Bezpieczeństwo płatności - projekt KWP Opole realizowany z NBP w ramach programu edukacji ekonomicznej
W Opolu odbyła się pierwsza konferencja ekonomiczna. Było to przełomowe wydarzenie poświęcone podniesieniu świadomości społecznej w zakresie zagrożeń cyberprzestępczością z wykorzystaniem instrumentów finansowych w odniesieniu do finansów osobistych. Konferencja, zorganizowana z inicjatywy Komendy Wojewódzkiej Policji w Opolu przy współpracy z Narodowym Bankiem Polskim Oddział Okręgowy w Opolu w ramach projektu edukacji ekonomicznej, stanowiła prawdziwe forum wymiany wiedzy. Jeżeli chcesz zadbać o bezpieczeństwo swoich finansów, zapoznaj się z zasadami bezpieczeństwa zamieszczonymi poniżej.
W dzisiejszym dynamicznie zmieniającym się świecie, oszuści finansowi wykorzystują coraz bardziej zaawansowane i podstępne metody, aby uzyskać dostęp do cudzych środków pieniężnych. Szczególnie widoczne jest to w przestrzeni internetowej, gdzie anonimowość i szybkość działania sprzyjają przestępcom. Należy pamiętać, że bezpieczeństwo finansowe zaczyna się od świadomych działań każdego użytkownika. Niniejszy materiał, przygotowany przez ekspertów ds. prewencji policyjnej oraz specjalistów bankowych ds. przeciwdziałania oszustwom, przedstawia dziesięć kluczowych zasad, których przestrzeganie pomoże skutecznie chronić posiadane fundusze.
Rosnąca złożoność i różnorodność oszustw, obejmujących phishing, różne formy scamu czy ataki ransomware, sprawia, że tradycyjne, reaktywne środki bezpieczeństwa, takie jak blokowanie karty po jej utracie, stają się niewystarczające. Przestępcy nieustannie modyfikują swoje taktyki, co wymusza potrzebę ciągłej edukacji i proaktywnego podejścia do kwestii bezpieczeństwa. Statyczne zasady muszą być uzupełniane dynamiczną świadomością zagrożeń i umiejętnością ich rozpoznawania. Podstawą skutecznej ochrony jest zrozumienie, że wiele współczesnych oszustw, zwłaszcza tych opierających się na phishingu i socjotechnice, celuje bezpośrednio w błąd ludzki, omijając techniczne zabezpieczenia systemów bankowych. Dlatego kluczowe staje się wzmocnienie roli człowieka jako pierwszej linii obrony – jego wiedzy, czujności i odpowiedzialności za własne decyzje finansowe.
10 Złotych zasad bezpieczeństwa finansowego
Poniższe zasady stanowią fundament ochrony środków płatniczych. Każda z nich zostanie szczegółowo omówiona, aby zapewnić pełne zrozumienie zagrożeń i sposobów ich unikania.
Zasada 1: chroń swoje dane logowania jak najcenniejszy skarb. Nigdy nie udostępniaj nikomu swojego PIN-u, pełnego hasła do bankowości ani kodu CVV/CVC karty.
Dane uwierzytelniające, takie jak kod PIN do karty płatniczej, hasło do bankowości internetowej i mobilnej, a także trzycyfrowy kod CVV2/CVC2 znajdujący się na odwrocie karty, są kluczami do środków finansowych. Traktowanie tych informacji z najwyższą poufnością jest absolutnie fundamentalne. Nigdy nie należy ich zapisywać w łatwo dostępnych miejscach, na przykład na kartce noszonej w portfelu razem z kartą, ani tym bardziej na samej karcie. Należy je zapamiętać lub przechowywać w bezpieczny, zaszyfrowany sposób, niedostępny dla osób trzecich.
Istotne jest, aby pamiętać, że ani bank, ani Policja, ani żadna inna wiarygodna instytucja nigdy nie zwróci się z prośbą o podanie pełnego hasła do bankowości, kodu PIN czy kodu CVV/CVC karty. Każda taka prośba, niezależnie od formy (telefon, e-mail, SMS), jest sygnałem alarmowym i powinna być traktowana jako próba oszustwa. Częste powtarzanie tej zasady w materiałach informacyjnych różnych instytucji świadczy nie tylko o jej kluczowym znaczeniu, ale także o tym, że wciąż jest ona łamana, co prowadzi do licznych strat finansowych. Przestępcy doskonale zdają sobie sprawę, że najsłabszym ogniwem zabezpieczeń bywa człowiek, dlatego często stosują wyrafinowane techniki manipulacji psychologicznej, aby skłonić ofiary do samodzielnego ujawnienia tych krytycznych danych. Mogą podszywać się pod pracowników banku, przedstawicieli organów ścigania lub tworzyć fałszywe strony logowania do systemów bankowych, łudząco podobne do autentycznych. Dlatego edukacja musi wykraczać poza proste stwierdzenie "nie udostępniaj" i uczyć rozpoznawania tych oszukańczych prób oraz asertywnego odmawiania podania poufnych informacji.
