Bezpieczeństwo bankowości elektronicznej

Standardy bezpieczeństwa

Usługi bankowości elektronicznej Banku Pocztowego spełniają najwyższe standardy bezpieczeństwa. Pamiętaj jednak, że bezpieczeństwo operacji wykonywanych w Pocztowy24, oraz w aplikacji mobilnej zależy w równym stopniu od Banku, jak i od Ciebie. Zapoznaj się z podstawowymi informacjami na temat bezpiecznego korzystania z bankowości elektronicznej. 

Bezpieczne bankowanie

Poznaj zagrożenia w Sieci
ico

Dowiedz się jak rozpoznać atak cyfrowy i bezpiecznie korzystać z bankowości.

Poznaj zasady bezpieczeństwa
ico

Przeczytaj o najważniejszych zasadach bezpieczeństwa w pigułce. Materiał ten w postaci ulotki znajdziesz też w placówkach Banku Pocztowego i Poczty Polskiej.

Postaw na bezpieczeństwo

Poniżej znajdziesz najważniejsze informacje dotyczące bezpieczeństwa bankowości internetowej i mobilnej. 

Bank Pocztowy S.A. informuje, że zgodnie z art. 29a ust. 2 ustawy z dnia 19 listopada 2009 r. o grach hazardowych (t.j. Dz. U. z 2018 r., poz. 165) zakazane jest uczestniczenie w grach hazardowych urządzanych przez sieć Internet przez podmioty, które nie posiadają wymaganego ustawą zezwolenia. W związku z powyższym wykorzystywanie kart płatniczych wydawanych przez Bank oraz innych instrumentów bądź usług płatniczych udostępnianych przez Bank do dokonywania transakcji związanych z uczestnictwem w takich grach hazardowych urządzanych w Internecie jest niezgodne z wyżej wymienioną ustawą. Bank nie realizuje płatności na rzecz podmiotów organizujących gry hazardowe w Internecie bez stosownego zezwolenia. Zakaz nie dotyczy urządzania zakładów wzajemnych przez Internet organizowanych na podstawie zezwolenia udzielonego zgodnie z wyżej wymienioną ustawą Lista podmiotów posiadających zezwolenie na przyjmowanie zakładów wzajemnych przez sieć Internet znajduje się na stronie Ministerstwa Finansów.

Rejestr Domen Służących do Oferowania Gier Hazardowych Niezgodnie z Ustaw.



W związku z wykrytą podatnością w protokole Bluetooth o nazwie BlueBorne, która dotyczy komputerów działających na systemach Windows i Linux, smartfonów (Android, iOS), a także urządzeń IoT (telewizory, samochody, smartwatche, itd.), zalecamy wyłączenie interfejsu Bluetooth na swoich urządzeniach i używania go wyłącznie, gdy jest to potrzebne oraz aktualizowanie oprogramowania. Powyższa luka pozwala na przejęcie kontroli nad urządzeniem i wykonanie na nim złośliwego kodu a także na ataki Man in the Middle, czyli przechwytywanie komunikacji Bluetooth pomiędzy urządzeniami.



Operator Play umożliwia uruchomienie usługi odczytu wiadomości SMS przez swój serwis internetowy. Po przejęciu loginu i hasła użytkownika, przestępca po zalogowaniu się do portalu operatora:

  1. Włącza usługę odczytywania wiadomości SMS przez internet,
  2. Ma dostęp do haseł potwierdzających wykonanie operacji w serwisie transakcyjnym.
  3. W przypadku przejęcia loginu i hasła do bankowości internetowej może wykonać dowolną operację.

Dostęp do wiadomości SMS przez stronę internetową operatora eliminuje konieczność przejęcia przez przestępców kontroli nad telefonem klienta banku oraz nieautoryzowanym wykonywaniu operacji finansowych na rachunku klienta.



W dniu 3 kwietnia 2017 roku został zablokowany dostęp do bankowości internetowej Pocztowy24 z sieci Tor (ang. The Onion Router) zapewniającej użytkownikom prawie anonimowy dostęp do zasobów Internetu, a tym samym sprzyjającej działaniom przestępczym w Internecie. Włączenie blokowania dostępu do Pocztowy24 z sieci TOR wynika z par 45 ust 7 "Warunki świadczenia przez Bank Pocztowy S.A. usług bankowości elektronicznej". 



