Spočítejte si...

Zavřít

Banky investují do zabezpečení, na lidskou blbost jsou ale krátké

Banky inovují v oblasti zabezpečení internetového bankovnictví. Útočnici jsou ale stále vychytralejší a zneužívají důvěry lidí, kterým vyluxují účet.

Banky v posledních letech byly donucené investovat obrovské finanční prostředky do stále důkladnějšího zabezpečení internetového bankovnictví. Ač se může zdát, že zde není co nového vymýšlet, bezpečnost je nutné stále zlepšovat prostřednictvím cílených inovací. Důvod je jasný: útočnici jsou stále vychytralejší, důmyslnější a používají nejrůznější sofistikované metody, které vám můžou během chvíle vyluxovat celý bankovní účet.

Komerční banka například na tiskové konferenci v minulém týdnu uvedla ve spolupráci s IBM nový program Trusteer Rapport. Pomůže zachytit phishingové útoky nebo instalaci škodlivého softwaru (malwaru). Po jeho instalaci na vašem PC nebo MACu se objeví jako doplněk vašeho internetového prohlížeče, na stránkách Komerční banky je však program zapnut automaticky. Aktivní je ale celý bankovní trh, kdy banky provádí většinou jen drobné změny v bezpečnosti, které nejsou příliš navenek vidět, můžou ale klientům zachránit finanční prostředky.

Jak se útočnici dostanou do našeho počítače nebo bankovního účtu? 

  • Phishing, slouží k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci, předstírá důvěryhodné weby
  • Nákaza počítače malwarem z infikované přílohy e-mailu
  • Prohlížení „slušných“ stránek, které jsou napadeny útočníkem
  • Sociální inženýrství, nejčastěji přes sociální sítě (např. Facebook)
  • Krádež přihlašovacích nástrojů (certifikát) a jiných citlivých údajů (např. údaje k platebním kartám)
  • Hrozbou je i současné užívání jednoho zařízení (počítač, tablet, mobil) vice uživateli – typicky často půjčujeme tato zařízení našim dětem, které mohou často zařízení nakazit, např. při stahováni her, filmů, hudby atp.
  • Ohrožení může klienta čekat i při připojení k neznámé/veřejné wi-fi síti, např. v hotelu, kavárně apod.
  • Je třeba myslet i na to, že ohrožen není pouze počítač klienta, ale často i jeho mobil

Na některé otázky ohledně zabezpečení internetového bankovnictví nám odpověděl také Pavel Zúbek, tiskový mluvčí Komerční banky.

Jak  bude banka postupovat, když na pobočku přijde klient a oznámí, že má na výpisu transakce, které on neprovedl? Bude s ním banka spolupracovat a jak rychle?

Pokud klient zjistí na výpisu transakce, které nedokáže identifikovat, měl by se v první řadě obrátit na svého bankovního poradce. Tyto situace zpravidla řešíme velmi rychle do jednoho dne, kdy banka dokáže o transakci zjistit potřebné informace. Na základě těchto zjištění dohodne banka s klientem další postup. Ve chvíli, kdy máme podezření na neoprávněnou transakci zadanou přes internetové bankovnictví, doporučujeme klientovi okamžitě blokovat certifikát. Následuje forenzní šetření a pokud se potvrdí, že transakce skutečně proběhla neoprávněně, klientovi doporučujeme podat TO a situaci s ním řešíme individuálně. V těchto případech také spolupracujeme s Policií ČR. Nově jsme na stranu klienta přidali i možnost instalace specializovaného antivirového programu Trusteer Rapport, který umí zachytit phishingové útoky nebo instalaci škodlivého softwaru (malwaru).

Před více jak 10 lety jste k technologii PKI a elektronického podpisu transakcí přidali i potvrzovací SMS zprávy. Máme tomu rozumět tak, že prosté použití elektronického podpisu je málo důvěryhodné?

Útočníci používají stále sofistikovanější postupy, proto je nutné přistupovat k vícefaktorové autentizaci. Obdobně se postupuje i při prokazování osobní identity, kdy se předkládají dva doklady totožnosti. Dodatečný autentizační faktor banka nevyžaduje, pokud je privátní klíč dostatečně chráněn před zneužitím. Nejbezpečnějším způsobem je uložení privátního klíče na čipové kartě a použití čtečky s klávesnicí. V tomto případě SMS zprávy nejsou bankou vyžadovány jako další faktor. Klient má fyzicky kartu, PIN i čtečku pod kontrolou. Pokud klient používá privátní klíč uložený v souboru, je nutné navýšit zabezpečení přidáním druhého faktoru, což je fyzické vlastnictví telefonu, na který SMS zašleme. Uživatelé často nedostatečně chrání své počítače před případným napadením nebo nedodržují doporučené zásady pro ukládání certifikátu do souboru. Masivní dostupnost internetu je dnes ve významném předstihu před edukací jeho uživatelů. Útočníci toho často zneužívají a záměrně si vybírají snadnější cíle s nižší znalostí bezpečnostních zásad a návyků, např. děti, senioři a další.

