Pon - Pet : 08:00 - 16:00
info@pbs.ba
+387 33 278 520

Podizanje svijesti klijenata o sigurnosti informacija i informacionih sistema

Krađa identiteta i on-line prevare postaju jedan od najbrže rastućih krimanala u svijetu, a i u Bosni i Hercegovini.

U Privrednoj banci Sarajevo d.d. Sarajevo mi vrlo ozbiljno pristupamo zaštiti vaših podataka.  Smatramo da je zaštita vaših ličnih podataka obaveza svakog našeg zaposlenika, te Banka u skladu sa svojim godišnjim planom vrši obuku i treninge svih svojih zaposlenika, te ulaže značajne finansijske, tehničke i ljudske resurse u implementaciju najsavremenijih rješenja kojima postižemo adekvatnu zaštitu podataka naših cijenjenih klijenata.  S obzirom da broj prijavljenih prevara i napada raste iz dana u dan, podstičemo i naše klijente da poduzmu potrebne korake kako bi zaštitili sebe i svoje podatke.

U nastavku vam dajemo par kratkih informacija i načina kako da se zaštitte.

  1. Nijedan zaposlenik Privredne banke Sarajevo vas neće kontaktirati putem telefona ili elektronske pošte kako bi tražili povjerljive ili lične podatke, kao što su brojevi računa, jedinstveni matični broj, broj lične karte ili drugog identifikacionog dokumenta i slično. Ako se odlučite kontaktirati Privrednu banku Sarajevo putem elektronske pošte, molimo vas da ne šaljete povjerljive podatke putem redovne elektronske pošte koja nije enkriptovana i zaštićena.  Ukoliko trebate poslati provjerljive ili lične podatke, kontaktirajte Banku kako bi vas uputili koji je siguran način da to uradite.
  2. Koristite antivirusnu zaštitu na vašim računarima i pametnim telefonima.  Ovo je prvi i najvažniji korak koji trebate poduzeti u cilju zaštite vaših računara i podataka koji se nalaze na njima od zlonamjernih napadača, virusa i drugogo malicioznog koda.  Na tržištu postoji veliki broj ponuđača antivirusnog softvera, od kojih se neki plaćaju a drugi su besplatni.  Ukoliko koristite besplatnu opciju, provjerite da li je softver izdati od provjerenog proizvođača i istražite kompaniju i njihov proizvod prije nego ga istalirate na vaše uređaje.
  3. Na vašim računarima koristite isključivo licencirani, provjereni softver za operativne sisteme i ostale aplikacije, te ih redovno ažurirajte u skladu sa preporukama proizvođača.
  4. Ne otvarajte elektronske poruke od sumnjivih pošiljaoca i/ili sa sumnjivim prilozima. Potrebno je poseban oprez prije otvaranja i/ili preuzimanja priloga (attachmenta) ili klikanja linkova koji su stigli s elektronskom poštom, čak i ako su od poznatog pošiljaoca. Ako niste potpuno uvjereni u bezopasnost priloga ili linka, a ne možete kontaktirati pošiljaoca kako bi potvrdio, potrebno je izbrisati poruku.  Nikad ne idite na stranice gde koristite poverljive podatke putem linkova koje ste dobili u email-u već isključivo kucanjem adrese u vašem internet pretraživaču.
  5. Sve povjerljive podatke u elektronskom ili papirnatom obliku uništite na adekvatan način ukoliko vam više nisu potrebne (prenosive medije za pohranjivanje podataka, papirnate dokumetne i izvode Banke, stare računare i slično).
  6. Uspostavite adekvatne sisteme i kontrole  poslovanju kako bi smanjili rizike povezane sa elektronskim prevarama, a posebno ukoliko dokumentaciju kao osnov za plaćanje dobijate putem maila, jer koristeći raznorazne tehnike napadači vrlo lako mogu izvršiti izmjenu podataka novčane transakcije navedene u mailu, te na taj način vas navesti da uplatu izvršite na bankovne račune napadača, umjesto vašeg poslovnog partnera.  Klijentima se preporučuje da obavezno uspostave kontrolu i provjeru validnosti računa na koji se vrši prenos novčanih sredstava.
  7. Koristite raznolike i kvalitetne lozinke.  Ovo se posebno odnosi na važne stranice koje sadržavaju podatke o računima, brojevima kartica i ostale lične podatke. Često mijenjajte lozinke i ne koristite iste lozinke za različite prijave/račune. Lozinke nemojte pohranjenjivati ni prikazivati u čitljivom obliku izvan adekvatno osigurane okoline.  Nemojte dijeliti svoje lozinke sa drugim zapsolenicima ili članovima porodice.  Nemojte koristiti vlastita imena, imena djece ili kućnih ljubimaca u vašim lozinkama i izbjegavatje korištenje običnih i standardiziranih riječi. Prilikom izbora lozinke koristite kombinaciju brojeva, specijalnih znakova i malih i velikih slova. Lozinke treba izmjeniti ukoliko se pojavi i najmanja sumnja da su njihova povjerljivost ili integritet narušeni.
  8. Nemojte koristiti javne računare ili otvorene bežične mreže (Wi-Fi) za slanje povjerljivih podataka ili osjetljive transkacije putem elektronskog bankarstva.  Ukoliko pristupate Interentu putem javnih, nezaštićenih mreža trebate biti svjesni da zlonamjerni napadači mogu vrlo lako pristupiti vašim uređajima i doći do vaših povjerljivih podataka.
  9. Veoma je bitno da u svakom telefonskom razgovoru budete sigurni sa kim razgovarate i da ne iznosite informacije ukoliko niste u stanju da identificirate osobu sa druge strane.  Banka nikada neće tražiti da otkrivate povjerljive podatke putem telefona.
  10. Redovno pregledajte vaše transakcije i izvode koje vam dostavlja Banka.  Svaku uočenu nepravilnost ili sumnju odmah prijavite Banci, kako bi na vrijeme i zajedno mogli spriječiti zlonamjerne napadače u njihovoj namjeri da dođu do vaših povjerljivih podataka i iskoriste ih u kriminalne svrhe.  I sam pokušaj krađe je krivično djelo.  Za prijavu ili više informacija kontaktirajte nas putem telefona 033 278 520 ili na info@pbs.ba.

