În acest context, BNR atrage din nou atenția utilizatorilor de servicii de plată asupra faptului că elementele de securitate personalizate aferente instrumentelor de plată (datele cardului, codul PIN, codul CVV/CVC, codurile de activare ale aplicațiilor de internet/mobile banking, parolele statice sau dinamice, codurile de înrolare ale cardurilor în aplicații de tip portofel electronic) reprezintă informații care, potrivit legii, trebuie păstrate în condiții de siguranță. Aceste informații au caracter confidențial și nu sunt niciodată solicitate de către emitentul instrumentului de plată sau de către o altă autoritate.
Divulgarea acestor informații către terțe persoane, inclusiv prin accesarea unor site-uri de internet false, care imită din punct de vedere vizual pagina oficială a băncilor emitente a instrumentelor de plată sau a unor instituții și autorități, reprezintă cel mai important factor de risc care permite atacatorilor să acceseze conturile victimelor, iar ulterior să inițieze operațiuni de plată frauduloase, spune BNR într-un comunicat de presă din 8 mai.
Dacă titularul instrumentului de plată a transmis elementele de securitate personalizate unor terțe persoane și, ca atare, nu și-a îndeplinit obligația de a păstra în siguranță a informațiilor respective, acesta este în culpă în situația producerii unei fraude, iar prestatorul serviciilor de plată nu poate fi obligat să suporte eventualul prejudiciu, conchide BNR.
Consultaţi la acest link informaţiile puse la dispoziţie de BNR despre modalităţile prin care vă puteţi proteja de fraudele cibernetice.
Reguli și recomandări BNR, adresate utilizatorilor de instrumente de plată electronică:
- Nu dați curs solicitărilor primite prin email sau SMS, prin care vi se cere actualizarea datelor personale, prin accesarea unui anumit link. Băncile nu solicită clienților să transmită sau să li se confirme elementele de securitate personalizate ale instrumentelor de plată pe email sau SMS și nici nu fac actualizarea datelor personale ale clienților prin intermediul unor astfel de canale. Orice email care pare să provină de la banca dumneavoastră, prin care vi se solicită să întreprindeți de urgență o anumită acțiune (de obicei, în astfel de mesaje apare sintagma „foarte important/urgent”) și care implică transmiterea unor informații sensibile legate de instrumente de plată pe care le dețineți trebuie considerat suspect. Dacă vă confruntați cu o astfel de situație vă recomandăm să luați imediat legătura cu banca prin canalele oficiale.
- Nu dați curs mesajelor primite prin email sau SMS prin care vi se solicită să efectuați urgent diferite acțiuni fără de care conturile și/sau instrumentele dumneavoastră de plată urmează a fi blocate sau închise;
- Nu dați curs mesajelor primite prin email sau SMS care conțin greșeli de ortografie sau exprimări neobișnuite, ce par a fi traduceri improprii din altă limbă;
- Atunci când primiți un email care pare să provină de la o bancă (dar și de la Poștă, firme de curierat, platforme de comercializare a produselor, companii de telefonie, ANAF sau alte autorități), verificați cu atenție adresa de email reală de la care au fost trimise mesajele. Din punct de vedere tehnic, în fraudele de tip phishing, atacatorii „maschează” adresa reală de email folosind un alias (o adresă sau denumire aparentă), astfel că sursa reală nu apare în mod explicit la deschiderea mesajului (de exemplu, alias-ul pe care îl vedem este „Poșta Română”, însă adresa email reală a expeditorului este [email protected]). Pentru a vedea adresa reală trebuie accesată printr-un click rubrica expeditorului (respectiv pe căsuța From) din email-ul primit. O altă metodă de a vizualiza adresa reală a expeditorului, pentru majoritatea aplicațiilor de email, este să dați Reply la emailul primit. Dacă adresa de email reală este asemănătoare cu o adresă de email legitimă, însă are litere schimbate ori conține litere sau numere adăugate, atunci se poate presupune că este un mesaj suspect (în exemplul de mai sus fiind [email protected] în loc de [email protected]);
- Nu accesați aplicațiile de internet banking din link-uri primite pe email sau SMS de la persoane necunoscute sau din paginile de social media, ci doar prin introducerea manuală a adresei în bara de adrese din cadrul browser-ului;
- Întotdeauna accesați pagina de autentificare (pagina de „login”) la serviciul de internet banking prin introducerea manuală a adresei oficiale a băncii în bara de adrese și nu prin intermediul motoarelor de căutare (Google, Bing, Baidu, Yahoo! etc.), întrucât este posibil ca unul dintre primele link-uri de răspuns generate de acestea, în special cele marcate ca „Sponsored”, să conducă la o pagină falsă, creată de către atacatori. Prin utilizarea unor procedee și tehnici specifice de optimizare artificială a paginilor web, inclusiv prin anunțuri plătite, aceștia reușesc să „păcălească” motoarele de căutare, astfel încât paginile lor false să se claseze mai sus în cadrul ordonării rezultatelor căutării, uneori să fie chiar primele afișate;
- În cazul în care primiți prin SMS mesaje prin care vi se transmit coduri de autorizare pentru operațiuni pe care nu le recunoașteți și pe care nu le-ați solicitat (ex. operațiuni de înrolare a cardului dumneavoastră în portofele electronice, precum ApplePay sau GooglePay, ori pentru autorizarea unor tranzacții), nu le comunicați mai departe, ci luați imediat legătura cu banca, folosind canalele oficiale (numerele de telefon tipărite pe card sau cele de pe pagina oficială de internet a instituției) și blocați-vă temporar cardurile până la clarificarea situației;
- Recomandăm clienților băncilor să își activeze opțiunea de tip „SMS Alert” sau „push notification”, astfel încât să primească notificări în timp real cu privire la toate operațiunile care sunt efectuate în legătură cu instrumentele lor de plată.