Zasada 2: Bądź czujny na fałszywe wiadomości (phishing) – bank nigdy tak nie pyta! Uważaj na e-maile/SMS-y z prośbą o dane lub kliknięcie w link. Bank/Policja nigdy nie prosi o poufne dane w ten sposób.
Phishing jest jedną z najczęściej stosowanych metod wyłudzania danych poufnych, takich jak loginy i hasła do bankowości, numery kart kredytowych czy dane osobowe. Przestępcy podszywają się pod znane i zaufane instytucje – banki, firmy kurierskie, urzędy administracji publicznej, dostawców usług – wysyłając fałszywe wiadomości e-mail, SMS, a nawet kontaktując się telefonicznie. Celem tych działań jest nakłonienie ofiary do kliknięcia w złośliwy link prowadzący do sfałszowanej strony internetowej lub do podania wrażliwych informacji.
Aby ustrzec się przed phishingiem, należy:
- zawsze weryfikować nadawcę wiadomości. Należy zwracać uwagę na adres e-mail (czy jest zgodny z oficjalną domeną instytucji, czy nie zawiera literówek), numer telefonu, a także na ogólną formę i treść komunikatu. Błędy gramatyczne, stylistyczne, nietypowy ton czy formatowanie mogą wskazywać na próbę oszustwa;
- nie klikać w podejrzane linki ani nie otwierać załączników z nieznanych lub nieoczekiwanych źródeł. Linki mogą prowadzić do stron zaprojektowanych w celu kradzieży danych, a załączniki mogą zawierać złośliwe oprogramowanie. Zamiast klikać w link w wiadomości, bezpieczniej jest wpisać adres strony internetowej banku lub instytucji ręcznie w przeglądarce;
- pamiętać, że banki i inne instytucje finansowe nigdy nie proszą o podanie pełnych danych logowania, numeru karty, kodu CVV/CVC ani jednorazowych kodów autoryzacyjnych (np. z SMS) poprzez e-mail, SMS czy w trakcie rozmowy telefonicznej, której użytkownik sam nie zainicjował. Każda taka prośba jest próbą oszustwa.
Zjawisko phishingu nieustannie ewoluuje. Oszuści odchodzą od masowych, łatwych do wykrycia kampanii na rzecz bardziej spersonalizowanych i wiarygodnie wyglądających ataków, znanych jako spear phishing. To sprawia, że użytkownicy muszą być jeszcze bardziej wyczuleni na wszelkie nietypowe prośby i kontekst komunikacji, a nie tylko na powierzchowne błędy w wiadomościach. Często elementem phishingu jest socjotechnika, polegająca na wywieraniu presji czasu (np. "Twoje konto zostanie zablokowane w ciągu 24 godzin, jeśli nie zweryfikujesz danych") lub wzbudzaniu silnych emocji, takich jak strach czy ciekawość. Takie działania mają na celu skłonienie ofiary do pochopnego, nieracjonalnego działania. Zrozumienie tego mechanizmu jest kluczowe dla skutecznej samoobrony. Podkreślenie faktu, że "Bank/Policja nigdy tak nie pyta" buduje prostą, ale skuteczną regułę decyzyjną, która wzmacnia użytkownika w odrzuceniu podejrzanej prośby, nawet pod presją.
Zasada 3: Nie daj się zmanipulować (socjotechnika) – weryfikuj zanim uwierzyć! Oszuści manipulują emocjami! Zawsze weryfikuj prośby o pieniądze lub dane, nawet od rzekomych znajomych czy instytucji.
Socjotechnika to sztuka manipulacji psychologicznej, której celem jest skłonienie ofiary do określonego działania lub ujawnienia poufnych informacji. Oszuści wykorzystują szeroki wachlarz technik, aby osiągnąć swój cel, często grając na ludzkich emocjach takich jak strach, litość, chciwość, zaufanie czy chęć pomocy. Mogą podszywać się pod członków rodziny (tzw. metoda "na wnuczka", "na syna"), przyjaciół (np. poprzez przejęte konta w mediach społecznościowych), pracowników banków, funkcjonariuszy Policji, przedstawicieli firm kurierskich czy urzędników.
