GHID

privind securitatea serviciilor Internet Banking

si Online Shopping

Ghid realizat de ctre:

n cadrul campaniei de contientizare a riscurilor de securitate cibernetic derulat n

Romnia sub egida ECSM de ctre CERT-RO.

www.cert-ro.eu/ecsm.php

Pagin alb

Pagin 2 din 19

CUPRINS
1.

DESPRE OTP BANK ROMNIA ........................................................................................................... 5

2.

SCOPUL GHIDULUI ............................................................................................................................ 5

3.

INTERNET BANKING ......................................................................................................................... 5

3.1.
3.2.
3.3.
3.4.

4.

DESCRIEREA SERVICIULUI ......................................................................................................................... 5

MECANISME DE SECURITATE..................................................................................................................... 6
INDICII PENTRU DEPISTAREA TENTATIVELOR DE FRAUD ................................................................................ 8
CE TREBUIE S FACEM PENTRU A NE PROTEJA ............................................................................................ 10
CUMPRTURILE ONLINE .............................................................................................................. 12

4.1.
4.2.
5.

CUM SE EFECTUEAZ O ACHIZIIE ONLINE .................................................................................................. 12

NROLAREA CARDULUI DE CUMPRTURI ONLINE N SISTEMUL 3D-SECURE ..................................................... 14
GHID PRACTIC PENTRU CLIENII ONLINE ........................................................................................ 15

5.1.
5.2.

PROTECIA SISTEMELOR CLIENILOR ......................................................................................................... 15

PROTEJAREA DATELOR PERSONALE ALE CLIENILOR ..................................................................................... 17

6. BIBLIOGRAFIE. 19

Pagin 3 din 19

Pagin alb

Pagin 4 din 19

1. Despre OTP Bank Romnia

OTP Bank Romnia este parte a OTP Group, unul dintre cele mai importante grupuri
financiare din Europa Central i de Est, cu operaiuni n ri precum Ungaria, Muntenegru,
Croaia, Bulgaria, Rusia, Ucraina, Slovacia, Serbia i Romnia.
Prezent din 2004 pe piaa bancar local, OTP Bank Romnia i-a propus s devin o banc
universal puternic, care s ofere servicii complete pentru clieni persoane fizice i
companii.
n toate aciunile pe care le-a ntreprins de-a lungul celor aproape zece ani de cnd este
prezent pe piaa local, OTP Bank Romnia i-a construit, prin inovaie i competen,
drumul ctre acest obiectiv, oferind servicii bancare att persoanelor fizice, ct i
companiilor.

2. Scopul ghidului
Prezentul ghid ofer o nfiare a ntregului complex de msuri pe care se bazeaz
securitatea serviciilor Internet Banking i online shopping. Necesitatea acestui ghid a
rezultat din nevoia de informare i contientizare a publicului privind sigurana acestor
servicii i ca atare, documentul surprinde cele mai rspndite practici i masuri de
securitate specifice agenilor economici din Romnia i se adreseaz n special utilizatorilor
acestor servicii pentru a le face mai bine nelese. Totodat, prin abordarea aplicat se
dorete contientizarea acestora privind rolurile ce revin fiecrei pri implicate n
realizarea unei tranzacii n condiii de securitate.

3. Internet Banking
3.1. Descrierea serviciului
Internet Banking, sau online banking, este un termen folosit pentru sistemele de pli cu
acces la distan utilizate pentru efectuarea de tranzacii bancare prin intermediul
Internetului. Acestea sunt sisteme bancare care permit accesul electronic de la distan, la
conturile bancare, n vederea operrii de tranzacii i obinerii de situaii referitoare la
propriile conturi. Astfel de sisteme sunt reprezentate de:

Internet Banking instrument de plat cu acces la distan, care se bazeaz pe

conexiunea la Internet i pe sistemele informatice ale emitentului, conectarea
realizndu-se folosind o aplicaie de tip browser;

Home Banking instrument de plat cu acces la distan, care se bazeaz pe o aplicaie

software a emitentului instalat la sediul deintorului, pe o staie de lucru individual
sau n reea.

Pagin 5 din 19

Mobile Banking instrument de plat cu acces la distan, care presupune utilizarea

unui echipament mobil (smartphone, tableta, PDA - Personal Digital Assistant etc) i a
unor servicii oferite de ctre operatorii de telecomunicaii.

