Bezpieczny komputer po zakupie: checklista konfiguracji zanim zalogujesz się do banku

Przez
Konrad Sadowski
-
0
62
Rate this post

Nawigacja:

Od pudełka do pulpitu: jak zacząć bezpiecznie

Nowy komputer zwykle kusi, żeby jak najszybciej uruchomić przeglądarkę i zalogować się do banku czy maila. Różnica między podejściem „klikam dalej, byle szybciej” a świadomą konfiguracją przy pierwszym uruchomieniu bywa kluczowa dla bezpieczeństwa pieniędzy. Kilkanaście minut spokojnych ustawień potrafi zablokować większość najprostszych ataków.

Bezpieczna konfiguracja po zakupie nie musi oznaczać instalowania dziesiątek narzędzi i zaawansowanych trików. Chodzi o logiczną kolejność kroków: najpierw sieć, potem aktualizacje systemu, następnie konta użytkowników, w końcu oprogramowanie ochronne i przeglądarka do bankowości. Zamiast „wszystko naraz”, lepiej potraktować to jak listę zadań do odhaczenia.

Nowy, używany, laptop czy stacjonarny – inne ryzyka

Rodzaj sprzętu ma znaczenie dla poziomu ryzyka:

  • Laptop nowy – zwykle czyściutki, ale potrafi być zaśmiecony bloatware’em od producenta, który czasem instaluje dodatkowe „ulepszacze” bezpieczeństwa lub przeglądarki. Mogą one mieszać w połączeniach szyfrowanych, co w kontekście bankowości jest niepożądane.
  • Komputer stacjonarny nowy – z reguły mniej narażony na kradzież fizyczną, ale często podłączony do wielu urządzeń USB (pendrive’y, dyski, sprzęt firmowy). Ryzyko zainfekowania z nośników zewnętrznych bywa wyższe.
  • Sprzęt używany / poleasingowy – tu lista znaków zapytania jest dłuższa: nie wiadomo, kto i jak go używał, czy system był przeinstalowany poprawnie, czy nie pozostały ukryte konta użytkowników i wątpliwe programy.

W praktyce najmniej problematyczny bywa nowy laptop lub desktop z preinstalowanym legalnym systemem, który po prostu wymaga odchudzenia i dobrego ustawienia. Używany komputer przed jakimkolwiek logowaniem do banku powinien przejść przynajmniej pełne przywrócenie systemu do ustawień fabrycznych albo wręcz świeżą instalację.

Kiedy nie logować się do banku na nowym komputerze

Są sytuacje, gdy pierwsze logowanie do banku lepiej odłożyć o dzień czy dwa, niż ryzykować. Kilka oczywistych sygnałów ostrzegawczych:

  • Komputer pochodzi z niepewnego źródła (kupiony „okazyjnie” z drugiej ręki bez dowodu zakupu i bez jasnej historii).
  • System operacyjny jest „aktywowany” dziwnymi narzędziami, wyświetlają się komunikaty o pirackim oprogramowaniu, brakuje oficjalnych aktualizacji.
  • Przeglądarka otiera się z dziwną stroną startową lub rozszerzeniami, których nie instalowałeś.
  • Antywirus wykrywa zagrożenia już przy pierwszym skanowaniu lub informuje o wyłączonych modułach ochronnych.
  • System działa bardzo niestabilnie: samoczynne restarty, podejrzane błędy, komunikaty o makrach, skryptach itp. w miejscach, gdzie nie powinny się pojawiać.

Przy takich sygnałach rozsądniej jest najpierw:

  1. Przywrócić system do ustawień fabrycznych lub przeinstalować go „na czysto”.
  2. Zaktualizować system i sterowniki.
  3. Przeskanować komputer zaufanym antywirusem.

Dopiero potem ma sens myślenie o logowaniu się do bankowości internetowej czy instalowania aplikacji finansowych.

Komputer prywatny a służbowy – różne reguły gry

Inaczej wygląda sytuacja, gdy konfigurujesz komputer, na którym masz pełną kontrolę, a inaczej, gdy sprzęt jest służbowy. W drugim przypadku często obowiązują polityki bezpieczeństwa narzucone przez dział IT:

  • Brak uprawnień administratora – nie doinstalujesz „po swojemu” antywirusa ani przeglądarki.
  • Monitoring aktywności – na komputerze firmowym teoretycznie ktoś może widzieć, z jakich stron korzystasz.
  • VPN firmowy – część ruchu sieciowego (również z przeglądarki) może przechodzić przez infrastrukturę firmy.

Do logowania się do prywatnego banku znacznie bezpieczniejszy jest własny komputer prywatny, nad którym masz kontrolę. Na komputerze służbowym nie zawsze da się mieć pewność, jakie oprogramowanie i konfiguracja rzeczywiście działają, a dodatkowo mieszasz dane zawodowe z osobistymi.

Osobne środowisko do finansów – po co ta cała ostrożność

W praktyce większość złośliwego oprogramowania nie „poluje” tylko na bankowość, ale jeśli już ma dostęp do systemu, kradzież danych bankowych jest jednym z częstszych kierunków ataku. Dlatego rozsądny model użytkowania nowego komputera to:

  • Oddzielona przeglądarka lub profil używany wyłącznie do bankowości i finansów (bank, biuro maklerskie, e‑Urząd, e‑podatki).
  • Kontrola nad dodatkami – zero rozszerzeń typu adblock z wątpliwych źródeł, menedżery kuponów, paski narzędzi itp. w tej „bankowej” przeglądarce.
  • Regularne aktualizacje systemu i przeglądarki – bez opóźniania ich w nieskończoność „bo wyskakuje w złym momencie”.

Nie ma obowiązku, by cały komputer był radykalnie „sterylny”. Można mieć osobny profil użytkownika z mocniejszym reżimem bezpieczeństwa do banku i bardziej swobodny do gier, multimediów czy codziennego surfowania – kluczowe, by środowisko do finansów było jak najmniej zanieczyszczone dodatkowymi ryzykami.

Połączenie z internetem: najpierw router i Wi‑Fi, potem reszta

Bezpieczna sieć: domowe Wi‑Fi, hotspot telefonu i publiczna kawiarnia

Zanim nowy komputer w ogóle zobaczy stronę banku, musi połączyć się z internetem. I tu pojawia się pierwszy istotny wybór: skąd wziąć połączenie. Najczęstsze scenariusze:

  • Domowe Wi‑Fi – przy poprawnej konfiguracji jest najbezpieczniejszą opcją do bankowości.
  • Hotspot telefonu – sensowna opcja awaryjna, jeśli z jakiegoś powodu nie ufasz lub nie masz kontroli nad siecią, w której się znajdujesz.
  • Publiczna sieć Wi‑Fi (kawiarnia, galeria, hotel) – najwygodniejsza, ale najmniej przewidywalna i najmniej bezpieczna.

Z logowania się do banku na publicznych sieciach lepiej po prostu zrezygnować, nawet jeśli używasz https. Groźne bywa nie tyle samo „podsłuchanie” hasła (przy poprawnie działającym https jest to utrudnione), co ataki w rodzaju fałszywych stron logowania, manipulacja ruchem czy wstrzykiwanie złośliwego kodu. Zwłaszcza jeśli sieć nie używa żadnego hasła albo jest współdzielona przez setki osób.

Jeśli koniecznie trzeba zlecić przelew, a jesteś poza domem, bezpieczniejszy będzie hotspot z telefonu z dobrym zasięgiem niż otwarta sieć w kawiarni. Ostatecznie telefonowy hotspot to sieć, którą w miarę kontrolujesz, a dostęp do niej ogranicza indywidualne hasło.

Konfiguracja routera: kilka prostych, ale kluczowych kroków

Wielu użytkowników nigdy nie loguje się do panelu swojego routera – urządzenia działają latami z domyślnymi ustawieniami od operatora. Z punktu widzenia bezpieczeństwa bankowości internetowej lepiej poświęcić na to kwadrans.

Lista rzeczy do zrobienia przy nowym (lub istniejącym) routerze:

  • Zmiana domyślnego hasła administratora routera – jeśli router ma login/hasło typu admin/admin lub inne znane z instrukcji, każdy w sieci lokalnej może spróbować je wykorzystać. Należy ustawić długie, unikalne hasło do panelu zarządzania.
  • Szyfrowanie Wi‑Fi: WPA2‑PSK lub WPA3 – tryby WEP i WPA (bez „2”) są przestarzałe i dają się złamać. W ustawieniach sieci bezprzewodowej trzeba wybrać WPA2‑PSK (AES) lub WPA3, jeśli router i urządzenia to obsługują.
  • Wyłączenie WPS (Wi‑Fi Protected Setup) – wygodny przycisk do „łatwego łączenia” urządzeń bywa słabym punktem zabezpieczeń. Warto go dezaktywować.
  • Aktualizacja firmware routera – na stronie producenta można sprawdzić, czy jest nowsza wersja oprogramowania. Aktualizacja łata często krytyczne błędy bezpieczeństwa.
  • Wyłączenie zdalnego dostępu do panelu routera, jeśli nie jest potrzebny. Panel powinien być dostępny tylko z sieci lokalnej, nie z internetu.

Te kroki nie wymagają specjalistycznej wiedzy – większość nowoczesnych routerów ma prosty kreator. W praktyce wystarczy wejść na adres bramy domyślnej (np. 192.168.0.1), zalogować się, a następnie przejść kolejno przez zakładki Wi‑Fi i administracji.

Nazwa sieci (SSID) i hasło: prostota kontra „tajemnica”

Wokół nazwy sieci Wi‑Fi narosło trochę mitów. Dwie częste strategie to:

  • Neutralna, jawna nazwa – coś w stylu „DOM‑WiFi” czy „Mieszkanie 2A”. Nie ujawnia danych osobowych, nie zachęca do ataków, jest łatwa do rozpoznania.
  • Ukrywanie SSID – sieć bez rozgłaszanej nazwy, do której trzeba wpisywać zarówno SSID, jak i hasło ręcznie.

Ukrywanie SSID nie zapewnia realnego bezpieczeństwa – dla prostych skanów może być niewidoczne, ale każde narzędzie do analizy Wi‑Fi i tak ją wykryje. Dodatkowo wymaga bardziej skomplikowanej konfiguracji nowych urządzeń. Lepiej postawić na neutralną, jawną nazwę i mocne hasło.

Hasło do Wi‑Fi powinno być:

  • długie (co najmniej 12–16 znaków),
  • niezwiązane z innymi hasłami (nie używać hasła do maila czy Netflixa),
  • niezawierające danych osobowych (imię, data urodzenia, ulica).

Hasło w stylu „Kawa2020” jest zdecydowanie za słabe. Lepiej zastosować frazę typu „TrzySosy‑naPizza#2024” – łatwiejsza do zapamiętania, a jednocześnie trudna do odgadnięcia przez osoby postronne.

VPN przy bankowości internetowej – kiedy pomaga, a kiedy przeszkadza

Usługi VPN często są reklamowane jako „panaceum” na wszystkie problemy z bezpieczeństwem. W kontekście logowania się do banku sytuacja jest bardziej złożona.

Kiedy VPN ma sens:

  • Gdy korzystasz z sieci, na której nie masz pełnej kontroli (np. u znajomych, w wynajmowanym mieszkaniu, współdzielone Wi‑Fi).
  • Przy pracy zdalnej za granicą, jeśli bank blokuje logowania z niektórych krajów – część komercyjnych VPN ma serwery w Polsce, co ułatwia dostęp.
  • Gdy chcesz ograniczyć możliwość podglądu ruchu przez lokalnego operatora lub właściciela sieci.

Kiedy VPN może przeszkadzać:

  • Bank widzi połączenie jako przychodzące z innego kraju lub z puli adresów, które mają złą reputację (niektóre serwery VPN). Efekt: dodatkowe weryfikacje lub blokada logowania.
  • Niektóre aplikacje bankowe i systemy antyfraudowe reagują alergicznie na połączenia przez VPN – zwłaszcza, jeśli adres IP zmienia się zbyt często.
  • Korzystanie z byle jakiego darmowego VPN może pogorszyć sytuację – ruch idzie przez serwery, którym nie powinno się powierzać tak wrażliwych danych.

Przy domowym, dobrze skonfigurowanym Wi‑Fi i aktualnym systemie VPN nie jest konieczny do zwykłej bankowości internetowej. Może być użytecznym dodatkiem w podróży czy przy łączeniu się z mniej zaufanych miejsc, ale nie należy go traktować jako zastępstwa dla podstawowych środków bezpieczeństwa.

Dłonie przy laptopie z kartą płatniczą i tokenem do logowania bankowego
Źródło: Pexels | Autor: REINER SCT

Aktualizacje systemu: zanim zainstalujesz antywirusa, zaktualizuj fundament

Dlaczego system najpierw, reszta później

Nowy komputer często przychodzi z systemem w wersji sprzed kilku miesięcy, a czasem nawet sprzed roku. W tym czasie odkryto i załatano dziesiątki luk bezpieczeństwa. Instalowanie antywirusa na niezałatanym systemie przypomina montowanie drogich drzwi antywłamaniowych w domu bez ścian.

System operacyjny jest fundamentem: to on zarządza pamięcią, procesami, połączeniami sieciowymi. Zanim komputer po raz pierwszy połączy się z internetem „na serio” (czyli zanim zaczniesz pobierać programy, logować się do serwisów, a tym bardziej banku), powinien mieć pobrane i zainstalowane aktualne poprawki bezpieczeństwa.

Dlatego pierwsze kroki po podłączeniu do bezpiecznej sieci domowej powinny wyglądać mniej więcej tak:

  1. Sprawdzenie i instalacja aktualizacji systemu.
  2. Restart, jeśli wymagany.
  3. Sprawdzenie aktualizacji sterowników i oprogramowania od producenta sprzętu.
  4. Dopiero później instalacja dodatkowego oprogramowania (w tym antywirusa, przeglądarek, pakietów biurowych).

Windows Update i aktualizacje producenta laptopa

W systemie Windows mamy dwa źródła aktualizacji:

  • Windows Update – aktualizuje komponenty systemu, część sterowników, przeglądarkę Edge, .NET i inne elementy Microsoftu.

    • Aktualizacje sterowników i oprogramowania producenta

    Producenci laptopów dorzucają do systemu własne narzędzia i sterowniki. Część z nich poprawia działanie sprzętu (np. karty sieciowej, czytnika linii papilarnych), część jest zbędnym dodatkiem. Z punktu widzenia bezpieczeństwa interesują głównie trzy grupy:

  • sterowniki do chipsetu, grafiki i sieci – wpływają pośrednio na stabilność i bezpieczeństwo, zwłaszcza gdy łatają błędy w obsłudze Wi‑Fi lub Bluetooth,
  • oprogramowanie do zarządzania firmware (BIOS/UEFI) – umożliwia bezpieczne aktualizacje mikrokodu płyty głównej,
  • narzędzia od zabezpieczeń sprzętowych (np. obsługa TPM, rozpoznawanie twarzy, czytnik linii papilarnych).

Są dwa podejścia:

  • Używanie oficjalnego „menedżera aktualizacji” producenta (np. Lenovo Vantage, Dell SupportAssist, HP Support Assistant) – wygodne, bo jednym kliknięciem pobiera się sterowniki i firmware. Minusy: dodatkowe procesy w tle, czasem nachalne reklamy usług.
  • Ręczne pobieranie z działu wsparcia na stronie producenta – więcej kontroli, mniej śmieci, ale wymaga odrobiny cierpliwości i wiedzy, co faktycznie zainstalować.

Dla większości użytkowników bezpieczniejsze będzie pierwsze podejście: uruchomić oficjalne narzędzie producenta, zainstalować wszystkie aktualizacje krytyczne i ważne (zwłaszcza firmware i sterowniki sieciowe), a później wyłączyć zbędne moduły marketingowe. Warto unikać instalowania „dodatkowych pakietów bezpieczeństwa” czy wersji trial, jeśli i tak planujesz własne rozwiązanie.

Automatyczne aktualizacje vs. ręczna kontrola

Aktualizacje można ustawić na dwa skrajne sposoby:

  • pełna automatyka – system pobiera i instaluje wszystko sam, zwykle nocą lub przy bezczynności,
  • pełna ręczna kontrola – użytkownik sam decyduje, kiedy i co zainstalować.

Z punktu widzenia bezpieczeństwa bankowości internetowej lepszy jest model pośredni:

  • aktualizacje zabezpieczeń systemu – w pełni automatyczne,
  • większe aktualizacje funkcji (tzw. „feature updates”) – z potwierdzeniem, aby nie zaskoczyły w środku dnia pracy.

W Windows można to osiągnąć, ustawiając aktywne godziny pracy, opóźniając aktualizacje funkcji o kilka tygodni i zostawiając automatyczne łatki bezpieczeństwa. Minimalizuje to ryzyko, że świeżo ujawniona luka pozostanie niezałatana tygodniami, bo „nie było kiedy kliknąć aktualizacji”.

Aktualizacje przeglądarek i wtyczek

Bankowość internetowa odbywa się głównie przez przeglądarkę, więc to ona jest pierwszą linią obrony. W praktyce kluczowe są:

  • aktualna wersja przeglądarki (Chrome, Edge, Firefox, Brave itp.),
  • brak przestarzałych wtyczek (zwłaszcza Flash – który nie powinien już nigdzie być obecny),
  • rozszerzenia tylko z zaufanych źródeł.

Przeglądarki same pilnują aktualizacji, ale bywa, że użytkownicy odkładają restart przez wiele tygodni. W efekcie łatki bezpieczeństwa „czekają w kolejce”. Dobrym nawykiem jest:

  • raz w tygodniu zamknąć i otworzyć przeglądarkę od nowa,
  • przynajmniej raz w miesiącu przejrzeć listę rozszerzeń i usunąć wszystko, czego realnie nie używasz.

Banki czasem wymagają konkretnych rozszerzeń (np. modułów podpisu kwalifikowanego). Trzeba upewnić się, że pochodzą bezpośrednio z linków na stronie banku lub oficjalnych sklepów przeglądarek, a nie z „podobnie brzmiących” dodatków znalezionych przypadkiem.

Konta użytkowników: nie pracuj na „boskich” uprawnieniach

Konto administratora vs. zwykły użytkownik

Systemy takie jak Windows czy macOS mają dwa podstawowe typy kont:

  • Administrator – może instalować programy, zmieniać ustawienia systemu, zarządzać innymi kontami,
  • Użytkownik standardowy – ma ograniczone uprawnienia; do istotnych zmian potrzebuje hasła administratora.

Większość domowych komputerów jest skonfigurowana tak, że pierwsze konto ma uprawnienia administratora i… nikt nigdy nie zakłada innego. To wygodne, ale niebezpieczne. Każde złośliwe oprogramowanie uruchomione na takim koncie od razu działa z pełnią możliwości.

Bezpieczniejszy scenariusz wygląda inaczej:

  1. Pierwsze konto (założone przy instalacji systemu) pełni rolę administratora.
  2. Dla codziennej pracy tworzy się drugie konto – standardowe, z osobnym hasłem.
  3. Do instalacji programów i zmian w systemie używa się okna podania hasła administratora.

Na co dzień pracujesz na koncie użytkownika. Gdy system zapyta o hasło przy próbie instalacji nowego programu, masz chwilę na zastanowienie: czy ja faktycznie chcę to zainstalować, czy ten komunikat pojawił się „sam z siebie” po wejściu na niepewną stronę?

Hasła do kont i logowanie biometryczne

Przy domowym komputerze często pojawia się pokusa, by ustawić krótkie hasło do logowania „bo i tak nikt obcy nie ma dostępu do mieszkania”. Problem w tym, że hasło do konta systemowego często jest też hasłem do:

  • odblokowania menedżera haseł w przeglądarce,
  • danych zaszyfrowanych na dysku,
  • dodatkowych usług chmurowych (jeśli używasz tego samego hasła).

Dla konta administratora warto zastosować dłuższe, unikalne hasło, przechowywane np. w menedżerze haseł. Aby nie męczyć się z ręcznym wpisywaniem przy każdej okazji, można wykorzystać logowanie biometryczne:

  • Windows Hello (rozpoznawanie twarzy, PIN, odcisk palca),
  • Touch ID / Face ID na Macu.

PIN lub odcisk palca nie zastępuje hasła – to tylko wygodny sposób jego używania. W razie problemów z biometrią wciąż potrzebujesz pełnego hasła, więc ono musi pozostać solidne.

Oddzielne konta dla domowników

Bankowość internetowa często dzieli komputer z pozostałymi domownikami. Inny użytkownik instalujący gry z niepewnych stron, dodatki do przeglądarki czy „darmowe optymalizatory systemu” zwiększa powierzchnię ataku.

Dwa podejścia do wspólnego sprzętu:

  • indywidualne konta dla każdej osoby – każdy ma własny pulpit, własne dane i ustawienia, ogranicza się skutki ewentualnego zainfekowania,
  • jedno konto „wspólne” i oddzielne tylko do bankowości – dodatkowe konto standardowe używane wyłącznie do finansów i wrażliwych działań.

Drugi model jest czasem prostszy do wdrożenia: wspólne konto do „wszystkiego”, a osobne, „czyste” konto, na którym nie instaluje się gier, dodatków i eksperymentalnych programów – służy ono tylko do logowania się do banku, urzędów i pracy z dokumentami.

Uprawnienia administratora „na chwilę”

Na Windowsie i macOS mechanizmy kontroli konta (UAC, okna potwierdzeń) pozwalają nadać tymczasowo wyższe uprawnienia, podając hasło administratora. W praktyce lepiej:

  • ciągnąć instalacje z jednego, znanego konta administratora,
  • nie podawać hasła admina na kontach, z których korzystają dzieci lub mniej świadomi użytkownicy – chyba że jesteś obok i widzisz, co jest instalowane.

Jeśli ktoś inny prosi przez telefon o hasło do konta administratora („bo trzeba zainstalować specjalną aplikację, aby naprawić komputer zdalnie”), to mocny sygnał ostrzegawczy. Prawdziwe wsparcie techniczne nie potrzebuje Twojego hasła, tylko ewentualnie jednorazowego kodu połączenia w zaufanym narzędziu.

Kobieta w domu płaci kartą online przy laptopie
Źródło: Pexels | Autor: Mikhail Nilov

Antywirus, firewall i wbudowane mechanizmy ochrony

Wbudowany antywirus vs. program zewnętrzny

Na współczesnych systemach różnica między wbudowaną ochroną a komercyjnym pakietem nie jest już tak dramatyczna jak dekadę temu. Dla zwykłego użytkownika bankowości internetowej liczą się trzy rzeczy:

  • skuteczność wykrywania złośliwego oprogramowania,
  • czas reakcji na nowe zagrożenia (aktualizacje sygnatur),
  • wpływ na wygodę korzystania z komputera (szybkość, brak natrętnych komunikatów i reklam).

Na Windowsie domyślny Microsoft Defender w połączeniu z aktualnym systemem i przeglądarką jest dla wielu osób wystarczający – szczególnie jeśli:

  • nie instalujesz masowo podejrzanych programów,
  • nie otwierasz załączników z nieznanych źródeł,
  • używasz co najmniej jednego dodatkowego mechanizmu (np. filtr SmartScreen, filtrowanie w przeglądarce).

Zewnętrzny antywirus (ESET, Kaspersky, Bitdefender, inne) ma sens, gdy:

  • często instalujesz nowe aplikacje spoza oficjalnych sklepów,
  • kilka osób korzysta z tego samego komputera w dość chaotyczny sposób,
  • potrzebujesz dodatkowych funkcji (kontrola rodzicielska, sandbox, płatności w odseparowanej przeglądarce).

Ważne, aby nie instalować kilku antywirusów naraz. Wzajemnie się blokują, spowalniają system i paradoksalnie potrafią tworzyć nowe luki. Jeśli decydujesz się na zewnętrzne rozwiązanie, wyłącz funkcje ochronne Defendera zgodnie z instrukcją producenta pakietu.

Firewall: domyślna zapora a „pakiet internet security”

Zapora sieciowa (firewall) filtruje ruch sieciowy – zarówno to, co wchodzi do komputera, jak i to, co go opuszcza. Na poziomie domowego użytkownika można porównać dwa modele:

  • zapora systemowa (Windows Firewall, wbudowana w macOS i router) – działa wystarczająco dobrze przy domyślnych ustawieniach,
  • firewall z pakietu bezpieczeństwa – często bardziej szczegółowy, z dodatkowymi regułami i monitoringiem aplikacji.

Dla samej bankowości internetowej domyślna zapora systemowa, wsparta zabezpieczeniami routera (NAT, filtrowanie przychodzących połączeń), zwykle w zupełności wystarcza. Dodatkowy firewall ma sens, gdy:

  • chcesz precyzyjnie kontrolować, które programy mogą łączyć się z internetem,
  • masz aplikacje, które próbują łączyć się w tle z nieznanymi serwerami,
  • korzystasz z komputera w różnych, mniej zaufanych sieciach (biuro, uczelnia, współdzielone mieszkanie).

Jeśli nie czujesz się pewnie przy ręcznej konfiguracji reguł, lepiej nie przesadzać. Nadgorliwie ustawiony firewall potrafi blokować aktualizacje bankowej aplikacji, połączenia z serwerami banku czy ważne komponenty systemu, a użytkownik nie wie, dlaczego strona banku przestała działać.

Dodatkowe warstwy ochrony przeglądarki

Antywirus i firewall to jedno, ale wiele ataków na bankowość internetową odbywa się przez przeglądarkę: fałszywe strony logowania, zainfekowane reklamy, złośliwe skrypty. Można dodać kilka prostych warstw ochrony:

  • filtr SmartScreen / Safe Browsing – włączony w przeglądarce (Edge, Chrome, Firefox). Ostrzega przed znanymi złośliwymi stronami i plikami,
  • rozszerzenia blokujące agresywne reklamy i trackery – uBlock Origin, Privacy Badger; mniejsza liczba skryptów to mniejsza powierzchnia ataku,
  • oddzielny profil przeglądarki do bankowości – bez rozszerzeń, bez synchronizacji z innymi urządzeniami, czysty, ale z włączonymi wbudowanymi zabezpieczeniami.

Takie „podzielenie” przeglądarki przypomina posiadanie osobnego portfela tylko na karty i dokumenty. Jednym profilem otwierasz portale, fora, social media, a drugim – logujesz się do banków i urzędów. Awaria lub zainfekowanie pierwszego profilu nie przenosi się wprost na drugi.

Ochrona przed phishingiem i fałszywymi stronami banków

Nawet najlepszy antywirus nie pomoże, jeśli użytkownik sam wpisze login i hasło na podstawionej stronie. Tu przydają się zarówno narzędzia techniczne, jak i kilka prostych nawyków:

  • Do strony banku przechodź z własnych zakładek w przeglądarce lub przez ręczne wpisanie adresu, a nie przez link w mailu czy SMS‑ie.

    • Sprawdzanie adresu i certyfikatu TLS

    Różnica między prawdziwą stroną banku a jej kopią często sprowadza się do kilku znaków w pasku adresu. Dwa kroki, które pomagają uniknąć podstawionych witryn:

  • adres domeny – zwróć uwagę na główną część adresu, np. bankxyz.pl vs. bank-xyz.pl lub bankxyz-login.com. Oszuści lubią dodawać myślniki, dopiski typu „secure”, „login”, „online”.
  • ikonka kłódki i certyfikat – kłódka przy adresie nie oznacza, że strona jest uczciwa, tylko że połączenie jest szyfrowane. Warto kliknąć kłódkę i sprawdzić, na jaką domenę wystawiono certyfikat oraz przez kogo.

Dobrym nawykiem jest ręczne wpisanie adresu banku przynajmniej kilka razy na początku i zapamiętanie jego wyglądu: długości, kolejności słów, końcówki (.pl, .com). Jeśli coś „nie gra” – literówka, brak polskich znaków, dodatkowy wyraz – lepiej przerwać logowanie.

Przeglądarki mobilne ukrywają czasem pełny adres URL. Na telefonie po otwarciu strony banku rozwiń pasek adresu, aby zobaczyć całość, zamiast wierzyć krótkiej wersji wyświetlanej obok kłódki.

Ostrzeżenia przeglądarki i banku – kiedy ufać, kiedy przerwać

Komunikaty o „niezaufanym certyfikacie” lub „niebezpiecznej witrynie” bywają ignorowane z przyzwyczajenia. W przypadku logowania do banku założenie jest proste: jakiekolwiek ostrzeżenie przeglądarki przerywa próbę logowania.

Typowe sygnały, aby się wycofać:

  • czerwony ekran ostrzegawczy (Safe Browsing / SmartScreen),
  • informacja o niepoprawnym lub wygasłym certyfikacie TLS,
  • komunikat o „niezabezpieczonym formularzu logowania” na stronie banku.

Jeśli masz wątpliwości, zamiast „klikać dalej”, użyj innego urządzenia lub zadwoń na oficjalną infolinię banku (numer z karty lub z regulaminu, nie z podejrzanej strony). Bezpieczniej przerwać logowanie i potwierdzić, niż ratować rachunek po udanym ataku.

Oddzielna przeglądarka lub tryb „tylko do banku”

Oddzielny profil przeglądarki to jedno, ale można pójść krok dalej: używać zupełnie innej przeglądarki tylko do finansów. Przykładowo:

  • Chrome/Firefox – do codziennego surfowania, social mediów, YouTube,
  • Edge/Safari lub inna przeglądarka – tylko do banków, ZUS, e‑urzędu.

Różnica jest podobna jak między „butami do pracy w ogródku” a „butami do pracy biurowej”. Na tej „bankowej” przeglądarce:

  • nie instalujesz rozszerzeń (zwłaszcza do kupowania taniej czy cashbacków),
  • nie logujesz się na portale społecznościowe ani skrzynkę prywatną,
  • wyłączasz automatyczne zapisywanie haseł, jeśli używasz menedżera haseł.

Drugie podejście to regularne używanie trybu prywatnego/incognito do logowania do banku. Nie rozwiązuje to wszystkich problemów, ale zmniejsza ilość śmieci (ciasteczek, skryptów śledzących), jakie gromadzą się między wizytami na stronach finansowych.

Weryfikacja wiadomości „od banku”

Maile i SMS‑y podszywające się pod bank są do siebie podobne: pośpiech, groźba blokady, link „do natychmiastowej weryfikacji”. Dwa proste filtry pomagają oddzielić prawdziwe komunikaty od śmieci:

  • kanał logowania – bank nie prosi o „zalogowanie się przez link w wiadomości”, tylko odsyła do własnej strony lub aplikacji. Jeśli w mailu jest link do logowania, lepiej go zignorować i wejść na stronę banku ręcznie.
  • zakładka „Wiadomości” w bankowości – istotne informacje (zmiany regulaminu, podejrzane logowania) zwykle są dublowane po zalogowaniu na konto. Jeśli mail o „blokadzie rachunku” nie ma odpowiednika w systemie bankowym, to sygnał ostrzegawczy.

Adres nadawcy łatwo sfałszować, ale błędy językowe, dziwne formatowanie czy linki prowadzące na podejrzane domeny (inny kraj, brak nazwy banku) często zdradzają oszustwo. Zamiast klikać, wygodniej skopiować część treści maila i wkleić w wyszukiwarkę – często pojawiają się ostrzeżenia innych użytkowników lub komunikaty banku o danej kampanii phishingowej.

Bezpieczna autoryzacja operacji: SMS, powiadomienia, kody z aplikacji

Same dane logowania do banku nie wystarczą, by wykonać przelew; potrzebna jest jeszcze autoryzacja. Tu również są różne modele, z innymi plusami i minusami.

  • SMS‑kody – działają nawet na prostych telefonach, ale są podatne na ataki związane z klonowaniem karty SIM czy złośliwymi aplikacjami, które podmieniają treść powiadomień.
  • powiadomienia push w aplikacji banku – wygodne, bo jednym „kliknięciem” zatwierdzasz operację; trudniej je przechwycić, ale wymagają dobrze zabezpieczonego smartfona.
  • kody jednorazowe generowane w aplikacji – np. tokeny mobilne; działają także bez SMS‑ów, zwykle z dodatkowym PIN‑em lub biometrią.

Przy każdym typie ważna jest jedna zasada: czytaj treść autoryzacji, nie tylko kod. Jeśli chcesz zrobić przelew na 100 zł, a w SMS‑ie widzisz 10 000 zł i inny numer rachunku – nie zatwierdzaj, nawet jeśli strona banku twierdzi, że „to tylko potwierdzenie logowania”.

W praktyce najmocniejszy model to powiadomienia/potwierdzenia w aplikacji banku na telefonie, który ma blokadę ekranu (PIN, wzór, odcisk palca) i jest szyfrowany. Słabszy – SMS‑kody na telefon bez blokady, który często leży odblokowany na biurku.

Konfiguracja aplikacji bankowej na komputerze i telefonie

Coraz częściej to telefon służy jako „klucz” do konta. Bezpieczna konfiguracja aplikacji mobilnej jest równie ważna, co konfiguracja komputera:

  • blokada ekranu – PIN, hasło, biometria; brak blokady przy równoczesnym zainstalowaniu aplikacji banku to proszenie się o kłopot przy zgubieniu telefonu,
  • aktualny system mobilny – stare wersje Androida/iOS mają niezałatane luki, które ułatwiają przejęcie telefonu,
  • pobieranie aplikacji tylko z oficjalnego sklepu – link do aplikacji najlepiej pobrać ze strony banku, ale instalację wykonać z Google Play / App Store, nie z zewnętrznego pliku APK.

Na komputerze część banków oferuje dodatkowe wtyczki lub „bezpieczne przeglądarki” w ramach własnych aplikacji. Mają one sens, jeśli:

  • system jest współdzielony przez wiele osób i chcesz mieć wydzielone, monitorowane środowisko dla płatności,
  • nie czujesz się pewnie przy samodzielnym konfigurowaniu przeglądarki i rozszerzeń.

Jeżeli jednak samodzielnie dbasz o aktualizacje, korzystasz z rozsądnie skonfigurowanej przeglądarki i nie instalujesz przypadkowych dodatków, wbudowany tryb „bezpiecznej przeglądarki bankowej” jest raczej dodatkową warstwą niż koniecznością.

Bezpieczeństwo w publicznych i współdzielonych sieciach Wi‑Fi

Nowy komputer często „debiutuje” poza domem: w kawiarni, na uczelni, w hotelu. Bankowość internetowa w takich warunkach wymaga szczególnej ostrożności. Dwa kluczowe scenariusze:

  • zaufane, domowe Wi‑Fi – szyfrowanie WPA2/WPA3, mocne hasło do sieci, zmienione hasło do panelu routera; to preferowana opcja do logowania do banku,
  • publiczne Wi‑Fi – hotspoty bez hasła lub z jednym hasłem dla wszystkich; wygodne, ale podatne na podsłuch i ataki typu „fałszywy hotspot”.

Jeśli to możliwe, logowanie do banku w publicznej sieci warto zastąpić:

  • udostępnieniem internetu z telefonu (hotspot LTE/5G z własnym hasłem),
  • VPN‑em od zaufanego dostawcy, który szyfruje cały ruch między Twoim komputerem a serwerem VPN.

VPN nie rozwiąże problemu fałszywej strony banku, ale utrudni podsłuchiwanie ruchu w lokalnej sieci. Dobrze skonfigurowana sieć domowa (własne hasło, aktualny firmware routera, brak otwartych portów z internetu) jest jednak bezpieczniejsza niż nawet „markowa” otwarta sieć w centrum handlowym.

Urządzenie „do wszystkiego” vs. oddzielny sprzęt do finansów

Jedna z większych decyzji dotyczących bezpieczeństwa dotyczy nie samego oprogramowania, ale sposobu korzystania ze sprzętu. Są dwa modele:

  • jeden komputer do wszystkiego – praca, gry, bankowość, social media, instalowanie nowych programów, testowanie narzędzi,
  • osobne urządzenie (lub profil) tylko do finansów i formalności – np. stary, ale sprawny laptop lub tablet, który służy wyłącznie do banku, urzędów, podatków.

Druga opcja jest zaskakująco skuteczna, nawet jeśli sprzęt nie jest najnowszy. Mniej aplikacji, brak gier i eksperymentalnych programów znacząco redukuje ryzyko infekcji. Różnica przypomina sytuację, w której jedna karta płatnicza służy do wszystkiego, a druga tylko do większych przelewów i trzymana jest w domu.

Jeżeli kupujesz nowy komputer, a stary nadal działa, rozsądny scenariusz to:

  • nowy sprzęt – codzienna praca, multimedia, instalacja nowych aplikacji,
  • stary sprzęt – „terminal finansowy”: minimalny zestaw programów, aktualizacje systemu, przeglądarka bez dodatków i tylko kilka zaufanych stron w zakładkach.

Przy jednym komputerze podobny efekt daje opisana wcześniej kombinacja: osobne konto użytkownika + osobny profil lub przeglądarka do banku. Nie jest to tak mocna separacja jak drugi fizyczny komputer, ale i tak znacząco ogranicza skutki ewentualnego incydentu.

Kopia zapasowa: ostatnia linia obrony przed ransomware

Bez względu na to, jak dobrze skonfigurujesz system, zawsze istnieje ryzyko złośliwego oprogramowania szyfrującego dane (ransomware). Z perspektywy bankowości internetowej problem jest podwójny: tracisz dokumenty finansowe, a atakujący może próbować wymusić okup, grożąc publikacją części danych.

Dwa podejścia do kopii zapasowych na komputerze domowym:

  • chmura – OneDrive, Google Drive, iCloud, inne rozwiązania; pliki synchronizują się w tle, są dostępne z wielu urządzeń, ale przy szyfrowaniu ransomware bywa, że „zaszyfrowane” kopie nadpisują te zdrowe (czasem można je przywrócić z historii wersji),
  • dysk zewnętrzny – podłączany okazjonalnie tylko na czas wykonania kopii; mniej wygodny, ale mniej podatny na automatyczne uszkodzenie przez złośliwe oprogramowanie.

Najbezpieczniejszy wariant dla typowego użytkownika to kombinacja obu metod: bieżąca synchronizacja ważnych dokumentów z chmurą plus okresowe, ręczne kopie na zewnętrzny dysk odłączany po zakończeniu backupu. W razie awarii lub infekcji możesz „wyczyścić” komputer i zalogować się do banku na świeżym systemie, przywracając potrzebne dane z kopii, a nie z potencjalnie zainfekowanej maszyny.

Monitorowanie konta i reakcja na nieprawidłowości

Ostatni element konfiguracji to narzędzia, które pozwalają szybciej wychwycić problem, jeśli mimo zabezpieczeń coś pójdzie nie tak. Tu kluczowe są:

  • powiadomienia o transakcjach – SMS lub powiadomienia push o każdym przelewie wychodzącym, płatności kartą internetową, próbach logowania z nowego urządzenia,
  • limity transakcyjne – dzienne i jednorazowe; niższy limit zmniejsza możliwą skalę szkody, gdyby ktoś jednak uzyskał dostęp do rachunku,
  • historia logowań – przegląd sesji w bankowości (data, godzina, typ urządzenia); większość banków udostępnia taką zakładkę.

W praktyce przewaga aktywnych powiadomień jest duża: nawet jeśli komputer zostanie zainfekowany, informacja o nietypowym przelewie przyjdzie szybciej niż klasyczny wyciąg miesięczny. Różnica między „dowiedziałem się po godzinie” a „dowiedziałem się po tygodniu” często decyduje o tym, ile pieniędzy uda się zablokować lub odzyskać.

Przy konfiguracji nowego komputera sensownie jest równolegle zalogować się na telefonie do aplikacji banku i od razu:

  • ustawić powiadomienia dla kluczowych operacji,
  • sprawdzić, czy limity dzienne nie są przesadnie wysokie domyślnie,
  • zapoznać się z procedurą szybkiego zastrzegania karty i blokady dostępu do bankowości.

Najważniejsze punkty

  • Pierwsza konfiguracja komputera decyduje o bezpieczeństwie – zamiast „klikać dalej”, trzeba przejść logiczną kolejność kroków: sieć, aktualizacje systemu, konta użytkowników, dopiero potem antywirus i przeglądarka do banku.
  • Nowy komputer (zwłaszcza z legalnym, preinstalowanym systemem) zwykle jest mniej ryzykowny niż sprzęt używany, ale często wymaga odchudzenia z bloatware’u producenta, który potrafi ingerować w połączenia szyfrowane.
  • Komputer używany lub z niepewnego źródła powinien przejść przywrócenie do ustawień fabrycznych albo czystą instalację systemu, zanim pojawi się w nim jakiekolwiek logowanie do banku czy instalacja aplikacji finansowych.
  • Istnieją wyraźne czerwone flagi, przy których lepiej odłożyć logowanie do banku: piracki system i dziwne narzędzia aktywacyjne, nietypowe startowe strony i rozszerzenia w przeglądarce, wykryte zagrożenia przez antywirusa czy niestabilna praca systemu.
  • Komputer prywatny i służbowy to dwa różne światy: na służbowym działają polityki IT, monitoring i firmowy VPN, więc do prywatnej bankowości bezpieczniejszy jest własny sprzęt, nad którym użytkownik ma pełną kontrolę.
  • Oddzielone środowisko do finansów – osobna przeglądarka lub profil bez zbędnych dodatków – znacząco ogranicza ryzyko; można mieć „sterylny” profil bankowy i drugi, bardziej swobodny, do gier i codziennego surfowania.

Następne kroki w tym temacie: