Co piąty Polak inwestuje swoje nadwyżki finansowe. To niewiele, natomiast odsetek osób wybierających różne produkty inwestycyjne systematycznie rośnie. Standardowe depozyty trochę się nam przejadły i szukamy innych opcji na pomnożenie oszczędności. Akcje, obligacje, kryptowaluty– to najchętniej wybierane składniki portfela inwestycyjnego.
Mając taki portfel lub dopiero go budując należy w pierwszej kolejności zadbać o bezpieczeństwo swoich aktywów. Podstawą jest chronienie portfela inwestycyjnego i oszczędności przed atakami – nie tylko w sieci. Jak to zrobić? Przygotowałem listę 16 najlepszych sposobów.
Patronem tego artykułu jest dom maklerski XTB. Za ten artykuł otrzymuję wynagrodzenie, jednak nie ma to żadnego wpływu na zawartość merytoryczną artykułu.
1. Nigdy nie podawaj wrażliwych danych podczas rozmowy telefonicznej
Zacznijmy od vishingu. To najpopularniejsza w ostatnim czasie metoda okradania indywidualnych inwestorów i posiadaczy oszczędności. Polega ona na tym, że przestępca dzwoni do swojej ofiary i podaje się za np. pracownika banku czy domu maklerskiego. Manipuluje swoim rozmówcą w taki sposób, aby skłonić go do podania danych wrażliwych: loginu, hasła czy kodu PIN. Najczęściej uzasadnia to koniecznością przeprowadzenia weryfikacji w celu poprawy zabezpieczeń.
Mając te dane przestępca zyskuje już swobodny dostęp do konta czy rachunku inwestycyjnego swojej ofiary.
Innym przykładem vishingu jest dzwonienie do ludzi i namawianie ich na rzekome inwestycje. Przestępca przekonuje, że jest przedstawicielem banku, brokera czy domu maklerskiego i oferuje pomoc np. w zakupie akcji jakiejś znanej spółki giełdowej. Jedyne, co musi zrobić „inwestor”, to zainstalować na komputerze specjalne oprogramowanie. Jest to oczywiście oszustwo, a program tak naprawdę okazuje się być zdalnym pulpitem, dając przestępcy swobodny dostęp do środków ofiary.
Trzeba zatem bardzo wyraźnie podkreślić: takie telefony nie mają nic wspólnego z prawdziwymi bankami, brokerami i domami maklerskimi. Zawsze są próbą oszustwa i nie należy nawet kontynuować takiej rozmowy, najlepiej od razu zgłaszając to w swoim banku.
2. Sprawdź, czy na pewno logujesz się do właściwego serwisu
Osobiście zawsze przed rozpoczęciem procedury logowania do banku czy rachunku maklerskiego dokładnie sprawdzam dwa szczegóły:
Ranking najlepszych: Grudzień 2023
Najlepsze lokaty, konta i oferty - grudzień 2023
- Ranking lokat do 7,1%
- Ranking kont bankowych +500 zł premii
- Ranking kont oszczędnościowych do 8%
- Promocje bankowe z gwarantowaną premią $$$
- Czy w pasku przeglądarki, przy adresie www, znajduje się kłódka informująca o szyfrowaniu połączenia (certyfikat SSL).
- Czy adres www strony zgadza się z tym oficjalnym.
Jeśli jeden z tych warunków nie jest spełniony, to wiem, że coś tutaj nie gra. Wyrób w sobie nawyk każdorazowego sprawdzania strony, na której masz zamiar podać swoje wrażliwe dane. Przestępcy do perfekcji opanowali sztukę phishingu, czyli podrabiania serwisów www należących do zaufanych instytucji, przede wszystkim banków.
3. Nie klikaj w żadne linki w wiadomości SMS
To klasyka gatunku. Przestępcy masowo wykorzystują wiadomości SMS do tzw. smishingu, podszywając się pod banki, brokerów czy giełdy. Fałszywa wiadomość zawiera link – po kliknięciu w niego ofiara jest przenoszona na stronę stworzoną wyłącznie w celu wykradzenia danych logowania do usługi bankowej czy portfela inwestycyjnego.
