Spočítejte si...

Zavřít

Komerční banka: Zabezpečení dokončíme v březnu

Komerční banka je jedinou bankou v ČR, která potvrdila zcizení peněz z klientských účtů přes internet. Peníze všem nahradila. Zároveň přijala opatření, která mají posílit zabezpečení. Alternativních prohlížečů se ale klienti hned tak nedočkají... Zato část pachatelů je již dopadena.

Kvalita zabezpečení internetového bankovnictví je kritickým okem sledována již delší dobu. Více než rok před útokem na klienty Komerční banky upozornila společná studie finančního serveru Měšec.cz a technologického serveru Root.cz na bezpečnostní rizika, která jednotlivé formy zabezpečení skrývají a kde jsou jejich slabiny.

Po útocích na klienty Komerční banky, z nichž deset pokusů bylo úspěšných, a neúspěšných na klienty České spořitelny bylo až s podivem, jak rychle jsou banky schopny zareagovat a zpřísnit bezpečnostní opatření. Komerční banka a Česká spořitelna téměř ze dne na den posílily zabezpečení o další autentifikační prvek.

Komerční banka doplnila podpisový certifikát uložený v souboru (tedy nikoli na čipové kartě, která je z pohledu možnosti zkopírování certifikátu bezpečná) zasláním SMS zprávy na mobilní telefon, který si uživatel zaregistruje. V současné době lze ještě zadávat telefonní číslo přímo přes internet, což ovšem není zcela bezpečné. Tato možnost ale brzy skončí. Od 21. března 2007 budou moci klienti KB měnit telefonní číslo jen na pobočkách banky, čímž se sice částečně sníží komfort, ale odměnou bude vyšší bezpečnost.

Zadat kód obdržený mobilním telefonem musí klienti pouze jednou při zadávání aktivní operace (např. příkaz k úhradě, rušení inkasa apod.). Od března bude ale ověření „mobilní cestou“ nutné i pro přihlášení. To ale pro většinu současných klientů není překážkou – již jen 7 % z nich nemá zaregistrované telefonní číslo pro příjem ověřovací SMS zprávy.

Česká spořitelna zavedla povinné ověřování „nadstandardním“ zabezpečovacím prostředkem u všech transakcí. Do letního incidentu bylo možné transakce do denního limitu neověřovat, stačilo prosté přihlášení uživatelským jménem a heslem. Od zpřísnění bezpečnostních opatření musí být každá transakce ověřena buď kódem zaslaným SMS zprávou, certifikátem na čipové kartě nebo kódem generovaným PIN kalkulátorem – pouze u klientů, kteří mají generátor kódu z dřívější doby (banka ho nově již nenabízí).

posílení zabezpečení přistoupila též Citibank – banka, která je celosvětově nejčastější obětí phishingu (podvržených e-mailů, lákajících z klientů banky informace o platebních kartách a přístupové kódy k internetovému bankovnictví). Od 1. ledna 2007 již povinně vyžaduje potvrzení přístupu vygenerovaným kódem z PIN kalkulátoru.

Na rozdíl od SMS potvrzení u ČS a KB, která pro klienty neznamenají dodatečné náklady (pokud již vlastní mobilní telefon), si musí uživatelé internetového bankovnictví Citibank připlatit a PIN kalkulátor zakoupit. Zejména vlastníci kreditních karet, kteří měli přístup ke karetním transakcím (a možnosti změny PIN kódu karty), to nesou s nelibostí.

Kauza Komerční banky: Bílí koně ve vazbě

Komerční banka se v kauze vykradení klientských účtů zachovala jako grand. Přestože klienti banky zcela prokazatelně porušili podmínky užívání a zpřístupnili svůj počítač a s ním i přístupové náležitosti k účtu třetí osobě, ať již vědomě (viz zmíněný phishing), nebo nevědomě z nedbalosti (nedostatečné zabezpečení a aktualizace systému, nepoužívání antivirových programů, jejich nedostatečný update apod.), škodu, jejíž výši nekomentuje, ale jejíž odhady se pohybují v řádu 1,5 mil. Kč, klientům nahradila.

Část pachatelů krádeže byla zadržena. Bohužel se jedná o „bílé koně“, pěšáky organizovaného zločinu, jejichž úkolem bylo pouze vybrat peníze z účtu a předat je další osobě. Zpravidla bývají najímáni anonymně, a neznají tudíž svého „zaměstnavatele“ ani osobu, které lup předávají – a šance, že by pomohli odhalit celou strukturu je minimální. Jejich nevýhodou je, že v celé krádeži figurují neanonymně se svým účtem, přes který peníze protékají. Díky tomu je též policie zadržela.

Za účast na krádeži hrozí bílým koním, v tomto případě z Ukrajiny, nejen trest odnětí svobody, ale též náhrada škody.