Phishing

Socijalni inžinjering

Spoofing

Phishing ili mrežna krađa identiteta (phishing od engleske riječi fishing, što znači pecanje) je vrsta prevare u kojoj napadači lažnim predstavljanjem i različitim „mamcima“ pokušavaju „upecati“ žrtvu. Phishing se može iskoristiti tako da se osobi ukrade novac ili nanese neka druga šteta (provala u žrtvin e-mail račun, krađa identiteta i slično). Pošiljatelj navodi žrtvu da otkrije osobne informacije (obično finansijske) upisivanjem istih na internetskoj adresi navedenoj u elektronskoj poruci. Navedena adresa (link) je vrlo sličnog imena kao i stvarna adresa. Tehnike koje neovlašteni korisnici koriste u ovu svrhu vrlo su složene što uzrokuje značajan broj žrtava phishing napada. Broj phishing napada i njihova sofisticiranost raste svakim danom, a količina poruka koja se šalje broji se u milionima.

Kako izgleda phishing poruka?
• Poruka može izgledati kao obavijest iz banke, internetske trgovine i sl., no žrtvu se navodi kliknuti na link koji je “udica” na kojoj počinitelj internetskog zločina izvlači tražene podatke od žrtava.
• Žrtve potom na njoj upišu lične informacije (u poruci se često navodi da korisnik treba potvrditi ili promijeniti podatke)
• Kad korisnik upiše podatke na lažnoj stranici, informacije dolaze do vlasnika lažne stranice
• Lažna internetska stranica izgleda (skoro) identična pravoj, ali URL u adresnoj traci joj je drugačiji

Socijalni inžinjering je vrsta napada s ciljem nagovaranja korisnika da ispune zahtjeve napadača. Tu se prvenstveno radi o načinu skupljanja podataka do kojih napadač ne bi mogao doći legalnim putem. Pri tome se napad usmjerava na najslabiju kariku cjelokupnog lanca – ljudski faktor.