Furnizorul de servicii Internet Banking reprezint acea instituie de credit sau instituie
financiar nebancar care emite i pune la dispoziia deintorului un instrument de plat
electronic, pe baza unui contract ncheiat cu acesta, iar anual are obligaia de a supune
aceste sisteme unui proces strict de avizare/reavizare conform normelor legale.
Utilizarea Internet Banking-ului a devenit o soluie tot mai rspndit i acceptat de
publicul larg ca alternativ la metoda clasic prin prezentarea ntr-o sucursal bancar
pentru realizarea operaiunilor uzuale. Avantajele precum mobilitatea i disponibilitatea
24/7 au fost permanent suplimentate prin extinderea gamei de operaiuni care pot fi
derulate n condiii de siguran, oferind n ziua de astzi posibilitatea executrii facile de la
distan a mai multor tipuri de operaii, spre exemplu:
deschidere de conturi;
transferuri ntre conturi;
pli n lei sau valut;
constituire/lichidare depozite;
schimb valutar;
ordine de plat intrabancare i interbancare;
vizualizare extrase bancare;
actualizare rapid a datelor personale.
Pentru a beneficia de aceste servicii trebuie ndeplinite cteva cerine minime n raport cu
banca emitent, precum:
persoana s dein cel puin un cont curent activ;
persoana s aib ncheiat un contract de furnizare de servicii electronice bancare.
Aceste condiii pot fi suplimentate de ctre orice instituie bancar din motive ce in de
propriul proces de lucru, iar ulterior beneficiarul primete numele de utilizator i codul
personal de identificare/parola i/sau orice alt dovad similar (ex: token) a identitii
necesar autentificrii.
3.2. Mecanisme de securitate
Cnd este adus n discuie securitatea serviciilor de Internet Banking, primele lucruri la
care ne gndim de regul sunt calculatoarele i conexiunea ntre client i banc. De cele mai
multe ori ns, securitatea acestor servicii nu se rezum doar la calculatoare i conexiuni,
dei acestea rmn extrem de importante i sensibile. Msurile de securitate sunt gndite
i aplicate ca un pachet integrat i complet cu rolul de a permite maximum de beneficiu
utilizatorilor n condiii minime de risc.
Dei ponderea masurilor de natur tehnic este net superioar vom aduce n discuie toate
categoriile de msuri pentru a avea o imagine de ansamblu, astfel:

Pagin 6 din 19

Autentificarea cu user i parol Aceasta metod clasic de recunoatere a

utilizatorilor autorizai, datorit nivelului limitat de securitate pe care l ofer, este pus
la dispoziie n general pentru accesarea unor date cu cerine reduse privind nivelul de
confidenialitate sau pentru realizarea unui numr limitat de operaiuni cu un grad de
risc redus asupra clientului. Pentru stabilirea numelui de utilizator au fost adoptate
metode diferite, de la stabilirea unui set de cifre de pe un card al clientului, pn la
stabilirea acestuia de ctre utilizator n faza de contractare a serviciului.

Autentificarea cu token fizic - Dispozitivul de autentificare genereaz coduri aleatoare,

valabile pentru o singur utilizare ntr-un interval de timp prestabilit, care vor fi utilizate
de ctre utilizatori la momentul autentificrii n aplicaie i pentru semnarea
tranzaciilor efectuate prin intermediul acesteia. Dispozitivul este pus la dispoziie de
ctre banca la achiziionarea serviciului de Internet Banking i n funcie de tipul
acestuia poate fi securizat la rndul su prin intermediul unui cod PIN ales de beneficiar
la prima utilizare. n plus, tokenul fizic poate s ofere i un cod de control care apare pe
pagina de Internet Banking i care este generat n funcie de codul pentru identificare.

Autentificarea cu token virtual Aceast metod de autentificare const n

transmiterea automat prin SMS a unui cod de acces cu perioad limitat de
valabilitate. Pentru a utiliza acest mecanism de autentificare se impune comunicarea
ctre banca a unui numr de telefon pe care se dorete primirea mesajelor.

Autentificarea printr-un certificat instalat n browser Certificatele, mpreun cu un

parametru de autentificare, sunt folosite pentru verificarea identitii persoanei care
trimite mesaje i pentru a oferi posibilitatea destinatarului de a codifica/decodifica
rspunsurile. O persoan care vrea s trimit un mesaj codat, trebuie s cear mai nti
un certificat de la o autoritate de certificare i s l instaleze n browser. Dac se dorete
utilizarea serviciului de Internet Banking de pe mai multe calculatoare, utilizatorii vor
trebui s solicite i s instaleze cte un certificat pe fiecare dintre sisteme.

Aplicaii dedicate mobile banking - Pentru dispozitivele de tip mobile au fost puse la
dispoziia clienilor aplicaii specifice care ofer pe lng o interfa uor de utilizat i
siguran sporit datorit ncorporrii mecanismelor enumerate anterior (nume de
utilizator, parol/PIN i/sau token ncorporat).

Autentificarea n doi pai - Aceast metod asigur faptul ca persoana care acceseaz
contul sa fie chiar utilizatorul legitim al acestuia. Astfel, atunci cnd este implementat
aceast metod de ctre furnizorul de servicii de Internet Banking, clienii sunt obligai
s se autentifice dup dou criterii de identificare: ceva pe care utilizatorul l cunoate
(un nume de utilizator i o parol) i ceva care este foarte probabil s dein (un token
fizic, un telefon mobil etc).

Criptarea comunicaiilor - Criptarea datelor nainte de a fi transmise prin Internet

const n transformarea acestora ntr-un ir de caractere indescifrabil cu rolul de
asigurare a confidenialitii pe timpul realizrii comunicaiei ntre sistemul bncii si cel
al clientului.

Pagin 7 din 19

Limitarea numrului de ncercri euate de autentificare Cu scopul de a limita

numrul tentativelor ilicite de autentificare din partea unor persoane diferite de
beneficiarii autorizai se poate stabili un numr maxim de ncercri euate dup care se
va proceda la blocarea automat a contului de acces. Clienii legitimi pot apela la
serviciile suport puse la dispoziie de furnizorii serviciilor i n urma unei proceduri de
identificare bazat pe datele comunicate n faza de contractare i se poate debloca
contul respectiv.

Limitarea timpului de inactivitate ntr-o sesiune Pentru a elimina riscurile la care se

expun utilizatorii cnd nu se asigur de nchiderea unei sesiuni deschis n Internet
Banking, sunt prestabilii timpi maximi de inactivitate dup care se realizeaz o
dezactivare automat a sesiunii de lucru.

