20/09/2020
Czym jest phishing?
Phishing (spoofing) – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej).
O co nigdy nie zapyta Cię konsultant?
1. Hasło – nikt z pracowników PayU nie zapyta Cię o Twoje hasło – jest ono znane tylko Tobie.
2. Pełen numer karty płatniczej, kod bezpieczeństwa CVV2/CVC2 (trzy cyfry wydrukowane na odwrocie Twojej karty płatniczej), dodatkowe hasło wymagane dla niektórych kart w procesie weryfikacji tzw. 3D Secure.
Jak rozpoznać prawdziwą stronę logowania?
1. Strona otwierana jest zawsze w bezpiecznym połączeniu HTTPS.
2. Komunikacja między Twoim komputerem i PayU została zabezpieczona certyfikatem przypisanym do strony secure.payu.com, wydanym na MIH PAYU B.V.
3. Przed zalogowaniem sprawdź adres internetowy, z którym zostałeś połączony (poprawność domeny i certyfikatu). Wszelkie różnice mogą sugerować, że korzystasz z podstawionej/fałszywej strony internetowej.
4. Przestępcy często klonują witryny internetowe tak, aby po wejściu na przygotowaną przez nich stronę www, przeciętny użytkownik nie rozpoznał żadnych zmian i skorzystał z opcji logowania, udostępniając swoje dane. Pamiętaj, by zawsze przed logowaniem zwracać uwagę na adres strony widoczny w oknie przeglądarki, sprawdzać zakładki na stronie i upewnić się, czy strona tworzy spójną całość.
Jak rozpoznać czy wiadomość e-mail lub SMS nie są próbą oszustwa?
1. PayU nie wysyła do swoich użytkowników maili ani SMSów z prośbą o podanie żadnych poufnych danych.
2. PayU nie wysyła żadnych SMSów z linkami do płatności czy powiadomień odnośnie dopłaty
3. Jeśli dostałeś maila, który spełnia przynajmniej jedno z poniższych kryteriów, prawdopodobnie masz do czynienia z próbą wyłudzenia danych:
• w mailu zamieszczona jest prośba o wysłanie SMS na wskazany numer,
• mail zawiera prośbę o podanie loginu lub danych wrażliwych (data urodzenia, PESEL, nazwisko panieńskie matki, dane karty),
• mail zawiera błędy gramatyczne lub ortograficzne.
4. Wiadomości wysyłane przez PayU nigdy nie zawierają załączników z oprogramowaniem. (np. plików .exe). Jeśli otrzymasz e-mail, w którym będzie opisana instrukcja postępowania związana z Twoim kontem PayU, najlepszym sposobem postępowania jest otwarcie przeglądarki internetowej, ręczne wpisanie adresu www.payu.pl, przejście do okna logowania i dopiero wpisanie swoich danych. Następnie należy zweryfikować czynności opisane w wiadomości. Nie należy klikać w żaden odnośnik w wiadomości, który wymaga podania danych osobowych, lub nie wzbudza Twojego zaufania.
Jak zgłosić atak phishing?
Gdy otrzymasz fałszywą wiadomość e-mail:
1. Prześlij całą (najlepiej z nagłówkami, adresem nadawcy itp.) wiadomość na adres:
phishing@payu.com
2. Po zweryfikowaniu treści wiadomości oraz adresu, z którego została wysłana, odpowiemy Ci, czy wiadomość jest prawdziwa czy też nie. Pomoże to w ochronie innych użytkowników.
Czym jest kradzież tożsamości?
Do kradzieży tożsamości dochodzi w momencie, gdy ktoś bezprawnie wejdzie w posiadanie Twoich danych osobowych. Najczęściej kradzione dane to imię i nazwisko, adres zameldowania, PESEL czy numer karty kredytowej. Korzystając z cudzych danych internetowi oszuści mogą np. wyłudzać kredyty, czy też dokonywać zakupów przez internet.
Jak chronić swoją tożsamość?
• Dbaj o prywatność swoich danych – zarówno w Internecie, jak i poza nim
• Płać bezpiecznie – korzystaj z internetowego systemu płatności PayU
• Nigdy nie odpowiadaj na wiadomości e-mail zawierające prośbę o podanie Twoich prywatnych danych (np. dane do Twojego konta)
• Bądź czujny – regularnie sprawdzaj operacje na swoim koncie pod kątem podejrzanych operacji
• Nie zamykaj okna przeglądarki bez poprawnego wylogowania się ze stron transakcyjnych lub swojego konta internetowego.