Pozor na sociální sítě

Pokud máte na nejpopulárnější sociální síti desítky, stovky či tisíce „přátel“, možná se vám to také stalo. Dostali jste zprávu od „přítele“, který vás požádal o zaslání drobné finanční částky. Jelikož má ale jiný účet než vy, odkázal vás na falešnou webovou stránku, která sloužila pro získání vašich údajů. Následně vám vyluxoval účet.

Své zkušenosti s tím má například Petr, který přišel tímto způsobem o finanční prostředky: Na Facebooku se mu ozval kamarád, že by potřeboval půjčit 40 Kč. Ptal se, jakou má banku. Řekl, že má jiný účet a že převod bude nějakou dobu trvat, ale že má řešení – poslat je pomocí PayU. Původně jsem do ni nechtěl zadávat údaje, ale ubezpečil mne, že je brána bezpečná, navíc jsem si zjistil, že ji používá i Aukro. Po zadání údajů se objevila chybová hláška, což jsem mu řekl. Odpověděl, že to nevadí, že pošle peníze bez těch 40 Kč a jestli si ke mně může poslat potvrzující SMS. Byl jsem zaneprázdněn a vůbec si SMS nepřečetl a poslal mu kód. O 3 hodiny jsem zjistil, že z mého účtu byla zaplacena objednávka na CZC.cz, uvádí Petr.

Důvod, proč se Petr nechal nachytat, je ten, že na druhé straně byl živý člověk, který působil důvěryhodně. Věděl jsem, že kamarád musí platit studijní cestu do Izraele, tudíž jsem chápal, že kvůli kurzu mu může pár korun chybět. Navíc jsem nebyl obezřetný a pozorný jako v jiných případech, jelikož jsem měl pocit, že komunikuji s ním a ne se zlodějem, uvedl také čtenář Petr s tím, že přišel o částku 21 500 korun, banka byla v tomto případě velmi aktivní, nešlo s tím už ale nic dělat: peníze už odešly.

Rady, jak mít účet v bezpečí

  • Aktuální bezpečností programy: Mějte nainstalovaný aktualizovaný antivirus, velmi užitečný je také firewall. Antivirem chraňte i váš mobilní telefon.
  • Bezpečné surfování: Navštěvujte jen známé stránky, doména by měla sedět s obsahem. Neotevírejte přílohy od nedůvěryhodných adresátů, především ty s koncovkou .exe.
  • Nelegální stahování raději ne: Pokud stahujete nelegální software, existuje velká pravděpodobnost, že daný software bude v sobě obsahovat také škodlivý kód. Rizikem jsou například programy stahované prostřednictvím torrentů. V optimálním případě, pokud rádi stahujete torrenty, na daném počítači raději internetové bankovnictví nevyužívejte nebo alespoň počítat pravidelně „čistěte“.
  • Pozor na veřejné wi-fi sítě: Nikdy se nepřipojujte na nezabezpečené wi-fi sítě a používejte jen takové wi-fi sítě, kde máte alespoň částečnou jistotu, že nedojde provozovatelem sítě ke zneužití vašich informací. Rizikové je především mobilní bankovnictví. Pokud chcete být skutečně v bezpečí, zvažte, zdali není vhodné koupit na daném území datový balíček.
  • Přihlašovací údaje jen tam, kam patří: Přihlašovací údaje k bankovnímu účtu nebo kód prostřednictvím SMS zprávy pište jen na internetových stránkách vaší banky. V žádném případě je neuvádějte jinam.
  • Přihlašovací údaje nemějte u sebe: Můžete být okradeni, kdy přijdete jak o peněženku (kde budou nejspíše uvedené přihlašovací údaje), tak o mobilní telefon, kde přijde potvrzovací SMSka. Zloděj vás tak snadno může okrást podruhé.

Ač se tyto rady zdají jako zcela elementární a věříme, že je většina čtenářů dodržuje, stále bohužel existuje početná skupina lidí, která na tyto základy bezpečnosti příliš nedbá. Potvrdil to výzkum agentury SC&C, více k tomuto tématu v článku Lidé stále podceňují přístup k zabezpečení internetového bankovnictví.

16 názorů Vstoupit do diskuse
poslední názor přidán 25. 4. 2015 7:34