Najčešće metode prijevare su:
Lažno predstavljanje – najčešća metoda napada, postupak u kojem se napadač predstavlja kao neka druga osoba;
Uvjeravanje/nagovaranje – nagovaranje ili uvjeravanje je postupak pri kojem napadač nagovora i uvjerava žrtvu da obavi postupke koje mu nalaže napadač.
Stvaranje odgovarajuće situacije – napadač stvara “plodno tlo” za izvršenje napada na način da iskoristi žrtvine slabosti, zbližavanje sa žrtvom kako bi došao do informacija, iskorištavanje nespremnosti ili nepažnju žrtve kako bi učinila pogrešan potez i slično.
Moralna odgovoronost – žrtva pokuša pomoći napadaču jer se osjeća da je to njena moralna obaveza, žrtve nisu ni svjesne da na taj način odaju korisne informacije napadaču.
Želja za pomaganjem – iskorištavanje želje žrtve da pomogne drugima. Čest je slučaj da napadač uvjeri žrtvu da će on postupiti isto u situaciji kada žrtvi bude potrebna pomoć.
Iskorištavanje starih veza i korupcije – napadač stvara odnos koji je dovoljan za sticanje povjerenja ili potkupljuje korisnika, koji mu odaje željene informacije.

Način izvršenja napada:
Telefonski inžinjering – jedan od najčešćih i najlakših načina izvršavanja socijalnog inžinjeringa; napadač naziva jednog od zaposlenika te svojim komunikacijskim vještinama lako stiče njegovo povjerenje;
Pretraživanje otpada – jedan od načina sakupljanja informacija je pretraživanje otpada pri čemu se saznaje mnogo korisnih informacjia za izvođenje napada;
Korištenjem interneta – brojni su načini prikupljanja informacija putem internet, a najčešći je slanjem lažnih poruka, kojima potiče korisnika na odavanje vrlo važnih i tajnih informacija.
Zavirivanje – tip socijalnog inžinjeringa pri kojem napadač pokušava očitati žrtvine pokrete kako bi dobili željene podatke (npr. posmatranje pokreta rukom pri upisivanju lozinke prilikom prijave na sistem).
Forenzička analiza – do korisnih informacija napadač može doći pregledom nepažljivo odbačenih medija za pohranjivanje podataka.

Spoofing u širem smislu znači da ste dobili poruku u elektronskom obliku od osobe koju poznajete i imate poverenja u nju. U stvari vi ste dobili poruku od osobe koja je na neki način ukrala virtuelni indetitet osobe koju poznajete. Tipičnim lažnim predstavljanjem zlonamjerni napadač pokušava da izvuče vaše povjerljive podatke.
Postoje tri tipa spoofinga na internetu:
Email spoofing – Relativno prostim mijenjanjem uzglavlja email poruke dobijate poruku koja liči ili je ista kao email koji stiže iz banke ili druge institucije. Tipičan primer za to su spam poruke. Više od 80 % elektrosnke pošte na internetu čini spam. Najčešće poruke koje dobijate u ovakvim email porukama su da vam je istekla lozinka ili zbog sigurnosti morate da promijenite lozinku na vašem računu u banci.
IP spoofing (internet protocol spoofing) – Sve što radite na internetu stiže ili se šalje u paketima, a svaki paket nosi adresu svog pošiljaoca. Ideja internet kriminalaca sastoji se u tome da se stvore paketi sa lažnom adresom izvora. Ovakav vid se koristi prilikom napada na mrežnu infrastrukturu, gde se pokušava da se zavara operativni sistem računara primaoca i njegovi sistemi za autentifikaciju kako bi napadači preuzeli kontrolu nad računarima i lokalnom mrežom.
URL spoofing – To je pokušaj da se Universal Resource Locator (URL) ili adresa lažne web stranice prikaže kao URL prave stranice. Za ovu metodu se najčešće koriste sigurnosni propusti u internet pretraživačima. Lažne web adrese dobijate najčešće u email porukama a na njih odlazite nesmotrenim klikanjem na linkove u elektronskoj poruci.

