Mentionsy

Audycja realizowana w ramach projektu Aktywny Student Warszawskiego Instytutu Bankowości we współpracy z Ministerstwem Nauki i Szkolnictwa Wyższego.

Trzy grosze o ekonomii.

Piotrek Topuliński, dzień dobry.

Z nami jest dziś Michał Mazur, ekspert do spraw cyberbezpieczeństwa w Departamencie Wykrywania Cyberzagrożeń i Fraudów Transakcyjnych Santander Bank Polska.

Dzień dobry.

Dzień dobry, witam Was.

Spotykamy się z okazji październikowego, europejskiego miesiąca cyberbezpieczeństwa.

Do tego tematu lubimy wracać w kontekście ekonomii.

Dlaczego jest to ważne w kontekście pieniędzy, danych?

No cóż, tutaj chyba powiem tak zwaną oczywistość, no ale pieniądze oraz poufne informacje, które nas dotyczą, to prawdopodobnie jedne z najważniejszych

albo tak z najważniejszych rzeczy, które posiadamy i jednocześnie nie ma co ukrywać, ale źli ludzie, cyberprzestępcy tylko czyhają na to, żebyśmy podali im na tacy i aby oni mieli właśnie dostęp do tych informacji, do naszych finansów.

No co tu dużo mówić, ponieważ chcą osiągać w prosty sposób, najlepiej anonimowy, online'owy korzyści finansowe, dlatego

To jest krytyczne wręcz, jeśli chodzi o świat finansów i ich bezpieczeństwo przede wszystkim.

A czasem zaczyna się od niewinnych komunikatów, albo sprawdź link, albo wyskakuje jakieś powiadomienie, albo reklama sugerująca, że na przykład musimy ściągnąć aplikację i tutaj nazwa.

No dokładnie, tutaj metody oszustów można powiedzieć oczywiście ewoluują, ale nadal wszystko zaczyna się od takiego tak zwanego pierwszego kontaktu i ten kontakt może być zrealizowany za pomocą wiadomości w dowolnym kanale komunikacyjnym.

Tradycyjnie jest to mail, ale oczywiście pamiętajmy o SMS-ach, komunikatorach internetowych, reklamy w mediach społecznościowych, tego jest...

też bardzo dużo, ale również oszuści mogą dzwonić.

No i pod tymi linkami nie kryją się tylko fałszywe strony internetowe, ale przede wszystkim mogą również się kryć złośliwe aplikacje.

I o ile jeszcze pewnie rok temu powiedziałbym, że tych złośliwych aplikacji obserwowaliśmy nieco mniej, tak ten rok, czyli 2025 zdecydowanie ten trend nam odmienił i tych złośliwych aplikacji

Niestety jest coraz więcej i one podszywają się nie tylko pod banki, ale również pod inne znane firmy, z których po prostu korzystamy na co dzień.

Takie maskowanie się cyberprzestępców to jest jedna z najczęstszych metod przez nich stosowanych?

To znaczy maskowanie.

Oszuści tak próbują tworzyć te swoje przekazy, wiadomości, żeby one były jak najbardziej wiarygodne, czyli ukrywają się na przykład, podszywając się pod...

znane nam firmy, organizacje czy banki.

Po prostu chcą nas zwieść za pomocą swoich sztuczek, tak abyśmy myśleli, że rzeczywiście otrzymaliśmy np.

wiadomość od organizacji, której ufamy, np.

naszemu bankowi.

Do telefonów to jesteśmy przespalani od rana do nocy i przed chwilą wspomnieliśmy o aplikacjach, które również mogą być próbą oszustwa.

Dlaczego jest to problemem w czasach, gdy większość z nas korzysta z takich dużych sklepów z aplikacjami, z Google Sklepu czy Google Play, a iOS również ma swój sklep z aplikacjami?

Ja w pierwszej kolejności zachęcam do odspawania się od telefonów, ale mówiąc poważnie, no tak, rzeczywiście, aplikacje na telefony bezwzględnie, jeśli mamy je ściągać, to ściągamy ze sklepów z aplikacjami.

Najczęściej dla Androidów, telefonów z systemem operacyjnym Android jest to oczywiście Google Play.

a dla popularnych iPhone'ów App Store.

