Bezpieczeństwo systemu KBSNet Krakowskiego Banku Spółdzielczego

System bankowości internetowej KBSNet został stworzony w oparciu o technologię i doświadczenie znanej firmy informatycznej - lidera wśród firm zajmującym się oprogramowaniem dla banków spółdzielczych.

Szyfrowanie transmisji

Połączenie z kontem internetowym jest transmisją zaszyfrowaną. Dzięki temu wszelkie informacje, które są przesyłane lub otrzymywane są dostępne tylko i wyłącznie dla uprawnionego użytkownika. Wszystkie transakcje, które zostaną dokonane na koncie, każdorazowo wymagają dodatkowego uwierzytelnienia poprzez wpisanie hasła jednorazowego.

Podniesienie poziomu bezpieczeństwa - wyłączenie obsługi SSLv3 i możliwe utrudnienia w zalogowaniu poprzez starsze przeglądarki.

Uprzejmie informujemy, że kierując sie względami bezpieczeństwa Krakowski Bank Spółdzielczy zdecydował o wyłączeniu obsługi protokołu SSLv3 i zastąpieniu go protokołem TLS (protokoły wykorzystywane w przeglądarkach internetowych). Dla znacznej większości klientów zmiana będzie nieodczuwalna, jednakże część Użytkowników korzystających ze starszych wersji przeglądarek, na przykład Internet Explorer 6, może mieć problemy z zalogowaniem do systemów bankowości elektronicznej.

Klienci korzystający ze starszych wersji przeglądarek, u których wystąpił problem z zalogowaniem powinni dokonać aktualizacji przeglądarki do najnowszej wersji.

Gdy pojawią sie problemy z logowaniem w przeglądarce Internet Explorer w systemie operacyjnym WindowsXP, należy zaktualizować przeglądarkę do najnowszej wersji dla tego systemu operacyjnego (v8) oraz sprawdzić w ustawieniach, czy włączony jest protokół TLS [Narzędzia -> Opcje internetowe -> zakładka 'Zaawansowane' -> w 'Ustawieniach' musi być zaznaczone 'Użyj TLS 1.0']

Krakowski Bank Spółdzielczy w trosce o bezpieczeństwo swoich klientów pragnie zwrócić uwagę na komunikat wydany przez Związek Banków Polskich, w którym ostrzega przed nowym rodzajem ataku na klientów korzystających z bankowości internetowej. Atak jest przeprowadzony z wykorzystaniem trojana Banatrix i polega na przeszukiwaniu przez trojan pamięci procesów przeglądarek internetowych: Chrome, Internet Explorer, Firefox oraz Opera w celu znalezienia ciągu liczb, który odpowiada numerowi rachunku bankowego, a następnie zamianie go na inny numer rachunku podstawiony przez przestępców. W efekcie, na stronach internetowych banków zostają zamienione wszystkie numery polskich rachunków bankowych. Osoba, która nie zauważy tej zmiany może przelać środki na inny rachunek bankowy wykorzystywany przez hakerów.

Krakowski Bank Spółdzielczy zwraca szczególną uwagę, aby:
- dokładnie sprawdzić, czy numer rachunku, na który wysyłamy pieniądze zgadza się z tym, który Uzytkownik chciał wpisać
- uważnie czytać SMSa z kodem przed potwierdzeniem operacji, aby upewnić się, że dotyczy on właściwej operacji
- odpowiednio zabezpieczyć komputer, między innymi przez regularne pobieranie i instalowanie aktualizacji oraz skanowania antywirusowe
- zgłaszać przypadki podmiany rachunku podczas rozmowy z Pomocą Techniczną KBSNet (numery telefonów w zakładce 'Kontakt')

Wejście do systemu

Aby wejść do systemu KBSNet należy podać:

Hasła SMS

Są to hasła jednorazowe wysyłane przez Bank na podany w Karcie Uprawnień Użytkownika Systemu KBSNet numer telefonu komórkowego, służące do uwierzytelniania operacji dokonywanych przez Internet.

Token

To urządzenie kryptograficzne, które generuje jednorazowe kody służące do identyfikacji Użytkownika i do Autoryzacji, przy czym do Autoryzacji wymagane jest użycie numeru PIN oraz kodu jednorazowego.

Bezpieczny podpis elektroniczny

Podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu w rozumieniu ustawy o podpisie elektronicznym, służący do identyfikacji Użytkownika w Systemie KBSNet i do Autoryzacji.

Blokowanie dostępu do systemu

Trzykrotne błędne uwierzytelnienie Klienta podczas wejścia do systemu KBSNet powoduje zablokowanie dostępu do usług systemu. Aby odblokować dostęp, należy zadzwonić pod jeden z podanych numerów obsługi technicznej systemu: (12) 42-86-200 lub (12) 42-86-236 w dni robocze pracy Banku - od poniedziałku do piątku w godzinach 7.30 - 20.00.

Natomiast trzykrotne błędne podanie hasła jednorazowego podczas próby realizacji transakcji blokuje możliwość wykonywania transakcji - zalogowanie do systemu jest nadal możliwe.

Przy stosowanych obecnie w Krakowskim Banku Spółdzielczym systemach zabezpieczeń praktycznie jedyną możliwością zdobycia loginu i hasła dostępu oraz jednorazowych haseł jest namówienie samego Klienta do dobrowolnego ich podania.