Jak probíhá vykradení účtu přes internet

Vykrást účet přes internetové bankovnictví není sice jednoduché, ale na druhé straně to není ani příliš složité. Základem je získání přístupových kódů k internetové aplikaci. Nejjednodušší je zaměřit se na nejméně zabezpečená internetová bankovnictví – tedy taková, která jsou chráněna pouze uživatelským jménem a statickým heslem, případně certifikátem uloženým v souboru.

Hesla, uživatelské jméno a certifikát, zvláště je-li uložen na disku počítače i s heslem v souboru typu „pwd.txt“ či „heslo.doc“, lze získat například nainstalováním trojského koně na cílový počítač. Tomu se lze bránit využíváním aktualizovaného antivirového programu a aktualizovaným operačním systémem a prohlížečem. Ochrana to není zdaleka stoprocentní (hackeři bývají vždy o krok vpředu), proto se jedním dechem dodává neotevírejte podezřelé neznámé soubory, zvláště pokud přišly e-mailem z neznámé (ale i známé) adresy, a nenavštěvujte podezřelé internetové stránky.

Pomoci může též využívání alternativního prohlížeče internetových stránek (místo Internet Exploreru například Firefox nebo Opera), které dle průzkumů mají méně chyb a jejich chyby jsou odstraňovány rychleji, navíc díky menšímu zastoupení mezi uživateli nejsou tak vyhledávaným terčem útočníků.

Srovnání webových prohlížečů
Prohlížeč Počet objevených chyb Z toho nezáplatováno
Internet Explorer 6.x 82 31
Mozilla Firefox 1.x 19 7
Opera 8.x 5 0
Konqueror 3.x 10 1

Zdroj dat: Secunia

Využití alternativního prohlížeče je klientům Komerční banky zatím zapovězeno. Podíl Firefoxu ale rychle roste a Komerční banka se na jeho podporu připravuje… prioritu ale bude mít podpora Windows Vista, které by měly být uvedeny do prodeje v březnu a které bude oříškem nejen pro vývojáře internetových bankovnictví.

Dalším krokem je získání bílého koně – člověka, který si nechá převést peníze na svůj účet, vybere je a odevzdá jinému bílému koni – člověku, který je převede zpravidla do zahraničí nějakou „bezpečnou cestou“. K převodu do zahraničí se využívají zpravidla služby typu Commercial Union, specializující se na mezinárodní platby. Lze je samozřejmě převést též kabelovou metodou (v kabele v hotovosti).

Nejsložitější na celém postupu je získání přístupu k účtu a bílého koně, který se pod celou transakci podepíše.

Internetové bankovnictví: Příliš nebezpečné?

Internet je nebezpečné prostředí. Stejně jako když jdete večer sami přes les domů, měli byste se na něm pohybovat s jistou dávkou obezřetnosti. Riziko lze snížit poměrně účinně. Kromě klasických „zabezpečovacích prostředků“ může pomoci ochránit nejen internetové bankovnictví, ale též např. při ztrátě platební karty oznámení o změně zůstatku či pohybu na účtu, které nabízí stále více bank.

K obraně pomáhá dodržování základních bezpečnostních pravidel, která lze shrnout do „Desatera“.

Desatero bezpečného používání internetového bankovnictví

  1. Neprozrazujte přístupové kódy a hesla k účtu blízkým osobám ani pracovníkům banky.
  2. Nezaznamenávejte si přístupové kódy a hesla k účtu. Pokud jste k tomu nuceni např. složitostí uživatelského jména a délkou hesla, snažte se je zaznamenat způsobem, který nenapoví případnému nálezci kódů, že se jedná o přístup k internetovému bankovnictví. Zároveň uchovávejte přístupové údaje (např. uživatelské jméno a heslo) odděleně.
  3. Pravidelně měňte užívaná hesla.
  4. Vyhýbejte se užití neznámých počítačů např. v internetových kavárnách, zvláště pokud nepoužíváte jednorázová hesla pro vstup na účet. V případě, že neznámý počítač musíte využít, při nejbližší následné příležitosti změňte heslo.
  5. Pravidelně aktualizujte internetový prohlížeč a operační systém.
  6. Využívejte a pravidelně aktualizujte antivirové programy.
  7. Podpisový certifikát neukládejte na pevný disk ani na internet.
  8. Nedůvěřujte e-mailům z banky, které jste si neobjednali. Nikdy své bezpečnostní údaje neposílejte e-mailem.
  9. Ověřte si certifikát stránky, na které se k účtu přihlašujete. Pokud se vám přihlášení k účtu nepodaří, přestože vkládáte dle vašeho názoru správné uživatelské jméno a heslo, neprodleně kontaktujte banku – mohli jste být přesměrováni na jiné stránky.
  10. Při ukončení práce s internetovým bankovnictvím se vždy odhlaste a zavřete okno prohlížeče.

Zdroj: Představuje přímé bankovnictví riziko pro vaše peníze?

Anketa

Považujete vaše internetové bankovnictví za bezpečné?

17 názorů Vstoupit do diskuse
poslední názor přidán 29. 5. 2008 21:44
Zasílat nově přidané názory e-mailem