Typowe scenariusze oszustw socjotechnicznych obejmują:
- nagłe prośby o pomoc finansową od rzekomych krewnych lub znajomych, często pod pretekstem wypadku, choroby lub innej pilnej potrzeby;
- informacje o rzekomych wygranych w konkursach lub loteriach, które wymagają podania danych osobowych lub dokonania niewielkiej opłaty "manipulacyjnej" w celu odbioru nagrody;
- telefony od fałszywych pracowników banku lub policjantów informujących o rzekomym zagrożeniu dla środków na koncie i nakłaniających do podjęcia określonych działań, np. przelania pieniędzy na "bezpieczne" konto lub zainstalowania "ochronnego" oprogramowania (które w rzeczywistości jest złośliwe);
- oszustwa o"na dopłatę" do paczki kurierskiej lub "na uregulowanie" niewielkiej zaległości za rachunek, gdzie celem jest wyłudzenie danych karty płatniczej.
Aby nie paść ofiarą socjotechniki, należy przede wszystkim zachować zdrowy rozsądek i zasadę ograniczonego zaufania wobec nieoczekiwanych próśb lub rewelacyjnych ofert. Zawsze należy weryfikować tożsamość osoby kontaktującej się oraz prawdziwość przedstawianej przez nią historii. W przypadku telefonu od rzekomego krewnego z prośbą o pieniądze, należy przerwać rozmowę i samodzielnie skontaktować się z tą osobą, dzwoniąc na znany numer telefonu. Nie należy oddzwaniać na numer podany przez rozmówcę ani korzystać z jego telefonu. Skuteczność socjotechniki wynika z faktu, że odwołuje się ona do podstawowych ludzkich odruchów i emocji, często omijając racjonalną analizę sytuacji. Zrozumienie tego psychologicznego wymiaru jest kluczowe dla budowania odporności. Należy być świadomym, że niektóre ataki socjotechniczne są wieloetapowe i starannie zaaranżowane, co wymaga utrzymania czujności przez cały czas interakcji z potencjalnym oszustem. Ważnym elementem prewencji jest również międzypokoleniowa edukacja – młodsze osoby powinny informować starszych członków rodziny o istniejących zagrożeniach, ponieważ to często seniorzy padają ofiarą oszustw "na wnuczka" czy "na policjanta".
Zasada 4: Sprawdzaj bezpieczeństwo stron WWW – szukaj kłódki i „HTTPS”. Płacisz online? Zawsze sprawdzaj "https://" i symbol kłódki w adresie strony.
Podczas korzystania z bankowości internetowej, dokonywania zakupów online czy podawania jakichkolwiek danych osobowych na stronach internetowych, kluczowe jest upewnienie się, że połączenie jest bezpieczne i że strona jest autentyczna. Podstawowymi wskaźnikami bezpiecznego połączenia są:
- protokół HTTPS: Adres strony powinien zaczynać się od "https://" (a nie "http://"). Litera "s" na końcu oznacza "secure" (bezpieczny) i wskazuje, że transmisja danych między przeglądarką a serwerem jest szyfrowana;
- symbol zamkniętej kłódki: W pasku adresu przeglądarki internetowej, obok adresu strony, powinien być widoczny symbol zamkniętej kłódki. Kliknięcie na kłódkę zazwyczaj pozwala wyświetlić informacje o certyfikacie bezpieczeństwa strony.
Należy jednak pamiętać, że obecność protokołu HTTPS i symbolu kłódki świadczy jedynie o tym, że połączenie ze stroną jest szyfrowane, co chroni dane w tranzycie przed przechwyceniem przez osoby trzecie. Nie gwarantuje to jednak, że sama strona jest autentyczna i godna zaufania. Oszuści coraz częściej tworzą fałszywe strony (phishingowe), które również posiadają ważne certyfikaty SSL (stąd obecność "https" i kłódki). Dlatego weryfikacja tych elementów musi być połączona z innymi środkami ostrożności.
Dodatkowe aspekty, na które należy zwrócić uwagę:
- poprawność adresu URL: Należy dokładnie sprawdzać adres strony internetowej, zwracając uwagę na ewentualne literówki, dodatkowe znaki czy zamienione litery (np. "mBank" zamiast "rnBank" lub "mbank-logowanie.com" zamiast oficjalnego adresu banku). To częsta technika stosowana przez oszustów do tworzenia łudząco podobnych, fałszywych stron;
- certyfikat strony: Bardziej zaawansowani użytkownicy mogą sprawdzić szczegóły certyfikatu bezpieczeństwa, w tym dla kogo został on wystawiony. Przede wszystkim jednak, nie należy ignorować żadnych ostrzeżeń wyświetlanych przez przeglądarkę internetową dotyczących certyfikatu strony. Takie ostrzeżenia są poważnym sygnałem, że strona może być niebezpieczna;
- sposób dostępu do strony: Najbezpieczniej jest wpisywać adres strony banku lub sklepu internetowego ręcznie w pasku adresu przeglądarki lub korzystać z wcześniej zapisanych, zaufanych zakładek. Należy unikać klikania w linki do stron bankowości czy płatności otrzymane w wiadomościach e-mail, SMS-ach czy znalezione w wyszukiwarkach internetowych, ponieważ mogą one prowadzić do fałszywych witryn;
- bezpieczeństwo sieci: Należy unikać dokonywania transakcji finansowych i logowania do systemów bankowości elektronicznej korzystając z publicznych, niezabezpieczonych sieci Wi-Fi (np. w kawiarniach, na lotniskach) oraz z publicznie dostępnych komputerów.
