Öryggismál

Lykilorð og netbanki/app

  • Gefðu aldrei upp lykilorð netbankans þíns í síma eða tölvupósti. 
  • Ekki skrá lykilorðið þitt inn á öðrum vefsíðum en sjálfum netbankanum (https://netbanki.arionbanki.is/).
  • Notaðu flókin lykilorð með hástöfum, lágstöfum, tölum og táknum.
  • Forðastu að fara inn á netbankann í almenningstölvum.
  • Ekki láta neinum í té öryggisupplýsingar svo sem reikningsnúmer, merki reiknings, PIN-númer eða öryggiskóða.
  • Ef það birtast óvenjulegir sprettigluggar (e. pop-up) eða ef tölvan er óvenju hægvirk mælum við með að þú látir fagaðila skoða hvort tölvan er smituð af spilliforriti.
  • Tilkynntu óvenjulegar færslur í netbanka eða appi strax til bankans.

Tölvupóstur frá Arion banka

  • Við biðjum þig aldrei að svara til að staðfesta persónulegar eða öryggistengdar upplýsingar.
  • Við biðjum þig aldrei um að gefa upp upplýsingar á borð við vegabréfsnúmer, kreditkortanúmer, CVV/CVC kóða eða gildistíma.

Örugg bankaviðskipti með snjalltæki

  • Ekki geyma netbanka notandanafn, lykilorð eða merki reiknings í snjalltækinu.
  • Ekki gera breytingar á snjalltækinu þínu sem gæti veikt varnir þess, t.d. með að setja upp ósamþykktar breytingar á stýrikerfi framleiðanda.
  • Forðastu að deila tækjum með öðrum og notaðu eigin snjalltæki til að skrá þig inn í netbanka eða appi.
  • Ekki láta snjalltækið frá þér meðan þú ertu skráður inn í netbankann eða appið.
  • Gættu þess að skrá þig út úr netbankanum eða loka appinu þegar þú ert ekki lengur að nota það.
  • Þegar snjalltæki er selt eða tekið úr notkun ætti að hreinsa öll gögn út af því skv. leiðbeiningum framleiðanda.
  • Ekki eiga bankaviðskipti yfir þráðlaus net sem eru á almenningssvæðum, t.d. á opnum svæðum hótela og kaffihúsa.
  • Notaðu eingöngu þráðlaus net sem eru varin með WPA (Wi-Fi Protected Access).
  • Notaðu vafra sem fylgir með snjalltækinu eða vafra frá viðurkenndum framleiðanda sem sótt er úr verslun snjalltækja framleiðanda, t.d. Apple store.
  • Ekki setja upp forrit í snjalltæki nema það komi úr verslun snjalltækja framleiðanda og kynntu þér aðgangsheimildir sem forritið biður um áður en þú setur það upp.
  • Uppfærðu reglulega hugbúnað snjalltækisins, bæði stýrikerfi og öpp, sérstaklega öryggisuppfærslur.

Farðu varlega í símtölum

Ef þú færð grunsamleg símtöl frá aðila sem segist vinna hjá bankanum þínum getur þú t.d. gert eftirfarandi:

  • Skrifaðu niður eða vistaðu númerið sem hringt er úr, ef það sést.
  • Biddu þann sem hringir að gera grein fyrir sér og starfi sínu áður en lengra er haldið. Til dæmis má spyrja hjá hvaða deild viðkomandi vinni og hvert skrifstofunúmerið hjá honum sé.
  • Spyrðu viðkomandi hvernig hann hafi fengið símanúmerið og hvaðan hann hafi upplýsingar um reikninga þína.
  • Biddu þann sem hringir að hringja aftur ef hljóðgæði eru lítil.
  • Aldrei láta þann sem hringir í té persónuupplýsingar, svo sem notandanafn, lykilorð eða merki reikninga.
  • Ekki hika við að skella á ef símtalið leggst illa í þig.
  • Vinsamlegast tilkynntu bankanum um allar slíkar upphringingar, t.d. með tölvupósti til oryggisstjori@arionbanki.is.

Tilraunum til fjársvika hefur fjölgað undanfarin misseri, sem kallar á aukna áherslu á netöryggi einstaklinga og fyrirtækja. Ástæða er til að vara sérstaklega við tveimur fjársvikaaðferðum sem hafa verið áberandi upp á síðkastið; svokölluðum fyrirmælafölsunum (BEC) og vefveiðum (phishing).