Limitarea orar privind efectuarea tranzaciilor cu nivel de risc ridicat Dei acest
serviciu este disponibil n permanen (24/7), unele bnci pot prestabili o serie de
ordine cu execuie imediat, iar pentru celelalte se realizeaz doar nregistrarea
acestora urmnd a fi operate n intervalul orar de lucru.

Evidena conectrilor Furnizorii de Internet Banking pot pune la dispoziie, prin

intermediul contului de Internet Banking, situaii privind conectrile realizate pe
conturile respective cu rolul de a facilita beneficiarului posibilitatea de a identifica
eventuale conectri neautorizate. Datele furnizate se vor referi n general doar la ID-ul
de sesiune, data conectrii, data deconectrii i staia de la care v-ai conectat (adresa
IP sau nume calculatorului).

Informarea clar i complet a beneficiarilor Pe site-urile publice ale furnizorilor de

servicii de Internet Banking pot fi gsite toate informaiile necesare utilizrii n condiii
optime a mecanismelor de autentificare puse la dispoziia propriilor clieni, precum i
modul de aciune al acestora n vederea remedierii situaiilor neprevzute sau solicitrii
de suport.
3.3. Indicii pentru depistarea tentativelor de fraud

Nivelul de securitate asigurat acestor servicii se bazeaz ntr-o msur semnificativ i pe

vigilenta utilizatorilor. Pentru a asigura un nivel corespunztor privind informarea i
contientizarea acestora, furnizorii de servicii de Internet Banking apeleaz n mod frecvent
la diverse canale de comunicare cu scopul de a le aduce n atenie metode privind
depistarea potenialelor tentative de fraudare. n acest ghid vor fi reluate unele dintre cele
mai frecvente indicii, astfel:

Niciun furnizor de servicii de Internet Banking nu solicita date confideniale

utilizatorilor

Indiferent de metoda prin care sunt cerute aceste date nu trebuie dat curs solicitrilor.
Bncile nu apeleaz la clienii si pentru a-i fi transmise date precum: numrul cardului,
data expirrii, PIN-ul, parola, ID-ul de logare, codul token sau orice alte date personale.
Pagin 8 din 19

Suplimentar, dac sunt constatate astfel de ncercri de furt de date ar trebui semnalat
inclusiv furnizorul n numele cruia a fost formulat solicitarea.

Nimeni nu are dreptul de a solicita unui client conectarea pe propriul cont de Internet
Banking sau transmiterea datelor personale

Acest tip de neltorie este cunoscut sub numele de phishing. De obicei apare ca un
presupus mesaj de la banc n care clienilor li se spune c trebuie s comunice sau s
introduc
ntr-un
formular
informaii
personale/confideniale
n
vederea
validrii/actualizrii i astfel ele sunt capturate n mod fraudulos de ctre necunoscui sau
ru-voitori (parol de acces, numr card, etc.).
Pentru a fi mai convingtori, acetia recurg la motivaii false precum mesaje de alertare
privind posibilitatea de a fi victima unei fraude, motiv pentru care s-ar impune verificarea
de urgent a propriilor conturi, oferind de asemenea un link pentru accesarea serviciului,
dar care n realitate redirecioneaz spre un site clonat.
Atacurile de tip phishing se folosesc de canale electronice de comunicaie (e-mail, telefon)
sau de programe ru intenionate, care exploateaz vulnerabilitile sistemului pentru a
fura date. n situaia n care se primesc mesaje de acest gen este cel mai indicat ca acestea
sa fie terse direct, fr a fi accesate, mai ales daca au inserate link-uri sau ataamente i
provin de la adrese de e-mail necunoscute.
Alternativ, dac se ncearc astfel de neltorii prin telefon este recomandat s se refuze
comunicarea datelor solicitate i contactarea furnizorului de servicii n baza datelor de
contact postate pe site-ul oficial, pentru a verifica veridicitatea solicitrii.
Un indiciu pentru a v feri dumneavoastr de astfel de fraude, l reprezint faptul c de cele
mai multe ori iniiatorii unui atac nu tiu cu ce banc lucreaz destinatarul mesajului. De
aceea, mesajele sunt transmise la ntmplare ctre liste de adrese n sperana c vor gsi
clieni cu cont la banca al crei site a fost duplicat i care nu realizeaz pericolul cruia se
expun.

Atunci cnd site-ul de Internet Banking funcioneaz cu erori sau apar solicitri
suplimentare nejustificate de reautentificare

n multe dintre situaii, erorile poteniale ar putea avea ca surs incompatibilitatea unor
aplicaii, dar uneori sunt generate de inserarea maliioas n calculatorul clientului, de ctre
persoane ru-intenionate, a unor aplicaii sau troieni (ex. Zeus, SpyEye, Citadel etc) cu rolul
de a fura datele de conectare sau de a-i redireciona ctre site-uri clonate.
Dac apar mesaje nejustificate prin care este solicitata reautentificarea unui utilizator, dei
sesiunea pe care este conectat este n continuare valid sau a fost nchis prin apsarea
butonului Logout, este cel mai probabil s fie o tentativ de furt de date. Dac se observ
erori evidente de funcionare a site-ului bncii sau al serviciului de Internet Banking (ex:
unele link-uri din meniu nu conduc spre paginile care ar fi trebuit s fie disponibile) este
foarte posibil ca utilizatorul vizat de atacator sa fi fost redirecionat ctre unul din acele
site-uri falsificate.
Pagin 9 din 19