Zasada 5: Używaj silnych haseł i dwuskładnikowego uwierzytelniania (2FA). Stosuj trudne, unikalne hasła i włączaj 2FA (np. kod SMS, potwierdzenie w aplikacji) tam, gdzie to możliwe.
Silne hasła i dwuskładnikowe uwierzytelnianie (2FA) stanowią jedne z najważniejszych filarów ochrony kont internetowych, w tym dostępu do bankowości elektronicznej i innych usług finansowych.
- Tworzenie silnych haseł: Hasło powinno być trudne do odgadnięcia. Zaleca się, aby było odpowiednio długie (minimum 12-14 znaków) i składało się z kombinacji małych i wielkich liter, cyfr oraz znaków specjalnych (np.!, @, #, $). Należy unikać używania prostych słów, popularnych fraz, dat urodzenia, imion własnych czy sekwencji klawiaturowych (np. "qwerty", "123456").
- Unikalność haseł: Kluczowe jest stosowanie różnych, unikalnych haseł do różnych serwisów i kont online. Używanie tego samego hasła w wielu miejscach, zwłaszcza do konta bankowego i mniej bezpiecznych serwisów, stwarza ogromne ryzyko. W przypadku wycieku danych z jednego serwisu, oszuści mogą próbować użyć tych samych danych logowania do uzyskania dostępu do innych, bardziej wartościowych kont (tzw. credential stuffing).
- Dwuskładnikowe uwierzytelnianie (2FA): Jest to dodatkowa warstwa zabezpieczeń, która znacząco utrudnia nieautoryzowany dostęp do konta, nawet jeśli hasło zostanie skompromitowane. 2FA wymaga podania drugiego, niezależnego składnika weryfikującego tożsamość, oprócz hasła. Może to być jednorazowy kod wysłany SMS-em na zarejestrowany numer telefonu, kod generowany przez specjalną aplikację uwierzytelniającą (np. Google Authenticator, Microsoft Authenticator), potwierdzenie w aplikacji mobilnej banku, klucz bezpieczeństwa U2F lub biometria (np. odcisk palca, skan twarzy). Należy włączać 2FA wszędzie tam, gdzie jest ono dostępne – w bankowości internetowej i mobilnej, na kontach e-mail, w mediach społecznościowych i innych ważnych serwisach.
Wielu użytkowników wciąż bagatelizuje znaczenie silnych i unikalnych haseł, stosując proste kombinacje lub powtarzając te same hasła w wielu miejscach, co czyni ich łatwym celem dla cyberprzestępców. Edukacja w tym zakresie jest niezwykle istotna. Chociaż dwuskładnikowe uwierzytelnianie znacząco podnosi poziom bezpieczeństwa, jego adaptacja przez użytkowników bywa niska, jeśli nie jest ono obligatoryjne lub jeśli proces jest postrzegany jako uciążliwy. Dlatego ważne jest uświadamianie korzyści płynących z 2FA i podkreślanie, że niewielki dodatkowy wysiłek przy logowaniu jest nieporównywalnie mniejszy niż potencjalne straty i problemy związane z kradzieżą tożsamości lub środków finansowych. Rekomendacje organów nadzoru finansowego, takie jak te dotyczące silnego uwierzytelniania klienta (SCA) przy transakcjach płatniczych, pokazują systemowe podejście do problemu, wymuszając na dostawcach usług implementację mocniejszych zabezpieczeń. Gdy użytkownicy są zobligowani do korzystania z 2FA (np. przy płatnościach online zgodnie z dyrektywą PSD2), mechanizm ten staje się dla nich normą, co może ułatwić przekonanie ich do stosowania 2FA również w innych, nieobowiązkowych obszarach.
Zasada 6: Regularnie kontroluj swoje konto i transakcje. Sprawdzaj regularnie historię konta i transakcji. Ustaw powiadomienia SMS/e-mail o operacjach.