Sprječavanje zloupotrebe platnih kartica

Poštovani klijenti,

U vrijeme kada je korištenje platnih kartica postalo potreba, a svakodnevno se dešavaju zloupotrebe istih, ovim putem želimo uputiti nekoliko korisnih savjeta za bezbrižno korištenje platnih kartica kako na bankomatima i POS uređajima, tako i za sigurno plaćanje putem interneta.

  1. Za svaku pojedinačnu karticu se dodjeljuje jedinstveni PIN (Personal Identification Number/Lični identifikacioni broj) koji je potrebno zapamtiti, a obavijest na kojoj je zabilježen potrebno je uništiti. PIN nikada ne smije biti zapisan na kartici ili nekom drugom dokumentu, memorisan na mobilnom uređaju i slično. Dakle, potrebno je poduzeti sve potrebne mjere kako bi karticu i PIN učinili sigurnima i nedostupnim trećim licima.
  2. Tokom unosa PIN-a potrebno je slobodnom rukom prekriti tastaturu kako bi spriječili treća lica da dođu u posijed istog.
  3. Prilikom upotrebe kartice na POS uređajima korisnik ne smije dopustiti da kartica izađe iz njegovog vidokruga, jer se na ovim prodajnim mjestima kartice najčešće krivotvore na način da se kopiraju podaci sa magnetne trake. U suprotnom činite isto na vlastitu odgovornost.
  4. Za svaku izvršenu transakciju zahtjevajte Potvrdu o transakciji te je sačuvajte sa svoju evidenciju i ne bacajte je dok istu ne pokidate na sitne komadiće.
  5. Ukoliko želite koristiti bankomat, a primijetili ste da se određena osoba u blizini ponaša sumnjivo ili ste na bankomatu primijetili instaliranu sumnjivu dodatnu opremu u tom slučaju odaberite drugi bankomat gdje će te obaviti transakciju. Poželjno je da obavijestite banku ukoliko ste primijetili da je nešto sumnjivo instalirano na bankomatu.
  6. Prilikom plaćanja putem interneta izbjegavajte:
    – neprovjerene internetske stranice,
    – korištenje računara koja su dostupna trećim licima,
    – korištenje računara koja nemaju instaliran antivirusni softver,
    – korištenje javnih, nezaštićenih wi-fi mreža.
  7. Dakle, kupujte/plaćajte na poznatim i provjerenim web stranicama (web stranica na kojoj vršite plaćanje počinje sa „https“) te uvijek isprintajte kompletnu dostupnu popratnu dokumentaciju!
  8. Karticu nikada nemojte davati nekome da je fotokopira ili da prepisuje podatke sa nje, a nemojte je ni dostavljati skeniranu putem e-maila, jer ista sadrži puni broj vaše kartice i na poleđini iste se nalazi CVV/CVC broj/kôd (Card Verification Value/Code). CVV/CVC je trocifreni broj u bijelom kvadratiću uz pomoć kojeg se vrši plaćanje putem interneta tj. kada kartica nije fizički dostupna te gdje nije moguće zahtijevati PIN.
  9. U slučaju da je kartica izgubljena, zagubljena, ukradena ili imate sumnju na zloupotrebu kartice te da je bilo koja neovlaštena osoba saznala PIN ili broj kartice, potrebno je bez odlaganja izvršiti blokadu kartice pozivom na broj +387 (0)33 652 888. Blokadom kartice se onemogućuje njeno dalje korištenje. Isto se odnosi i u slučaju da je bankomat iz nepoznatog razloga zadržao karticu.

OSNOVNA PRAVILA KORIŠTENJA LOZINKI

Svaki korisnik informacionog sistema posjeduje korisničko ime i lozinku za pristup računaru (operativnom sistemu), kao i korisničku šifu, ime i lozinku za pristup pojedinim aplikacijama.  Osnovna pravila, koja garantuju veći stepen sigurnosti i smanjuju vjerovatnoću probijanja lozinke, obuhvataju sljedeće:

1. Minimalna dužina lozinke

Kratku lozinku je najlakše probiti, pa je stoga minimalna dužina lozinke 10 karaktera, ali se preporučuje korištenje još dužih lozinki.