3.4. Ce trebuie s facem pentru a ne proteja

Fiecare furnizor de servicii de Internet Banking aplic masuri de securitate pentru a asigura
confidenialitatea datelor i tranzaciilor clienilor si, dar avnd n vedere tentativele tot
mai frecvente i mecanismele tot mai complexe de furt a identitii informatice n
societatea actual este necesar ca inclusiv beneficiarii serviciilor s poat identifica o
aciune ruvoitoare i sa aplice masurile de protecie aferente. Prin urmare, aciunile
furnizorilor i ale clienilor trebuie sa fie complementare, avnd acelai obiectiv comun
respectiv protecia datelor, astfel:

Accesarea serviciul doar de pe site-ul oficial al furnizorului

Se recomand evitarea conectrii la Internet Banking prin intermediul unui link pus la
dispoziie n corpul unui e-mail (inserat doar pentru a facilita accesul la acest serviciu).

Pstrarea confidenialitii numelui de utilizator i a parolei

Dei, simpla divulgare a datelor de autentificare nu este suficient pentru a produce efecte
negative semnificative asupra unui utilizator, ele trebuie sa rmn confideniale deoarece
ar elimina poate chiar i jumtate din rolul msurilor de securitate. Similar oricror alte
credenele, fiecare utilizator nu trebuie s le divulge sau s i le noteze pe diverse medii de
stocare.

Pstrarea n condiii de siguran a token-ului

Fiecare utilizator trebuie s se asigure c token-ul care i-a fost pus la dispoziie nu rmne
nesupravegheat, iar atunci cnd securitatea acestuia este sporit prin intermediul unui cod
PIN nu-l va divulga niciunei persoane. Daca a fost constatat pierderea dispozitivului se
impune anunarea imediat a furnizorului n vederea blocrii acestuia.

Accesarea serviciului doar pe paginile HTTPS

ntotdeauna, naintea conectrii la serviciul

Internet Banking, se impune verificarea
paginii de logare afiat n browser pentru a
exista sigurana c adresa URL este de forma
https i NU http. Verificarea trebuie sa
includ de asemenea i certificatul digital al
serverului la care se realizeaz conectarea
(este suficient un dublu click pe lcelul din
dreapta jos sau cel prezentat n bara de
adrese a browser-ului). Din datele furnizate
de certificat ar trebui s fie identificate fr nicio ndoial numele companiei i numele
autoritii de certificare care l-a emis.

Pagin 10 din 19

Solicitarea clarificrilor necesare prin intermediul serviciul suport al furnizorului

Indiferent dac este exist suspiciuni privind eventuale tentative de fraudare sau exist
nelmuriri privind utilizarea uneia dintre opiunile serviciului accesat, se recomand
utilizarea facilitilor de suport puse la dispoziie de furnizorul de servicii de Internet
Banking. Pentru contactarea furnizorului recomandm a se utiliza doar datele de contact
fcute publice pe site-ul oficial.

Activarea alertelor pe telefon sau email

Dac furnizorul de servicii de Internet Banking poate pune la dispoziie, ca un control

suplimentar, mecanisme de alertare prin telefon sau e-mail privind operaiunile derulate n
conturile tale, recomandm utilizarea acestora. Astfel de alerte vor semnala toate
tranzaciile efectuate pe contul beneficiarului i ofer posibilitatea descoperirii n timp util a
operaiunilor ilicite.

Verificarea n mod regulat a conturilor

Verificarea conturilor cu regularitate poate fi considerat o alternativ la situaia n care nu

exist un mecanism automat de alertare prin SMS sau e-mail. O astfel de practic permite
identificarea tranzaciilor necunoscute, iar pentru obinerea clarificrilor necesare se
recomand contactarea imediat a serviciul suport pus la dispoziie de furnizor.

nchiderea sesiunilor de lucru

Recomandm ca dup utilizarea serviciului de Internet Banking sesiunile de lucru s fie

nchise imediat de ctre utilizator, mai ales dac sistemul de pe care s-a realizat conexiunea
va rmne nesupravegheat. Pentru aceasta, este necesar utilizarea de fiecare dat a
opiunii Logoff sau Logout la finalizarea operaiunilor.

Renunarea la opiunea de salvare a datelor de autentificare n browser

Toate browserele de Internet ofer facilitai pentru salvarea username-ului i a parolei din
aplicaiile accesate, oricare ar fi acestea. Pentru sigurana dumneavoastr, se recomand
verificare strii acestor faciliti sau optarea pentru a nu salva aceste date atunci cnd sunt
afiate aceste ntrebri.

Utilizarea serviciului doar de pe calculatoarele/dispozitivele cunoscute

Se recomand evitarea accesrii acestui serviciu de pe sisteme necunoscute, precum cele

din slile de Internet. Similar, se recomand utilizarea doar a conexiunilor wireless
cunoscute pentru accesarea Internet Banking.

Pagin 11 din 19

Schimbarea credenialelor de acces

Cu o anumit regularitate, sau mai ales atunci cnd exist bnuieli privind cunoaterea
credenialelor de acces de ctre o alt persoan, se recomand schimbarea acestor date n
msur n care sistemul pus la dispoziie de furnizorul de Internet Banking o permite.
Totodat, pentru definirea unei parole noi se recomand evitarea cuvintelor uzuale i
alegerea combinaiilor de litere mici, litere mari, cifre si/sau caractere speciale. De
asemenea, nu se recomand stabilirea parolelor de acces sau a codurilor PIN n funcie de
datele personale: ziua de natere, vrsta, etc.