Regularne monitorowanie aktywności na koncie bankowym i karcie płatniczej jest kluczowym elementem wczesnego wykrywania wszelkich nieprawidłowości i nieautoryzowanych operacji. Im szybciej podejrzana transakcja zostanie zauważona, tym większe są szanse na zminimalizowanie strat i odzyskanie środków.
Sposoby efektywnej kontroli:
- regularne sprawdzanie historii transakcji: Należy systematycznie logować się do bankowości internetowej lub mobilnej i przeglądać historię operacji na koncie oraz transakcji kartowych, porównując je z własnymi wydatkami i potwierdzeniami płatności;
- aktywacja powiadomień: Większość banków oferuje możliwość ustawienia powiadomień SMS, e-mail lub push w aplikacji mobilnej o każdej dokonanej transakcji kartą, przelewie wychodzącym, a nawet o udanym lub nieudanym logowaniu do systemu bankowości. Takie powiadomienia w czasie rzeczywistym pozwalają na natychmiastowe zorientowanie się, że doszło do nieautoryzowanej operacji;
- weryfikacja kwot i danych odbiorcy: Przed zatwierdzeniem jakiejkolwiek płatności, zwłaszcza w sklepie stacjonarnym czy restauracji, należy dokładnie sprawdzić kwotę na terminalu płatniczym lub na rachunku. Przy przelewach internetowych kluczowe jest zweryfikowanie numeru rachunku odbiorcy i kwoty, porównując je np. z danymi na fakturze,
- kontrola danych logowania: Warto zwracać uwagę na informacje o ostatnim udanym i nieudanym logowaniu do systemu bankowości elektronicznej. Jeśli daty te nie odpowiadają rzeczywistej aktywności użytkownika, może to oznaczać, że ktoś inny uzyskał dostęp do konta;
- ustawianie limitów transakcyjnych: Dobrą praktyką jest ustawienie dziennych i jednorazowych limitów dla transakcji kartowych (płatności w sklepach, wypłaty z bankomatów, transakcje internetowe) oraz dla przelewów. Limity te można zazwyczaj dostosować do indywidualnych potrzeb w systemie bankowości internetowej lub poprzez kontakt z bankiem. Stanowią one formę proaktywnej kontroli, która ogranicza potencjalne szkody jeszcze przed wykryciem oszustwa, działając jak finansowa "poduszka powietrzna".
Natychmiastowe powiadomienia o transakcjach są znacznie skuteczniejsze niż okresowa kontrola wyciągów bankowych, ponieważ pozwalają na błyskawiczną reakcję, taką jak natychmiastowa blokada karty. Regularne sprawdzanie logów logowania może z kolei pomóc wykryć nieautoryzowany dostęp do konta, zanim oszust zdąży dokonać jakichkolwiek transakcji, co umożliwia szybką zmianę haseł i dodatkowe zabezpieczenie konta.
Zasada 7: Zgłaszaj natychmiast podejrzenia i incydenty! Zgubiona karta? Podejrzana transakcja? Natychmiast blokuj kartę i zgłoś sprawę bankowi oraz Policji!
Szybka reakcja w przypadku zgubienia lub kradzieży karty płatniczej, podejrzenia nieautoryzowanej transakcji lub jakiegokolwiek innego incydentu bezpieczeństwa jest absolutnie kluczowa. Każda minuta zwłoki działa na niekorzyść poszkodowanego i zwiększa ryzyko strat finansowych.
Procedura postępowania w sytuacjach awaryjnych:
- natychmiastowe zastrzeżenie karty: W przypadku utraty karty (zgubienie, kradzież) lub podejrzenia, że jej dane (numer, kod CVV/CVC) dostały się w niepowołane ręce, należy bezzwłocznie ją zastrzec. Można to zrobić poprzez infolinię banku, w aplikacji mobilnej, systemie bankowości internetowej lub dzwoniąc na ogólnopolski, całodobowy numer Systemu Zastrzegania Kart: +48 828 828 828. Warto mieć te numery zapisane w łatwo dostępnym miejscu;
- zgłoszenie incydentu do banku: Każdą podejrzaną transakcję, nietypową aktywność na koncie, podejrzany e-mail, SMS czy telefon rzekomo od banku należy niezwłocznie zgłosić swojemu bankowi. Bank podejmie odpowiednie kroki, takie jak zablokowanie dostępu do konta, wyjaśnienie sprawy czy pomoc w procesie reklamacyjnym (chargeback);
- powiadomienie Policji: Poważne próby oszustwa, dokonane oszustwa finansowe, kradzież karty czy dokumentów tożsamości należy zgłosić na Policję, dzwoniąc na numer alarmowy 112 lub udając się do najbliższej jednostki;
- zgłaszanie phishingu do CERT Polska: Podejrzane wiadomości e-mail, SMS-y czy strony internetowe mające na celu wyłudzenie danych można zgłaszać do zespołu CERT Polska (Computer Emergency Response Team) poprzez stronę incydent.cert.pl, e-mailem na adres cert@cert.pl lub SMS-em na numer 8080.