Zapamiętaj więc: żaden bank, żaden broker czy żadna giełda nie wysyła swoim klientom SMS-ów z linkami i nie prosi o podawanie danych do logowania w wiadomości zwrotnej. Taki SMS zawsze jest oszustwem.
4. Przed pobraniem załącznika upewnij się, kto jest nadawcą wiadomości
Warto o tym przypominać do znudzenia. Każdy załącznik do wiadomości wysłanej z nieznanego adresu należy traktować jako potencjalnie niebezpieczny. Przestępcy wiedzą, że ich ofiary są coraz lepiej wyedukowane, dlatego na wszelkie sposoby próbują się uwiarygodnić.
Przykładem jest podszywanie się pod bank czy brokera. Dla średnio rozgarniętego grafika nie jest żadnym problemem przygotowanie szablonu maila identycznego z tym, z jakiego korzysta np. Twój dom maklerski.
Diabeł tkwi natomiast w szczegółach i zawsze są niuanse zdradzające oszusta. Może to być drobna zmiana w adresie maila nadawcy (np. zamiast mbank.pl mamy mmbank.pl) czy błędy językowe, składniowe i ortograficzne w treści wiadomości.
Jeśli masz jakiekolwiek wątpliwości co do zamiarów nadawcy maila, a pochodzi on rzekomo od banku czy brokera, to poświęć chwilę na skontaktowanie się z infolinią i zapytaj, czy taka wiadomość rzeczywiście została wysłana.
Znajdź najlepsze oprocentowanie:
5. Rozważ przeznaczenie osobnego urządzenia tylko do operacji inwestycyjnych
Wiem, że może to zostać uznane za paranoję, natomiast w przypadku dostępu do większych pieniędzy czy inwestycji, ma to jak najbardziej sens. Czyli: wszelkie operacje inwestycyjne przeprowadzamy wyłącznie na jednym, zawsze tym samym urządzeniu. Sprzęt powinien być dobrze zabezpieczony przed złośliwym oprogramowaniem, nie korzystamy też na nim z żadnych podejrzanych stron, regularnie przeprowadzamy skanowanie systemu i aktualizuję zabezpieczenia, gdy tylko pojawią się nowe wersje.
Idealnym sprzętem do takich zastosowań jest tablet od Apple – iPad, który ma dostęp do internetu i aplikacji bankowych, jednak ryzyko jego inwencji złośliwym oprogramowaniem w porównaniu do np. komputera jest niskie.
6. Nie loguj się do aplikacji i serwisów inwestycyjnych w zatłoczonych miejscach
Wiesz, czym jest shoulder surfing? To archaiczna, ale wciąż skuteczna metoda wykradania wrażliwych danych. Polega ona na tym, że przestępcy wyłuskują w tłumie osoby korzystające z urządzeń mobilnych czy komputerów i po prostu zaglądają im przez ramię, aby np. zapamiętać dane logowania czy podpatrzeć rachunek bankowy.
Przestępca może zrobić z tej wiedzy użytek poprzez np. zadzwonienie do ofiary i podanie się za pracownika banku. Swoją tożsamość uwiarygodni wiedzą o stanie rachunku rzekomego klienta czy posiadanych przez niego instrumentach inwestycyjnych.
Dlatego w zatłoczonych miejscach publicznych najlepiej w ogóle nie logować się do banku i nie dokonywać żadnych operacji na rachunku brokerskim.
7. Unikaj publicznych sieci Wi-Fi
Warto mieć taki nawyk, aby nie logować się do banku czy portfela inwestycyjnego podczas korzystania z publicznej sieci Wi-Fi. Gdy ma się taką potrzebę, to zawsze lepiej przełączyć się na LTE.
Mimo że samo połączenie jest szyfrowane, to publiczne sieci Wi-Fi niestety bywają bardzo niebezpieczne, a już szczególnie te dostarczane przez restauracje i hotele.
8. Korzystaj z oprogramowania zabezpieczającego
Zadziwiające, jak wiele osób wydaje mnóstwo pieniędzy na dostęp do Netflixa i innych platform streamingowych, a żałuje około 100 złotych rocznie na subskrypcję dobrego programu antywirusowego. W ostateczności może to być nawet darmowy antywirus, ale taki, którego twórca regularnie aktualizuje bazę zagrożeń.
To samo dotyczy korzystania z bezpiecznego połączenia z internetem za pomocą VPN. Warto odżałować kilkanaście złotych na miesiąc, aby zabezpieczyć swoje połączenie z internetem i mieć pewność, że cały ruch jest szyfrowany. Tym bardziej że eliminuje to też „problem” publicznych sieci Wi-Fi, o którym pisałem w poprzednim punkcie.
9. Dobrze zabezpiecz dostęp do smartfonu
Smartfon jest dziś podstawowym narzędziem do inwestowania. Jeśli masz zainstalowane jakieś aplikacje inwestycyjne oraz aplikację bankową, to przypominam o konieczności dobrego zabezpieczenia dostępu do telefonu. Nie PIN, nie „zygzak”, ale biometria – to najlepsza opcja (odcisk palca, skan twarzy).
Oczywiście często PIN jako alternatywny sposób logowania często też jest wymagany – w takim wypadku najlepiej, aby był on jak najdłuższy (min. 6-8 znaków). Nie zapominajmy też o regularnych aktualizacjach systemu i pobieraniu oprogramowania tylko z zaufanych miejsc (sklepów App Store i Google Play).
10. Inwestujesz w kryptowaluty? Kup w portfel sprzętowy
Kryptowaluty to bardzo popularne produkty inwestycyjne, zwłaszcza wśród młodszych inwestorów. Jeśli masz lub chcesz mieć jakieś krypto, na przykład Bitcoina, Ethera itd., to dobrze radzę: zacznij od zakupu portfela sprzętowego. Dwa najlepsze rozwiązania dostępne na rynku dostarczają firmy Ledger oraz Trezor.
Jak działa portfel sprzętowy? To niewielkie urządzenie przypominające pendrive, za pomocą którego logujesz się do swojego portfela inwestycyjnego w aplikacji. Bez portfela nie zatwierdzisz żadnej operacji – na przykład nie wyślesz swoich aktywów na giełdę. Każdą transakcję musisz potwierdzić przy użyciu portfela sprzętowego, co gwarantuje wysoki poziom bezpieczeństwa.
Co więcej, nawet jeśli utracisz portfel, to zawsze możesz odzyskać swoje kryptowaluty – wystarczy, że znasz tzw. seed, czyli zestaw unikalnych haseł (zapisuje się je na kartce i przechowuje w bezpiecznym miejscu).
Nie ma lepszego sposobu na zabezpieczenie swoich kryptowalut niż właśnie portfel sprzętowy. Pamiętaj o podstawowej zasadzie inwestowania w te aktywa:
Not your keys, not your crypto.
11. Koniecznie ustaw weryfikację dwuskładnikową
Coraz więcej aplikacji inwestycyjnych wymaga, aby użytkownicy ustawili weryfikację dwuskładnikową. Polega to na tym, że aby zalogować się do serwisu z poziomu przeglądarki internetowej należy podać nie tylko login i hasło, ale też np. unikalny kod SMS czy jeszcze lepiej kod z aplikacji Google Authenticator lub użyć klucza U2F.
W ten sam sposób zatwierdza się operacje na koncie, w tym sprzedaż i zakup aktywów czy – w przypadku giełd kryptowalut – wysłanie zakupionych krypto na adres zewnętrzny (np. portfela sprzętowego).
Weryfikacja dwuskładnikowa w znacznym stopniu minimalizuje ryzyko włamania na konto i przeprowadzenia nieautoryzowanych przez właściciela operacji.
12. Zabezpiecz dostęp do aplikacji finansowej na smartfonie
Większość inwestujących korzysta dziś z bardzo wygodnych aplikacji, dzięki którym można kupować i sprzedawać różne klasy aktywów z dowolnego miejsca na świecie, bez dostępu do komputera. Może to być aplikacja domu maklerskiego, giełdy etc.