Aktualnie przez polski internet przelewa się fala e-maili rzekomo nadawanych przez Pocztę Polską i informujących o “niedostarczonych przesyłkach”. Ich załącznik jest zainfekowany tzw. ransomware, czyli oprogramowaniem, które szyfruje pliki na dysku twardym i domaga się wpłaty za ich odszyfrowanie. Jego najbardziej znanym przypadkiem jest CryptoLocker. Dla bezpieczeństwa, prosimy nie otwierać podobnych maili.

Oto przykład treści takiej wiadomości:




Pamiętaj, że:
Bank Pocztowy nie prosi o wykonanie testowego przelewu w ramach aktywizacji /sprawdzenia funkcjonalności Pocztowy24 nie prosi o zwrot środków pochodzących z błędnego / podejrzanego przelewu Bank Pocztowy nie prosi o zainstalowanie żadnego oprogramowania na telefonie komórkowym.
W internecie pojawił się wirus (trojan) infekujący komputery z systemem operacyjnym MS Windows. Ukierunkowany na osoby korzystające z bankowości internetowej. Wirus przejmuje kontrolę nad komputerem oraz przeglądarką internetową, dzięki czemu może dowolnie zmienić treść wyświetlanej strony www. Zainstalowany na komputerze wirus potrafi zmienić zawartość strony serwisu banku widoczną po zalogowaniu do systemu transakcyjnego. Zamiast listy produktów posiadanych w banku, użytkownik widzi fałszywą informację z żądaniem zwrotu środków, które rzekomo zostały przesłane przez obcą osobę na jego konto. Wygląd i treść komunikatu zostały przygotowane w taki sposób, aby nakłonić użytkownika do wykonania przelewu na zaprezentowany w wiadomości numer rachunku. Atakująca komputery użytkowników wersja trojana identyfikowana jest przez oprogramowanie antywirusowe jako odmiana Zeusa (ZBOT).

Związek Banków Polskich ostrzega przed złośliwym oprogramowaniem o nazwie Banapter (VBKlip), który podmienia numer rachunku bankowego, wklejanego ze „schowka”.

Zainfekowanie komputera złośliwym oprogramowaniem Banapter umożliwia przestępcom podmianę numeru rachunku bankowego wprowadzanego przez użytkownika na zasadzie "kopiuj-wklej" np. do formatek: Przelew zewnętrzny, Przelew do innego organu podatkowego, Odbiorca krajowy systemu bankowości internetowej, co skutkuje wykonaniem przelewu na inny rachunek, niż zamierzony przez użytkownika.
Więcej informacji na temat złośliwego oprogramowania Banapter znajdziesz na stronie Związku Banków Polskich.

Kolejnym krokiem ewolucji złośliwego oprogramowania jest wersja zwana Banatrix. Działanie Trojana Banatrix polega na zmianie przepisanego numeru rachunku bankowego. Cyfry wpisanego numeru rachunku zmieniają się “na oczach użytkownika”.

W związku z powyższym, zwracamy uwagę na konieczność zachowania ostrożności podczas korzystania z bankowości internetowej i każdorazowej weryfikacji, czy widoczny na ekranie przed zatwierdzeniem transakcji numer rachunku bankowego, na który chcesz wykonać przelew, jest tym samym rachunkiem, który skopiowałeś do "schowka" lub wpisałeś.

