Hlavní navigace

Žádné internetové bankovnictví není zcela bezpečné

18. 9. 2006
Doba čtení: 5 minut

Sdílet

Nedávné kauzy Komerční banky a České spořitelny, jejímž klientům byly odčerpány peníze z účtu pomocí internetového bankovnictví, vedly k posílení zabezpečení aplikací. Ale... žádný prostředek zabezpečení internetového bankovnictví není zcela bezpečný! Jaká rizika skýtají?

Výhody internetového bankovnictví jsou nepopiratelné a velmi dobře známé – neustálý přístup do banky, pohodlí domova či dostupnost z celého světa… o nich není sporu. Internetové bankovnictví ale může znamenat nemalé riziko pro vaše úspory. I to lze ale snížit.

Vykradení účtů z Komerční banky a téměř dokonaný stejný čin v České spořitelně ukázaly zřetelně, že není možné usnout na vavřínech. Obě banky obratem posílily technickou stránku zabezpečení a dle důvěrných informací se k podobnému kroku chystá alespoň jedna další banka.

Posilování zabezpečení ze strany banky by se mohlo zdát být dostatečnou ochranou proti vytunelování účtu. Není tomu tak. Každý technický prostředek lze napadnout a získat z něj informace potřebné k přístupu k účtu – a jeho následnému vyplenění. Jaká jsou jejich rizika?

Úroveň zabezpečení je nepřímo úměrná pohodlí klienta. Chcete-li využívat bezpečnější technické prostředky zabezpečení internetového bankovnictví, musíte se smířit nižším pohodlím.

Rizika zabezpečovacích prostředků internetového bankovnictví

Za nejméně bezpečné je zcela oprávněně považováno přihlašování (a autorizace plateb) uživatelským jménem a heslem (či jejich obdobami). Pravděpodobně jste již slyšeli nebo četli o snímači klávesnice, díky němuž útočník získá informaci o stištěných klávesách – a z nich získat přístupová hesla již není větší problém. Např. Česká spořitelna nebezpečí snížila grafickou klávesnicí umístěnou u vstupního formuláře na stránky, s níž klient manipuluje pomocí myši.

Ovšem nebezpečí neplyne jen ze scanování klávesnice. Je-li uživatelské jméno a heslo příliš jednoduché, je možné ho rozluštit „tvrdou silou“. Je-li naopak příliš složité, uživatelé si ho poznamenávají a zvyšují tím riziko.

Bezpečnější jsou certifikáty, ale i ty mají svá rizika. U nich velmi záleží na tom, jakým způsobem jsou používány. Jsou-li uloženy na disku počítače (nebo dokonce veřejně na internetu), je velmi snadné je získat. Mnohem bezpečnější jsou na externím médiu (disketa, CD, USB disk), které je k počítači připojováno pouze za účelem podpisu. I v tomto případě není certifikát zcela v bezpečí – existují programy, které si na připojení certifikátu počkají, a pak ho zkopírují.

Dalším krokem k větší bezpečnosti jsou certifikáty uložené na čipových kartách a USB tokenech, které přístup k certifikátu ještě dále chrání. I v tomto případě ale dokáže „šikovný“ útočník zabezpečení prolomit a data z karty či tokenu zkopírovat.

Jinou kategorií zabezpečení je zasílání SMS kódů na mobilní telefon. V tomto případě jsou dvě možnosti komunikace s bankou – s šifrovaným přenosem pomocí SIM Toolkit a klasické nešifrované SMS zprávy. První varianta má navíc tu výhodu, že přístup k obdržené bankovní zprávě je chráněn navíc bankovním PIN kódem.

Nebezpečí klasických SMS zpráv je nasnadě. Stačí ponechat nechráněný mobilní telefon u počítače a „kolemjdoucí“ nenechavec může velmi snadno přijít k vašim penězům. Ovšem ani bankovní SMS zprávy nezaručí naprostou jistotu. Jakékoli elektronické zařízení je možné zkopírovat (kopírování telefonních čipů není nijak obtížné), a stačí tedy nechat mobilní telefon chvilku bez dozoru. Dešifrování dat je jen otázkou času, peněz a schopností útočníka. Pomocí fyzikálních útoků je to otázka spíše minut než let.