Utilizarea aplicaiilor mobile doar de pe site-urile oficiale

Pentru a evita situaiile n care clienii ar putea fi pclii s utilizeze aplicaii pentru mobilebanking cu cod maliios inserat, toi furnizorii acestui serviciu i-au definit clar lista de siteuri specializate prin care se poate intra n posesia aplicaiei oficiale. Ca atare, se recomand
verificarea site-ului furnizorului pentru a identifica aceste site-uri nainte de a iniia
descrcarea aplicaiei.

4. Cumprturile online
Dei nu reprezint o practic foarte rspndita n Romnia, cumprturile online ncep s
ctige din ce n ce mai muli adepi.
Cumprturile online prezint o serie de particulariti i avantaje fa de cumprturile
clasice, cel mai important fiind preul mai redus al produselor, fa de cel din magazinele
clasice, avnd n vedere ca clientul nu trebuie sa suporte si costurile aferente unui magazin
clasic concomitent cu reducerea cheltuielilor de deplasare la sediul magazinului.
Un alt avantaj este reprezentat de faptul c pe Internet exist o varietate mult mai mare de
produse, iar preurile acestora pot fi comparate foarte uor cu cele de pe alte site-uri,
oferind posibilitatea de a alege cel mai bun pre.
4.1. Cum se efectueaz o achiziie online
Este extrem de uor s se realizeze cumprturi
de pe un site web. Este nevoie doar de un card de
debit sau credit (este recomandat cel de debit,
pentru a nu risca dect suma din cont). Dei
majoritatea cardurilor emise n Romnia, n lei,
sunt n prezent acceptate i de magazine
internaionale, cel mai bine este s se verifice
acest lucru la banca respectiv. ns, dac este
vorba despre un card Visa sau MasterCard, nu ar
trebui s existe probleme.

Pagin 12 din 19

nainte de a se face achiziia, trebuie s se creeze un cont pe site-ul respectiv (se va cere
acest lucru o singur dat). De obicei, se cere numele (uneori aa cum apare pe cardul
bancar), adresa complet, adresa de e-mail, telefon i numrul cardului (att cele 16 de pe
faa cardului, cat i ultimele trei de pe spate).
Dup aceea, tot ce trebuie fcut este s se aleag produsele i s se urmeze instruciunile
pentru plat.
Ca s nu existe probleme privind produsele achiziionate, trebuie citite cu atenie condiiile
de vnzare, pentru a se ti sigur ct timp este la dispoziie pentru returnare, dac produsul
ajunge la destinaie stricat sau nu se mai dorete achiziionarea acestuia.
Chiar i n condiiile n care se utilizeaz cel mai recent i mai sigur browser, un calculator
echipat cu firewall, program antivirus i anti-spyware, este important sa se pstreze
vigilena atunci cnd se realizeaz cumprturi on-line, iar pentru aceasta trebuie urmate
cteva reguli elementare, astfel:

Cumprturile se vor face din magazine online cunoscute i de ncredere. Trebuie

ales ca punct de plecare un site cunoscut i de ncredere, n loc s se utilizeze un
motor de cutare web. De asemenea, chiar dac se acceseaz o adres cu nume
cunoscut gen amazon.com, este necesar s se acorde o atenie deosebit la modul
n care este scris (litere omise sau incorecte) i domeniul unde este gzduit (de
genul .net n loc de .com). Adeseori, aceste mici erori ascund, de fapt, site-uri pirat
concepute astfel nct s semene ca nume cu originalul, cu scopul de a vinde
produse fictive sau, mai ru, pentru a transfera banii din conturi.

Niciodat nu se vor face cumprturi online, cu cardul bancar, de pe un site care

nu este criptat cu protocolul SSL (Secure Sockets Layer). Ssite-ul utilizeaza acest
protocol dac adresa afiat n bara browser-ului ncepe cu HTTPS:// (n loc de
HTTP://), iar n bara de adrese sau pe bara de la baza paginii, este afiat o mic
imagine a unui lact nchis.

Nu se vor furniza mai multe informaii dect este necesar i normal. n general,
magazinele online nu cer CNP-ul, sau data naterii, pentru a perfecta o tranzacie.
Pe de alt parte, dac rufctorii obin asemenea detalii, mpreun cu numrul
cardului de credit folosit la cumprturi, pot comite mult mai multe ilegalitati. Cu
ct afla mai multe detalii, cu att le este mai uor s fure identiti, fie pentru a goli
conturile, fie pentru alte acte ilegale mult mai grave.

Trebuie verificate cat se poate de des operaiunile din contul bancar pentru a
vedea daca exist tranzacii suspecte sau ctre alte conturi fa de cele tiute;

Este foarte important sa se utilizeze numai computerul personal pentru

cumprturi. Orice tranzacie online necesit securitate ridicat, iar dac se
efectueaz de pe un dispozitiv care nu aparine cumprtorului, de fapt, datele
personale sunt puse la dispoziia posesorului acelui calculator. Evident, este total
contraindicat s se foloseasc n acest scop un computer public (ex. Internet-cafe,
sau terminale puse gratuit la dispoziia publicului n diverse instituii sau centre
comerciale), dar nici chiar computerul sau telefonul unei cunotine nu reprezint
alternative recomandabile, pentru c nu se cunoate nivelul de securitate i cine
mai are acces la acel terminal.
Pagin 13 din 19

Sunt de evitat ofertele de nerefuzat deoarece de multe ori sunt neltoare.

Dac un produs este oferit mult sub preul pieei, apare ntrebarea de ce?. Ce
ctig comerciantul care d aproape gratis ceva care, altfel, este foarte scump?
Amazon, eBay, chiar i site-uri autohtone abund de asemenea oferte.
4.2. nrolarea cardului de cumprturi online n sistemul 3D-Secure

3D Secure este un sistem antifraud dezvoltat de Visa i

MasterCard. Folosirea acestui sistem permite creterea
securitii tranzaciilor online, prin solicitarea unei parole la
fiecare plat online. n caz de pierdere sau furt, cardul
nrolat la 3D Secure, nu poate fi folosit de tere persoane
pentru cumprturi online, dac acestea sunt realizate la
comercianii nrolai n 3D Secure.
Deintorul cardului se poate orienta pentru cumprturi numai ctre site-urile care
afieaz logo-urile Verified by Visa sau Mastercard SecureCode. n aceste magazine virtuale,
utilizatorul este invitat s se autentifice la fiecare tranzacie pstrnd astfel controlul
asupra cumprturilor on-line.
Procesul de autentificare nu necesit instalarea vreunei aplicaii speciale pe computerul
clientului i nici nu ngreuneaz navigarea pe Internet i determin creterea ncrederii n
aceasta modalitate de a cumpra bunuri/servicii.
Marele dezavantaj al acestui sistem const n faptul c nu ofer o protecie suplimentar
clienilor nrolai, n cazul n care cumprturile se realizeaz la comerciani ce nu sunt
nrolai n acest sistem. 3D Secure ar fi cu adevrat un mijloc eficient de protecie mpotriva
utilizrii neautorizate a cardurilor bancare daca toi comercianii din lume ar fi nrolai n
acest sistem.
Funcionarea serviciului 3D Secure implic efortul comun al bncilor emitente de carduri, al
bncilor cu care posesorii magazinelor virtuale au ncheiat contracte de acceptare la plat a
cardurilor, al comercianilor respectivi i al organizaiilor internaionale de carduri. Pe
msur ce tot mai multe magazine virtuale mpreun cu bncile lor i tot mai multe bnci
emitente de carduri ader la acest serviciu, crete ncrederea tuturor parilor implicate n
tranzaciile pe Internet i implicit volumul acestora, scznd concomitent riscul de fraud.

Pagin 14 din 19

5. Ghid practic pentru clienii online

5.1. Protecia sistemelor clienilor
n timp ce Internetul ofer avantaje i oportuniti enorme, prezint de asemenea diverse
riscuri de securitate. n mod normal furnizorii de servicii de Internet Banking sau
magazinele online nu au nicio influen asupra sistemelor utilizate de clienii lor, iar
asigurarea securitii la nivelul acestor echipamente le revine n ntregime acestora din
urm.
Riscurile cele mai frecvente la care se expun clienii atunci cnd utilizeaz Internetul
constau n accesarea, tergerea sau modificarea datelor de ctre teri n timp ce sunt
procesate i transmise sau obinerea de informaii sub pretexte false. Aceste riscuri pot
deveni efective cu ajutorul:
Viruilor i viermilor de reea: programe care se auto-multiplic i rspndesc sau
sunt transmise prin e-mail i care pot deteriora sistemele informatice;
Troieni: programe care, fr tiina utilizatorului, pot compromite securitatea
calculatoarelor (de exemplu, prin interceptarea parolelor);
Phishing: tehnic ce const n folosirea unui nume, site sau adres fals n scopuri
frauduloase;
Pharming: tehnic ce const n redirecionarea utilizatorilor ctre un server
fraudulos;
Rootkit-uri: software maliios ce ofer acces neautorizat cu privilegii de
administrator;
Hacking: nglobeaz toate tehnicile utilizate n vederea accesrii neautorizata a unui
calculator prin intermediul Internetului.
Dei companiile au implementate msuri tot mai complexe de securitate susinute prin
bugete anuale semnificative n vederea asigurrii proteciei propriilor sisteme, pentru a
avea un mediu virtual securizat prin care s se deruleze operaiunile oferite prin aceste
servicii online se impune o implicare inclusiv a clienilor prin protejarea propriilor sisteme.
Suplimentar msurilor i recomandrilor enunate n capitolul anterior de data aceasta ne
referim la cele tehnice, dup cum urmeaz:

Utilizarea programelor anti-virus i anti-spyware

Astfel de programe protejeaz calculatoarele s nu se infecteze cu aplicaiile maliioase

prezentate anterior. Datorit sofisticrii permanente a acestor atacuri este esenial s fie
asigurat periodic actualizarea semnturilor antivirus pentru a avea o protecie eficient.
Un astfel de program se poate cumpra sau descarc gratuit de pe Internet, sub restricia
folosirii n scop personal.
Recomandm a nu se folosi mai muli antivirui odat deoarece securitatea nu este dublat
i n plus programele s-ar putea ncurca unul pe altul. Trebuie avut in vedere utilizarea unui
produs antivirus funcional deoarece multe calculatoare sunt cumprate cu un antivirus
trial preinstalat, ce are o durat limitat de funcionare, iar dup expirare necesit
cumprarea unei licene pentru acel produs. n acest caz este indicat achiziionarea
Pagin 15 din 19

licenei, dar dac acest lucru nu este posibil recomandm folosirea unei variante gratuite n
locul uneia nefuncional.