Jak sprawić by Twoje hasło do Konta PayU było bezpieczne?
• Hasło powinno się składać z minimum 8 znaków
• Użyj kombinacji wielkich i małych liter, liczb i znaków specjalnych
• Nie używaj swojego imienia, nazwiska ani adresu e-mail
• Nie używaj sekwencji łatwych do odgadnięcia (np. 1234 lub qwerty)
Na co zwrócić uwagę podczas dokonywania płatności?
1. Certyfikat SSL – Twoja przeglądarka wyświetli informację, że korzystasz z bezpiecznego połączenia zaszyfrowanego certyfikatem, poznasz to także po tym, że adres internetowy rozpoczyna się od https://.
2. Jakość sklepu internetowego – nie kupuj w nieznanych sobie sklepach, o niejasnej przeszłości, niewzbudzających zaufania. Zwróć uwagę, czy sklep na swojej stronie internetowej podaje takie informacje, jak:
• dane kontaktowe sprzedawcy,
• regulamin (z uwzględnieniem zasad dokonywania zwrotów oraz zgłaszania reklamacji),
• telefon kontaktowy (zadzwoń i porozmawiaj chwilę o tym, co zamierzasz kupić – sprzedawca powinien dobrze znać towar, który sprzedaje),
• informacje o spełnianiu przez sklep i agenta rozliczeniowego standardu PCI DSS (bezpieczeństwa dla płatności kartą) i obsługiwaniu uwierzytelnienia 3DS – symbole PCI DSS oraz Verified by Visa i MasterCard SecureCode powinny być umieszczone na stronie.
Co to jest oszustwo nigeryjskie?
Oszustwo nigeryjskie lub nigeryjski szwindel (inaczej – afrykański szwindel, z ang. Nigerian scam, 419 scam – od artykułu w kodeksie karnym Nigerii, dotyczącym tego przestępstwa) proceder przestępczy – oszustwo, najczęściej zainicjowane kontaktem z ofiarą poprzez wykorzystanie poczty elektronicznej, polegające na wciągnięciu (dawniej przypadkowej, obecnie coraz częściej typowanej) ofiary w grę psychologiczną, której fabuła oparta jest na fikcyjnym transferze dużej (często przesadnie wygórowanej – nawet rzędu kilkunastu milionów funtów lub dolarów amerykańskich) kwoty pieniędzy z jednego z krajów afrykańskich (najczęściej Nigerii, choć obecnie może również chodzić o każdy inny kraj – coraz częściej w grę wchodzi Wielka Brytania, Hiszpania) – mającą na celu wyłudzenie pieniędzy.
E-maile z linkiem do faktury
Wiadomości mailowe, zawierające linki do “faktur”, które tak naprawdę okazują się złośliwym oprogramowaniem, to jedno z najstarszych oszustw phishingowych. Wysyłane są z różnych adresów e-mailowych. Oszuści podszywają się pod znane, działające w Polsce firmy – sklepy, kurierów czy firmy telekomunikacyjne. W wiadomościach proszą o kliknięcie w link, w celu pobrania faktury – co zwykle powoduje pobranie pliku, który zawiera zainfekowany wirusem lub złośliwym oprogramowaniem plik. Taki plik może wykradać dane do bankowości w trakcie logowania czy dokonywania transakcji online.
SMS-y z prośbą o dopłatę do przesyłki
Coraz częściej spotykaną formą oszustw phishingowych są prośby o dopłacenie pewnej kwoty za przesyłkę. W jednej wersji, użytkownicy dostają SMSa, w którym mowa o niewielkiej dopłacie do przesyłki, np. w wysokości 1 zł. W tym przypadku, link do płatności prowadzi do fałszywej strony pośrednika e-płatności. Osoba, która poda w takim miejscu poda dane do logowania do swojego banku, zostanie okradziona i może stracić swoje całe oszczędności.