Nesmíme zapomínat ani na nebezpečí fyzických útoků. Pak je otázkou, jak se vám podaří přesvědčit banku a policii, že transakci jste provedli pod nátlakem pachatele, kterému jste neviděli do obličeje, vyhrožoval vám bez přítomnosti svědků a přiměl vás převést vaše úspory na účet „bílého koně“.

Jedním z nejbezpečnějších prostředků ochrany internetového bankovnictví je PIN kalkulátor. Jeho výhodou oproti mobilnímu klíči je, že nedochází k přenosu kódu od banky k uživateli a zpět (banka zašle kód na mobilní telefon a uživatel ho po síti internetu posílá zpět do banky k ověření), ale uživatel si generuje kód na základě údajů o transakci, který zasílá bance. Banka na základě stejného algoritmu a stejných vstupních údajů vygeneruje kód také a oba následně porovná.

Ovšem i kalkulátor lze zkopírovat, jako kterékoli elektronické zařízení. O dešifrování údajů z něj platí totéž, co o dešifrování informací ze SIM Toolkit. Jde to – a pro pachatele této trestné činnosti to není žádný větší problém.

Hodnocení bezpečnosti IB českými uživateli

Hodnocení zabezpečení IB

Poznámka: 1 – nejlepší hodnocení, 5 – nejhorší hodnocení
Zdroj: Průzkum agentury NMS pro ČSOB

Jak si ochránit peníze na účtu?

Nejúčinnější obranou peněz na běžném účtu je pravděpodobně otevření si účtu u malé banky, kde vás osobně dobře znají a kde nemůžete podávat příkazy jinou než písemnou formou na přepážce ve vaší pobočce. Toto je ale poněkud nepraktický způsob zabezpečení. A přiznejme si, v dnešní době pro většinu lidí nepoužitelný.

Pokud budete využívat internetové bankovnictví (ale i jiné platební prostředky – jedním z nejvíce rizikových jsou elektronické platební karty s magnetickým proužkem chráněné pouze podpisem majitele), je třeba si uvědomit, jaká rizika s tím jsou spojená. Je to obdobné jako u investic do podílových fondů – stejně jako se určité podílové fondy hodí jen pro investory s určitým rizikovým profilem, nehodí se každé zabezpečení internetového bankovnictví pro každého.

Rizika napadení účtu přes internet lze účinně snížit – ale především na straně klienta. Banka může pouze poskytnout technický prostředek, pracovat s ním už musí klient. Pokud využívá např. certifikát na čipové kartě, kterou ale nechává permanentně zasunutou v počítači připojeném na internet, který je navíc k dispozici i spolupracovníkům a návštěvám ve firmě, pak ani čipová karta nic nezmůže.

Přestože ochránit se zcela proti virům, trojským koňům, spyware a dalším nežádoucím programům nelze, riziko snižuje obezřetné chování na internetu, pravidelná aktualizace antivirového programu a používání firewallu. Ani návštěva erotických stránek pochybného původu nezvyšuje bezpečnost prostředí ve vašem počítači.

Nezbytné je také „zabezpečení zabezpečovacích prostředků“ – pokud využíváte např. PIN kalkulátor, je třeba ho chránit před nepovolanými osobami. Jeho (byť jen dočasné) zcizení může mít za následek zcizení prostředků z účtu.

skoleni_15_4

Nedůvěřivost je dalším bodem, který vám pomůže ochránit váš účet. Nikdy neodpovídejte na e-maily z banky a v žádném případě nesdělujte hesla – ani na stránkách, které se jako bankovní tváří. Pokud budete mít podezření, že s přihlašovací stránkou k internetovému bankovnictví není něco v pořádku, určitě neprodleně kontaktujte banku – nikoli však na telefonním čísle, které je uvedené na podezřelé stránce.

Nic není tak černé…

Zcizení peněz z účtu je trestným činem, i když se děje přes internet. Jako k trestnému činu se k němu staví jak policie, tak banky. Nejsou-li porušena pravidla bezpečného chování ze strany klienta, ručí za přístup k účtu banka. Ale… dokázat, že se jedná o kriminální činnost a nikoli o podvod ze strany klienta je velmi obtížné. Banky se však v posledních případech ke klientům postavily čelem a ztráty uhradily.

Jakou formu zabezpečení IB považujete za nejspolehlivější?

Byl pro vás článek přínosný?

Autor článku

Šefredaktor odbormných komutních webů Poradci-sobě.cz a Realiťáci-sobě.cz. Šéf obsahu EMA data.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).