Jeśli korzystasz z takiej aplikacji, to zadbaj o to, aby nikt niepowołany nie mógł się do niej zalogować na Twoim telefonie (np. w razie zgubienia smartfonu). Najlepszym sposobem jest ustawienie logowania biometrycznego, czyli poprzez odcisk palca czy skan twarzy. W ostateczności może to być hasło lub kod PIN.
Ważne! Nie wybieraj swojej daty urodzenia czy numeru PESEL – to zbyt oczywiste.
13. Korzystaj z menedżera haseł
Nie ma znaczenia, jak trudne hasła ustawisz do swoich platform inwestycyjnych czy bankowego serwisu transakcyjnego. Jeśli użyjesz go gdzieś jeszcze, to istnieje duże prawdopodobieństwo, że hasło wycieknie. Dlatego tak ważne jest stosowanie unikalnych haseł w każdym miejscu w którym mamy konto.
Rozwiązaniem na problem wielu haśle, które są mocen i trudne do złamania są menedżery haseł. To proste programy, które generują za ciebie trudne do złamania i unikalne hasła dla każdego z kont oraz zapisują je w zaszyfrowanej i zabezpieczonej „głównym hasłem” bazie. Często też automatycznie wypełniają hasła do logowania na odpowiednich stronach np. Przy logowaniu do banku, czy portfela inwestycyjnego. Zdawanie warto z nich korzystać.
14. Nie afiszuj się z inwestycjami
Jeśli odnosisz sukcesy w inwestowaniu, to tylko pogratulować. Pamiętaj jednak, aby się z tym nie obnosić i nie obwieszczać wszystkim dookoła, że jesteś takim sprawnym inwestorem. Co mam na myśli? Chociażby chwalenie się udaną inwestycją na Facebooku i Twitterze czy noszenie ubrań z hasłami i symbolami nawiązującymi do popularnych produktów inwestycyjnych (np. z logo Bitcoina).
Takie zachowanie może przyciągnąć nieodpowiednie osoby, w tym przestępców szukających ofiar w mediach społecznościowych. Afiszując się z inwestycjami ryzykujesz, że znajdziesz się na celowniku i np. wkrótce zadzwoni do Ciebie osoba podająca się za przedstawiciela brokera lub otrzymasz wiadomość mailową zawierającą złośliwy link.
15. Nie trzymaj dużych oszczędności w jednym miejscu
Jeśli Twoje inwestycje okazały się trafione i przynoszą sporą stopę zwrotu, to zawsze pamiętaj o podzieleniu zarobionych pieniędzy i przechowywaniu ich w kilku różnych bankach. Przypominam, że w Polsce depozyty są chronione do kwoty 100 000 euro na mocy ustawy o Bankowym Funduszu Gwarancyjnym.
16. Korzystaj wyłącznie z zaufanych narzędzi inwestycyjnych
Mniej więcej od początku pandemii COVID-19 mamy w Polsce (i na świecie) wielki boom inwestycyjny. Na rynki akcji, surowców, instrumentów pochodnych, nie wspominając już o kryptowalutach, weszło mnóstwo inwestorów indywidualnych.
Inwestowanie jest dziś łatwiejsze niż kiedykolwiek. Rachunek maklerski można założyć bez wychodzenia z domu przy pomocy smartfonu i od razu rozpocząć swoją przygodę w świecie wielkiej finansjery.
Ważne jest natomiast to, aby wybierać tylko takie narzędzia, do których można mieć pełne zaufanie, ponieważ stoją za nimi stabilne, powszechnie rozpoznawalne instytucje – przede wszystkim banki, ale też czołowe fintechy. Radzę uważać na rynkowe nowości, nieznane aplikacje, a już szczególnie na inwestycje reklamowane jako „pozbawione ryzyka”.
Patronem tego artykułu jest dom maklerski XTB oferujący m.in. inwestycje w akcje spółek giełdowych notowanych na GPW i giełdach zagranicznych czy CFD Bitcoin i inne kryptowaluty Łącznie ponad 5400+ instrumentów finansowych.
