Varnost na spletu

Pripravili smo nekaj napotkov

Varnost na prvem mestu

Nasveti za varno elektronsko poslovanje.

Spoznajte pasti

Nevarnosti, ki na vas pretijo pri spletnem poslovanju.

Strokovni izrazi

Slovarček splošnih pojmov, povezanih z varnostjo na spletu.

Kako sami poskrbimo za varnost?

Zelo pomembno je, da se zavedate, da so zlorabe na spletu možne, da poznate nevarnosti, ki prežijo na vas pri e-poslovanju, predvsem pa, da se znate pred njimi zaščititi z upoštevanjem pravil varovanja.

Če posumite ali zaznate, da se na vašem računalniku dogajajo neobičajne stvari, ki bi lahko bile povezane s prevaro, prenehajte z njegovo uporabo in se o tem posvetujte z računalniškim serviserjem. Če pa kaj neobičajnega opazite šele med uporabo spletne banke, takoj prekinite komunikacijo in zaprite brskalnik ter nas o tem obvestite na e-pošto: info@intesasanpaolobank.si ali nas nemudoma pokličite na: 080 13 18.

Več o varni uporabi spleta si preberite na naši spletni strani. Bolj obširno pa se o tej tematiki lahko poučite v sklopu projekta Varni na internetu, ki ga izvaja nacionalni odzivni center za kibernetsko varnost SI-CERT.

Nasvet: po končani uporabi vaše spletne banke vedno uporabite gumb odjava, ker le tako lahko zagotovite varno zaprtje spletne banke.

Direktiva o plačilnih storitvah

Zaradi uporabe novih tehnologij, ki omogočajo sodobne načine plačil, je v zadnjih letih prišlo do izjemne rasti spletnih in mobilnih plačil. Septembra 2019 so v državah Evropske unije začeli veljati posodobljeni tehnični standardi, ki zagotavljajo varnejše plačilne storitve. Ena od najpomembnejših novosti, ki jo prinaša nova zakonodaja, je zato prav zagotavljanje povečane varnosti spletnih plačil.

Direktiva o plačilnih storitvah na notranjem trgu (PSD2), ki stopi v veljavo 14. 9. 2019, zahteva večjo varnost in boljšo zaščito potrošnikov pred goljufijami, možnimi zlorabami in drugimi incidenti (predvsem pri elektronskih plačilih). Direktiva spodbuja enoten in učinkovit vseevropski trg plačil ter inovacije in konkurenco na trgu.

Direktiva PSD2 določa tehnične standarde, ki pri elektronskih plačilih omogočajo varno avtentikacijo uporabnika in posledično zmanjšanje tveganja goljufij. Tehnični standardi se nanašajo na dostopanje do plačilnih računov uporabnikov prek spleta (na primer spletne ali mobilne banke), izvajanje elektronskih plačil oziroma na opravljanje kakršne koli dejavnosti prek kanala na daljavo (na primer brezstična plačila).

Skladno z novimi tehničnimi standardi morata biti za varno avtentikacijo potrošnika izpolnjena vsaj dva od treh elementov:

Kategorija znanja: nekaj kar potrošnik ve (npr. PIN koda, geslo).
Kategorija lastništva: nekaj kar potrošnik poseduje (npr. kartice, naprave).
Kategorija inherence: nekaj, kar je del potrošnika (npr. prstni odtisi, prepoznava glasu).

V Intesi Sanpaolo Bank smo že do zdaj za avtentikacijo uporabljali vse tri navedene elemente, zato uporabniki s 14. 9. 2019 ne boste zaznali sprememb pri uporabi storitev.

Za lažje razumevanje, kakšne novosti pri plačilih prinaša Direktiva o plačilnih storitvah PSD2, si oglejte video, ki ga je pripravilo Združenje bank Slovenije.

