Bezpečnost v oblasti platebního styku

Bezpečnost v oblasti platebního styku Webinář, 26. března 2015, 19.00 hod. Přednášející: Ing. Petr Strnadel, Citibank Europe plc www.bankovnigramotnost.cz www.jaczech.cz 1

Cíl této prezentace Seznámit posluchače se základními bezpečnostními principy při používání platebních produktů Poukázat na případné chyby uživatelů platebních produktů Ukázat i nestandardní jednání týkajících se platebních produktů 2

Obsah a témata webináře Úvod do základních principů bezpečnosti Co rozumíme pod pojmem platební produkt? Životní cyklus platebního produktu z pohledu bezpečnosti Pravidla bezpečného používání internetového bankovnictví Bezpečnost informací a dat Používání platebních karet Příklady podvodného jednání cizích osob Prostor pro Vaše dotazy Závěr 3

Úvod do základních principů bezpečnosti Nezamykáte si snad dům, byt, kancelář, auto, cyklistické kolo? Nehlídáte si Vaše osobní doklady nebo půjčujete je komukoliv? Nevadí Vám snad asistence neznámé osoby při výběru hotovostiz bankomatu? Na počítači neřešíte aktualizace operačního systému? Stahujete a instalujete všechny aplikace, které vidíte? Antivirové programy považujete za zbytečné? Otevíráte každý email, který obdržíte od neznémého odesílatele? Na internetu Vás lakají především neznámé webové stránky? Vaše osobní údaje, včetně čísla Vaší platební karty vkládáte kamkoliv? 4

Úvod do základních principů bezpečnosti Pokud jste odpověděli ANOna některý z uvedených dotazů na předešlé stránce, tak je tato prezentace vhodná právě pro Vás Pokud jste však odpověděli NE, tak pro Vás není bezpečnost cizím pojmem, avšak vždy je vhodné si základní principy zopakovat, případně i rozšířit Vaše znalosti 5

Co rozumíme pod pojmem platební produkt? Účet v bance (běžný, spořící, investiční) Platební karta (kreditní, debetní, čipové, bezkontaktní) Internetové bankovnictví Mobilní bankovnictví Úvěr Půjčka Směnka Šeková poukázka Ostatní finanční produkty 6

Životní cyklus platebního produktu z pohledu bezpečnosti Získání platebního produktu Žádost o produkt na základě poskytnutých osobních údajů a dokladů Používání platebního produktu a příslušných služeb Pravidelné využívání Rozšiřování používaných služeb a možností platebního produktu Ukončení používání platebního produktu a příslušných služeb Podání žádosti o ukončení používání platebního produktu Vyrovnání dlužné částky Ověření jaká osobní data a po jak dlouhou dobu může banka využít 7

Základní principy bezpečnosti Rozdělujte soukromé a pracovní záležitosti Dodržujte Vaše soukromí a neukazujte vše na počkání Nekomunikujte senzitivní informace na veřejnosti Nezapomínejte, že internet je veřejné místo Předvídejte možné dopady Vašeho jednání při používání platebních produktů 8

Internet - veřejné místo Rizikem internetu může být především samotný uživatel, který občas nepřemýšlí o svém počínání a možných důsledcích svého jednání Cokoliv sdělíte nebo uložíte na veřejném internetu, tak si může kdokoliv prohlédnout a přečíst bez Vašeho vědomí Můžete tak ztratit kontrolu nad sdělenou informací, fotkou nebo dokonce nad sděleným osobním údajem Nevíte, kdo a pro jaký účel následně Vaší informaci využije nebo se pokusí zneužít ve svůj prospěch 9

Bezpečné používání internetového bankovnictví Pravidlo 1 Používejte jen vlastní počítač, notebook, tablet nebo chytrý telefon Pro přístupna internetové bankovnictvínepoužívejte neznámých počítačů, kde neznáte úroveň zabezpečení a stav takového počítače Přihlašování do internetového bankovnictví neprovádějte v internetových kavárnách 10