Zgłaszanie incydentów ma podwójne znaczenie. Po pierwsze, chroni bezpośrednio osobę poszkodowaną, umożliwiając szybkie zablokowanie dalszych strat. Po drugie, dostarcza bankom i organom ścigania cennych informacji o nowych metodach działania oszustów, co pozwala na skuteczniejsze przeciwdziałanie przestępczości finansowej i ostrzeganie innych potencjalnych ofiar. Istnienie dedykowanych i łatwo dostępnych kanałów zgłaszania incydentów ułatwia podjęcie odpowiednich działań, jednak kluczowa jest świadomość użytkowników o ich istnieniu i umiejętność skorzystania z nich w odpowiednim momencie.
Zasada 8: uważaj na bankomaty i terminale płatnicze. Przy bankomacie/terminalu zasłaniaj PIN i sprawdzaj urządzenie. Nie spuszczaj karty z oczu.
Bezpieczeństwo transakcji fizycznych przy użyciu kart płatniczych wymaga zachowania ostrożności zarówno przy korzystaniu z bankomatów, jak i terminali płatniczych w punktach handlowo-usługowych:
- inspekcja bankomatu: Przed włożeniem karty do bankomatu należy dokładnie obejrzeć urządzenie, zwracając uwagę na wszelkie nietypowe lub podejrzanie wyglądające elementy. Mogą to być dodatkowe nakładki na czytnik kart (tzw. skimmery, służące do kopiowania danych z paska magnetycznego karty), fałszywe klawiatury (do przechwytywania kodu PIN), mikrokamery skierowane na klawiaturę, luźne lub odstające części obudowy. W przypadku jakichkolwiek wątpliwości, nie należy korzystać z bankomatu i powiadomić o swoich podejrzeniach bank lub operatora urządzenia;
- zasłanianie kodu PIN: Podczas wprowadzania kodu PIN, zarówno w bankomacie, jak i przy terminalu płatniczym, należy zawsze zasłaniać klawiaturę drugą ręką lub portfelem, aby uniemożliwić jego podejrzenie przez osoby postronne lub zarejestrowanie przez ukrytą kamerę;
- nadzór nad kartą: Nigdy nie należy tracić karty z oczu podczas dokonywania płatności. Niedopuszczalne jest, aby sprzedawca lub kelner zabierał kartę na zaplecze lub w inne niewidoczne dla klienta miejsce w celu realizacji transakcji. Płatność powinna odbywać się w obecności posiadacza karty. W restauracji można poprosić o przyniesienie terminala do stolika lub samemu udać się do kasy;
- odbiór karty i potwierdzenia: Po dokonanej transakcji należy pamiętać o zabraniu karty oraz potwierdzenia płatności.
Mimo że karty z chipem (standard EMV) są znacznie bardziej odporne na skimming danych z paska magnetycznego niż starsze karty wyłącznie z paskiem magnetycznym, oszuści wciąż próbują przechwycić kod PIN, który pozostaje kluczowym elementem autoryzacji transakcji. Nieuwaga klienta jest największym sprzymierzeńcem przestępców przy transakcjach fizycznych. Proste nawyki, takie jak zasłanianie PIN-u, obserwacja otoczenia i niepozwalanie na oddalenie się z kartą przez obsługę, znacząco zwiększają bezpieczeństwo. Należy również pamiętać, że dane karty skradzione lub skopiowane w świecie fizycznym (np. poprzez sfotografowanie karty przez nieuczciwego sprzedawcę) mogą zostać następnie wykorzystane do совершения nieautoryzowanych transakcji internetowych. To pokazuje ścisłe powiązanie między bezpieczeństwem fizycznym karty a ochroną przed oszustwami online.
Zasada 9: Korzystaj z Internetu i urządzeń bezpiecznie. Aktualizuj oprogramowanie. Nie klikaj w nieznane linki/załączniki. Używaj legalnego programu antywirusowego.