Fyrirmælafalsanir

Svik í formi fyrirmælafalsana fara fram með þeim hætti að falsaðir tölvupóstar eru sendir til starfsfólks fyrirtækja, oft undir nafni stjórnenda, með fölskum fyrirmælum um framkvæmd greiðslu. Oft eru svikahrapparnir vel undirbúnir og fölsuðu fyrirmælin mjög trúverðug.

Dæmi um fyrirmælafölsun

1.

Undirbúningur

Svikahrappar leggja mikla vinnu í undirbúning. Finna út hvenær breyting verður í fyrirtækinu t.d. að yfirmaður fari í frí.

2.

Falsaður póstur sendur

Svikahrappar sendir falsaðan póst í nafni yfirmanns á starfsmann með fyrirmælum um að framkvæma millifærslu sem fyrst. 

3.

Pressa sett á starfsmann

Svikahrappur sendir ítrekun á starfsmann í nafni yfirmanns og tekur fram að ekki náist í hann til staðfestingar þar sem hann sé í fríi.

4.

Millifærsla framkvæmd

Starfsmaður lætur undan pressunni og millifærir á reikning sem er í eigu svikahrappsins.

Hvernig koma skal í veg fyrir fyrirmælafalsanir

Mikilvægt er að fyrirtæki og einstaklingar geri viðeigandi ráðstafanir til að minnka líkurnar á svikum, bæði í formi kennslu og öruggra verkferla. Hér fyrir neðan eru sex ráð til að verjast fyrirmælafölsunum:

  • Fræða starfsfólk um einkenni fyrirmælafalsana og þjálfa það í að þekkja hætturnar.
  • Leggja áherslu á smáatriðin í fyrirmælum svo sem netfang, birtingarnafn, greiðsluupplýsingar og athuga hvort fleiri hafi fengið svipaðan póst.
  • Ekki láta undan pressu og vera meðvituð um að ítrekanir eru til að láta starfsfólkið gera mistök.
  • Hluti af öruggu verklagi er að greiðslubeiðnir skulu vera staðfestar með símtali og áhersla lögð á að tölvupóstur er ekki öruggur samskiptamáti.
  • Undantekningalaust skal staðfesta breyttar greiðsluupplýsingar birgja með símtali.
  • Tryggja að greiðslusamþykktarferli sé til staðar og að verklagsreglur séu uppfærðar og þeim fylgt.

Vefveiðar

Svik í formi vefveiða fara fram með þeim hætti að svikahrappar reyna að blekkja fólk með trúverðugum skilaboðum í tölvupósti eða smáskilaboðum til að sannfæra fólk um að smella á slóð, hlaða niður hugbúnaði fjársvikara eða opna viðhengi. Markmið svikahrappanna er að komast yfir upplýsingar á borð við notendanöfn, lykilorð, bankareikningsupplýsingar, leyninúmer bankareikninga, greiðslukortanúmer, CVC númer og fleiri viðkvæmar upplýsingar og gögn.

Dæmi um vefveiðar

1.

Fölsk skilaboð móttekin

Falskur póstur eða smáskilaboð berst sem virðist vera frá heiðvirðu fyrirtæki og er móttakandi hvattur til að smella á hlekk.

2.

Fölsk vefsíða út frá hlekk

Móttakandi smellir á hlekkinn sem leiðir hann á falska vefsíðu sem í fyrstu virðist traustverðug.

3.

Upplýsingum stolið

Á fölsku vefsíðunni er beðið um viðkvæmar upplýsingar s.s. notendanafn, lykikorð, leyninúmer, kortaupplýsingar eða cvc númer.

4.

Upplýsingar notaðar

Á þessu stígi eru svikahrapparnir komnir með skráðar upplýsingar sem þeir nota til að stela fé eða til annars konar svika.

Hvernig koma skal í veg fyrir vefveiðar

Vefveiðar eru síbreytilegar en algengast er að þær séu í formi tölvupósta eða smáskilaboða. Mikilvægt er að þekkja einkenni vefveiða og að viðeigandi ráðstafanir séu gerðar til að koma í veg fyrir að fólk falli í gildru. Hér fyrir neðan eru sex ráð til að verjast vefveiðum:

  • Þekkja einkenni vefveiðanna og gera sér grein fyrir því að tölvupóstarnir, vefsíðurnar og skilaboðin eru oft mjög trúverðug og innihalda falsaðar yfirlýsingar svo sem logo fyrirtækja og nöfn starfsmanna.
  • Aldrei skal deila öryggisupplýsingum með öðrum. Mikilvægt er að hafa í huga að bankar, stofnanir og heiðvirð fyrirtæki biðja ekki um viðkvæmar upplýsingar eins og lykilorð, leyninúmer eða aðrar persónuupplýsingar í gegnum tölvupóst eða smáskilaboð.
  • Aldrei slá inn notendanafn eða lykilorð á síður sem spretta upp eftir að smellt er á hlekki.
  • Mikilvægt er að notast við tveggja þátta auðkenningu á tækniþjónustur s.s vefpóst, Facebook og aðrar persónulegar þjónustur.
  • Mikilvægt er að setja upp nýjustu hugbúnaðar- og öryggisuppfærslur á allan búnað s.s. tölvuna, símann og spjaldtölvur.
  • Gott er að leggja það í vana að nota mismunandi lykilorð fyrir ólíkar þjónustuleiðir.

Ef netsvik eiga sér stað skal umsvifalaust gera eftirfarandi

Í öllum tilfellum þar sem grunur leikur á að fyrirtæki hafi orðið fyrir netárás eða einhverskonar svikum skal haft samband við viðskiptabanka fyrirtækisins sem í framhaldinu fer í viðeigandi ferli með yfirvöldum og öðrum bönkum og leitast við að stöðva svikin og endurheimta féð. Einnig er mikilvægt að hafa samband við lögregluna beint og einnig í gegnum abendingar@lrh.is.

Hægt er að kynna sér netsvik nánar á eftirtöldum vefsíðum:

Netoryggi.is 
Logreglan.is 
Samtök fjármálafyrirtækja 
Persónuvernd 
SAFT 
Enisa 

Senda skal tilkynningar um netsvik til Arion banka á netfangið netsvik@arionbanki.is.

Einnig er mikilvægt að hafa samband við lögregluna beint og einnig í gegnum netfangið abendingar@lrh.is.

Kortasvik

Þó kortasvik séu fátíð og reynt sé eftir bestu getu að tryggja öryggi korthafa með áhættustýringu og svikavöktun, þá koma því miður alltaf upp einhver tilfelli og þess vegna er mikilvægt að viðskiptavinir séu á varðbergi gagnvart þeim. Hér að neðan eru upplýsingar um algeng kortasvika sem við hvetjum viðskiptavini okkar til að kynna sér vel.

Svikapóstar og SMS

Algeng aðferð við kortasvik er að senda tölvupóst eða SMS með skilaboðum um að það bíði sending eða að það þurfi að uppfæra upplýsingar á vefsíðu. Í skilaboðunum er viðkomandi beðinn um að smella á hlekk sem vísar inn á falska vefsíðu sem er látin líta út eins og síða hjá þjónustufyrirtæki eins og Netflix, hjá póstfyrirtæki, t.d. DHL eða Póstinum, eða líkist greiðslusíðu fjármálafyrirtækis. Þar er farið fram á að skráð sé inn kortanúmer og cvv-númer og eru dæmi um að svikahrappar nýti sér kortaupplýsingar sem þeir komast yfir með þessum hætti. Þurfa korthafar því ávallt að gæta fyllstu varúðar.

Fölsk skilaboð móttekin

Falskur tölvupóstur eða SMS berst sem virðist vera frá heiðvirðu fyrirtæki og viðtakandi er hvattur til að smella á hlekk.

Fölsk vefsíða
undir hlekk

Viðtakandi smellir á hlekkinn sem leiðir hann á falska vefsíðu sem við fyrstu sýn virðist vera traustsins verð.

Upplýsingum
er stolið

Á fölsku vefsíðunni er beðið um viðkvæmar upplýsingar, svo sem kortanúmer, cvv-númer og öryggisnúmer vegna vottunar Visa sem korthafi fær sent í SMS.

Upplýsingar notaðar

Á þessu stigi eru svikahrapparnir komnir með skráðar upplýsingar til að svíkja fé út af kortinu, ásamt því að vera með einkvæmt öryggisnúmer sem vottun Visa til að staðfesta netfærsluna.

Ef korthafi fær SMS með öryggisnúmeri fyrir vottun Visa er mikilvægt að skoða alltaf hvort upphæð, mynt og nafn seljanda í SMS stemmi við viðskiptin; því staðfesting með öryggisnúmeri á netinu jafngildir því að staðfesta viðskipti með PIN-númeri og slíkar færslur eru óafturkræfar.