Bezpečné používání internetového bankovnictví Pravidlo 2 Zajistěte pravidelnou aktualizaci operačního systému, prohlížeče, používaných aplikací a jiného programového vybavení Nepoužívejte k přístupu na internetové bankovnictví počítač, který nemá nejnovější bezpečnostní instalace I přenosné zařízení typu tabletu, nebo chytrého telefonu je nutné pravidelně aktualizovat 11

Bezpečné používání internetového bankovnictví Pravidlo 3 Používejte programy, které jsou určené pro ochranu Vašeho počítače, jako jsou anti-virové programy a anti-spywarové programy V neposlední řadě používejte i aktivní osobní firewall (bezpečnostní zeď) před vašim počítačem Zajistěte pravidelnou aktualizaci těchto bezpečnostních programů Tyto bezpečnostní programy jsouk dispozici i pro tablety a chytré telefony 12

Bezpečné používání internetového bankovnictví Pravidlo 4 Uzamykejte si heslem Vaše zařízení (telefon, počítač, tablet) Heslo / PIN zadávejte v soukromí bez účasti jiné, nebo cizí osoby Zadávání hesla / PINu zakrýjte druhou rukou Heslo / PIN si nikdy nikam nezapisujte Hesla pro přístup k internetovému bankovnictví, nikdy neukládejte v prohlížeči Odhlašujte se řádně z internetového bankovnictví, případně zavřete i používaný prohlížeč a pravidelně vymazávejte uložené dočasné soubory 13

Bezpečné používání internetového bankovnictví Pravidlo 5 Používejte jen bezpečnéheslo/ PINkód, kterému věnujete pozornost ve formě pravidelné změny Heslo si nastavujte bezpečné -silné (minimálně 8 znaků v kombinaci malých a velkých písmen, čísel a speciálních znaků -#,$,@) PIN kód si nastavujte bezpečný -nikoliv 1234, anebo část čísla Vaší karty nebo část Vašeho data narození, čísla bydliště, apod. Heslo by nemělo být stejné pro ostatní Vámi používané přístupy na (sociální sítě, soukromé emaily, webové aplikace a hry, diskuzní fóra) 14

Bezpečné používání internetového bankovnictví Pravidlo 6 Otevírejte jen důvěryhodné a očekávané e-maily Neotevírejte nedůvěryhodné e-maily, neklikejte na vložené odkazy, nestahujte podezřelé přílohy, které obdržíte v elektronické poště Nepřeposílejte podezřelé e-maily dalším příjemcům Přepošlete podezřelý e-mail pouze na e-mail adresu, která je určená k řešení takových podezřelých e-mailů dle instrukcí Vašeho poskytovatele e-mail služeb Každou staženou přílohu nechte překontrolovat pomocí anti-virové kontroly 15

Bezpečné používání internetového bankovnictví Pravidlo 7 Nikdy nereagujte na e-mailové žádosti,které mohou žádat Vaše přihlašovací údaje ve formě hesla,pin kódu nebo jiného ověřovacího prvku Nikdy neposílejte v e-mailu žádné hesla, PIN kódy nebo jiné přihlašovací údaje, které používáte pro přihlášení do internetového bankovnictví Vaše osobní údaje nesdělujte po e-mailu 16

Bezpečné používání internetového bankovnictví Pravidlo 8 Nenavštěvujte neznámé webové stránky a nestahujte z internetu neznámé soubory,které mohou obsahovat škodlivý malwarenebo jiný nežádoucí software Vždy využívejte jen oficiální aplikace pro Vášoperační systém (ios, Android, Windows, apod), které jsou dostupné na aplikačních marketech 17

Bezpečné používání internetového bankovnictví Pravidlo 9 Využívejte zasílání informačních zpráv o provedených transakcích, kterými Vás informuje bankaa pravidelně sledujte historii svého přihlašování k internetovému bankovnictví Zajímejtese o bezpečnostní rizikaa trendyk bezpečnému používání Vašeho počítače, tabletu nebo chytrého telefonu 18