Slovarček pojmov

Slovenski izraz	Angleški izraz	Pomen
ActiveX	ActiveX	Z oznako največkrat povezujemo dodatne komponente za brskalnik Internet Explorer. Namenjene so razširjanju funkcionalnosti brskalnika, žal pa se jih največkrat izkorišča v zle namene. Namestitev komponent se opravi na spletni strani in jo mora uporabnik potrditi.
Java aplet	Java applet	Spletni program, ki se izvaja na spletni strani in ponuja dodatno funkcionalnost, ki jo sam brskalnik ni sposoben izvajati.
Piškotek	Cookie	Majhna tekstovna datoteka, ki jo shrani brskalnik na zahtevo spletne strani. Namenjen je shranjevanju uporabnikovih nastavitev, največkrat pa se uporablja za beleženje navad, vohunjenje in posredovanje podatkov tretjim osebam.
PIN	PIN	Osebna identifikacijska številka. Skrivni niz znakov, namenjen identifikaciji uporabnika v različnih sistemih (bankomati, operacijski sistemi, spletne aplikacije …).
IP naslov	IP address	Številka, ločena s pikami, ki enoznačno označuje vsak računalnik, povezan v splet (npr. 193.189.160.248). Na podlagi te številke lahko vsak pridobi približno geolokacijo uporabnika spleta in druge podatke, ki se lahko uporabljajo za vdor in drugo vohunjenje.
Kvalificirano digitalno potrdilo	Qualified digital certificate	Potrdilo, ki izpolnjuje zahteve iz Zakona o elektronskem poslovanju in elektronskem podpisu ter omogoča ugotovitev identitete imetnika potrdila in overitelja, ki deluje v skladu z zahtevami tega zakona.
Overitelj	Certifier	Fizična ali pravna oseba, ki izdaja digitalna potrdila ali opravlja druge storitve v zvezi z overjanjem ali elektronskimi podpisi.
Požarni zid	Firewall	Programska oprema, ki ločuje javno podatkovno omrežje, kot je splet, od zasebnega podatkovnega omrežja. Omogoča nadzor dostopa do storitev javnega omrežja in uporabnike javnega omrežja varuje pred vdori v njihov sistem.
SSL- varna povezava	SSL secure connection	Kratica za »Secure Socket Layer«; protokol za varno komunikacijo po spletu. Spletne strani, ki uporabljajo SSL, imajo v naslovu navedeno vrsto protokola »https://« namesto »http://«.
Posodobitev/Popravek	Update/Patch	Popravek, ki ga izda izdelovalec programske opreme; po navadi v obliki namestitvene datoteke. Odpravlja napake v funkcionalnosti in morebitne varnostne luknje.
Pametna kartica	Smart card	Kartica z vdelanim integriranim vezjem za hranjenje informacij. Pametne kartice so podobne kreditnim, vendar imajo lahko poleg pomnilnika tudi mikroprocesor in omogočajo večji nabor sodobnejših storitev.

1. pravilo

Namestite si dodatno zaščitno programsko opremo in varnostne nastavitve

Operacijski sistem naprav ne zagotavlja vseh varnostnih orodij, zato si je treba namestiti dodatno zaščitno programsko opremo. Eno od takih orodij je protivirusni program, ki ščiti napravo pred virusi , trojanskimi konji in črvi.
V kakovostni varnostni programski opremi ne sme manjkati požarni zid (ang. »Firewall«), ta ves čas nadzira vse vhodne in izhodne informacije na vaši napravi ter dovoli samo znane in avtorizirane povezave.
Poskrbite, da napravo nastavite tako, da:
- Za prijavo na napravo ne uporabljate administratorskih uporabniških računov. Ta račun je potreben zgolj za prvo namestitev željene programske opreme, pri vsakodnevni uporabi naprave pa le ta ni potreben. Na tak način boste zlonamerni programski opremi otežili delo.
- Ne odstranjujete varnostnih nastavitevna napravi. Na določenih napravah, kot so tablice in telefoni, je vzpostavljena zaščita na nivoju operacijskega sistema, ki posamezne aplikacije dodatno zaščiti. Brez te zaščite so naprave bolj ranljive na zlonamerne aktivnosti, ki lahko povzročijo krajo osebnih podatkov in posledično finančno škodo. V ta namen nikoli ne dostopati do mobilnih ali spletnih bančnih storitev z naprav, na katerih je bila ta zaščita odstranjena (naprava je bila t.i. »ROOT«-ana ali »Jail Breaka«-na).
- Zagotovite zaščito pred nepooblaščenim dostopom. Na napravah priporočamo vzpostavitev gesla, ki je daljše od 16 znakov (računalniki) in katerega se menja vsaj vsakih 90 dni. Na mobilnih telefonih in tablicah obstajajo različne rešitve kot so PIN, »grafično geslo«, geslo, biometrične metode, … Priporočamo uporabo vsaj enega od naštetih načinov.
Zaščitite podatke na mobilnih napravah. Na sodobnejših mobilnih napravah se ta zaščita omogoči že ob sami nastavitvi, ko se vnese eno od načinov zaščite pred nepooblaščenim dostopom in odtujitvijo osebnih podatkov (geslo, PIN, prstni odtis …). Pri starejših mobilnih napravah je treba tovrstno zaščito omogočiti in nastaviti ločeno.

Ne razkrivajte gesel, PIN-ov in drugih sredstev za dostop do vaših naprav drugim osebam!