  • NIK – unikalny numer, który otrzymuje każdy Klient korzystający z usługi Pocztowy24. Składa się on z ośmiu cyfr i razem z hasłem służy do identyfikacji w procesie logowania. Identyfikatora nie należy nigdy udostępniać innym osobom.
  • Hasło – służy do identyfikacji w procesie logowania. Hasło dostępu, które otrzymujesz w wiadomości SMS lub w specjalnie zabezpieczonej kopercie należy zmienić na własne hasło podczas pierwszego logowania. W przypadku nie otrzymania hasła w wiadomości SMS w ciągu kilku minut, a hasła w kopercie w terminie 14 dni od zamówienia należy natychmiast zawiadomić Bank. Zgłosić należy również naruszenie koperty zawierającej hasło dostępu. Przy trzeciej próbie logowania niewłaściwym hasłem, zostanie zablokowany dostęp do serwisu. Hasła nie należy nigdy udostępniać innym osobom. Żaden pracownik Banku nie poprosi nigdy o Twoje hasło. Ze względów bezpieczeństwa zalecamy dokonywanie okresowych zmian hasła.
  • Kod SMS – sześciocyfrowy kod wysyłany przez Bank na wskazany przez Użytkownika numer telefonu komórkowego w celu autoryzacji operacji lub innych dyspozycji składanych za pośrednictwem usługi Pocztowy24.
  • Certyfikat – umożliwia weryfikację autentyczności podpisu elektronicznego złożonego w serwisie transakcyjnym Pocztowy24. Certyfikat jest zabezpieczony hasłem. Certyfikaty należy przechowywać w taki sposób, aby uniemożliwić dostęp do niego osobom nieupoważnionym. Dowiedz się więcej o wiarygodności dokumentów internetowych.
  • Szyfrowane połączenie – połączenie z bankowościami Banku Pocztowego jest szyfrowanie algorytmem TLS o długości klucza minimum 128 bitów z zastosowaniem certyfikatu uwierzytelnionego. W czasie jego używania adres wyświetlany przez przeglądarkę internetową, powinien zaczynać się od: https:// Weryfikacja certyfikatu polega na kliknięciu w symbol kłódki widoczny w obrębie ekranu, a następnie odczytanie odpowiednich informacji takich jak:
    • certyfikat wystawiony dla Bank Pocztowy SA,
    • aktualna data ważności certyfikatu.
  • Pamiętaj, aby zawsze przed zalogowaniem do serwisu sprawdzać certyfikat. Jeżeli dane w którymkolwiek z punktów nie są poprawne, przerwij proces logowania i skontaktuj się z Bankiem.
  • Serwis transakcyjny Pocztowy24 posiada wszystkie niezbędne zabezpieczenia, w tym ważny certyfikat SSL. Mimo to, Użytkownikom korzystającym z przeglądarki Google Chrome w wersji 39 i nowszych, na stronie online.pocztowy.pl może wyświetlić się komunikat z ostrzeżeniem o nieaktualnych zabezpieczeniach witryny (symbol graficzny kłódki z żółtym znakiem ostrzeżenia). Nie jest to związane bezpośrednio z bezpieczeństwem serwisu. Jest to spowodowane faktem, że Google Chrome promuje obecnie jedną wybraną metodę szyfrowania komunikatów SHA-2. W innych przeglądarkach internetowych sytuacja ta nie występuje.
  • Sesja internetowa – gdy system stwierdzi brak aktywności przez 10 minut, nastąpi automatyczne wylogowanie z serwisu transakcyjnego. W celu kontynuowania pracy w serwisie należy ponownie się zalogować.
  • Informacja o logowaniu – po zalogowaniu do serwisu Użytkownik, w zakładce "Ustawienia" może sprawdzić informacje o dacie i godzinie ostatniego poprawnego logowania oraz o nieudanej próbie logowania do systemu:
  • Pamiętaj, żeby weryfikować informacje o ostatnim udanym i nieudanym logowaniu. W przypadku zauważania jakichkolwiek nieścisłości, skontaktuj się z Bankiem.

Wszystkie zauważone nieprawidłowości oraz fakt ewentualnej utraty lub ujawnienia identyfikatora, hasła, telefonu komórkowego lub karty SIM, używanych do korzystania z usług, jak najszybciej zgłoś do Banku pod numer 801 100 500*, 52 34 99 499**

  • Zalecamy logowanie się do Pocztowy24 przez stronę Banku Pocztowego www.pocztowy.pl - przez wybór przycisku Zaloguj się, zlokalizowanego po prawej stronie górnej, czerwonej belki na głównej stronie.
  • Przed zalogowaniem się – wpisaniem NIK (numeru identyfikacyjnego Klienta) i hasła, sprawdź czy adres strony logowania zaczyna się od "https" i czy w obrębie okna znajduje się zamknięta kłódka oznaczająca połączenie szyfrowane. Umiejscowienie symbolu kłódki uzależnione jest od rodzaju przeglądarki i jej wersji.