Bezpečné používání internetového bankovnictví Pravidlo 10 V případě jakýchkoliv dotazů a nejasností s Vaším přihlašováním k internetovému bankovnictvínebo dotazuk provedeným transakcím na Vašem účtu, tak neváhejte kontaktovat infolinku Vaší banky Zajímejte se o možnosti Vámi používaných platebních produktů, případně i dalších nabídek, které mohou zvýšit Váš komfort a bezpečnost při používání platebních produktů 19

Bezpečnost informací a dat Data mít na jednom a pro uživatele přehledném místě Omezit přístup jiné osoby, případně nastavit kontrolovaný přístup Pravidelné zálohování Vašich dat na bezpečné uložiště Používání bezpečnostních nástrojů pro vyšší zabezpečení dat v podobě šifrování souborů Nepotřebná data bezpečně smazat Nepotřebné datové nosiče bezpečně likvidovat 20

Používání platebních karet obchod, eshop EShop, obchod, restaurace, služby Vždy využívejte jen důvěryhodných internetových obchodů Zároveň se ujistěte, že zadáváte požadované údaje z Vaší platební karty, jen do zabezpečené platební brány příslušného internetového obchodu Nedávejte a neztrácejte Vaší platební kartu z Vašeho dohledu Nenechte nikoho si opsat / ofotit údaje z Vaší platební karty Pozor na kamerové systémy v obchodech a pohled na Vaší kartu Vždy mít potvrzení o provedené transakci kartou nebo potvrzení o neprovedené transakci kartou z jakýchkoliv důvodů (chyba terminálu) 21

Používání platebních karet - bankomat Využívejte jen důvěryhodných bankomatů na frekventovaných místech, případně přímo instalované na pobočkách bank Při příchodu k bankomatu se podívejte, zda není viditelně poškozený nebo nejeví viditelné úpravy z důvodu neoprávněných zásahů Nepoužívat bankomat v případě, že Vás někdo sleduje nebo Vám někdo přímo nabízí asistenci s takovým výběrem hotovosti z bankomatu Pozor na kamerové systémy u bankomatu, které nemusí patřit majiteli bankomatu a mohou sledovat Vaše zadávané údaje (PIN kód) 22

Sociální inženýrství Snaha o získání Vašich osobních údajů pomocí telefonického rozhovoru Nikdy neposkytovat Vaše osobní údaje nebo přihlašovací údaje pomocí telefonu Také neposkytujte osobní údaje Vašich rodinných příslušníků, kamarádů nebo kolegů a požádejte o telefonní číslo, na které lze zpětně volat Pokud i tak potřebujete poskytnout Vaše osobní údaje, tak mějte jistotu a zavolejte vy na Vámi ověřené číslo a nikoliv, že Vám volá protistrana a žádá Vás o poskytnutí Vašich senzitivních údajů 23

SPAM = Nevyžádané e-mail zprávy Až 80% veškerého objemu e-mailu tvoří právě nevyžádané SPAM e- maily E-mail SPAM" se týká zpráv, které jsou poslané hromadně velkému množství příjemců, aniž by vznikla žádost, důvod a souhlas příjemce Většina SPAMů je nevyžádaná a liší se obsahem od prodejních nabídek, až po nabídky diet a e-maily typu, jak rychle zbohatnout E-mailovéadresy jsou hodnotné zboží, které se obchodujía jsou dále prodávány za účelem rozesílání dalších a dalších e-mail nabídek Jakmile odesílatelé nevyžádaných e-mailů získají platnou e-mailovou adresu, šance vyhnout se spamu bez ochrany je minimální 24

Phishing e-maily Čím vícelidépoužívají internet, tím více spolehají na jeho pohodlné zprostředkování služeb jako jsou např. bankovní služby, on-line nákupy a podobně Bohužel je internet téžzneužíván podvodníky, kteří rozesílají e-maily, které mají především vzbudit dojem, že pocházejí právě od bank Tyto e-maily vypadají neuvěřitelně věrohodně a běžně se jim říká Phishing (názevodvozenod anglického slova Fishing -Rybaření ) a jejich jediným cílem je ulovit Vás a především Vaše osobní údaje. Pro výše uvedené vždy následovat základní bezpečnostní principy 25

Podvodný e-mail Vám může zavirovat počítač Policie ČR průběžně varuje občanypřed podvodnými e-maily, které jsou rozesílány zejména do pracovních e-mailových schránek různých organizací, firem a veřejných institucí. E-mail byl rozesílán z různých internetových domén, doposud suživatelským jménem debt. Předmět zprávy obsahuje text Výše pohledávky na vašem účtu ačíslo pohledávky.vtextu zprávy je uvedeno upozornění na výši dlužné částky na osobním účtu, stím, že pohledávku je možné dobrovolně uhradit do uvedeného termínu. Součástí e-mailu je příloha soubor spříponou.zip snázvem smlouva a její číslo. Vpříloze je spustitelný.exe soubor, který obsahuje virovou nákazu. Po jeho otevření dojde knapadení počítače a nainstalování škodlivého kódu, v tomto případě se jedná o tzv. "trojského koně". Zdroj: http://www.policie.cz/clanek/policie-cr-policie-ceske-republiky-podvodny-e-mail-vam-muze-zavirovat-pocitac.aspx 26

Podvodné e-maily ukázka 1 (Exekuce) 27

Podvodné e-maily ukázka 2 (Nález osobní dokumentace) Policie ČR v posledních dnech zaznamenává zvýšený počet případů, ve kterých dochází k šíření škodlivého počítačového kódu v přílohách e-mailových zpráv, tvz. malware. Předmětem hromadně rozesílaných e-mailových zpráv jsou nyní především sdělení o omylem zaslaných kopiích dokladů a smlouvě, které odesílatel zasílá zpět zdůvodu, aby se již na jeho e- mail omylem nezasílaly další zprávy obsahující citlivé informace. E-mailové adresy odesílatelů jsou zpravidla podvrženy a telefonní čísla a jména uvedená vtextu e-mailů smyšleny. Kromě neoprávněného získání přístupu k počítačovému systému může být skutečným cílem snaha o získání citlivých informací, včetně možných přístupů do internetového bankovnictví uživatele. Ze strany pachatelů může následně dojít k neoprávněným finančním transakcím. Zdroj: http://www.policie.cz/clanek/dalsi-podvodne-e-maily.aspx (25/2/2015) 28

Podvodné e-maily ukázka 3 (odběr zboží přes internet) 29

Podvodné e-maily ukázka 4 (Email bonus) 30

Další ukázky zneužití platební karty Scénář Facebook-Uživatel FB je osloven svým přítelem se žádostí o půjčku malého finančního obnosu (důvody jsou různé). Tato půjčka má být poskytnuta prostřednictvím platební karty. V textu je poskytnutý link, který uživatele přesměruje na stránky, kde se mají zadat data o platební kartě pro provedení půjčky. Jakmile uživatel tyto údaje vyplní, pachatel získává všechna data potřebná k transakcím přes internet a následují podvodné transakce s takto odcizenou platební kartou. Scénář Hráč-Pachatelé inzerují na stránkách sázkových společností (Např. SYNOTTIP, FORTUNA, BWIN) možnost získat finanční bonus v případě zaregistrování platební karty. Dále je přiložen link na stránky, kde je možné PK (platební kartu) zaregistrovat. Pokud držitel PK požadované údaje vyplní, nezískává žádný bonus a jeho PK je ve velmi krátkém čase zneužita na internetu. 31

Bankomat a přídavné podvodné doplňky 32

Ostatní Cloudové (internetové) uložiště Ano, pro nesenzitivní data / Ne, pro osobní údaje, pokud není použita další úroveň zabezpečení - šifrování Sociální sítě (Facebook, Twitter, LinkedIn,..) -Ano, pro sdělování nesenzitivních dat / Ne, pro ukládání osobních dat a nevhodného materiálu Používání WiFi -Ano, pokud máte pod kontrolou a je zabezpečeno heslem / Ne, pokud se jedná o neznámé a jinak nezabezpečené WiFi připojení Mobilní bankovnictví -Ano, ale vždy následovat doporučení banky Internetové bankovnictví - Ano, vždy následovat doporučení banky Pro výše uvedené, vždy následovat základní bezpečnostní principy 33

Vaše dotazy? 34

Děkuji za pozornost 35