Prawdziwa płatność w fałszywym sklepie
W przypadku tego oszustwa e-konsument robi zakupy w sklepie, który cieszy się dobrą opinią i w swoim asortymencie posiada produkty w wyjątkowo okazyjnych cenach. W momencie finalizacji zamówienia i chęci dokonania płatności przez PayU, użytkownik widzi na ekranie komunikat „Trwa przekierowywanie na stronę operatora płatności, prosimy o cierpliwość, przy dużej ilości zamówień, może to potrwać do kilku minut”. Następnie albo otrzymuje nowy link do płatności od konsultanta sklepu poprzez firmowy czat, albo po kilku minutach zostaje przekierowany bezpośrednio na poprawną stronę operatora płatności, co nie budzi wątpliwości co do bezpieczeństwa transakcji. Pewne dane niestety mogą się nie zgadzać, np. nazwa sklepu, w którym kupowany jest przedmiot, ani kwota do zapłacenia. W tym przypadku mechanizm opiera się na tym, że podczas oczekiwania na nowy link do płatności, oszust tworzy nowe zamówienie w innym, działającym legalnie sklepie, w którym dany operator obsługuje płatności. Użytkownik, który zostanie oszukany, dokona płatności na korzyść atakującego cyberprzestępcy.
Oszustwa na BLIK
To nowy rodzaj oszustwa przy płatnościach przez telefon komórkowy. Oszustwo polega na wyłudzeniu kodu do płatności przez telefon i w ten sposób okradzenia konta osoby oszukanej. Oszuści włamują się na konto na Facebooku, podszywają się pod znajomych i za pomocą komunikatora proszą osoby z listy znajomych o pożyczkę. Tłumaczą to często trudną, nagłą sytuacją, która wydaje się bardzo wiarygodna. Ofiara podaje kod, a następnie akceptuje płatność w aplikacji bankowej. Przypominamy, by nikomu nie udostępniać danych do kont bankowych.
Jak zabezpieczyć komputer?
Podstawą bezpiecznego korzystania z Internetu jest przede wszystkim posiadanie legalnego oprogramowania wraz ze wsparciem bezpieczeństwa. Wykonując transakcje płatnicze, warto pamiętać o korzystaniu z:
• programu antywirusowego
• zapory sieciowej (zwana firewall)
• aktualnego oprogramowania.
Program antywirusowy powinien zapewniać ochronę przed wirusami, trojanami i innymi programami działającymi na szkodę naszego komputera. Istnieje wiele źródeł potencjalnej infekcji, takich jak np. rozsyłanie poczty email z zainfekowanymi załącznikami czy pobranie zawirusowanego oprogramowania z Internetu. Programy antywirusowe, z definicji powinny chronić nas przed tego typu zagrożeniami. W celu zapewnienia najlepszej ochrony zalecamy stosowanie profesjonalnych programów antywirusowych, gdyż w odróżnieniu od darmowych wersji, komercyjne cechują się większą efektywnością ochrony jak i wsparciem. Wielu producentów daje możliwość przetestowania oprogramowania w okresie próbnym trwającym z reguły 30 dni. Jeśli nie masz programu antywirusowego lub podejrzewasz, że padłeś ofiarą ataku, zainstaluj jego próbną wersję już dziś! Pełną licencję możesz kupić w kolejnych dniach, np. na Allegro.
Zapora sieciowa chroni przed nieautoryzowanymi próbami dostępu do komputera. Wyobraźmy sobie sytuacje, że jesteśmy w popularnej restauracji typu fast food i serfujemy po sieci, przy użyciu udostępnianego przez nią darmowego Internetu. Bez odpowiedniego ustawienia zapory sieciowej, osoba trzecia może podjąć próbę połączenia się z naszym komputerem. Firewall powinien chronić nasze urządzenie przed nieuprawnionym dostępem. Rekomendujemy zakup firewall wraz z programem antywirusowym. Taka kombinacja daje dużą skuteczność ochrony a produkty takiego typu, często sprzedawane są pod szyldem „Internet Security”.
Aktualne oprogramowanie to podstawa bezpieczeństwa. Wiele osób myśli, że aby zapewnić ochronę wystarczy tylko aktualny system operacyjny. Niestety to za mało – aby zapewnić pełną ochronę powinniśmy również dokonywać cyklicznych aktualizacji zainstalowanych programów.
Jak zabezpieczyć telefon?
