która przejmie kontrolę nad urządzeniem klienta;
  •  osoba dzwoniąca może także próbować wyłudzić dane do logowania do bankowości internetowej lub dane odnośnie karty płatniczej;
  •  podanie danych wrażliwych lub zainstalowanie ww. aplikacji może prowadzić do utraty środków z rachunku.


Zasady bezpieczeństwa dla klienta:
 

  •  Infolinia Banku nie wykonuje połączeń wychodzących z numeru 801 321 456;
  •  Infolinia Banku BPS obsługuje klientów banków spółdzielczych tylko w zakresie kart płatniczych.
  •  Pracownicy odpowiedzialni za bezpieczeństwo w Banku nigdy nie kontaktują się bezpośrednio z klientami.
  •  Nigdy nie podawaj przez telefon pełnego loginu do bankowości internetowej lub pełnego numeru karty.
  •  Nigdy nie podawaj przez telefon hasła do bankowości internetowe lub trzy cyfrowego kodu  z karty CVV;
  •  Nigdy nie instaluj dodatkowego oprogramowania by poprawić dostępność usług bankowych.
  •  Poproś rozmówcę o podanie imienia i nazwiska, jeżeli ich sam nie podał. Pracownicy Infolinii Banku przedstawiają się już na początku rozmowy.
  •  Pod żadnym pozorem nie przekazuj telefonicznie kodów z SMS-ów autoryzacyjnych.
  •  Zachowaj ostrożność, jeżeli rozmówca wywiera na Tobiepresję czasu. W pośpiechu dużo łatwiej podjąć nieprzemyślane decyzje.
  •  Jeśli masz jakiekolwiek wątpliwości podczas rozmowy z osobą podającą się za konsultanta, rozłącz się i skontaktuj się bezpośrednio z bankiem lub zadzwonić na Infolinię Banku pod numer wskazany na karcie.

Voice Phishing.pdf

*****************************************************************************************************

 

W trosce o Państwa bezpieczeństwo informujemy, że w ostatnim czasie pojawiło się nowe zagrożenie dla klientów bankowości elektronicznej. Pragniemy jednocześnie podkreślić, że dotyczy ono bezpośrednio klientów, a nie systemów bankowych i jest spowodowane działaniem szkodliwego oprogramowania zainstalowanego na komputerze Klienta.

Oprogramowanie to wymusza kilka prób logowania do systemu bankowości internetowej i jednocześnie fałszywie informuje o nieudanym logowaniu. W ten sposób kilkukrotnie pozyskuje dane, które wykorzystuje do zatwierdzania operacji bez wiedzy klienta, np. wykonania przelewu.

W przypadku wystąpienia sytuacji, w której pomimo podania prawidłowych danych do zalogowania, pojawiają się jakiekolwiek komunikaty o braku możliwości zalogowania, przeciążeniu systemu, potrzebie weryfikacji Państwa komputera itp, prosimy, aby nie kontynuować pracy, a w szczególności nie należy wykonywać kolejnych prób logowania bezpośrednio po tym zdarzeniu.

Jeżeli jednak doszło do kilkukrotnego podania danych w trakcie logowania, to prosimy o jak najszybszy kontakt z bankiem, aby mogły zostać podjęte działania adekwatne do zaistniałej sytuacji.

Zalecamy bezwzględnie jak najszybsze przeskanowanie komputera za pomocą najnowszej wersji oprogramowania antywirusowego w celu sprawdzenia i ewentualnego usunięcia wirusa. Dopiero po usunięciu wirusa można ponowić próbę logowania.

Szczegółowe informacje o zagrożeniach dla użytkowników bankowości elektronicznej należy weryfikować na stronie Związku Banków Polskich

Zachęcamy także do zapoznania się z informacjami dotyczącymi cyberbezpieczeństwa w internecie cyberbezpieczenstwo.pdf

Co to jest phishing?

Phishing jest rodzajem zagrożenia bezpieczeństwa informacji, stosowanym głównie na szeroką skalę w Internecie. Termin ten tłumaczony jest jako password harvesting fishing, czyli łowienie haseł. Polega na wyłudzaniu poufnych danych od użytkowników Internetu, w tym danych dotyczących systemów bankowości internetowej.

Metoda ta polega najczęściej na podszywaniu się pod instytucję, z której usług korzysta dany użytkownik. W takim przypadku otrzymuje on e-mail z fałszywą prośbą o wysłanie danych w celu weryfikacji swojego konta w systemie lub zalogowanie się na odpowiednio spreparowanej, fałszywej - aczkolwiek wyglądającej jak prawdziwa - stronie internetowej. Prośba ta często poparta jest argumentami mówiącymi o względach bezpieczeństwa, niezbędnej weryfikacji transakcji itp.

Nieświadomy niebezpieczeństwa użytkownik podaje w ten sposób poufne informacje takie, jak: identyfikator, hasło, pin, numer karty płatniczej czy numer seryjny tokena, które przechwytuje intruz. W ten sposób uzyskuje dane klienta umożliwiające mu kontrolę nad kontem bankowym i dokonanie kradzieży środków pieniężnych, czy też innych oszustw.

Podkreślamy, że Bank nigdy nie wysyła do swoich klientów e-maili ani wiadomości sms z prośbą o podanie jakichkolwiek poufnych informacji, ani też zawierających linków do stron logowania do systemu transakcyjnego lub zachęcających do pobrania aplikacji czy certyfikatów bezpieczeństwa.

Należy przede wszystkim pamiętać, aby przed logowaniem do serwisów bankowości internetowej zawsze sprawdzać poprawność danych identyfikacyjnych strony logowania tj. dane certyfikatu (uzyskiwane po kliknięciu symbolu kłódki) oraz poprawność adresu internetowego strony - prawidłowy adres dla serwisu internetowego to: https://ebank.bslegnica.pl