Masz konto w mBanku? CSIRT KNF wydał ostrzeżenie
CSIRT KNF ostrzega klientów mBanku przed fałszywymi stronami logowania. Atakujący wyłudzają w ten sposób dane logowania oraz numery karty płatniczych. To otwarta droga do kradzieży środków z konta bankowego. CSIRT KNF apeluje więc, by sprawdzać dokładnie adresy odwiedzanych stron.
Fałszywa strona logowania do mBanku wizualnie jest podobna do prawdziwych stron bankowości, ale zdradza ją już adres www. Wystarczy przyjrzeć się URL-owi, aby rozpoznać, że nie jest to prawdziwa domena mBanku. Klienci powinni mieć taki odruch na co dzień. Dzięki temu unikną nieświadomego podania danych w formularzu, który jest spreparowany i jedynie przekazuje loginy i hasła na ręce atakujących.
Aby nie wpaść w podobną pułapkę, należy stosować się do podstawowych zasad bezpieczeństwa związanych z obsługą SMS-ów z nieznanych numerów, poczty e-mail czy wiadomości i postów w mediach społecznościowych. Każdą z tych dróg przestępcy próbują dotrzeć do potencjalnych ofiar z linkami i ofertami, którymi kuszą, by przejąć dane logowania do cudzego konta.
Do wszystkich treści tego rodzaju należy podchodzić z dystansem i nie "logować się" do banku na stronie, do której doprowadził dziwny link. Aby zachować pełne bezpieczeństwo w kontekście bankowości elektronicznej, warto przede wszystkim:
- Korzystać z bezpiecznego adresu logowania: przed wpisaniem swoich danych logowania, zawsze sprawdzaj pasek adresu w przeglądarce. Unikaj logowania, jeśli zauważysz literówki, błędy na stronie lub nieznany adres URL.
- Nie podawać pełnych danych: podając dane logowania, upewnij się, że bank prosi tylko o konieczne informacje, takie jak login klienta oraz wybrane znaki hasła (lub w niektórych przypadkach pełne hasło). Banki nigdy nie proszą o dane karty płatniczej lub dodatkowe dane osobowe,
- Nie kklikać podejrzanych linków: banki nigdy nie wysyłają linków w wiadomościach e-mail lub SMS. To często stosowana metoda phishingu, w której oszuści podszywają się pod bank, aby wyłudzić dane,
- Stosować dodatkowe mechanizmy uwierzytelnienia: włącz dodatkowe opcje bezpieczeństwa, takie jak obrazki bezpieczeństwa na stronie logowania. Pomaga to upewnić się, że logujesz się na właściwej stronie,
- Zastrzec PESEL: mechanizm bezpieczeństwa pozwalający na zastrzeżenie numeru PESEL ogranicza możliwość wykonywania operacji wymagających weryfikacji numeru PESEL przez nieuprawnione osoby. Można to zrealizować zarówno w urzędzie gminy, jak i przez internet w serwisie mobywatel.gov.pl lub w aplikacji mObywatel.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl