Biztonság

Biztonsági közlemény - Internet banking és mobil banking

Az utóbbi időben sajnos hazánkban is megjelentek, banki ügyfelek azonosító adatainak megszerezésére irányuló, ún. „adathalász” támadások.
Az Internet Banking és Mobil Banking szolgáltatásunkban a megbízások hitelesítése csak egyedi, egyetlen alkalommal és akkor is csak korlátozott ideig használható jelszó alkalmazásával lehetséges. Ezt a jelszót vagy SMS-ben küldjük ügyfelünk szerződésben rögzített mobiltelefonjára, vagy egy kódgeneráló eszköz, az úgynevezett token állítja elő.

Soha nem árt azonban az óvatosság, hiszen pénzügyekről van szó. Szeretnénk ezért a támadásokkal kapcsolatban alapvető információkkal szolgálni, hogy Ön továbbra is biztonságban bonyolíthassa pénzügyi műveleteit.

Legelőször is, fontosnak tartjuk felhívni a figyelmét, hogy bankunk soha semmilyen körülmények között nem fordul Ügyfeleihez e-mail-ben, SMS útján vagy telefonon keresztül személyes, illetve elektronikus adatainak megadása, egyeztetése vagy megváltoztatása céljából!
Nemcsak személyes adatait, hanem telefonszámát sem kérjük be online banki felületeinken. Ezért kérjük, ha ilyet tapasztal, ne adja meg az adatait!

Ha azt tapasztalja, hogy a belépési felületen karbantartásra, korszerűsítésre hivatkozó – esetlegesen magyartalan vagy nyelvtanilag hibás – üzenetben adategyeztetés vagy bármilyen más célból a hitelesítő kódot kérik Öntől, azt semmiképpen ne adja meg! Emellett, ha bármilyen, a szokásostól eltérő működést tapasztal, pl. a belépéskor többször is a belépési kód megadását kéri a rendszer, akkor kérjük, haladéktalanul lépjen ki a rendszerből, és az esetet azonnal jelezze kollégáinknak.

Bankunk az Ügyfelek mobiltelefonjára semmilyen alkalmazást, tanúsítványt, stb. nem küld, az aláíráshoz szükséges SMS kód és az SMS kezdeti bejelentkezési jelszó kivételével. Ha nem ezeket kapja meg, azt nem a bankunk küldte, ezért kérjük, törölje ki!

Kérjük, hogy minden esetben közvetlenül az UniCredit Bank http://www.unicreditbank.hu címen elérhető honlapján keresztül jelentkezzenek be Internet Banking rendszerünkbe! Nagyon fontos, hogy e-mailben kapott linken keresztül soha ne indítsák el az Internet Banking szolgáltatást.

Kérjük, amennyiben fentiekhez hasonló tárgyú e-mail-t, SMS-t vagy telefonhívást kapna, akkor arra semmilyen formában ne válaszoljon, ne kattintson a levélben szereplő internetes linkekre, és ne adja meg az Ön azonosításához szükséges információkat (felhasználónevét, jelszavát, SMS-ben kapott, vagy a token által generált kódját)!

Amennyiben bármilyen kétsége lenne, vagy segítségre van szüksége, kérjük, érdeklődjön az UniCredit Telefonbank 0-24 óráig elérhető ügyfélszolgálatán, a +36 1 325 3200 –es helyi tarifával hívható telefonszámon!

A továbbiakban kérjük, engedje meg, hogy röviden bemutassuk a megtévesztő, az Ön adatainak megszerzésére irányuló tevékenységek hátterét.

• A látszólagosan a bankoktól érkező elektronikus levelek, sms-ek célja csalás, károkozás. Ezen levelek küldőinek szándéka az, hogy az ügyfelek személyes adatait, illetve elektronikus azonosító adatait (pl. Internet Banking azonosító, Telefonbank azonosító, bankkártya PIN-kód, jelszavak, stb.) megszerezzék, majd ezt követően a bankszámla adatokkal visszaélve a számlán lévő összegeket megszerezzék.
• A levelek nyelvezete gyakran nehezen értelmezhető banki, informatikai szakzsargont használ, és sokszor fenyegető következményekkel ijesztgetnek arra az esetre, ha a levélben foglalt kérést nem teljesítik.
• Ezek a levelek ugyancsak gyakran belső informatikai problémára, adatbázis-sérülésre, biztonsági problémára, csalás megelőzésére, nem létező törvényi kötelezettségekre (hazai vagy EU jogszabályokra), illetve adategyeztetésre hivatkoznak.
• A levélben mindig szerepel egy vagy több internetes hivatkozás (un. „url” vagy „link”), amin keresztül a csalók a címzettet látszólag a bank internetes oldalára, de valójában a saját, hamisított, a bankihoz megtévesztésig hasonló oldalukra juttatják, ahol különféle űrlapokon, adatbeviteli mezőkön keresztül összegyűjtik az ügyfélazonosításhoz szükséges adatokat.

 Végezetül engedje meg, hogy néhány általános tanácsot is adjunk, amelyek a nem adathalász, hanem más típusú támadások kivédésében is bizonnyal hasznára lesznek.

• Használjon szakszerűen telepített és beállított, jogtiszta operációs rendszert és szoftvereket, amelyekhez rendszeresen letölti és telepíti a legfrissebb hibajavításokat, javító csomagokat.
• Használjon tűzfal szoftvert, valamint rendszeresen frissített antivírus és kémprogramirtó szoftvert, és legalább havonta futtasson le velük egy teljes rendszervizsgálatot. (Ezekből a programokból lehetőleg próbaváltozatot ne, csak teljes verziót használjon, mert ezekhez jár csak a legújabb frissítés és támogatás)!
• Személyes adatait lehetőleg ne, vagy ha szükséges, akkor is csak titkosított formában tárolja a számítógépén!
• Rendszeresen törölje az internethasználat során keletkező ideiglenes fájlokat (különösen nyilvános helyeken, pl. internetkávézóban), illetve állítsa be böngészőjét ezek automatikus törlésére, tárolásuk tiltására!
• Azon weboldalakat, ahol azonosító adatok megadása szükséges (pl. banki oldalak) csak azok címének billentyűzeten történő begépelésével érje el, ne a tárolt linkeken keresztül (vagy a fent említett levelekben kapott címeken keresztül)!
• Internetes jelszavai ne legyenek könnyen kitalálhatók, és időközönként cserélje le őket! Használjon számokat vagy különleges karaktereket is a jelszavában!
• Győződjön meg róla, hogy az internet böngésző címsorában az alábbi cím szerepel: https://extra.unicreditbank.hu/.... szerepel!
• Érzékeny információkat csak akkor adjon meg az interneten, ha biztonságos, titkosított kapcsolattal jelentkezett fel a kívánt weboldalra! Erről úgy győződhet meg, ha az oldal címsora https-sel kezdődik, és a weboldal alján megjelenik egy lezárt lakat képe, például:

• A böngésző státuszsorában található "biztonsági kulcs / lezárt lakat"  ikonra való kettős kattintással lehet ellenőrizni a digitális igazolvány adattartalmát. Ellenőrizze, hogy a tanúsítvány a Bank nevére szól-e és érvényes-e.
• Számítógépét bekapcsolva ne hagyja őrizetlenül, és a használat felfüggesztésekor vagy befejezésekor lépjen ki az éppen látogatott weboldalról, vagy a használt programból, esetleg zárolja a képernyőt!
• Kétség vagy gyanú esetén érdeklődjön a megkereséssel kapcsolatban az UniCredit Telefonbank 0-24 óráig elérhető ügyfélszolgálatán, a 06-40/50-40-50 –es helyi tarifával hívható telefonszámon!
• Végezetül, de nem utolsó sorban szeretnénk a téma iránt fogékonyabb ügyfeleink figyelmébe ajánlani - a teljesség igénye nélkül - néhány a témával részletesebben foglalkozó internetes oldalt, ahol további hasznos információkra lelhet:
  • http://index.hu/tech/biztonsag/phsh061207/
  • http://www.antiphishing.org/

Az Internet Banking és Mobil Banking rendszer biztonságos működését a "Technikai feltételek" menüpontban megjelölt böngészőprogramok által alkalmazott, szabványos, ún. SSL biztonsági réteg biztosítja.

Az SSL feladata, hogy létrehozzon egy titkosított, biztonságos kapcsolati csatornát, amelyen a Felhasználó és a Bank közötti kommunikáció - nagy biztonság mellett - folyhat. Gyakorlatilag ez azt jelenti, hogy csak a két végpont - vagyis a Bank és a Felhasználó - képes a küldött, illetve a fogadott titkosított adatokat elolvasni, feldolgozni.