Ogólne zasady cyberhigieny są fundamentem bezpiecznego korzystania z usług finansowych online i ochrony przed szerokim spektrum zagrożeń, takich jak złośliwe oprogramowanie (malware, ransomware), wirusy czy programy szpiegujące. Pamiętaj:
- regularne aktualizacje oprogramowania: Należy dbać o to, aby system operacyjny (Windows, macOS, Android, iOS), przeglądarka internetowa, wtyczki do przeglądarki oraz wszelkie inne używane aplikacje, a zwłaszcza oprogramowanie antywirusowe i zapora sieciowa (firewall), były zawsze zaktualizowane do najnowszych wersji 7. Aktualizacje często zawierają poprawki bezpieczeństwa usuwające znane luki, które mogłyby zostać wykorzystane przez cyberprzestępców;
- używanie oprogramowania zabezpieczającego: Niezbędne jest posiadanie i regularne aktualizowanie legalnego oprogramowania antywirusowego oraz aktywnej zapory sieciowej (firewall) na wszystkich urządzeniach mających dostęp do internetu (komputery, smartfony, tablety);
- ostrożność wobec linków i załączników: Należy unikać klikania w podejrzane linki, banery reklamowe czy otwierania załączników w wiadomościach e-mail lub komunikatorach, jeśli pochodzą one z nieznanych, nieoczekiwanych lub niezaufanych źródeł. Mogą one prowadzić do złośliwych stron lub zawierać szkodliwe oprogramowanie;
- bezpieczne pobieranie aplikacji: Aplikacje, zwłaszcza te związane z finansami lub przetwarzaniem danych osobowych, należy pobierać wyłącznie z oficjalnych sklepów (np. Google Play, Apple App Store) lub bezpośrednio ze stron zaufanych dostawców,
- unikanie ryzykownych sieci i urządzeń: Należy unikać logowania do bankowości elektronicznej, dokonywania płatności online oraz podawania poufnych danych korzystając z publicznie dostępnych komputerów (np. w kafejkach internetowych, bibliotekach) oraz z publicznych, niezabezpieczonych sieci Wi-Fi. Takie sieci mogą być monitorowane przez osoby trzecie, a publiczne komputery mogą być zainfekowane oprogramowaniem szpiegującym (np. keyloggerami).
Zaniedbanie regularnych aktualizacji oprogramowania stwarza poważne luki w zabezpieczeniach, które są aktywnie wykorzystywane przez cyberprzestępców do infekowania urządzeń złośliwym oprogramowaniem, kradzieży danych logowania, numerów kart płatniczych, a nawet do blokowania dostępu do danych w celu wymuszenia okupu (ransomware). Cyberhigiena nie jest jednorazowym działaniem, lecz ciągłym procesem. Zagrożenia w cyberprzestrzeni nieustannie ewoluują, dlatego użytkownicy muszą być stale czujni, dbać o bezpieczeństwo swoich urządzeń i regularnie poszerzać swoją wiedzę na temat nowych form ataków.
Zasada 10: Nie wierz w „okazje” i „nagrody” wymagające twoich danych lub wpłaty. „Super okazja” lub „wygrałeś”? Jeśli proszą o dane karty lub wpłatę – to oszustwo!
Wiele oszustw internetowych opiera się na wabieniu potencjalnych ofiar obietnicami niezwykłych okazji, łatwego zysku, wygranych w konkursach czy loteriach, w których rzekomo wzięły udział. Kluczowe jest zachowanie zdrowego sceptycyzmu wobec wszelkich ofert, które wydają się zbyt piękne, aby mogły być prawdziwe.
Na co zwracać szczególną uwagę:
- nierealistycznie atrakcyjne oferty: Należy z dużą ostrożnością podchodzić do ofert sprzedaży towarów lub usług po rażąco niskich cenach, informacji o niespodziewanych wygranych w loteriach (zwłaszcza jeśli nie brało się w nich udziału), propozycji szybkich i wysokich zysków z inwestycji bez ryzyka. Powszechna zasada mówi, że "na świecie nie ma nic za darmo";
- prośby o podanie danych lub dokonanie wpłaty w celu odbioru "nagrody": Oszuści często wymagają podania pełnych danych karty płatniczej (numer, data ważności, kod CVV/CVC), danych logowania do bankowości lub dokonania niewielkiej "opłaty manipulacyjnej", "podatku" czy "kosztów przesyłki" w celu odebrania rzekomej nagrody lub skorzystania z wyjątkowej oferty. Żadna legalna loteria czy konkurs nie będzie wymagać takich działań. Prośba o niewielką opłatę jest częstą taktyką mającą na celu nie tylko wyłudzenie tej kwoty, ale przede wszystkim zdobycie pełnych danych karty płatniczej do późniejszych, znacznie większych oszustw, lub zapisanie ofiary na kosztowną, cykliczną subskrypcję;
- fałszywe sklepy internetowe: Należy uważać na fałszywe sklepy internetowe, które kuszą atrakcyjnymi cenami, ale po dokonaniu płatności towar nigdy nie jest wysyłany, lub wysyłany jest produkt znacznie odbiegający jakością od zamówionego. Przed dokonaniem zakupu w nieznanym sklepie internetowym, warto sprawdzić jego wiarygodność – poszukać opinii innych klientów, sprawdzić dane rejestrowe firmy, regulamin sklepu oraz politykę zwrotów i reklamacji.
