Výhody internetového bankovnictví jsou nepopiratelné a velmi dobře známé – neustálý přístup do banky, pohodlí domova či dostupnost z celého světa… o nich není sporu. Internetové bankovnictví ale může znamenat nemalé riziko pro vaše úspory. I to lze ale snížit.
Vykradení účtů z Komerční banky a téměř dokonaný stejný čin v České spořitelně ukázaly zřetelně, že není možné usnout na vavřínech. Obě banky obratem posílily technickou stránku zabezpečení a dle důvěrných informací se k podobnému kroku chystá alespoň jedna další banka.
Posilování zabezpečení ze strany banky by se mohlo zdát být dostatečnou ochranou proti vytunelování účtu. Není tomu tak. Každý technický prostředek lze napadnout a získat z něj informace potřebné k přístupu k účtu – a jeho následnému vyplenění. Jaká jsou jejich rizika?
Rizika zabezpečovacích prostředků internetového bankovnictví
Za nejméně bezpečné je zcela oprávněně považováno přihlašování (a autorizace plateb) uživatelským jménem a heslem (či jejich obdobami). Pravděpodobně jste již slyšeli nebo četli o snímači klávesnice, díky němuž útočník získá informaci o stištěných klávesách – a z nich získat přístupová hesla již není větší problém. Např. Česká spořitelna nebezpečí snížila grafickou klávesnicí umístěnou u vstupního formuláře na stránky, s níž klient manipuluje pomocí myši.
Ovšem nebezpečí neplyne jen ze scanování klávesnice. Je-li uživatelské jméno a heslo příliš jednoduché, je možné ho rozluštit „tvrdou silou“. Je-li naopak příliš složité, uživatelé si ho poznamenávají a zvyšují tím riziko.
Bezpečnější jsou certifikáty, ale i ty mají svá rizika. U nich velmi záleží na tom, jakým způsobem jsou používány. Jsou-li uloženy na disku počítače (nebo dokonce veřejně na internetu), je velmi snadné je získat. Mnohem bezpečnější jsou na externím médiu (disketa, CD, USB disk), které je k počítači připojováno pouze za účelem podpisu. I v tomto případě není certifikát zcela v bezpečí – existují programy, které si na připojení certifikátu počkají, a pak ho zkopírují.
Dalším krokem k větší bezpečnosti jsou certifikáty uložené na čipových kartách a USB tokenech, které přístup k certifikátu ještě dále chrání. I v tomto případě ale dokáže „šikovný“ útočník zabezpečení prolomit a data z karty či tokenu zkopírovat.
Jinou kategorií zabezpečení je zasílání SMS kódů na mobilní telefon. V tomto případě jsou dvě možnosti komunikace s bankou – s šifrovaným přenosem pomocí SIM Toolkit a klasické nešifrované SMS zprávy. První varianta má navíc tu výhodu, že přístup k obdržené bankovní zprávě je chráněn navíc bankovním PIN kódem.
Nebezpečí klasických SMS zpráv je nasnadě. Stačí ponechat nechráněný mobilní telefon u počítače a „kolemjdoucí“ nenechavec může velmi snadno přijít k vašim penězům. Ovšem ani bankovní SMS zprávy nezaručí naprostou jistotu. Jakékoli elektronické zařízení je možné zkopírovat (kopírování telefonních čipů není nijak obtížné), a stačí tedy nechat mobilní telefon chvilku bez dozoru. Dešifrování dat je jen otázkou času, peněz a schopností útočníka. Pomocí fyzikálních útoků je to otázka spíše minut než let.
Nesmíme zapomínat ani na nebezpečí fyzických útoků. Pak je otázkou, jak se vám podaří přesvědčit banku a policii, že transakci jste provedli pod nátlakem pachatele, kterému jste neviděli do obličeje, vyhrožoval vám bez přítomnosti svědků a přiměl vás převést vaše úspory na účet „bílého koně“.