I to jest podstawa, jeżeli chcemy minimalizować ściągnięcie podejrzanej aplikacji.

Ale oczywiście oszuści w swoich metodach chcą nas zachęcić do tego, abyśmy jednak ściągnęli tą aplikację spoza tego sklepu, czyli bezpośrednio ze strony internetowej.

Robimy to oczywiście korzystając z przeglądarki internetowej,

w telefonie i tutaj szczególnie ostrożni powinni być użytkownicy telefonów z systemem operacyjnym Android, no bo niestety tak się składa, że przestępcy przede wszystkim na tego typu telefony z tym systemem operacyjnym przygotowują najwięcej tych podejrzanych aplikacji.

Istnieją również aplikacje oficjalne, potrzebne w różnych sytuacjach technicznych, takich jak pulpity zdalne i niestety, tak jak z wieloma narzędziami, niektórzy wykorzystują je w ten sposób, że zachęcają nas do ściągnięcia, a później próbują przechwycić kontrolę nad naszym urządzeniem.

Jedna z takich aplikacji do pulpitu zdalnego...

Widzę, że mogę ją ściągnąć na telefon i tu jeszcze wszystko jest legalne i przejrzyste.

Gorzej, gdy po drugiej stronie jest ta osoba, która chce nas wykorzystać.

Tak, zdecydowanie oszuści też wykorzystują w swoich działaniach, nazwijmy je tak zwane legalne aplikacje.

Właściwie to trudno też mówić o jakichś nielegalnych.

Ale dobra, aplikacja, która jest, oficjalnie służy do tego, aby móc zdalnie na przykład uzyskać dostęp, czy to do komputera, czy to do telefonu i najczęściej tego typu aplikacje na przykład są wykorzystywane przy jakimś wsparciu

technicznym i bardzo często ta metoda jest wykorzystywana podczas rozmowy, na przykład telefonicznej, kiedy oszust prosi o instalację tej właśnie normalnej, używanej przez wielu aplikacji, po to właśnie, aby taki zdalny dostęp do naszego urządzenia pozyskać.

Ale też taka nowość, która objawiła się w tym roku,

W trakcie rozmowy znowu telefonicznej oszuści zachęcają do instalacji aplikacji, tylko tym razem już ta aplikacja jest stworzona przez nich.

I po instalacji tej aplikacji, aby się zweryfikować, uwaga, mamy przyłożyć kartę płatniczą do telefonu.

I dane tej karty są sczytywane.

Tam jeszcze jesteśmy proszeni o PIN oczywiście do karty.

I niestety dzięki temu przekazujemy te informacje do oszustów, którzy na przykład mogą wypłacić pieniądze w bankomacie w tym czasie lub zrealizować jakąś transakcję w jakimś miejscu.

I tutaj spryt oszustów, tak to trzeba określić, polega też na tym, że zdarza się, że w niektórych organizacjach finansowych są procesy, gdzie klienci weryfikują się, przykładając kartę.

do telefonu, dlatego warto na wszelki wypadek upewnić się, czy na przykład w moim banku są takie procesy, czy ich w ogóle nie ma, bo jeżeli nie ma, to w przypadku takiej sytuacji będziemy od razu mogli stwierdzić, że jest to po prostu próba oszustwa, ale nie ukrywam, że ten sposób okradania, wyłudzania danych do karty płatniczej PIN-u

Wydaje się być na pewno pomysłowy, innowatorski, biorąc pod uwagę aplikacje złośliwe, jakie pojawiały się na przestrzeni ostatnich lat.

A wiadomo, wszyscy płacimy w cudzysłowie telefonami.

Pamiętajmy, że tak naprawdę płacimy kartami, które dodajemy do portfeli cyfrowych.

Dlatego to przyłożenie karty do telefonu może nie być dla nas jakimś wielkim zaskoczeniem.

Bank nigdy nie dzwoni, nigdy nas nie pyta o PIN czy numer karty.

Czego jeszcze bank nie robi?

O czym musimy wiedzieć?

Kiedy nam się powinna zapalić lampka, gdy dostaniemy jakiś telefon, który powinien wydać nam się podejrzanym?

To znaczy tak na wszelki wypadek powiem, że na pewno bank nie poprosi o dane karty płatniczej oraz PIN do karty.

Nie poprosi również o dane do logowania do bankowości internetowej i mobilnej.

Ja będę to mówił trochę na przykładzie oczywiście mojego banku.

Myślę, że bardzo dobrą praktyką jest to, żeby bank nie wysyłał na przykład wiadomości z linkami, czyli SMS-ów, czyli maili i tak między innymi dzieje się w moim banku.

To oznacza, że nasi klienci, jeżeli otrzymaliby...

Taką wiadomość to mogliby niemal być pewni, że mają do czynienia z próbą oszustwa, ale też bank nie będzie prosił np.

podczas rozmowy telefonicznej o instalację aplikacji.

Tak się nie dzieje.

Bank też nie będzie dzwonił, co bardzo często robią oszuści, i informował o tym, że nasze pieniądze są w niebezpieczeństwie, że żeby je zabezpieczyć, to trzeba zainstalować aplikację, podać jakieś dane.

albo przelać te pieniądze na wskazany rachunek.

Każdy taki sygnał, że coś trzeba zaktualizować, coś jest w niebezpieczeństwie albo jak czegoś nie zrobimy, to na przykład nie będziemy mogli już korzystać z naszej bankowości internetowej, mobilnej czy kart płatniczych.

to powinna być od razu czerwona lampka w naszej głowie, rozłączenie się czy brak reakcji na taką wiadomość, po prostu skontaktowanie się z oficjalną infolinią swojego banku i potwierdzenie, weryfikacja takiej wiadomości.

Też pamiętajmy, że banki mają wprowadzoną taką możliwość weryfikacji osoby, która do nas dzwoni z banku.

Jest to popularne rozwiązanie, wystarczy mieć bardzo często aplikację mobilną danego banku, aby można było zweryfikować osobę, która do nas dzwoni, że rzeczywiście jest to pracownik banku.

Na koniec naszej rozmowy zapytałem jeszcze o zabezpieczenia biometryczne.

Popularne, często po prostu okiem próbujemy odblokować telefon.

Na ile to są bezpieczne, skuteczne metody, z których powinniśmy korzystać?

Ja powiem tak, że im więcej jesteśmy w stanie wprowadzić zabezpieczeń, tym lepiej dla nas.

Oczywiście biometria w postaci odcisku palca, czy szczególnie skanu twarzy, to na pewno cenne rozwiązanie, które zwiększa nasze bezpieczeństwo, ale to powinno iść w parze.

z innymi elementami, jak na przykład chociażby tworzenie odpowiednio silnych, czyli skomplikowanych, trudnych do odgadnięcia haseł, stosowanie tam, gdzie się da, tam, gdzie się da, wszędzie, gdzie się da, dodatkowego uwierzytelnienia, tak zwanym dodatkowym czynnikiem, czyli multifaktor authentication.

No i ta biometria, ja osobiście oczywiście taką biometrię stosuję, dzięki czemu oczywiście czuję się bezpieczniejszy, ale jednocześnie pamiętam, mam z tyłu głowy o innych elementach bezpieczeństwa, plus jeszcze jednak wiadomo z racji fachu, którym się trudnie monitoruje możliwości oszustów, czy oni gdzieś już tę biometrię też próbują złamać.

Na razie, szczególnie jeśli chodzi o ten skan twarzy, to jest trudna rzecz na pewno do złamania.

Ale wszystko zależy od nas, od tego jak podejdziemy do tego bezpieczeństwa.

Im więcej takich warstw stworzymy, poczynając od blokady ekranu, haseł, pinów, biometrii, dodatkowych zabezpieczeń, tym lepiej dla nas.

Michał Mazur, ekspert do spraw cyberbezpieczeństwa w Departamencie Wykrywania Cyberzagrożeń i Fraudów Transakcyjnych Santander Bank Polska.

Dziękuję za tę rozmowę.

Dziękuję bardzo również za rozmowę i zaproszenie.

Przypominam, cała rozmowa do wysłuchania w podcaście 3 grosze o ekonomii, a do tematu cyberbezpieczeństwa z racji Europejskiego Miesiąca Cyberbezpieczeństwa jeszcze będziemy powracali.

Piotrek Topoliński, do usłyszenia.