Oszuści często grają na ludzkiej chciwości, naiwności oraz pragnieniu łatwego zysku. Zrozumienie tego mechanizmu i stosowanie zasady "jeśli coś wydaje się zbyt dobre, by było prawdziwe, to prawdopodobnie nie jest" może uchronić przed wieloma problemami. Weryfikacja reputacji sprzedawcy, organizatora konkursu czy autora "niesamowitej" oferty jest kluczowym krokiem przed podjęciem jakichkolwiek działań, które mogłyby narazić finanse lub dane osobowe.
Warto zapoznać się również z informacjami zawartymi w prezentacji - link do prezentacji pn. "10 zasad bezpiecznego korzystania z narzędzi płatniczych".
Cecha podejrzanej komunikacji/oferty |
Opis |
Niespodziewana prośba o poufne dane | Prośba o login, hasło, PIN, kod CVV/CVC, PESEL, numer dowodu osobistego, kody SMS. |
Presja czasu, groźby | Komunikaty typu: "działaj natychmiast", "Twoje konto zostanie zablokowane", "ostatnia szansa", "grozi Ci kara". |
Błędy językowe i stylistyczne | Literówki, błędy gramatyczne, niepoprawna polszczyzna, dziwny styl w wiadomości lub na stronie internetowej. |
Generyczne powitania | Zamiast imienia i nazwiska, zwroty typu "Drogi Kliencie", "Szanowny Użytkowniku". |
Podejrzany adres e-mail nadawcy lub adres URL strony | Adres e-mail niepasujący do oficjalnej domeny instytucji, literówki w adresie URL, adresy skrócone lub przekierowujące. |
Linki i załączniki | Prośby o kliknięcie w link lub pobranie załącznika w celu "weryfikacji danych", "aktualizacji systemu", "odbioru nagrody". |
Oferty "zbyt piękne, by były prawdziwe" | Niesamowite promocje, wygrane w loteriach, w których nie brało się udziału, obietnice łatwego i szybkiego zysku. |
Prośba o niewielką opłatę za "okazję" lub "nagrodę" | Wymóg uiszczenia "opłaty manipulacyjnej", "kosztów wysyłki" itp. w celu uzyskania dostępu do rzekomej korzyści. |
Nietypowe zachowanie lub prośby od rzekomych znajomych/rodziny | Nagłe prośby o pieniądze, podanie kodu BLIK, wysłanie SMS-a premium, często pod presją czasu i z dramatyczną historią. |
Przedstawione zasady stanowią kompendium wiedzy niezbędnej do ochrony środków finansowych w dzisiejszym świecie. Ich konsekwentne stosowanie w codziennym życiu znacząco zwiększa poziom bezpieczeństwa i minimalizuje ryzyko stania się ofiarą oszustwa. Należy pamiętać, że cyberprzestępcy nieustannie doskonalą swoje metody, dlatego kluczowe jest nie tylko zapoznanie się z tymi regułami, ale także ciągłe poszerzanie swojej wiedzy, śledzenie komunikatów banków i organów ścigania dotyczących nowych zagrożeń oraz adaptacja swoich zachowań do zmieniającej się rzeczywistości.
Bycie świadomym i odpowiedzialnym użytkownikiem usług finansowych to najlepsza forma prewencji. W przypadku jakichkolwiek wątpliwości co do autentyczności otrzymanej wiadomości, rozmowy telefonicznej, strony internetowej czy podejrzanej transakcji – nie należy ryzykować. Zawsze lepiej jest zachować nadmierną ostrożność i skontaktować się bezpośrednio ze swoim bankiem, korzystając ze znanych i zweryfikowanych kanałów komunikacji, lub powiadomić Policję. Poczucie sprawczości i świadomość, że to od indywidualnych decyzji i czujności w dużej mierze zależy bezpieczeństwo finansowe, jest znacznie skuteczniejszą motywacją do działania niż sam strach przed potencjalnymi konsekwencjami.
Instytucja/cel | Numer Telefonu / Adres strony |
Ogólnopolski system zastrzegania kart | +48 828 828 828 (czynny 24/7) |
Policja | 112 (numer alarmowy) |
Infolinia twojego banku | sprawdź na stronie internetowej twojego banku lub na dokumentach bankowych |
Cert Polska (zgłaszanie incydentów online) | Strona: incydent.cert.pl E-mail: cert@cert.pl SMS (dla zgłoszeń phishingu): 8080 |