Mentionsy

Audycja realizowana w ramach projektu Aktywny Student Warszawskiego Instytutu Bankowości we współpracy z Ministerstwem Nauki i Szkolnictwa Wyższego.

Trzy grosze o ekonomii.

Piotrek Topuliński, dzień dobry.

Z nami jest dziś Przemysław Poręba, ekspert do spraw bezpieczeństwa Blik.

Dzień dobry.

Dzień dobry.

A spotykamy się w środku wakacji, by porozmawiać o płaceniu właśnie za pomocą blika, bo jest to metoda szybka.

Wielu kojarzy się właśnie z takim przesyłaniem błyskawicznym, na odległość, często bez karty, ale również będziemy przypominali o tym, że ważne jest bezpieczeństwo.

Z bezpieczeństwem to jest dość skomplikowana sprawa, chociaż mogłaby się wydawać w istocie prosta.

Kiedy myślimy sobie o bezpieczeństwie, zwłaszcza o naszym bezpieczeństwie w wakacje, to często nasza recepcja tego nadchodzącego urlopu, spędzenia czasu wolnego, przesuwa się na coś zupełnie innego, a nie na te podstawowe uwarunkowania bezpieczeństwa, w którym moglibyśmy się znaleźć.

Weźmy na przykład korzystanie ze sprzętu elektronicznego podczas naszego urlopu.

Zastanówmy się, czy my w ogóle tak dużo sprzętu musimy ze sobą zabierać.

No bo co my z reguły ze sobą zabieramy na takie wakacje?

Zabieramy smartfon, to jest zupełnie oczywiste w dzisiejszych czasach.

Zabieramy też laptop i niejednokrotnie jakieś inne urządzenia, więc musielibyśmy się zastanowić, czy faktycznie tych wszystkich urządzeń potrzebujemy.

Już nawiasem mówiąc, niektórzy biorą na wakacje swoją pracę, co też może być pewną lekcją.

Zostawmy tego laptopa w szafie, tydzień bez maila wytrzymamy i da się maila sprawdzić w telefonie.

A nawet gdybyśmy chcieli tego laptopa bardzo mocno wziąć, gdybyśmy byli do niego bardzo mocno przywiązani, bo się spodziewamy deszczowej pogody, co w dzisiejszym roku, znaczy w tegorocznym, w tegoroczne wakacje jest dosyć spodziewane, no to moglibyśmy chcieć oglądać seriale.

Ale pamiętajmy, że jednym z głównych powodów utraty dostępu do naszych danych, czy kradzieży naszych danych, jest po prostu zgubienie sprzętu albo kradzież tego sprzętu.

Więc jeśli weźmiemy sobie to pod uwagę, no to powinno nam to już otworzyć pewne

takie perspektywy, że właściwie, jeśli byśmy nie zabrali tego laptopa, no to mamy dużą szansę uchronić nasze dane właśnie w związku z brakiem kradzieży tego sprzętu, którego nie będziemy ze sobą mieli.

No ale gdy w wakacje korzystamy już ze sprzętu, to często robimy więcej tego, co robimy w trakcie zwykłego, cudzysłów, roku akademickiego.

To znaczy płacimy, kupujemy, zapłaciliśmy często za bilety albo za atrakcje już na miejscu.

Wciąż ten telefon płatności bezgotówkowy, gotówkowy, no w ruchu.

I myślę, że ten telefon zawsze będzie takim naszym języczkiem uwagi, jeśli idzie o bezpieczeństwo, czy w ogóle takie bezpieczeństwo w internecie, czy w ogóle bezpieczeństwo płatności.

Bo to są troszeczkę dwa odrębne zjawiska, ale jedno z drugiego wynika i bardzo mocno się przenikają.

I faktycznie my ten telefon w zasadzie już dzisiaj mamy wszędzie.

Bo w telefonie mamy...

i możliwości płacenia, mamy możliwości płacenia bezdotykowego, mamy możliwości generowania kodu BLIK i płacenia kodem BLIK, mamy możliwości wypłaty czy wpłaty gotówki z wykorzystaniem kodu BLIK, mamy aplikacje, które pomagają nam na przykład rezerwować noclegi.