Mozilla Firefox

Microsoft Edge

Google Chrome

  • Kliknij na kłódkę, aby sprawdzić certyfikat strony. Zdarzają się ataki na komputery, polegające na połączeniu z fałszywą stroną pomimo, że w adresie widnieje prawidłowy adres Banku. Sprawdzenie certyfikatu pomoże w ustaleniu czy strona nie jest fałszywa. Prawidłowy, zaufany certyfikat to wystawiony dla Bank Pocztowy SA. Pamiętaj, żeby reagować na ostrzeżenia wyświetlane przez przeglądarki internetowe. Pamiętaj, aby po zakończeniu pracy w systemie zawsze używać funkcji WYLOGUJ, która zapewni bezpieczne zakończenie pracy w systemie.
  • Serwis Pocztowy24 wymaga podania kodu SMS/podpisu certyfikatem jedynie wtedy, gdy Klient zleca operacje. Serwis nigdy nie prosi o podanie kodu SMS/podpisu certyfikatem przed lub bezpośrednio po zalogowaniu, podczas sprawdzania stanu konta ani przeglądania historii operacji. Nie wymaga także dodatkowych informacji takich jak: numer karty płatniczej, numer PIN do karty lub inne dane osobiste.
  • Używaj menu Pocztowy24 do przechodzenia pomiędzy poszczególnymi funkcjami. Nie używaj funkcji WSTECZ ani DALEJ w oknie przeglądarki.
  • Pamiętaj aby zawsze używać funkcji WYLOGUJ, która zapewnia bezpieczne zakończenie pracy w systemie.
  • Nie udostępniaj nikomu swojego NIK, hasła ani kodów SMS, bądź certyfikatów służących do autoryzacji operacji. NIK może być jedynie potrzebny do identyfikacji podczas kontaktu z Infolinią Banku, może o niego poprosić Konsultant, ale nigdy nie poprosi o podanie hasła do Pocztowy24 ani hasła do certyfikatu bądź autoryzacyjnego SMS.
  • Telefon komórkowy oraz karta SIM, używane do korzystania z usługi Pocztowy24 i PocztowySMS powinny być zabezpieczone przez Posiadacza kodem PIN.
  • Bank nigdy nie prosi o podanie informacji dotyczących telefonu używanego do autoryzacji operacji (tj. numer, marka i model).
  • Bank nigdy nie wysyła na telefon komórkowy żadnych certyfikatów bezpieczeństwa lub innych aplikacji do zainstalowania.
  • Przed potwierdzeniem operacji dokładnie sprawdź, czy otrzymany SMS z kodem autoryzacyjnym dotyczy na pewno zleconej przez Ciebie operacji.
  • Ostrzegamy przed otwieraniem podejrzanych wiadomości e-mail i SMS, korzystaniem z podawanych w nich linków, czy załączników oraz instalowaniem oprogramowania nieznanego pochodzenia oraz odwiedzaniem podejrzanych stron WWW.
  • Bank Pocztowy nigdy nie prosi o podanie informacji dotyczących wydanych kart płatniczych, takich jak: numer karty, data ważności, kod PIN i CVV/CVV2.

Korzystaj z serwisu Pocztowy24 tylko z użyciem komputera, w którym:

  • używane jest legalne oprogramowanie, w tym oprogramowanie antywirusowe i firewall;
  • stale aktualizowane są: system operacyjny, przeglądarki internetowe, oprogramowanie antywirusowe;
  • ustawienie poziomu zabezpieczeń przeglądarki internetowej jest na poziomie min. średnim;
  • istotnym zabezpieczeniem jest również skonfigurowanie konta "Administratora", które przeznaczone będzie wyłącznie do instalacji oprogramowania oraz konta "Użytkownika" bez praw instalacyjnych. Wyłącznie konto "Użytkownika" powinno być wykorzystywane do codziennej pracy;
  • staraj się nie korzystać z Pocztowy24 na "obcych" komputerach, których oprogramowanie nie jest Ci znane.

Zadbaj o bezpieczeństwo

Poznaj najważniejsze informacje dotyczące bezpieczeństwa bankowości telefonicznej.

Zalecamy, zabezpiecz swój telefon komórkowy oraz kartę SIM kodem PIN.

Jeśli zauważysz jakieś nieprawidłowości lub utracisz telefon komórkowy lub kartę SIM, używane do korzystania z PocztowySMS i Pocztowy24, jak najszybciej zgłoś ten fakt do Banku pod numer 0 801 100 500* , +48 52 34 99 499**.

Hasło do bankowości telefonicznej - hasło jest przekazywane Klientowi w momencie otwarcia rachunku w wiadomości SMS lub w specjalnie zabezpieczonej kopercie. Hasło jest wykorzystywane do identyfikacji Klienta, przez pracownika Banku, podczas kontaktu Klienta z Infolinią Banku. Hasła nie należy nigdy udostępniać innym osobom, również pracownikom Banku. Pracownik Banku nigdy nie prosi o hasło, ani wybrane z niego cyfry.

Rejestracja rozmów telefonicznych – wszystkie połączenia z Infolinią Banku są rejestrowane. Zapisy mogą być wykorzystane jako dowód zlecenia danej dyspozycji.

Masz pytania? My mamy odpowiedzi

Sprawdź najnowsze komunikaty dotyczące zagrożeń w sieci

Przejdź do komunikatów

chat z konsultantem