2. pravilo

Uporabljajte posodobljeno programsko opremo iz zaupanja vrednih virov

Poskrbite, da bo vaša programska oprema na napravah posodobljena in da bodo nameščeni vsi varnostni popravki. Pri tem mislimo predvsem na operacijski sistem, protivirusni program in aplikacije s katerimi dostopate do mobilne in spletne bančne storitve (aplikacije in spletni brskalniki). Vsaka varnostna ranljivost povečuje ranljivost naprave in povečuje možnost okužbe oz. zlorabe.
Najpogostejše napake, ki jih storijo uporabniki:

Ignoriranje sporočil o novih varnostnih popravkih in izklopljeno avtomatsko preverjanje posodobitev.
Novejša programska oprema ima vgrajeno avtomatsko preverjanje posodobitev. Poskrbite, da je preverjanje vključeno in ob opozorilu, da je na voljo nova posodobitev (za operacijski sistem, aplikacije, brskalniki …) takoj opravite namestitev.
Zastarele definicije protivirusnih programov: Sama namestitev protivirusnega programa ni dovolj. Vsak dan se pojavijo nove oblike zlonamerne programske opreme, zato je pomembno, da jih lahko vaš protivirusni program tudi zazna. Večina programov sama skrbi za posodabljanje, vseeno pa je treba redno preverjati, ali protivirusni program uporablja najnovejše definicije.

3. pravilo

Preverjajte ali se podatki prenašajo po varni povezavi

Vsako pošiljanje podatkov po nezavarovani spletni povezavi lahko prestreže in pregleduje tretja oseba.

V spletnih in mobilnih bančnih storitvah se podatki pred vsakim pošiljanjem zaščiteni in tako onemogočajo nepooblaščeno prestrezanje. Kljub temu morate paziti, da PIN, gesla in druge občutljive podatke vnašate samo takrat, ko ste na varnih spletnih straneh in uporabljate varno povezavo.

Varno povezavo uporabljate takrat, ko preko spletnih brskalnikov spletni naslov (URL) začne z »https://« in je v naslovni vrstici zelen trak, ki označuje, da je spletni naslov vreden zaupanja.

Če ni tako, obstaja sum, da ste na lažni spletni strani, ki poskuša pridobiti vaše zaupne podatke. V tem primeru z delom ne smete nadaljevati. Takoj zaprite brskalnik!

Za vso komunikacijo in korespondenco z banko priporočamo, da uporabljate funkcionalnosti, ki so na razpolago v sami spletni in mobilni storitvi.

Priporočamo, da prejemanje bančnih izpiskov in drugih bančnih obvestil uredite v sklopu funkcionalnosti, ki so vpeljane v sklopu rešitev mobilnih in spletnih bančnih storitev.

4. pravilo

Prepričajte se s kom elektronsko komunicirate

Vešč napadalec lahko dokaj enostavno ponaredi elektronsko sporočilo ali izdela celotno lažno spletno stran, ki bo na pogled prav taka kot je prava. Zato redno preverjajte, da prek spletnih brskalnikov dostopate do spletnega naslova »https://www.bankain.si« in je v naslovni vrstici zelen trak, ki označuje, da je spletni naslov zaupanja vreden. Vsako najmanjše odstopanje od pravega naslova lahko pomeni, da ste na lažni spletni strani.

Zaupne podatke vpisujte samo takrat, ko ste prepričani kdo jih prejema oz. vam je poznan namen uporabe. Bodite pozorni na vsak odklon od običajne uporabe, kot je npr. zahteva za vnos gesla PIN takrat, ko tega ne pričakujete.

Eden izmed sodobnejših načinov nepooblaščenega pridobivanja zaupnih podatkov se imenuje »ribarjenje«. Ta najpogosteje poteka tako, da uporabnik prejme lažno elektronsko sporočilo, v katerem ga spletna banka prosi za obisk določene strani in vnos podatkov (npr. gesla PIN), pod pretvezo da gre za spremembo v poslovanju ali nekakšno obliko vzdrževanja. Ker je lažna spletna stran vizualno podobna ali kopija prave, uporabnik ne posumi, da je dejansko na ponarejeni strani. Nevarnost lahko odkrijemo in se ji izognemo tako, da se držimo zgornjih priporočil.

Kljub uporabi protivirusnega programa se izogibajte odpiranju priponk elektronske pošte, če vam pošiljatelj ni poznan. Prav tako se izogibajte obiskovanju sumljivih (predvsem strani z vsebino za odrasle) spletnih strani in ne odgovarjajte pritrdilno na morebitna vprašanja (npr. za namestitev dodatne programske opreme), če vam vsebina ni poznana. Običajno se prek take korespondence širi zlonamerna programska oprema, ki lahko povzroči nepooblaščen dostop do spletnih ali mobilnih bančnih storitev in nepooblaščen dostop do vaših osebnih podatkov, ki so shranjeni na vaših napravah.