Także ten telefon wydaje się dzisiaj absolutnie kluczową kwestią.

Natomiast to, co powinniśmy przede wszystkim z tym telefonem robić, no to to,

żeby dbać o to, żeby ten telefon nam gdzieś nie zaginął.

Albo żeby nie zostawiać go w otwartej przestrzeni i dodatkowo, żeby stosować dość mocne zabezpieczenia do tego telefonu.

No bo jeśli ja pozostawię telefon w jakiejś przestrzeni otwartej i nie będę miał tego telefonu zabezpieczonego jakimś dodatkowym pinem, jakimś dodatkowym hasłem, czy nawet biometrią,

no to potencjalnie osoba, która taki telefon znajdzie albo osoba, która postanowi mi ten telefon wykraść, będzie mogła bez problemu zalogować się do moich usług.

No bo co my robimy?

My często z tych naszych usług w aplikacjach, które mamy w telefonie, się po prostu nie wylogowujemy.

I często używamy tej opcji zapamiętaj.

Po prostu w telefonie wszystkie te nasze najbliższe apki są już zapamiętane.

Absolutnie tak, to jest kluczowa sprawa.

My mamy z reguły zapamiętane nasze dane logowania, więc jeśli telefon wpadnie w niepowołane ręce, to tak naprawdę jest to bardzo prosta droga do kradzieży zarówno naszych danych osobowych, a zatem i tożsamości, jak i kradzieży naszych finansów.

Chociaż oczywiście z dostępem do konta bankowego jest troszeczkę trudniej.

Natomiast nasze dane osobowe z poziomu takiego telefonu w usługach, z których się nie wylogowaliśmy,

Kradzież takich danych jest bez wątpienia prostsza, jeśli ten telefon jest po prostu nie zablokowany.

Bliki są popularne i one też, tak przyglądając się im, nie wymagają obecności karty takiej w ręce.

Nie musimy pamiętać numerów czy tego kodu CVC-CVV.

Jest to szybsze i jedyne co musimy wiedzieć, to ten kod, który wstukujemy do potwierdzenia płatności, on też jest jednorazowy.

Tak, on jest jednorazowy, on jest generowany na określony czas z możliwością wykorzystania tego kodu przez użytkownika.

Natomiast to nie jest kluczowe.

Ten kod, czyli to, co użytkownik wie, to jest tylko jeden z tych poziomów zabezpieczeń w gruncie rzeczy tej płatności.

Pamiętajmy też o tym, że jeśli dokonujemy jakiejś płatności, na przykład kodem BLIK,

To następne, co powinniśmy i tutaj ze szczególną uważnością sprawdzić, to to komu i ile płacimy.

Czasami może to być błąd kasjera, błąd jakiegoś pracownika, że na przykład nabije nam zbyt wysoką kwotę.

Ale czasami może być to celowe działanie jakiejś osoby właśnie w celu ściągnięcia z nas zbyt wysokiej kwoty.

I kiedy przechodzimy przez te elementy, czyli wygenerowanie kodu blik, podanie tego kodu blik, czyli wpisanie go na przykład w terminalu płatniczym,

a następnie zatwierdzenie tej płatności.

Kiedy te czynności wykonujemy automatycznie, często uciekają nam te ważne elementy weryfikacji, właśnie ten ostatni element weryfikacji, żeby sprawdzić, czy ja na pewno płacę tyle, ile powinienem, albo czy ja na pewno płacę w tym miejscu, w którym powinienem zapłacić.

W niektórych aplikacjach bankowych wręcz podkreślone na czerwono są te liczby, czy ten właśnie kwota, którą wydajemy, czy miejsce, z którego ten blik jest proszony, bo też niektórzy mogą na odległość nas poprosić o przelew i jeśli ktoś w rodzinie poprosił o kilka groszy czy złotych, to właśnie zanim to sprawdzamy te jeszcze dane.

Tak, tutaj ten przypadek jest w ogóle szczególnie istotny, no bo gdybyśmy sobie go rozebrali na takie czynniki, powiedzmy pierwsze, takie wyrażenia regularne, no to mamy sytuację, w której ktoś, i to najczęściej, zjawiska, z którymi my się spotykamy jako działy bezpieczeństwa w ogóle, to pisze do nas ktoś na czacie.

na przykład z konta naszego znajomego, z konta kogoś z naszej rodziny i prosi nas o krótką pożyczkę.