Jedním z nejbezpečnějších prostředků ochrany internetového bankovnictví je PIN kalkulátor. Jeho výhodou oproti mobilnímu klíči je, že nedochází k přenosu kódu od banky k uživateli a zpět (banka zašle kód na mobilní telefon a uživatel ho po síti internetu posílá zpět do banky k ověření), ale uživatel si generuje kód na základě údajů o transakci, který zasílá bance. Banka na základě stejného algoritmu a stejných vstupních údajů vygeneruje kód také a oba následně porovná.
Ovšem i kalkulátor lze zkopírovat, jako kterékoli elektronické zařízení. O dešifrování údajů z něj platí totéž, co o dešifrování informací ze SIM Toolkit. Jde to – a pro pachatele této trestné činnosti to není žádný větší problém.
Hodnocení bezpečnosti IB českými uživateli
Poznámka: 1 – nejlepší hodnocení, 5 – nejhorší hodnocení
Zdroj: Průzkum agentury NMS pro ČSOB
Jak si ochránit peníze na účtu?
Nejúčinnější obranou peněz na běžném účtu je pravděpodobně otevření si účtu u malé banky, kde vás osobně dobře znají a kde nemůžete podávat příkazy jinou než písemnou formou na přepážce ve vaší pobočce. Toto je ale poněkud nepraktický způsob zabezpečení. A přiznejme si, v dnešní době pro většinu lidí nepoužitelný.
Pokud budete využívat internetové bankovnictví (ale i jiné platební prostředky – jedním z nejvíce rizikových jsou elektronické platební karty s magnetickým proužkem chráněné pouze podpisem majitele), je třeba si uvědomit, jaká rizika s tím jsou spojená. Je to obdobné jako u investic do podílových fondů – stejně jako se určité podílové fondy hodí jen pro investory s určitým rizikovým profilem, nehodí se každé zabezpečení internetového bankovnictví pro každého.
Rizika napadení účtu přes internet lze účinně snížit – ale především na straně klienta. Banka může pouze poskytnout technický prostředek, pracovat s ním už musí klient. Pokud využívá např. certifikát na čipové kartě, kterou ale nechává permanentně zasunutou v počítači připojeném na internet, který je navíc k dispozici i spolupracovníkům a návštěvám ve firmě, pak ani čipová karta nic nezmůže.
Přestože ochránit se zcela proti virům, trojským koňům, spyware a dalším nežádoucím programům nelze, riziko snižuje obezřetné chování na internetu, pravidelná aktualizace antivirového programu a používání firewallu. Ani návštěva erotických stránek pochybného původu nezvyšuje bezpečnost prostředí ve vašem počítači.
Nezbytné je také „zabezpečení zabezpečovacích prostředků“ – pokud využíváte např. PIN kalkulátor, je třeba ho chránit před nepovolanými osobami. Jeho (byť jen dočasné) zcizení může mít za následek zcizení prostředků z účtu.
Nedůvěřivost je dalším bodem, který vám pomůže ochránit váš účet. Nikdy neodpovídejte na e-maily z banky a v žádném případě nesdělujte hesla – ani na stránkách, které se jako bankovní tváří. Pokud budete mít podezření, že s přihlašovací stránkou k internetovému bankovnictví není něco v pořádku, určitě neprodleně kontaktujte banku – nikoli však na telefonním čísle, které je uvedené na podezřelé stránce.
Nic není tak černé…
Zcizení peněz z účtu je trestným činem, i když se děje přes internet. Jako k trestnému činu se k němu staví jak policie, tak banky. Nejsou-li porušena pravidla bezpečného chování ze strany klienta, ručí za přístup k účtu banka. Ale… dokázat, že se jedná o kriminální činnost a nikoli o podvod ze strany klienta je velmi obtížné. Banky se však v posledních případech ke klientům postavily čelem a ztráty uhradily.