Við mælum eindregið með að korthafar gefi sér góðan tíma til að yfirfara allar upplýsingar áður en gefin eru upp kortanúmer og öryggisnúmer. Ef vafi leikur á réttmæti viðskiptanna skal ekki gefa upp kortaupplýsingar heldur leita eftir ráðgjöf hjá bankanum.

Kortasvik í raftækjaverslunum erlendis

Af og til koma upp svik í tengslum við viðskipti sem korthafar eiga við smærri rekstraraðila erlendis, oft raftækjaverslanir. Svikin snúast þá annað hvort um að viðskiptavinur er ekki að fá afhenta þá vöru sem hann taldi sig vera að kaupa eða hann er plataður til að samþykkja háar færslur með því að slá inn PIN-númer. Nokkur slík tilvik hafa komið upp í raftækjaverslunum á Tenerife sem er vinsæll áfangastaður hjá Íslendingum og hér að neðan er dæmi um hvernig slík svik geta verið í framkvæmd.

Viðskiptavinur festir kaup á tæki á borð við síma, spjaldtölvu eða Android box, en með tækjunum er í boði að kaupa áskrift að sjónvarpsstöðvum. Svikin geta verið tvíþætt: í einhverjum tilfellum eru tækin sem viðskiptavinur fær verðminni en umbúðir gefa til kynna en algengara er að viðskiptavinur sé svikinn þegar hann samþykkir að kaupa áskrift að sjónvarpsstöðvum með tækinu. Seljandi heldur þá tækinu eftir til uppfærslu og biður korthafa að koma síðar að sækja tækið, yfirleitt á brottfarardegi viðskiptavinarins. Þá er korthafi beðinn um að staðfesta háa færslu með PIN-númeri en oft heldur seljandi því fram að aðeins sé um heimild að ræða vegna sjónvarpsáskriftar sem verði bakfærð síðar. Þar sem þessi staðfesting með PIN-númeri fer venjulega fram í tímaþröng á brottfarardegi, þá aukast líkur á að korthafi gæti ekki að sér og samþykki háar færslur með PIN-númeri. Seljandi afhendir korthafa hvorki gögn né skilmála varðandi hvað hann var að samþykkja með því að slá inn PIN-númerið og enga skriflega staðfestingu á því að færslan verði bakfærð. Færslan er svo aldrei bakfærð af seljanda og hún er óafturkræf þar sem hún er staðfest með PIN-númeri korthafa og hann hefur engin gögn sem sýna fram á að það eigi að endurgreiða færsluna.

Við viljum hvetja viðskiptavini til að vera á varðbergi og staðfesta aldrei færslu með PIN-númeri nema til að ganga frá kaupum á vörum eða þjónustu og passa ávallt að skoða vel hvaða upphæð er verið að samþykkja með því að slá inn PIN-númer á korti.

Gyllitilboð – of gott til að vera satt

Ef tilboð hljómar grunsamlega gott, eða ef eitthvað í umgjörð verslunar virkar grunsamlegt, þá ráðleggjum við þér að staldra við, að minnsta kosti þar til þú hefur kynnt þér hlutina betur. Í netverslun er mikilvægt að kynna sér vöruna og seljanda hennar áður en þú gefur upp kortaupplýsingar. Ef seljandi er óþekktur er gott að leita að nafni verslunarinnar á netinu eða spyrjast fyrir um reynslu annarra. Dæmi um tilboð sem ráðlagt er að skoða sérstaklega vel eru til dæmis: óvænt endurgreiðsla, arfur, vinningur eða tilboð sem lofa skjótfengnum gróða, s.s. verðbréf, Bitcoin eða önnur rafmynt.

Góð ráð fyrir netverslun

Við viljum að lokum benda viðskiptavinum okkar á góð ráð sem Arion banki hefur tekið saman um netverslun en upplýsingar um þau má nálgast hér.

Ef korthafi lendir í kortasvikum er mikilvægt að hafa strax samband við þjónustuver Arion banka og láta loka kortinu til að koma í veg fyrir frekara tjón. Utan afgreiðslutíma bankans er hægt að hringja í neyðarnúmer Valitor í síma 525-2000.

Góð ráð þegar verslað er á netinu

Netverslun hefur aukist mikið enda einföld og þægileg leið til að ganga frá kaupum. Það er yfirleitt einfalt að versla á netinu en við hvetjum viðskiptavini okkar að hafa eftirfarandi atriði í huga til að auka öryggi og tryggja að kaup fari vel fram.