Oczywiście przedstawia jakąś historię, że zabrakło mu pieniędzy do opłacenia czegoś.

Kiedy jesteśmy na wakacjach, kiedy jesteśmy na urlopie, ostatnie, czego nam się chce, to myśleć dokładnie i tak świadomie o tej sytuacji.

Raczej staramy się załatwić tą sytuację, bo czeka na nas plaża.

Chcemy iść na plażę, chcemy iść odpocząć, więc szybko załatwiamy tę sprawę.

I tutaj jest ta pierwsza czerwona flaga, o którą powinniśmy się w gruncie rzeczy potknąć.

Powinniśmy się zastanowić, czy faktycznie ta metoda przekazywania kodu BLIK na przykład na czacie jest właściwą metodą pożyczania znajomym, rodzinie jakichś środków finansowych.

Być może lepszym rozwiązaniem, i bez wątpienia tak jest, jest skierowanie takiej pożyczki za pośrednictwem usługi przelew blik na telefon.

Ona jest znacznie bardziej bezpieczna.

I nawet jeśli komuś z naszych znajomych wykradziono konto, albo komuś z naszej rodziny wykradziono konto, to nawet jeśli wykonamy ten przelew blik na telefon do naszego przyjaciela, do członka naszej rodziny, to te pieniądze nie zaginą gdzieś w tej przestrzeni oszukańczej.

Natomiast jeśli...

poddamy się tej socjotechnice, czyli ktoś od nas wyłudzi ten kod i wykorzysta ten kod, no to my tak właściwie już tych pieniędzy możemy nigdy nie odzyskać.

Więc to, co my zawsze rekomendujemy, to dwa elementy.

Po pierwsze, oddzwoń do tej osoby, która cię prosi o pożyczkę.

Dowiedz się, czy faktycznie ona prosiła o tę pożyczkę, czy być może nie doszło do jakiegoś zjawiska kradzieży tożsamości, czy wyłamania na czyjeś konto, na przykład na socjalnych mediach.

A drugim elementem nie podawaj tego kodu.

Po prostu wyślij przelew blik na telefon.

To znacznie bezpieczniejsza i też bez wątpienia szybsza forma.

I za chwilę jeszcze do takich sytuacji wrócimy.

Pamiętajmy, co robić, by nasze pieniądze, nasze dane były bezpieczne.

Przed chwilą było o takiej prośbie o blika i rada pojawiła się, by po telefonie oddzwonić do kogoś.

To jest ważny mechanizm, bo te metody wykorzystywane przez oszustów są coraz sprytniejsze niestety i często te wiadomości czy telefony nawet już niestety brzmią.

To często są technologie takie jak deepfake.

I wszystko to idące w parze prowadzi do phishingu i do wyłudzenia naszej kasy.

Tak, proszę zwrócić uwagę, że to, o czym my tutaj dziś rozmawiamy, to w zasadzie nie są jakieś...

bardzo skomplikowane strukturalnie zjawiska technologiczne.

Czyli my nie mówimy dzisiaj tutaj o tym, w jaki sposób zabezpieczać się przed grupami hakerskimi.

My mówimy o tym, jak bezpiecznie postępować w sieci i bezpiecznie postępować w zakresie naszych płatności.

Czyli w zasadzie mówimy o...

naszej możliwości wyboru i naszej świadomości bezpieczeństwa, czyli w gruncie rzeczy o psychologii.

I teraz słusznie Pan zauważył, że może się zdarzyć taka sytuacja, w której albo ktoś nas poprosi o ten kotlik, o którym przed chwilką już rozmawialiśmy, że są prostsze, ale też bezpieczniejsze formy udzielenia takich pożyczek naszym znajomym czy rodzinie.

Ale także też słusznie Pan zauważył, że oszuści nigdy nie śpią i czekają na nasz błąd.

Na jaki błąd mogą czekać?

No chociażby na taki błąd poznawczy.