Z tego też względu należy pamiętać, iż bezpieczeństwo bankowości internetowej zależy nie tylko od rozwiązań opracowanych przez firmy informatyczne współpracujące z bankami, ale przede wszystkim od samych klientów.

Aby użytkownik traktował bankowość internetową jako bezpieczne narzędzie, powinien przestrzegać następujących zasad:

  1. Logując się do systemu KBSNet należy sprawdzić czy użytkownik znajduje się na właściwej stronie.

    Wszystkie operacje po zalogowaniu się na stronę www.kbsnet.pl są automatycznie zabezpieczone protokołem TSL. Uwidocznione jest to poprzez ukazanie się kłódki w oknie przeglądarki podczas logowania (najczęściej na górnym lub dolnym pasku, zależnie od rodzaju przeglądarki) ,co sygnalizuje, że strona jest szyfrowana i bezpieczna (dotyczy wybrania opcji pracy z przeglądarką internetową „w oknie przeglądarki” ).

    Po dwukrotnym kliknięciu na kłódkę powinna pojawić się informacja, dla kogo został wystawiony certyfikat. Prawidłowa informacja to www.kbsnet.pl.

    Należy się także upewnić, czy w pasku adresowym przeglądarki w nazwie strony widnieje oznaczenie HTTPS.

    Do systemu można się zalogować wyłącznie ze strony głównej Banku tzn. www.kbsbank.com.pl wybierając opcję Zaloguj się lub bezpośrednio z adresu www.kbsnet.pl.

    Jeśli przy logowaniu się do systemu nie widnieje oznaczenie kłódki oraz oznaczenia https prosimy o ich pilne zgłoszenie do Banku na jeden z podanych numerów obsługi technicznej systemu: (12) 42-86-200 lub (12) 42-86-236 w dni robocze pracy Banku - od poniedziałku do piątku w godzinach 7.30 - 20.00.

  2. Nie należy podawać swojego hasła dostępu lub haseł jednorazowych poprzez pocztę elektroniczną.

    Krakowski Bank Spółdzielczy nigdy nie wysyła:

    • e-maili wymagających podania danych osobowych Klientów lub też hasła dostępu, albo haseł jednorazowych,
    • e-maili z linkami do stron Banku oraz do usług bankowości internetowej KBSNet oraz wszelkich stron, gdzie rzekomo ma nastąpić weryfikacja czy aktualizacja danych Klientów,
    • żadnych aplikacji na telefony komórkowe, które rzekomo pochodzą z KBS i żądają instalacji,
    • próśb o podanie modelu telefonu lub pobranie certyfikatu bezpieczeństwa na telefon komórkowy.

    Bank nie przyjmuje również drogą e-mailową zleceń wykonania transakcji finansowych.

    W przypadku pojawienia się takich przypadków prosimy o ich pilne zgłoszenie do Banku na jeden z podanych numerów obsługi technicznej systemu: (12) 42-86-200 lub (12) 42-86-236 w dni robocze pracy Banku - od poniedziałku do piątku w godzinach 7.30 - 20.00.

  3. Nie należy podawać swojego hasła dostępu lub haseł jednorazowych osobom dzwoniącym i podającym się za pracownika banku.

    W przypadku pojawienia się takich przypadków prosimy o ich pilne zgłoszenie do Banku na jeden z podanych numerów obsługi technicznej systemu: (12) 42-86-200 lub (12) 42-86-236 w dni robocze pracy Banku - od poniedziałku do piątku w godzinach 7.30 - 20.00.

  4. Natychmiast zgłosić do Banku zgubienie tokena, karty z podpisem elektronicznym. Sugerujemy wykonać zablokowanie dostępu do systemu KbsNet poprzez trzykrotne wpisanie błędnego hasła dostępu.

    Można także zablokować dostęp do swojego loginu poprzez zgłoszenie takiej informacji na jeden z podanych numerów obsługi technicznej systemu.

  5. Dla własnego bezpieczeństwa nigdy nie należy nosić zapisanego loginu z hasłem dostępu wraz z tokenem i zapisanym PINem do tokena.

    W przypadku nieautoryzowanego uzyskania nazwy loginu i hasła dostępu do systemu KBSNet osoba niepowołana nie jest w stanie wykonać jakichkolwiek transakcji finansowych bez użycia dodatkowego jednorazowego hasła uwierzytelniającego .

    Analogicznie w razie nieautoryzowanego uzyskania tokenu, karty z podpisem elektronicznym osoba niepowołana nie jest w stanie wejść do systemu KBSNet bez znajomości loginu i hasła dostępu.

  6. Należy unikać logowania do systemu KBSNet z komputerów, do których nie ma się pełnego zaufania (np. w kawiarenkach internetowych)

  7. Należy dbać o zabezpieczenie komputera, z którego użytkownik loguje się do systemu tzn. instalować legalne oprogramowanie oraz na bieżąco wszystkie poprawki i uaktualnienia zalecane przez producenta oprogramowania.

  8. Wylogowanie się z systemu należy wykonywać poprzez funkcję „Wyloguj”, a nie poprzez zamknięcie przeglądarki internetowej.