Banca Națională a României (BNR) lansează un avertisment cu privire la fraudee ce se bazează pe phishing și face u napel către consumatori să nu divulge codul PIN și alte date ale cardului.

BNR, apel către populație

BNR amintește că a emis în decembrie 2021 un comunicat prin care a avertizat utilizatorii serviciilor de plată cu privire la fraudele ce se bazează pe inginerii sociale (phishing) și la necesitatea păstrării în condiții de siguranță a elementelor de securitate aferente instrumentelor de plată.

În acest context, BNR atrage din nou atenția utilizatorilor de servicii de plată asupra faptului că elementele de securitate personalizate aferente instrumentelor de plată (datele cardului, codul PIN, codul CVV/CVC, codurile de activare ale aplicațiilor de internet/mobile banking, parolele statice sau dinamice, codurile de înrolare ale cardurilor în aplicații de tip portofel electronic) reprezintă informații care, potrivit legii, trebuie păstrate în condiții de siguranță.

Phishing-ul este denumirea generică a unui tip de înșelătorie întâlnită în mediul online. Caracterizat prin manipularea victimelor de către atacatori care trimit mesaje-capcană prin diferite canale de comunicare. Poate fi email sau SMS. Ele par a proveni de la o entitate legitimă. Ex: bancă, poștă, firmă de curierat, o autoritate a statului etc. Sub diverse pretexte, conving victimele să divulge date personale sensibile.

Odată cu digitalizarea accelerată a industriei bancare, atacurile de tip phishing în acest domeniu s-au înmulțit îngrijorător, fiind afectate în special instrumentele de plată electronică, respectiv cardurile și aplicațiile de internet/mobile banking.

Cel mai frecvent atac de phishing

În continuare este prezentat cel mai frecvent întâlnit atac de phishing, cunoscut în terminologia de specialitate și sub denumirea de „fraudă prin manipularea plătitorului”.

Reguli și recomandări adresate utilizatorilor de instrumente de plată electronică:

BNR

Nu dați curs solicitărilor primite prin email sau SMS. Cele prin care vi se cere actualizarea datelor personale, prin accesarea unui anumit link. Băncile nu solicită clienților să transmită sau să li se confirme elementele de securitate personalizate ale instrumentelor de plată pe email sau SMS!

Nu luați în seamă SMS-urile

Nici nu fac actualizarea datelor personale ale clienților prin intermediul unor astfel de canale. Orice email care pare să provină de la banca dumneavoastră, prin care vi se solicită să întreprindeți de urgență o anumită acțiune (de obicei, în astfel de mesaje apare sintagma „foarte important/urgent”) și care implică transmiterea unor informații sensibile legate de instrumente de plată pe care le dețineți trebuie considerat suspect.

Dacă vă confruntați cu o astfel de situație vă recomandăm să luați imediat legătura cu banca prin canalele oficiale: Așa veți afla dacă este fals, sau un mesaj real. Ignorați orice mesaj pe care nu știați că trebuie să îl primiți. Nu faceți plăți pe site-uri complet necunoscute și fără review-uri.

Nu dați curs mesajelor primite prin email sau SMS prin care vi se solicită să efectuați urgent diferite acțiuni fără de care conturile și/sau instrumentele dumneavoastră de plată urmează a fi blocate sau închise;

Nu dați curs mesajelor primite prin email sau SMS care conțin greșeli de ortografie sau exprimări neobișnuite. Ar putea fi traduceri improprii din altă limbă;

Atunci când primiți un email care pare să provină de la o bancă (dar și de la Poștă, firme de curierat, platforme de comercializare a produselor, companii de telefonie, ANAF sau alte autorități), verificați cu atenție adresa de email reală de la care au fost trimise mesajele. Din punct de vedere tehnic, în fraudele de tip phishing, atacatorii „maschează” adresa reală de email. Ei folosesc un alias (o adresă sau denumire aparentă). Sursa reală nu apare în mod explicit la deschiderea mesajului. De exemplu, alias-ul pe care îl vedem este „Poșta Română”, însă adresa email reală a expeditorului este office@postaatbtp.com.

Ce trebuie să faceți

Pentru a vedea adresa reală trebuie accesată printr-un click rubrica expeditorului (respectiv pe căsuța From) din email-ul primit. O altă metodă de a vizualiza adresa reală a expeditorului, pentru majoritatea aplicațiilor de email, este să dați Reply la emailul primit. Dacă adresa de email reală este asemănătoare cu o adresă de email legitimă, însă are litere schimbate ori conține litere sau numere adăugate, atunci se poate presupune că este un mesaj suspect (în exemplul de mai sus fiind office@postaatbtp.com în loc de suportclienti@posta-romana.ro). Altfel, nu trimiteți datele!

Nu accesați aplicațiile de internet banking din link-uri primite pe email sau SMS! Și nici de la persoane necunoscute sau din paginile de social media, ci doar prin introducerea manuală a adresei în bara de adrese din cadrul browser-ului;

Întotdeauna accesați pagina de autentificare (pagina de „login”) la serviciul de internet banking. Prin introducerea manuală a adresei oficiale a băncii în bara de adrese și nu prin intermediul motoarelor de căutare (ex. Google, Bing, Baidu, Yahoo! etc.). Este posibil ca unul dintre primele link-uri de răspuns generate de acestea, în special cele marcate ca „Sponsored”, să conducă la o pagină falsă. Ea este creată de către atacatori. Prin utilizarea unor procedee și tehnici specifice de optimizare artificială a paginilor web, inclusiv prin anunțuri plătite, aceștia reușesc să „păcălească” motoarele de căutare. Paginile lor false să se claseze mai sus în cadrul ordonării rezultatelor căutării. Uneori sunt chiar primele afișate.

Cum ignorați mesajele

În cazul în care primiți prin SMS mesaje prin care vi se transmit coduri de autorizare pentru operațiuni pe care nu le recunoașteți și pe care nu le-ați solicitat (ex. operațiuni de înrolare a cardului dumneavoastră în portofele electronice, precum ApplePay sau GooglePay, ori pentru autorizarea unor tranzacții), nu le comunicați mai departe,. Luați imediat legătura cu banca, folosind canalele oficiale. Numerele de telefon sunt tipărite pe card sau cele de pe pagina oficială de internet a instituției. Blocați-vă temporar cardurile până la clarificarea situației. Nu transmiteți screenuri din aplicația băncii. Acestea pot conține date extrem de importante pentru atacatori.

Recomandăm clienților băncilor să își activeze opțiunea de tip „SMS Alert” sau „push notification”. Se primesc notificări în timp real cu privire la toate operațiunile care sunt efectuate în legătură cu instrumentele lor de plată.

• Distribuie:
• Distribuie
•