Android
Podstawowe kroki:
1. Pamiętaj o stałej aktualizacji systemu operacyjnego
2. Nie eskaluj uprawnień użytkownika do poziomu root na urządzeniu. (tzw. Rootowanie androida)
3. Nie instaluj na swoim urządzeniu aplikacji niewiadomego pochodzenia (third party app stores)
4. Włącz szyfrowanie urządzenia
5. Wyłącz „Opcje dla programistów”
6. Używaj aplikacji/usług (wbudowanych bądź dodatkowych), aby zapewnić funkcjonalność zdalnego niszczenia danych na urządzeniu
7. Włącz Menedżera urządzeń w Android (https://www.google.com/android/devicemanager)
8. Przed przekazaniem urządzenia do naprawy lub recyklingu usuń z niego wszystkie dane
Bezpieczeństwo uwierzytelnienia:
1. Ustaw kod PIN i automatyczne blokowanie urządzenia przy dłuższej bezczynności
2. Ustaw hasło alfanumeryczne
3. Ustaw limit czasu automatycznej blokady
4. Wyłącz „Widoczne hasło” (Make password visible)
5. Ustaw niszczenie danych po wpisaniu kilkukrotnie złego kodu dostępu (hasło alfanumeryczne lub PIN)
Bezpieczeństwo sieci
1. Wyłącz Bluetooth, jeśli go nie używasz
2. Wyłącz powiadomienia sieciowe (Network Notification)
3. Zapomnij sieci Wi-Fi, aby zapobiec automatycznemu połączeniu z siecią
W przypadku systemu Apple iOS
Opisana konfiguracja obejmuje iPhone 3GS i nowsze, wszystkie iPady i iPod Touch 3 generacji i nowsze – z systemem iOS 4 i wyżej. Niektóre ustawienia i opcje zabezpieczeń mogą nie być dostępne na starszych urządzeniach. Niektóre ustawienia wymagają iOS 8.
Profile konfiguracyjne
Profile konfiguracyjne można edytować i przeglądać ( https://support.apple.com/apple-configurator).
Firma Apple zapewnia również konfigurator (dostępny za pośrednictwem App Store https://apps.apple.com/pl/app/apple-configurator-2/id1037126344?mt=12), który może być używany do masowej konfiguracji i zarządzania dużą liczbą urządzeń iOS.
Podstawowe kroki:
1. Aktualizuj system operacyjny do najnowszej wersji
2. Nie eskaluj wyższych uprawnień w systemie urządzenia za pośrednictwem nieznanych aplikacji (Jailbreak)
3. Włącz automatyczne pobieranie aktualizacji aplikacji
4. Włącz funkcję zdalnego niszczenia danych
5. Włącz „Znajdź mój iPhone”
6. Szyfruj backupy urządzenia za pomocą aplikacji itunes
7. Przed przekazaniem urządzenia do naprawy lub recyklingu usuń z niego wszystkie dane
Bezpieczeństwo uwierzytelnienia:
1. Wymagaj podania PIN lub hasła
2. Włącz TouchID ze złożonym hasłem
3. Ustaw limit czasu automatycznej blokady
4. Wyłącz karencję blokady ekranu
5. Włącz kasowanie danych po wpisaniu kilkukrotnie złego kodu dostępu
6. Włącz ochronę danych (Data Protection)
Bezpieczeństwo przeglądarki:
1. Włącz ostrzeżenia o oszustwach w Safari (Fraud Warning)
2. Wyłącz autouzupełnianie poufnych informacji
3. Włącz blokowanie plików cookie stron trzecich
4. Włącz „przestań śledzić” (Do Not Track)
Bezpieczeństwo sieci:
1. Wyłącz „Zapytaj czy przyłączyć do sieci” (Ask to Join Networks)
2. Wyłącz AirDrop gdy nie jest używany
3. Wyłącz Bluetooth gdy nie jest używany
4. Wyłącz Osobisty Hotspot gdy nie jest używany
5. Zapomnij sieci Wi-Fi, aby zapobiec automatycznemu połączeniu z siecią
Pochodzenie oprogramowania
Zarówno w przypadku komputerów jak i urządzeń mobilnych, unikaj pobierania oprogramowania z niezaufanego źródła. Generuje to bowiem ryzyko infekcji Twojego sprzętu.
Nielegalne oprogramowanie to idealne środowisko dla szkodliwego oprogramowania. Z reguły aby uruchomić piracką wersję oprogramowania należy ściągnąć nakładkę na oprogramowanie czyli tak zwany Crack. Jest to idealny moment do infekcji twojego urządzenia, gdyż jaką korzyść ma osiągnąć autor crack’a? Zalecamy z korzystania tylko i wyłącznie oprogramowania z legalnego źródła.
W przypadku urządzeń mobilnych, należy instalować aplikacje tylko z oficjalnych źródeł jak Google Play czy iStore. Pozostałe przypadki oszustwa lub inne incydenty bezpieczeństwa związane z działalnością PayU prosimy zgłaszać na pomoc@payu.pl.