Utilizarea programelor de tip firewall

Aceste aplicaii au capacitatea de a depista, investiga i bloca ncercrile de transmitere a

datelor furate din sistem sau a conectrilor neautorizate la propriul sistem. Totodat, ofer
posibilitatea selectrii programelor i aplicaiilor ce se pot conecta la Internet.

Instalarea patch-urilor sistemului de operare i ale browser-ului

Se recomand utilizarea unei versiuni ct mai recente a sistemului de operare ales i

configurarea opiunilor de actualizare astfel nct s fie instalate automat update-urile de
securitate critice, n cel mai scurt timp posibil. Lipsa acestor patch-uri poate lsa deschise
unele bree de securitate la nivelul sistemului clientului i/sau pot crea probleme de
compatibilitate cu aplicaiile de Internet Banking sau online shopping.

Verificarea compatibilitii browser-ului folosit

Pentru navigarea pe Internet se recomand folosirea unui browser ct mai modern i

actualizat ntruct, din punct de vedere a securitii pe care o ofer, cele mai recente
nglobeaz mbuntiri semnificative.
Trebuie avut n vedere faptul c pot exista diferene de compatibilitate ntre aplicaiile puse
la dispoziie de furnizorul de servicii de Internet Banking i brawserul utilizat pe calculatorul
sau mobilul clientului.
De regul aceste aspecte sunt testate, identificate i publicate de ctre furnizor pe site-ul
oficial. Pentru a evita astfel de neplceri se recomand s fie consultate aceste date i
instalat un alt browser dac este cazul. Totodat, este indicat configurarea browser-ului
astfel nct s accepte notificrile de securitate emise de acesta, deoarece aplicaiile de tip
browser cele mai cunoscute emit avertizri n cazul n care este vizitat un site care a fost
raportat ca fiind maliios.

Protejarea contului de acces la sistem sau mobil printr-o parol complex

Pentru a evita accesarea neautorizat a propriului sistem de calcul sau dispozitiv mobil, att
fizic ct i de la distan, se recomand protejarea printr-o parol de acces. Protecia oferit
de aceasta este proporional cu lungimea, complexitatea i frecvena de schimbare. Mai
mult, nu se recomand utilizarea aceleiai parole pentru accesarea mai multor resurse
informatice diferite (ex: sistem de operare, e-mail, Internet Banking etc).
Simultan, este necesar dezactivarea tuturor conturilor neutilizate ale sistemului de
operare, mai ales pe acelea care nu solicita parol de acces (de exemplu, conturile
Guest), i configurarea screensaver-ului astfel nct s solicite reautentificarea prin parol
la deblocarea ecranului. Acest lucru va preveni utilizarea calculatorului personal de ctre o
persoan neautorizat atunci cnd nu este supravegheat, mai ales daca este utilizat un
sistem informatic la care pot avea acces i alte persoane.

Pagin 16 din 19

Activarea opiunii tergere de la distan pentru dispozitivele mobile

n cazul dispozitivelor mobile, care sunt mai frecvent supuse riscurilor de pierdere sau furt,
se recomand utilizarea opiunii de tergere de la distan a datelor de pe acestea daca o
persoan neautorizat ncearc s obin acces la datele stocate.

Utilizarea exclusiv a aplicaiilor software liceniate

Din punct de vedere al securitii datelor, aplicaiile software utilizate fr a licen pot
prezenta o serie de vulnerabiliti sau bree de securitate semnificative. Din acest motiv, se
recomand utilizarea doar a aplicaiilor liceniate si procurate din surse sigure pentru a nu
deveni victima unor persoane ru-intenionate.

Utilizarea doar a reelelor wireless securizate

Pentru limitarea accesului neautorizat la astfel de dispozitive se recomand n primul rnd

setarea unei parole de acces pentru reeaua wireless personal i daca este posibil, evitarea
utilizrii protocolului de securizare WEP, lund n considerare alternativele WPA sau WPA2
cu PSK. De asemenea este foarte important s se evite accesarea contului bancar sau
realizarea de cumprturi on-line prin conexiuni la reele wireless publice.
n dorina de a veni n sprijinul utilizatorilor propriilor servicii, unii furnizori de Internet
Banking au mers mai departe i ofer, n mod gratuit pe baza unor parteneriate cu firme
importante n domeniul securitii informatice, aplicaii/soluii de securitate destinate
protejrii sistemelor de calcul ale acestora.
5.2. Protejarea datelor personale
Datele personale reprezint acele informaii cu privire la o persoan fizic identificat sau
identificabil. Cele mai cunoscute astfel de informaii sunt cele ce in de nume, prenume,
data naterii, codul numeric personal, adresa, numrul de telefon, contul bancar etc., n
general, orice informaie care poate duce la identificarea unei persoane.
Cnd vine vorba despre tranzacionarea on-line, n condiii de siguran, prevenirea este
mult mai important i mai util dect combaterea. Cumprtorii trebuie s rmn tot
timpul vigileni i precaui n divulgarea informaiilor personale att pe site-urile de
socializare cat i prin rspuns la mesajele e-mail nesolicitate.
Trebuie avut n vedere faptul ca hoii de identitate au nevoie doar de cteva informaii
cheie, care puse cap la cap le ofer accesul acestora la conturile dumneavoastr. Protejarea
mpotriva acestor ameninri nu este att de dificil precum pare. Sunt doar cteva aspecte
ce trebuie avute n vedere de fiecare cumprtor nainte de a face tranzacii on-line:

Este foarte important s se verifice politica de confidenialitate a comerciantului

privind datele personale ale clienilor, dobndite n timpul procesului de
tranzacionare. Trebuie neles modul n care se realizeaz administrarea acestor
Pagin 17 din 19

date, iar n cazul n care nu se consider politica aplicat ca fiind acceptabil, se

poate avea n vedere opiunea privind adresarea ctre un alt comerciant;
Indiferent de situaie, nu se recomand divulgarea parolelor personale, iar pentru
evitarea compromiterii acestora este indicat schimbarea periodica a acestora;
Pentru selectarea unei parole complexe care poate oferi un grad mai ridicat de
protecie, se recomand folosirea unei combinaii de litere mari, litere mici, cifre i
caractere speciale, astfel nct aceasta s nu fie uor de ghicit. Cu ct aceasta este
mai lung i mai complex, cu att este mai greu de spart sau ghicit;
Daca exist posibilitatea, se recomand utilizarea unei metode de autentificare cat
mai puternica - strong authentication. O persoan ru-intenionat poate avea
anse s ghiceasc numele de utilizator i parola de acces dar ii este foarte greu sa
intre n posesia dispozitivului (token, smartcard sau telefon mobil) care genereaz
codul de securitate One Time Password - OTP necesar realizrii unei autentificri
puternice (cu doi factori);
Este necesar verificarea cu atenie a setrilor de confidenialitate aferente
conturilor de pe site-urile de socializare i se recomand configurarea de la nceput
a acestora pentru a oferi maximum de securitate, urmnd a le diminua restriciile n
cazul n care sunt ntmpinate dificulti n exploatare;
Se recomand vigilen n selectarea persoanelor de pe reelele de socializare
deoarece oricine poate crea un cont cu orice nume dorete i n unele situaii nu
reflect realitatea;
nainte de a publica informaii personale pe diverse site-uri care n general sunt
utilizate de companii sau organizaii pentru a verifica identitatea utilizatorilor (data
i locul naterii, numele mamei nainte de cstorie etc) se recomand ca decizia de
publicare s fie bine justificat;
Cnd se solicit completarea formularelor on-line pe anumite site-uri, trebuie avut
n vedere faptul c nu toate cmpurile sunt obligatorii i recomandm completarea
doar a acelor informaii fr de care nu se poate trece mai departe n aplicaie;
Cnd se solicit selectarea ntrebrilor i precizarea rspunsurilor proprii ca metod
alternativ de autentificare n cazul uitrii parolei, mai ales pe site-uri care nu sunt
foarte importante pentru dumneavoastr, trebuie avut n vedere faptul c nu este
necesar ca acestea s fie adevrate i n nici un caz nu este obligatorie selectarea
aceluiai set de ntrebri i rspunsuri folosite pe site-urile importante sau la
serviciu;
Ocazional, se recomand utilizarea motoarelor de cutare pentru a identifica ce fel
de informaii personale sunt disponibile in Internet, iar n cazul n care sunt
identificate i date pentru care nu se mai dorete publicarea, v recomandm s
contactai proprietarii site-urilor respective pentru a le terge;
n funcie de posibilitile proprii se recomand criptarea tuturor mediilor de
stocare (HDD, Memory Stick etc.) aflate n posesia dumneavoastr i n special cele
pe care sunt stocate informaii personale sensibile (fotografii, factui, documente
scanate, etc.);
Recomandm distrugerea tuturor mediilor de stocare la care urmeaz a se renuna,
mai ales dac au coninut informaii personale (HDD-uri, CD-uri, Memory Stick-uri,
hrtii etc) deoarece acestea sunt adesea reutilizate iar informaiile pot fi recuperate
cu uurin.

Pagin 18 din 19

Pe site-urile multor comerciani exist opiunea salvrii datelor personale astfel nct s fie
disponibile i mai trziu pentru cazurile n care se dorete realizarea altor tranzacii.
Comercianii permit de obicei stocarea datelor referitoare la nume, adres de livrare i
facturare, preferine de plat i detalii financiare cum ar fi numrul cardului de credit sau
informaii legate de contul bancar. Stocnd astfel de informaii pe site-urile comercianilor
apar riscuri suplimentare deoarece:
Prin creterea numrului locurilor n care sunt stocate informaii personale crete
proporional numrul posibilitilor ca acestea sa fie compromise.
Prin stocarea datelor pe o perioada nedeterminat de ctre comerciani se extinde
perioada n care poate apare posibilitatea compromiterii acestora. Chiar i prin
implementarea unei politici de securitate destul de sofisticat, n timp acetia pot
deveni intele unor atacuri, iar datele clienilor vor fi supuse riscurilor.

6. BIBLIOGRAFIE
1. Regulament nr. 6 din 11.oct.2006, publicat n Monitorul Oficial Partea I 927
15.noi.2006, privind emiterea i utilizarea instrumentelor de plat electronic i
relaiile dintre participanii la tranzaciile cu aceste instrumente.
2. www.enisa.europa.eu
3. www.financiarul.ro

Pagin 19 din 19