Na koniec jeszcze jedna wskazówka ode mnie: wszystko z głową. Statystyki są bezlitosne i wskazują, że miażdżąca większość inwestorów indywidualnych traci pieniądze na giełdzie, rynku Forex czy kryptowalutach.
Dlatego dobrą zasadą jest inwestowanie tylko takich środków, które nie są nam niezbędne i w razie ich utraty będziemy mogli funkcjonować dalej, bez zadłużania się i obniżania swojego standardu życiowego.
Osoby mające niską tolerancję ryzyka w ogóle nie powinny rozważać samodzielnego inwestowania na rynkach finansowych. Dla nich przeznaczone są produkty depozytowe (lokaty, konta oszczędnościowe), obligacje skarbowe (np. indeksowane inflacją) czy ewentualnie długoterminowe produkty emerytalne, jak IKE i IKZE.
Inwestujecie? Jak zabezpieczacie swoje portfele przed atakami? Korzystacie ze sposobów, które przedstawiłem w tym artykule? Dajcie znać w komentarzach.
Marcin
Dziękuję za ten artykuł, w ostatnich latach nie wyobrażam sobie funkcjonowania bez VPN i innych zabezpieczeń. Jednakże nadal mam obawy do instalowania na telefonie komórkowym aplikacji bankowej, pomimo wykupionego pakietu AVG antywirus wraz z VPN {VPN włączany jedynie podczas logowania na strategiczne strony i aplikacje]. Czu uważasz, że to bezpieczne, jak dodatkowo będzie w aplikacji bankowej dwuetapowa weryfikacja?
Mateusz
Zdaniem ekspertów – wbrew pozorom – środowisko smartfona czy tableta jest często bezpieczniejsze od komputera stacjonarnego (szczególnie z systemem Windows). Dużo trudniej złapać złośliwe oprogramowanie w zamkniętym systemie iOS czy Android ze sklepem z aplikacjami niż w systemie operacyjnym komputera. Oczywiście trzeba dbać (jak wszędzie) o regularne aktualizacje i zachować zdrowy rozsądek, ale osobiście nie widzę większego zagrożenia przy korzystaniu z aplikacji bankowych na smartfonie.
Warto przy okazji włączyć dwuetapową weryfikację w aplikacji za pomocą powiadomień (a nie SMS-ów), jeśli bank na to pozwala. Te pierwsze ciężko jest „podrobić” :)
arbre
@ Marcin @ Mateusz
Na bezpiecznie korzystanie z bankowości internetowej i mobilnej składa się wiele elementów (nie tylko antywirus czy VPN). Warto przeczytać kilka poradników jak z tych rzeczy bezpiecznie korzystać i zastosować zdobytą wiedzę w praktyce. Zabezpieczenia, które są niewygodne zwykle najlepiej ograniczają ryzyko.
Bankowe aplikacje mają swoje własne słabe strony:
ThreatMark – Mobile Banking Malware (Webinar)
https://www.youtube.com/watch?v=0qrDuTq3Rzk
Najbezpieczniejsza jest bankowość w oddziałach:
Alarmujące dane z NBP: w ciągu kwartału liczba oszukańczych przelewów wzrosła o 50 proc.
https://www.cashless.pl/12256-liczba-fraudow-finansowych-1-kw-2022-r
Na 18 tys. nieautoryzowanych przelewów w I kwartale 2022 roku 57% dotyczyło bankowości mobilnej, 42% bankowości internetowej. Niecały 1% oszustw dokonano za pomocą bankowości telefonicznej i w oddziałach. Oszustwa w oddziałach to zapewne mały odsetek tego 1%.
Heyoan
Mam trzy uwagi.
(1) Piszesz, że rozwiązaniem na problemy z włamaniami jest menedżer haseł… Tak, ale. Menedzer haseł generuje oraz zapisuje trudne do złamania hasła w zaszyfrowanej i zabezpieczonej „głównym hasłem” bazie. To główne hasło, to po prostu hasło którym logujemy się do swojego laptopa… Problem w tym, że jeśli nagle padnie nam laptop – to trzeba zawieść go do serwisu i podać to główne hasło (czyli hasło do logowania się do laptopa) pracownikowi serwisu. I on ma dostęp do wszystkich naszych haseł oraz serwisów finansowych… I może zrobić z nimi, co chce…. NATOMIAST nasze hasło które NIE jest zapisane w menedżerze haseł okazuje się lepsze – bo nikt go nie zna. I nawet pracownik serwisu nie ma dostępu do naszego banku, giełdy krypto czy aplikacji DeFi.
(2) Zaufane narzędzia inwestycyjne. Co masz na myśli? Które nowe fintechy sa dla ciebie zaufane a które nie? I dlaczego. Nowych fintechów jest teraz co niemiara i wciąż pojawiaja się nowe. Na Facebooku, cały czas ludzie polecają nowe fintechy. Na przykład – taki Revolut, Monese, Tirlu, OKX czy Wealio oferują kasę w zamian za rejestrację, Ale czy są bezpieczne?? Czy warto z nich korzystać??
(3) Poczta email i phishing. Wiadomości email z phishingiem każdy internauta otrzymuje sporo. Jednak często na własne życzenie. Na przykład – uczestnicząc w airdropach – w których rzekomo otrzyma się za darmo kilkaset dolarów. Ale 90% airdropów to SCAM. Przykładem może być airdrop tokena TERK, który masowo był zachwalany wiosną tego roku. I co się okazało? Że to SCAM, polegający na wyłudzeniu adresu email oraz kradzieży BNB z portfela Metamask, podczas rzekomej wymiany TERK na BNB. A teraz niedoszli milionerzy są zalewani pishingiem na własne życzenie i plują sobie w brodę. Ale jakoś NIKT z tych nawiedzonych entuzjastów airdropów – NIE przyznał się na Facebooku do polecania SCAMU. Mało tego. Ci co tak namiętnie polecali TERK, teraz wyniesli się (na jakiś czas) z Facebooka i pozawieszali swoje konta. Wniosek? Nie słuchaj różnych „internetowych guru” ds. airdropów. Bo uczestnictwo w airdropie – NIE sprawi, że staniesz się milionerem.
A moje pytanie jest takie – który dostawca poczty email najlepiej zabezpiecza internautów przed PISHINGIEM? Na którą pocztę warto się przenieść, bo jest najlepsza??
Mateusz
Cześć Heyoan,
z chęcią się odniosę :)
1. Nie – hasło do managera hasłem to nie hasło do laptopa. To zupełnie inne hasło, któtrgo – podobnie jak hasło do komputera nie powinniśmy podawać nikomu. Nawet komuś w serwisie komputerowym. Do naprawy sprzętu nie jest wymagany dostęp do danych.
2. Ciekawa sprawa! Tutaj nie ma prostej odpowiedzi. Samemu trzeba szacować potencjalne ryzyka i zagrożenia. Choć może jest kilka rzeczy, które warto zawsze sprawdzić. Zgłębię temat i być może napiszę coś o tym na blogu. Dzięki za inspirację :)
3. Sprawy, o której piszesz nie znam, ale chyba faktycznie takie zjawiska są coraz częstsze. Odpowiadając jednak na Twoje pytanie i bazując na swojej wiedzy i ludzie mądrzejszych ode mnie, najbezpieczniejszym dostawcą poczty jest Gmail. Ze względu na swoją skalę działania, mechanizmy anty-pishingowe, dostęp do inżynierów, zabezpieczenia i – nie ma co ukrywać – wiedzę bazującą na dostępie do tak wielu kont. Pomijając kwestię prywatności i skupiając się na bezpieczeństwie – Gmail jest najlepszym znanym mi rozwiązaniem, z którego sam korzystam.
Wszystkiego dobrego i dzięki za Twój komentarz!
konferencjanowaenergia
Świetne porady! Będę je wprowadzać w życie.
zminanaperspektywy
Dobre porady, będę korzystać z nich
Hale
Świetny wpis na nadchodzący kryzys, dzięki i udostępniam!
bezkompromisowo
Pomocne porady na ochrone portfela
CELCAMP.PL
Świetny artykuł. Bardzo dobre porady. Ludzie z IT tez korzystają zmenagera haseł:)