2. Kompleksnost lozinke

Lozinke ne smiju biti jednostavne i moraju sadržavati najmanje jedno veliko slovo, jedan specijalni znak (iz skupa karaktera !”#$%&()“*+,-/:;<=>?_) i jedan broj.

Također, ne treba koristiti imena bliskih osoba, ljubimaca i datume, jer se takve lozinke lako otkriju socijalnim inžinjeringom.

Primjer kompleksne lozinke je h0bo3n!Ca. Na privi pogled besmislena i teška za pamćenje, ova je lozinka izvedena iz riječi hobotnica. Polazište je pojam koji lako pamtimo, ali onda po nekom našem algoritmu vršimo zamjenu znakova.

3. Trajanje lozinke

Česta promjena lozinke smanjuje vjerovatnoću njezina otkrivanja, pa je potrebno u vašem informacionom sistemu postaviti sistemsko nametanje isteka lozinke nakon minimalno 60 dana.

Također, preporučuje se nametanje sistemske zabrane upotrebe minimalno 6 posljednjih lozinki i lozinke (stara i nova) se moraju razlikovati u najmanje tri karaktera.

4. Zaključavanje lozinke

Preporučuje se nametanje pravila zaključavanja lozinke nakon 5 neuspjelih pokušaja. Također, preporučuje se da je zaključavanje lozinke neograničeno, odnosno nema automatskog otključavanja (korisnici moraju kontaktirati administratora).

5. Tajnost lozinke

Korisnici su odgovorni za svoju lozinku i ni u kom je slučaju ne smiju otkriti, čak ni administratorima sistema ili službenicima Banke. Korisnici ne smiju otkrivati svoju lozinku trećim licima, jer će se u tom slučaju oni smatrati odgovornim za promjene i/ili greške koje nastanu u sistemu za vrijeme njihovog odsustva pod njihovom prijavom.

6. Čuvanje lozinke

Lozinke se ne ostavljaju na papirićima koji su zaljepljeni na ekran ili ostavljeni na stolovima, u nezaključanim ladicama i slično. Korisnik je odgovoran za tajnost svoje lozinke i mora naći način da je sakrije.

Ukoliko korisnik zaboravi lozinku, administrator sistema će mu omogućiti da unese novu.

Zbog mnogobrojnih ranjivosti koje proizlaze iz neadekvatnog korištenja lozinki, pored gore navedenih preporučenih sistemski nametnutih pravila, svi korisnici se trebaju dodatno pridržavati sljedećih preporuka pri upravljanju lozinkama:

  • Sve lozinke moraju biti povjerljive;
  • Lozinke ne smiju biti pohranjene ni prikazane u čitljivom obliku izvan adekvatno osigurane okoline;
  • Lozinke ne smije dijeliti više korisnika kako bi se osigurala dokazivost;
  • Koristite različite lozinke za različite sisteme;
  • Nemojte koristiti vlastita imena, imena djece ili kućnih ljubimaca u vašim lozinkama i izbjegavajte korištenje običnih i standardiziranih riječi;
  • Lozinke treba izmijeniti ukoliko se pojavi i najmanja sumnja da su njihova povjerljivost ili integritet narušeni;
  • Pri prvoj upotrebi potrebno je izmijeniti inicijalne i standardne lozinke, kao i ostale lozinke koje su zadali proizvođači i dobavljači informatičke opreme ili pružatelji usluga, a pomoću koji se pristupa resursima Banke;
  • Ukoliko zaposlenici uoče nepravilnosti pri primjeni politike lozinke ili smatraju da je došlo do zloupotrebe prava pristupa, dužni su ovaj sigurnosni incident odmah prijaviti Oficiru za sigurnost IS;
  • Pri napuštanju radnog mjesta, dužni ste zaključavati ili ugasiti vaš računar;