Рекомендації щодо інформаційної безпеки на сайті КІБЕРПОЛІЦІЇ УКРАЇНИ
Прийом звернень від громадян тут
Виявлені фішингові вебсайти або отримані відомості подібного змісту
Необхідність негайного інформування Клієнтом Банку про втрату електронного платіжного засобу
Рекомендації клієнтам щодо виявлення фішингових вебсайтів
Рекомендації щодо безпечного використання систем дистанційного обслуговування
Дані Рекомендації розроблені Банком для здійснення Клієнтом безпечної роботи в системах дистанційного обслуговування та дозволяють значно знизити ризики шахрайських операцій із рахунками, доступ до яких здійснюється каналами дистанційного обслуговування:
1.Рекомендації щодо безпеки поводження з даними автентифікації (особистим ключем та паролем доступу до нього):
- Особистий ключ та пароль доступу до нього є найкритичнішими даними з точки зору безпечної роботи в системах дистанційного обслуговування. Особистий ключ генерується за ініціативою користувача — його власника під особистим контролем. Банк ні за яких обставин не має доступу до особистих ключів користувачів. Для забезпечення надійного зберігання та використання особистих ключів наполегливо рекомендується використання апаратних пристроїв формування підпису (токенів) та багатофакторної аутентифікації і підтвердження документів корпоративних і приватних клієнтів (SMS-підтвердження тощо), що постачаються Банком за запитом Користувача.
- У разі, якщо користувач обирає метод зберігання ключів у файловому контейнері, особисті ключі повинні зберігатися виключно на рухомому носії інформації (диск, USB-накопичувач). Не допускається навіть тимчасове зберігання ключів ЕЦП на жорсткому диску робочих станцій (комп’ютерів).
- Носій ключової інформації, який містить чинний ключ (рухомий носій інформації, токен), повинен постійно бути під особистим контролем користувача, що забезпечує унеможливлення доступу до нього інших осіб. Ні за яких обставин не допускається передача носія ключової інформації (токену) та/або розголошення паролю до нього іншим особам, у тому числі співробітникам Банку.
- Носій ключової інформації, який містить чинний ключ (рухомий носій інформації, токен), повинен використовуватися тільки під час роботи у системах дистанційного обслуговування. Носій ключової інформації (токен) не повинен залишатись приєднаним до персонального комп’ютера, якщо робота в системі призупинена чи не проводиться, персональний комп’ютер використовується для виконання інших функцій, а також у неробочий час.
- Пароль доступу (ПІН-код) до особистих ключів не повинен зберігатися у відкритому вигляді (наприклад, бути записаним на папері) та використовуватися для інших систем та сервісів. Персональна відповідальність за збереження паролю доступу (ПІН-коду) та унеможливлення використання носія ключової інформації іншою особою покладається виключно на користувача.
- Пароль доступу до ключа повинен відповідати рекомендаціям щодо складності (надійності), складатися з цифр, літер верхнього та нижнього регістрів, а також спеціальних символів. При виборі паролю не повинні використовуватись комбінації, що легко вгадуються, наприклад, імена, дати народження, телефонні номери тощо.
- У разі звільнення користувачів або переведення їх на посади, які не передбачають роботу у системах дистанційного обслуговування, необхідно негайно звернутися у Банк із метою блокування їхніх ключів.
- У разі компрометації або підозри у компрометації ключа (втрати, пошкодження носія ключової інформації, розголошення пароля або інших подій та/або дій, що призвели або можуть призвести до несанкціонованого використання ключа), необхідно терміново звернутися в Банк для блокування скомпрометованого ключа з відповідним листом або по телефону до контакт центру чи служби підтримки, обов’язково назвавши при цьому контрольне слово – пароль.
2.Необхідно щоденно аналізувати всі повідомлення про прийняті та неприйняті Банком електронні розрахункові документи та негайно повідомляти Банк про випадки несанкціонованого зарахування (перерахування) коштів.
3.На робочій станції, з якої здійснюється доступ до систем дистанційного обслуговування, повинно бути встановлене ліцензійне антивірусне програмне забезпечення, необхідне своєчасне та регулярне оновлення його версій, антивірусних баз даних.
4.На робочу станцію, з якої здійснюється доступ до систем дистанційного обслуговування, необхідно встановити:
– ліцензійне антишпигунське програмне забезпечення (antispyware);
– програмний персональний мережевий екран (файервол, брендмауер)*.
* На ринку існує низка програмних комплексів, які поєднують функції антивірусу, мережевого екрана, антишпигунського та інших програмних засобів, призначених для захисту робочих станцій
Налаштування мережевого екрану необхідно здійснити таким чином, щоб максимально обмежити вихідний та вхідний мережевий трафік. Зокрема, рекомендується дозволити доступ тільки до ресурсів систем дистанційного обслуговування та інших мінімально необхідних ресурсів, наприклад, для оновлення баз вірусних сигнатур антивірусних програмних засобів, оновлення антишпигунських програмних засобів, операційної системи та іншого програмного забезпечення.
Антивірусне та антишпигунське програмне забезпечення необхідно налаштувати для моніторингу всіх подій та періодичного сканування даних, що зберігаються на жорсткому диску персонального комп’ютера, з якого здійснюється доступ до систем дистанційного обслуговування.
5.Необхідно регулярно та своєчасно оновлювати системне програмне забезпечення робочої станції, за допомогою якого здійснюється доступ до систем дистанційного обслуговування, особливо операційної системи та web-браузера. Рекомендується активувати можливість автоматичного оновлення програмного забезпечення.
6.Не рекомендується встановлювати на робочі станції, через які ведеться робота з системою дистанційного обслуговування, програмне забезпечення з ненадійних джерел (публічні бібліотеки програмного забезпечення, програми в електронних повідомленнях тощо) та здійснювати з такого комп’ютера доступ до ненадійних (незнайомих) інтернет-ресурсів.