Wcześniej przywoływałem taką sytuację, że spieszy nam się na plaży.

My już jesteśmy myślami na tym leżaku, obserwujemy lazurowe kolory na przykład morza.

Ale w tym samym czasie, kiedy my jesteśmy trochę rozstrojeni tak emocjonalnie, bo nasza uwaga już jest skupiona na czymś zupełnie innym, w tym samym czasie może zadzwonić do nas oszust.

I ten oszust może potrzyć się pod pracownika banku, pracownika...

organów ścigania, na przykład policji czy prokuratury, bądź jakiejkolwiek innej instytucji.

I ten oszust może próbować od nas wyłudzić albo dane osobowe, albo jakąś płatność, albo jedno i drugie.

I to jest ten moment, na który oszuści czekają, czyli na naszą nieuwagę, na to, że my nie będziemy tak świadomie wykonywali tej decyzji, tylko będziemy...

troszeczkę podążać za tym, co oszust nam każe, czyli za jego manipulacjami.

I to także jest ten moment.

Ja wiem, że w takim okresie wakacyjnym trudno jest się skupić na takiej rozmowie, ale zalecam.

Jednak kiedy dzwoni do nas osoba, która...

nas instruuje i twierdzi, że jest pracownikiem banku, to powinniśmy bardzo mocno na tej rozmowie się skupić.

Czyli przede wszystkim wysłuchać, jaką ta osoba ma potrzebę.

Jeśli ta potrzeba skupia się na tym, że pilnie trzeba np.

wypłacić gotówkę i wpłacić tę gotówkę potem na jakiś rachunek techniczny,

to raczej na 100% mamy do czynienia, właściwie nie raczej, tylko na 100% mamy do czynienia z oszustwem, z próbą wyłudzenia, ale też wpłynięcia w sposób manipulacyjny na nasze decyzje.

Także zalecam takie dość uważne przesłuchiwanie się tej rozmowie i dopytywanie o szczegóły.

Albo czasami wracanie do poprzednich wątków.

Oszuści mają czasami bardzo duży problem z utrzymaniem pewnej konsekwencji narracyjnej.

Więc takie wracanie do pewnych szczegółów, czy do pewnych wątków, które się pojawiły jeszcze chwilę temu w naszej rozmowie, może być kluczowe dla ujawnienia, czy my faktycznie mamy do czynienia z pracownikiem banku lub innej instytucji, czy też z oszustem.

No a przy okazji muszę dodać, że pracownik banku nigdy nie poprosi nas o takie dane, jak na przykład kod blik w celu jakiegokolwiek uwierzytelnienia, więc tutaj na te elementy trzeba bardzo mocno uważać.

Na koniec jeszcze przypomnę o limitach na karcie.

Możemy w aplikacji w bardzo szybki sposób ustawić się limit na wypłatę gotówki, albo na zakupy w internecie, albo na zwykłe zakupy.

I pamiętać o tym, gdy przy wypłacie pieniędzy z bankomatu wyskoczy nam odmowa, to o to mogło chodzić, o to, że sami sobie ustawiliśmy taki limit.

Limity są super istotne w kontekście zarządzania naszymi finansami w ogóle, nie tylko z perspektywy bezpieczeństwa, ale też utrzymania takiej odpowiedniej gospodarki naszymi pieniędzmi.

Właśnie to ustawienie limitów.

Ale z poziomu aplikacji, oprócz ustawienia limitów, weryfikowania tych limitów, bardzo istotne jest też weryfikowanie to, czy np.

nie mamy podpiętych jakichś usług subskrypcyjnych.

Możemy to sprawdzić w aplikacji bankowej.

Możemy także sprawdzić w aplikacji bankowej, czy jakieś strony, na których na przykład dokonuje się płatności, nie są przez naszą aplikację zapamiętane.

I jeśli cokolwiek wzbudza naszą wątpliwość, albo jeśli na naszym rachunku bankowym, czyli w historii transakcji, ujawniamy jakieś wypływy gotówki, czy wypływy finansów,

do których się nie przyznajemy, albo o których nie pamiętamy i w ogóle z niczym nam się nie kojarzą i jesteśmy przekonani o tym, że ich nie wykonywaliśmy, to to jest też ten moment, żeby zareagować i zainicjować pewne działania zabezpieczające, czyli np.

kontakt z własnym bankiem

i dalsza rozmowa z konsultantami, co w tym przypadku należałoby zrobić.

Tutaj jeszcze parę takich elementów bezpieczeństwa, o których zawsze warto podczas wakacji pamiętać.

Bo my tutaj rozmawialiśmy o sprzęcie, które zabieramy, my tutaj mówimy o finansach, ale są też takie elementy, o których często nie pamiętamy, a powinniśmy.

Na przykład nie pamiętamy o tym, żeby zabierać swoje ładowarki.

I co to powoduje?

Często to powoduje sytuacje, w których musimy skorzystać z ładowarki publicznej.

zwracam uwagę, że te porty USB, które są publicznie dostępne, one również mogą być czymś zainfekowane.

Dlatego rekomendacją z mojej strony jest to, żeby zawsze zabierać swoją ładowarkę, swoją prywatną ładowarkę, która jest dla nas bezpieczna.

Bo w przypadku korzystania z publicznej ładowarki możemy nasz sprzęt, chcąc nie chcąc, czymś zainfekować.

Takie publiczne porty USB bardzo rzadko są sprawdzone pod kątem bezpieczeństwa.

Kolejnym elementem jest to, żeby zadbać o czystość, w cudzysłowie oczywiście, naszego ekranu.

Często spotykamy się z takim zjawiskiem, że użytkownicy na przykład zaklejają kamerki w laptopie, ale z drugiej strony nie powodują, że nasz ekran jest niewidzialny dla osób postronnych.

Pamiętajmy o tzw.

filtrach prywatyzujących.

One działają w taki sposób, że gdyby ktoś chciał rzucić przez ramię okiem na to, co robimy na laptopie,

albo gdzieś tam pod kątem spojrzeć, to nie będzie mógł, bo ten filtr prywatyzujący ten obraz po prostu zamarzy.

Więc to niech to będzie jakby druga taka rekomendacja co do takiego fizycznego bezpieczeństwa sprzętu.

Pamiętajmy także o tym, żeby ustawiać silne hasła.

A najlepszą rekomendacją w kontekście haseł jest to, żeby w ogóle ich nie pamiętać i korzystać z menedżerów haseł.

One w gruncie rzeczy nie są tak skomplikowane, jak mogłoby się na pierwszy rzut oka wydawać, ponieważ menedżery haseł są też

integralną częścią zabezpieczającą przeglądarki internetowe.

Więc każdy manager haseł jest lepszy niż żaden.

Jeśli będziemy korzystać z tego w przeglądarce internetowej, no to jego funkcja jest następująca.

Ja nie muszę pamiętać hasła, ale mój manager haseł przypomni mi hasło na stronie, którą mam wskazaną jako stronę zaufaną.

Więc jeśli jestem na stronie, na której manager haseł powinien mi wskazać hasło, a tego nie robi, to raczej na 100% mogę przyjąć, że mam do czynienia ze sfałszowaną, skopiowaną przez oszustów stronę.

Więc tutaj co należałoby zrobić, to po prostu uciec z tej strony, ewentualnie sprawdzić pod jakim adresem na tej stronie się znajdujemy.

No i pamiętajmy też o tych wszystkich elementach phishingowych, jeśli dostajemy nagle wiadomość.

która nas nakłania, która nas stawia w takiej pozycji, wykonaj tu i teraz, bo inaczej coś poważnego się stanie, to to jest dla nas pierwsza czerwona flaga.

Druga czerwona flaga jest natomiast taka, że jeśli w takiej wiadomości, czy to smsowej, czy mailowej, mamy wezwanie do kliknięcia w link albo pobranie załącznika, to to jest druga czerwona flaga i też tych czynności nigdy nie powinniśmy wykonywać, bo to grozi po prostu zainteresowaniem sprzętu,

albo kradzieżą naszych danych.

No i pamiętajmy o drugim faktorze logowania.

Pamiętajmy o tym, że

Przestępcy bardzo często powodują, czy w ogóle różne sytuacje technologiczne, powodują takie sytuacje, że nasze dane skądś mogą wycieknąć.