Kynntu þér við hvern þú verslar

Það er mikilvægt að þekkja vöruna og seljandann áður þú gefur upp kortaupplýsingar. Ef seljandi er óþekktur er gott að leita að nafni verslunarinnar á netinu eða spyrjast fyrir um reynslu annarra. Öruggast er að versla við aðila sem þú þekkir og veist að aðrir hafa góða reynslu af.

Ef þú ert að versla á netinu og átt von á sendingu, hafðu þá augun opin og kannaðu eftirfarandi vel:

  • Ertu sannarlega að fá skilaboð frá þeim aðila sem þú varst að versla við? Er vefslóðin rétt? Er netfangið eðlilegt?
  • Er upphæðin í skilaboðunum í þeim gjaldmiðli sem þú varst að versla?
  • Stemmir upphæðin sem þú verslaðir fyrir við þá upphæð sem fylgir með SMS skilaboðum með staðfestingarkóda?
  • Sértu í minnsta vafa um að upplýsingarnar séu réttar skaltu byrja á að hafa beint samband við söluaðilann.

Hér fyrir neðan er dæmi um SMS skilaboð í tengslum við vefverslun. Fara skal vel yfir hvort upphæð, gjaldmiðill og söluaðili stemmi. Ef færsla er staðfest hjá söluaðila með slíkum kóda þá er hún óafturkræf. Því miður eru dæmi um að korthafar hafið tapað háum upphæðum vegna svika af þessum toga.

Varastu tilboð sem eru of góð til að vera sönn

Ef tilboð hljómar grunsamlega gott eða eitthvað í umgjörð verslunar er grunsamlegt ráðleggjum við þér að hætta við kaupin, að minnsta kosti þar til þú hefur kynnt þér hlutina betur. Dæmi um tilboð sem ráðlagt er að skoða sérstaklega vel eru t.d. óvænt endurgreiðsla, arfur, vinningur eða tilboð sem lofa skjótfengnum gróða s.s. verðbréf, Bitcoin eða annar rafeyrir.

Frí prufa á netinu

Lestu skilmála vel ef þú skráir kortið þitt fyrir gjaldfrjálsri prufuáskrift á netinu. Oft kemur fram í smáa letrinu að kortið verði skuldfært ef uppsögn á áskrift berst ekki innan tilskilinna tímamarka.

Vottun Visa - Netöryggisnúmer sem kemur í stað PIN númers

Til að tryggja öryggi bjóða margar netverslanir viðskiptavinum að ganga frá kaupum með öryggisnúmeri sem korthafi fær sent frá Visa í farsímanúmer sem tengist kortinu. Við það að slá inn öryggisnúmerið við kaup þá staðfestir kaupandi að hann sé sjálfur handhafi kortsins. Þannig kemur öryggisnúmerið í stað PIN númers sem notað er þegar kort eru notuð í posum. Mikilvægt er að ganga úr skugga um að upphæð og nafn seljanda sem fylgir öryggisnúmeri í SMS skilaboðum passi við kaupin.

ATHUGIÐ - aldrei skal gefa upp öryggisnúmer til þriðja aðila nema til þess að ganga frá kaupum. Aldrei skal gefa upp öryggisnúmer vegna móttöku á endurgreiðslu.

Hér má sjá nýtt útlit vefsíðunnar sem birtist þegar korthafar eru beðnir að staðfesta netkaup með staðfestingarkóða:

Geymdu afrit af bókunum, kvittunum og öðrum skjölum sem þú færð í tengslum við netviðskipti

Ef varan berst ekki til þín og þú þarft að óska eftir endurgreiðslu á kortafærslunni er mikilvægt að þú framvísir þessum gögnum til að tryggja að þú fáir endurgreitt.

Að greiða í erlendri mynt eða íslenskum krónum

Algengt er að erlendir seljendur bjóði viðskiptavinum að ganga frá kaupum í íslenskum krónum. Í mörgum tilfellum er það gengi sem seljendur bjóða óhagstæðara en gengi Arion banka. Það er því mikilvægt að bera saman og skoða kjörin sem bjóðast.

Gengi Arion banka er hægt að nálgast hér.

Að lokum viljum við benda viðskiptavinum okkar á að einfalt er að fylgjast með kortafærslum í Arion appinu. Ef viðskiptavinur verður var við óeðlilegar færslur á korti sínu, ráðleggjum við honum að frysta kortið strax í appinu á meðan gengið er úr skugga um hvort um réttmætar færslur er að ræða.