A SpectraNet Internet Banking program elindításakor a böngészőprogramon az SSL engedélyezésére vonatkozó képernyő jelenik meg. Kérjük, engedélyezze azt!

A böngésző státuszsorában található "biztonsági kulcs / lezárt lakat" ikonra való kettős kattintással lehet ellenőrizni a digitális igazolvány adattartalmát, melynek a következőnek kell lennie:

A tanúsítvány igazolja, hogy az adatok a Bank biztonsági web szerveréről érkeznek. Ha nem a fenti tartalommal jelenik meg a tanúsítvány, kérjük, szakítsa meg a kapcsolatot.

A SpectraNet Internet Banking rendszerbe történő bejelentkezés, ill. a megbízások aláírása (hitelesítése) - mind a SpectraNet Plusz, mind a SpectraNet Light szolgáltatási csomag esetén - csak az alábbi két módszer valamelyikével történhet:

• SMS: A megbízások hitelesítéséhez a Bank egyedi jelszót küld SMS-ben, a Felhasználó szerződésben meghatározott mobiltelefonszámára, míg a rendszerbe való belépés a Felhasználói azonosító és egy (a bejelentkezés után a Felhasználó által bármikor módosítható) normál jelszó segítségével történik.

• Token: A Felhasználó az Internet Banking, ill. Mobil Banking rendszerbe való belépéshez, illetve a megbízások hitelesítéséhez szükséges jelszót egy Token segítségével állítja elő.
  
  A token egy kódgenerátor, amely egy - a használat időpontjától és a token sorozatszámától függő - egyszer felhasználható (kb. 30 másodpercig érvényes) kódot szolgáltat.
  
  A Token használatának előfeltétele, hogy a Felhasználó ismerje a Tokenhez tartozó PIN-kódot.
  
  A Tokenről, illetve annak használatáról a Token fejezetben részletes információt találhat.

A megbízások hitelesítéséhez a Bank egyedi jelszót küld SMS-ben, a Felhasználó szerződésben meghatározott mobiltelefonszámára, míg a rendszerbe való belépés a Felhasználói azonosító és egy (a bejelentkezés után a Felhasználó által bármikor módosítható) normál jelszó segítségével történik.

A Felhasználó az Internet Banking, ill. Mobil Banking rendszerbe való belépéshez, illetve a megbízások hitelesítéséhez szükséges jelszót egy Token segítségével állítja elő.

A token egy kódgenerátor, amely egy - a használat időpontjától és a token sorozatszámától függő - egyszer felhasználható (kb. 30 másodpercig érvényes) kódot szolgáltat.

A Token használatának előfeltétele, hogy a Felhasználó ismerje a Tokenhez tartozó PIN-kódot.

A Tokenről, illetve annak használatáról a Token fejezetben részletes információt találhat.

Amennyiben háromszor egymást követően nem az adott Felhasználói azonosítónak megfelelő jelszóval próbáltak bejelentkezni a SpectraNet Internet Banking vagy Mobil Banking rendszerbe, illetve amennyiben háromszor egymást követően nem az adott Felhasználói azonosítónak megfelelő jelszóval próbálták a megbízást hitelesíteni, az adott Felhasználói azonosító automatikusan kitiltásra kerül a rendszerből, illetve az aláírási lehetősége blokkolásra kerül.

A kitiltás, illetve aláírás-blokkolás feloldására csak a Bank munkatársainak segítségével van lehetőség (melyet személyesen a bankfiókokban, vagy az UniCredit Telefonbankon keresztül - azonosítást követően - lehet kezdeményezni).

Amennyiben a Felhasználó V-5.10-01 vagy ennél magasabb verziószámú telepített Spectra, illetve Spectra Light ügyfélprogramhoz s rendelkezik hozzáféréssel, akkor a SpectraNet Internet Banking vagy Mobil Banking rendszeren keresztüli kitiltás, illetve aláírás-blokkolás a telepített ügyfélprogramon is érvényre jut. (Ugyanez fordítva is igaz.)

