Atak phishingowy na bank PKO BP

Przeczytaj także: Kaspersky ostrzega: rośnie phising w przeglądarce

• Banki oraz inne instytucje finansowe nigdy nie przesyłają prośby o ponowne aktywowanie konta, potwierdzenie numeru karty kredytowej lub kodu PIN
• Nigdy nie korzystajmy z linków umieszczonych w wiadomościach e-mail, nie wchodźmy na stronę logowania odnajdując jej adres w wyszukiwarce
• Zadbajmy aby nasz system posiadał zainstalowane najnowsze łatki
• Zainstalujmy pełen pakiet zabezpieczający (zawierający funkcje antymalware, antyspyware, antyphishing)
• Bądźmy bardzo ostrożni korzystając z komputera w kafejce internetowej lub u znajomego. Jeżeli musimy na obcym komputerze wykonać jakąś operację wymagającą logowania skorzystajmy z dostępnych w sieci skanerów on-line np. na activescan.com, które w kilkanaście sekund mogą przeskanować system sprawdzając czy nie jest on zainfekowany.

• Sprawdźmy czy wykorzystywane przez nas oprogramowanie ochronne jest aktywne i posiada zaktualizowane bazy sygnatur
• Zawsze samodzielnie otwierajmy przeglądarkę internetową i wprowadzajmy adres strony w pasku przeglądarki. Jeżeli skorzystaliśmy z odnośnika sprawdźmy cały adres witryny – nie sugerujmy się jedynie początkiem adresu!
• Sprawdźmy wygląd witryny, zwracajmy uwagę na szczegóły (układ menu, kolorystyka, czcionki, błędy językowe)
• Do zalogowania zawsze wykorzystujmy połączenie szyfrowane HTTPS: (literka S oznacza połączenie bezpieczne - Secure) pasek adresu zmieni kolor, a na początku adresu pojawi się zamiast http oznaczenie HTTPS
• Przed wprowadzeniem danych identyfikacyjnych sprawdźmy certyfikat witryny. W prawym dolnym rogu pojawi się kłódeczka – po kliknięciu na nią pojawi się szczegółowa informacja o certyfikacie (kto i dla kogo, dla jakiej witryny wystawił dany certyfikat)
• Nie wprowadzajmy danych identyfikacyjnych w wyskakujące okienka typu pop-up. Banki lub inne serwisy nigdy nie wykorzystują takich mechanizmów logowania - okienko pop-up nie może być oznaczone certyfikatem. Jednak często są one wykorzystywane przez przestępców
• Jeżeli mamy jakiekolwiek wątpliwości zamknijmy okno przeglądarki i powtórzmy procedurę od początku.

• Ponownie zweryfikujmy certyfikat i adres witryny
• Sprawdźmy datę ostatniego logowania zarówno zakończonego powodzeniem jak i niepowodzeniem
• Po wykonaniu transakcji zakończmy sesję poprzez wylogowanie i dopiero po wylogowaniu z systemu zamknijmy przeglądarkę.

Przeczytaj także: Sezon zimowy, czyli pora na ataki phishingowe