5. pravilo

Skrbno ravnajte z zaupnimi in osebnimi podatki in mediji za shranjevanje ter dostop

Nikoli ne posredujte ali prepustite svojih zaupnih in osebnih podatkov za pristop do bančnih spletnih in mobilnih storitev tretjim osebam in poskrbite, da nepooblaščena oseba nima dostopa do vašega digitalnega potrdila in zasebnega ključa ali osebnega gesla.

Skrbno ravnajte z nosilci podatkov, ne puščajte pametne kartice v čitalcu, generator gesel (PIN) ali druge medije v dosegu nepooblaščenih oseb.

Poskrbite, da tretja oseba, do teh medijev in gesel ne more priti.

Pametno kartico za dostop do spletnih bančnih storitev vstavite v čitalnik/računalnik samo ob vstopu v spletno bančno storitev. Takoj po zaključku dostopa do spletnih bančnih storitev pametno kartico odstranite iz računalnika in čitalca. Tako boste preprečili vzpostavitev neželene komunikacije.

Hrambi pametne kartice za dostop do spletne bančne storitve, naprav in generatorja gesel namenite posebno pozornost, da ne bi prišlo do odtujitve.

Če posumite, da je bilo vaše digitalno potrdilo zlorabljeno, oz. če ste ga izgubili, o tem nemudoma obvestite overitelja, ki je digitalno potrdilo izdal, in svojo banko, ki bosta potrdilo ter uporabo spletnih in mobilnih storitev onemogočila. Dostop do mobilnih bančnih storitev lahko onemogočite tudi sami v nastavitvah Banke IN.

V teh primerih banko takoj obvestite na:

Telefonsko številko: 080 13 18
Elektronski naslov: info@intesasanpaolobank.si

Poskrbite, da bo vaša naprava zaklenjena vedno, ko ne boste ob njej oz. ni v uporabi.

6. pravilo

Uporabljajte samo programsko opremo iz zanesljivih virov

Ne nalagajte programov s spleta, če niste prepričani, da sta prenos in delovanje varna ter verodostojnost izvora oz. pošiljatelja neoporečna. Pri postopkih prenašanja s spleta obstaja tveganje, da boste hkrati s programsko opremo prenesli tudi virus, trojanskega konja ali celo skriti spletni naslov.

Programsko opremo in njene popravke na naprave nameščajte izključno iz zaupanja vrednih virov, kot so uradne mobilna prodajna mesta proizvajalcev, kot so Google Play ali App Store in uradne spletne strani proizvajalcev programske opreme kot na primer Microsoft ipd.

Še posebej se izogibajte prenašanju in nameščanju nelicenčne programske opreme na naprave, prek programov za izmenjevanje datotek (npr. eMule, torrent).

7. pravilo

Redno izvajajte varnostne postopke in preglede

Preden se povežete s spletno banko, aktivirajte protivirusni program in požarno pregrado ter nastavite funkcionalnosti, ki varujejo vaš računalnik pred nepooblaščenim dostopom (npr. geslo za vaše uporabniško ime za vstop v operacijski sistem).

Sodobni spletni brskalniki omogočajo obnovitev seje, čeprav ste zavihek ali celoten brskalnik zaprli. Zato je zelo pomembno, da se po končanem delu v spletnih in mobilnih bančnih storitvah odjavite. Le tako bodo opravljeni vsi postopki varne zaključitve vašega dela in ponoven vstop brez varnostne prijave ne bo več mogoč.

Po končani odjavi zaprite brskalnik.

Ne uporabljate storitve spletnega bančništva na računalnikih na javnih mestih (npr. spletne kavarne, fakultete …), saj morda ne zadoščajo minimalnim standardom za varno spletno poslovanje. Obstaja tudi možnost, da so taki računalniki prirejeni za vohunjenje in beleženje podatkov.

8. pravilo

Vzdrževanje računalniške opreme in ostalih naprav

V primeru okvar naprav se za pomoč obrnite na preverjene in usposobljene servisne službe.

Ko naprave, s katerimi dostopate do spletnih in/ali mobilnih storitev predate na servis, iz nje odstranite vse podatke in aplikacije, s katerimi dostopate do spletnih in mobilnih bančnih storitev.

Po odpravi okvare in prevzemu računalniške opreme lahko zaupne in osebne podatke ponovno namestite na svoj računalnik.

9. pravilo

Redno preverjajte stanje na svojem bančnem računu

Sprotno in dosledno preverjajte stanje in transakcije na svojem bančnem računu, s čimer lahko pripomorete k hitremu odkrivanju morebitnih neskladij.

V spletnih in mobilnih bančnih storitvah omogočite funkcionalnost prejemanja obvestil o dostopih in vnosih plačilnih nalogov.

O vseh neskladjih ali odstopanjih na svojem računu nas takoj obvestite na:

Telefonsko številko: 080 13 18
Elektronski naslov: info@intesasanpaolobank.si