A Token automatikusan blokkolásra kerül, ha háromszor egymást követően hibás PIN-kóddal kísérelték meg a Tokent bekapcsolni. A blokkolás feloldására csak a Bank munkatársainak segítségével van lehetőség (melyet személyesen a bankfiókokban, vagy az UniCredit Telefonbankon keresztül - azonosítást követően - lehet kezdeményezni).

Lehetőség van tranzakciós limit megadására, mely azt a legnagyobb összeget jelenti, melyről a Felhasználó egy adott számlára vonatkozó közvetlen terheléssel járó tranzakció (kivéve a betétlekötési megbízásokat) keretében rendelkezhet.

A napi limit értékét a SpectraNet Internet Banking és Mobil Banking rendszer számlánként vizsgálja és az minden, egy adott számlára vonatkozó közvetlen terheléssel járó tranzakcióra vonatkozik, kivéve a betétlekötési megbízásokat.
A napi limitet a megbízás Bankba küldésekor vizsgálja a rendszer és ennek megfelelően a beküldés napján csökkenti a megbízás összegével a Felhasználó adott számlára vonatkozó napi limit összegét.

Amennyiben a Felhasználónak egy számlára vonatkozóan Internet Banking és Mobil Banking hozzáférése is van, akkor a Mapi limit számításába mindkét szolgáltatáson keresztül küldött megbízás beleszámít.

Amennyiben a Felhasználó percekig nem használja a SpectraNet Internet Banking, illetve Mobil Banking rendszert, automatikusan kiléptetésre kerül. Ezzel is megakadályozva az illetéktelen személyek hozzáférését.
Az újbóli belépés csak a Felhasználói azonosító és a Jelszó ismételt megadásával lehetséges.

A biztonságos használat érdekében kérjük, hogy az alábbi óvintézkedéseket tegye meg:

• Biztonsági okokból, ill. a rosszhiszemű kitiltások elkerülése végett, ajánlatos olyan Felhasználói azonosítót választani, ami nem következtethető ki könnyedén a Felhasználó személyének, környezetének ismeretében.
• Tartsa titokban a Felhasználó azonosítóját és a bejelentkezési Jelszavát, illetve a Tokenhez tartozó PIN-kódot (amennyiben szükségesnek tartja feljegyezni azokat, azt mindenképpen titkosítva tegye, azokat egymástól, illetve a Tokentől elkülönítve tárolja)!
• A Tokent, illetve a mobiltelefonját tárolja biztonságos helyen úgy, hogy ahhoz illetéktelen személyek ne férjenek hozzá!
• Ellenőrizze, hogy a Felhasználói azonosító és a Jelszó, illetve a PIN-kód használatakor senki se figyelje! Amennyiben felmerül a gyanúja, hogy illetéktelen személy tudomására jutott a bejelentkezési Jelszó, illetve a Token használatához szükséges PIN-kód, azt azonnal változtassa meg! (Javasolt a Jelszó, illetve a PIN-kód bizonyos időközönkénti megváltoztatása.)
• Ha a mobiltelefonja, ill. a Token kikerült birtokából, azt azonnal jelezze a Bank felé (UniCredit Telefonbank: 06-40/50-40-50), és kezdeményezze az adott Token blokkolását, esetleg a Tokenhez rendelt Felhasználó(k) rendszerből való kitiltását!
• A lebonyolított számlaforgalmat folyamatosan figyelje és a számlakivonaton ellenőrizze! Ha észlelte, hogy a számlakivonaton, illetve a számlatörténetben jogosulatlan műveletet tűntettek fel, azt haladéktalanul jelezze a Bank felé, és kezdeményezze a számláihoz való SpectraNet Internet Banking, ill. Mobil Banking hozzáférés letiltását!
• Az SSL pontban leírtak szerint ellenőrizze, hogy a tanúsítvány a megfelelő tartalommal jelenik-e meg! Ha nem, kérjük szakítsa meg a kapcsolatot!
• Amennyiben már nem használja a SpectraNet Internet Banking, illetve Mobil Banking rendszert, akkor a "Kijelentkezés" gombra való kattintással lépjen ki a rendszerből, ezzel megakadályozva, hogy illetéktelen személyek hozzáférhessenek számláihoz!
• Folyamatosan ellenőrizze, hogy számítógépe nem vírusos-e!
• Javasoljuk, hogy a SpectraNet Internet Banking, illetve Mobil Banking használata során ne tartson nyitva más böngésző ablakot, illetve ne futtasson más programot.