Ten drugi faktor logowania, czyli generowany kod w aplikacji tzw.

autentykującej, czyli aplikacji, która uruchamia nam pewien kod bezpieczeństwa, którym możemy zalogować się do usługi, jest dodatkowym elementem bezpieczeństwa dla nas.

Przestępcy doskonale wiedzą, że do niektórych usług logujemy się mailem, adresem mailowym.

Jeśli my ten adres mailowy mamy np.

umieszczony na Linkedinie albo na jakimś innym portalu, to to przestępca ma już pierwszy faktor logowania.

Drugim faktorem jest hasło, które, jeśli nie będziemy korzystać z managera haseł, może się okazać prostym hasłem do złamania.

Natomiast nawet jeśli przestępca będzie miał to hasło, to nie będzie miał dostępu do naszego kodu, który

generujemy sobie na naszym smartfonie i ten kod właśnie jest dla nas takim ostatecznym zamkiem, ostatecznym kluczem wejścia do jakiejś usługi, więc to jest bardzo, bardzo istotne.

Takie aplikacje typu Authenticator są wydane przez różne duże firmy.

Warto skorzystać i być pewnym albo pewniejszym tego, że nasze dane są bezpieczne, a zadanymi pieniądze.

Jeszcze jedną rzecz chciałem dopowiedzieć, ponieważ są też takie elementy, na które też trzeba zwrócić uwagę.

Pamiętajmy o tym, że Internet nie zapomina.

Internet nie zapomina też o tym, gdzie wykonywaliśmy pewne zdjęcia albo gdzie byliśmy.

Pamiętajmy o tym, że zdjęcia, które umieszczamy w naszych social mediach, mogą zawierać pewne informacje o naszym pobycie gdzieś.

To może dla nas oznaczać to, że jeśli ja w trakcie wakacji umieszczę swoje zdjęcie z nadmorza chociażby, to dla potencjalnych ludzi, którzy chcą mi wyrządzić szkodę fizyczną w moim mieszkaniu, które pozostawiłem puste, bo jestem na wakacjach,

Jest to bardzo istotna informacja, że to mieszkanie jest puste, a zatem może to dodatkowo spowodować pewne sytuacje zagrożenia dla naszego mienia.

I pamiętajmy też o tym, żeby regularnie weryfikować, czy nasze dane nie podlegały jakimś wyciekom.

W tym kierunku pomoże nam strona pod tytułem HawaiiBeanPoint.

na której możemy regularnie sprawdzać, czy z naszymi danymi nie był związany jakiś wyciek.

Jeśli był, to należy czym prędzej zmienić hasła czy inne dane logowania do pewnych usług, bo pamiętajmy, że na wakacjach my tak w gruncie rzeczy nie zastanawiamy się nad tym, w jaki sposób zarządzamy tymi danymi osobowymi.

Możemy je zostawić w hotelu, możemy je zostawić w placówce banku, bo na przykład załatwialiśmy jakąś sprawę i te dane osobowe siłą rzeczy gdzieś są pozostawiane.

My nad tym nie mamy czasami kontroli, więc weryfikowanie tego, czy z naszymi danymi osobowymi nie był związany jakiś wyciek danych, strona Hewabin.pont bardzo nam w tym kierunku pomoże.

Spokojnych wakacji.

Przemysław Poręba, ekspert do spraw bezpieczeństwa Blik.

Dzięki za te wszystkie wskazówki.

Dziękuję bardzo za tę rozmowę i również szczęśliwych, ale przede wszystkim bezpiecznych wakacji wszystkim życzę.

Do widzenia.

Cała rozmowa do wysłuchania w podcaście 3 grosze o ekonomii.

Warto obserwować, dawać 5 gwiazdek i słuchać poprzednich odcinków również związanych z pieniędzmi, znanymi z bezpieczeństwem.

Do usłyszenia.

Piotrek Topoliński.

Audycja realizowana w ramach projektu Aktywny Student Warszawskiego Instytutu Bankowości we współpracy z Ministerstwem Nauki i Szkolnictwa Wyższego.