7.Під час доступу до систем дистанційного обслуговування не рекомендується працювати в операційній системі з обліковим записом користувача, який має розширені права в операційній системі, наприклад, «Адміністратор».
8.Під час підключення до веб-сайтів систем дистанційного обслуговування (https://clb.bisbank.com.ua або https://bis24.bisbank.com.ua) необхідно переконатися у коректній автентифікації веб-серверу системи дистанційного обслуговування за протоколом SSL та уникати підключень до веб-сайту системи за банерним посиланням або посиланням, отриманим електронною поштою. Рекомендується вводити адресу веб-сайту системи самостійно та додати її у закладки браузера. При доступі до веб-сайту необхідно звертати увагу на адресне поле браузера. Оскільки веб-сайт систем дистанційного обслуговування має справжній та дійсний сертифікат безпеки від світового Інтернет-центру сертифікації, то при вході на сайт в адресному полі браузера мають відображатися перші символи адреси https://, а не http:// (у вікні браузера може з’явитися повідомлення про те, що розпочинається перегляд сторінок через безпечне з’єднання).
- Не рекомендується здійснювати доступ до системи дистанційного обслуговування через посилання, отримані електронною поштою, а також із неконтрольованих та ненадійних робочих станцій, розташованих в інтернет-кафе, готелях, офісах, інших організаціях.
- З метою заволодіння даними автентифікації користувачів систем дистанційного обслуговування (особистий ключ ЕЦП, логін та пароль доступу до нього) для їх подальшого незаконного використання зловмисниками можуть здійснюватись атаки на робочі станції користувачів. Основні методи заволодіння ключовою інформацією:
– розсилання користувачам підроблених електронних листів із посиланням на адресу веб-сайту, що маскується під банківський;
– розповсюдження через електронні листи чи веб-сайти програмного забезпечення із зловмисним кодом (тобто програмного вірусу) для заволодіння даними автентифікації користувача;
– несанкціоноване дистанційне управління персональним комп’ютером користувача шляхом віддаленого доступу.
Для запобігання подібних ситуацій необхідно знати, що Банк ніколи та за жодних обставин не здійснює розсилку електронних листів із вимогою надіслати ключ, логін чи пароль, перейти за вказаною електронною адресою, а також не розповсюджує електронною поштою комп’ютерні програми. Відповідальність за збереження ключів та паролів покладається на користувача.
У разі отримання подібних листів, програм чи будь-яких повідомлень електронною поштою, необхідно терміново проінформувати про це Банк листом або по телефону, вказаному в п.12. Рекомендується видаляти підозрілі електронні листи без їх відкриття, особливо листи від невідомих відправників із прикріпленими файлами, що мають розширення *.exe, *.pif, *.vbs та інші файли.
- При проведенні налаштування робочої станції, з якої здійснюється доступ до систем дистанційного обслуговування, стороннім спеціалістом рекомендується забезпечити контроль за його діями.
- У випадку підозри щодо несанкціонованого доступу до систем дистанційного обслуговування або до авторизаційних даних та/або носія ключа ЕЦП, а також у випадку втрати (крадіжки) авторизаційних даних та/або носія ключа ЕЦП, або при виявленні випадків здійснення за рахунком (-ами) Користувача операцій, що не були ним санкціоновані, чи в будь-яких інших випадках виявлення несанкціонованих змін даних Користувача, а також при виявленні фішингових сайтів, схожих на офіційні сайти Банку, та при отриманні відомостей подібного змісту, необхідно негайно звернутися та повідомити до Банку за телефонами (044) 207-70-32 ; 800-50-30-05 (також для дзвінків із-за кордону).
При зверненні телефоном до Банку для проходження процедури ідентифікації користувач зобов’язаний надати необхідні дані на прохання працівника Банку.
Рекомендації щодо інформаційної безпеки на сайті КІБЕРПОЛІЦІЇ УКРАЇНИ
Прийом звернень від громадян тут
Виявлені фішингові вебсайти або отримані відомості подібного змісту
Необхідність негайного інформування Клієнтом Банку про втрату електронного платіжного засобу
Рекомендації клієнтам щодо виявлення фішингових вебсайтів
Важливі Безпечні правила користування мобільним застосунком.
SMS повідомлення з кодами аутентифікації, що приходять Вам на мобільний номер з адреси BIS 24, є конфіденційною інформацією яку ні за яких обставин не можна розголошувати третім особам.
Якщо Вам прийшло SMS повідомлення з адреси BIS 24 але Ви не проводили ніяких операцій в мобільному застосунку BIS 24, э ознакою того, що Ваш фінансовий номер з якихось причин став відомим шахраям. Для запобігання шахрайським, діям рекомендуємо провести заміну паролю для входу в мобільний застосунок BIS 24 за допомогою кнопки «забули пароль».
Також: Для безпечної роботи в мобільному банкінгу, рекомендуємо мобільний номер, що Ви використовуєте в якості фінансового (для отримання повідомлень та одноразових кодів від Банку), перевести з передплаченої форми обслуговування на контрактну Вашого мобільного оператора.
Це захистить ваш номер телефону від спроб зловмисників перевипустити сім картку або отримати дублікат сім картки з вашим номером телефону, та в подальшому отримати доступ до мобільного банкінгу.
Рекомендації щодо інформаційної безпеки на сайті КІБЕРПОЛІЦІЇ УКРАЇНИ
Прийом звернень від громадян тут
Виявлені фішингові вебсайти або отримані відомості подібного змісту
Необхідність негайного інформування Клієнтом Банку про втрату електронного платіжного засобу
Рекомендації клієнтам щодо виявлення фішингових вебсайтів