E-mailová komunikace je již několik let zneužívána podvodníky k získání přístupů k bankovním účtům pomocí falešných e-mailů odesílaných jménem bank a finančních institucí. Své zkušenosti s tím mají finanční ústavy po celém světě, včetně České republiky.
Pokud jste denně na internetu, pravděpodobně jste se již setkali s falešnou výzvou k aktualizaci údajů v internetovém bankovnictví nebo u vaší platební karty. Samozřejmě bylo potřeba zadat přihlašovací login, heslo a v případě karty celé její číslo, adresu a CVC/CVV kód. Kdo to provedl, měl v následujících dnech o zábavu postaráno. Podívali jsme se na to, jak jednotlivé finanční ústavy chrání své domény před zneužitím.
Dá se ale ověřit, že doména banky, u které si chcete ověřit možný podvod, je v pořádku? A že nejde o další falešnou stránku?
Se zajímavým testem přišla společnost Mailkit. Je potřeba ale dodat, že Mailkit se věnuje hromadnému rozesílání e-mailů a SMS, takže její účel nebyl jen osvětový. Výsledky jsou však velmi zajímavé.
Jednička: HSBC Bank
Podle testu Mailkitu má zabezpečení e-mailů na nejvyšší úrovni pouze jediná banka, a to HSBC Bank, resp. její česká pobočka. Ta jako jediná implementovala kompletní ochranu domény hsbc.cz pomocí technologií SPF a DMARC. Tato doména se nepoužívá pro žádnou e-mailovou komunikaci, a tak banka zcela správně nastavila SPF záznam zakazující jakékoliv zprávy z této domény a DMARC pravidlo definující, že veškeré zprávy mají být zamítány, a díky reportingu o tom má kompletní přehled. HSBC Bank v ČR nabízí služby pouze korporátním klientům.
DMARC (Domain Message Authentication Reporting and Conformance) ověřuje doménu odesílatele.
SPF (Sender Policy Framework) je jedno z opatření, jak zvýšit důvěryhodnost e-mailové komunikace pomocí speciálních autorizačních DNS záznamů.
Dvojka: Citibank a ČSOB
Pomyslné druhé místo podle Mailkitu získali Citibank, ČSOB a Era/Poštovní spořitelna. Tyto banky mají korektně nastavené SPF záznamy, které jsou dostatečně restriktivní, a mají i DMARC záznam pro dohled. Zatím jsou však zřejmě ve fázi implementace DMARC a mají tak pouze dohledový záznam bez pravidla určujícího, jak naložit se zprávami, které neodpovídají bezpečnostním požadavkům.
Česká spořitelna a ING Bank musejí zabrat
Neudělený bronz by si odnesla Česká spořitelna za ochranu domény csas.cz a ING Bank za doménu ing.cz. Tento neudělený bronz však není za ochranu, ale za snahu. Jak csas.cz, tak ing.cz mají implementovány SPF záznamy i DMARC, ale bohužel obojí v podobě, která nemá příliš vysokou hodnotu.
Česká spořitelna má pro doménu csas.cz příliš široce pojatý SPF záznam, který autorizuje celou infrastrukturu společnosti Google, což otevírá obrovské množství cest, jak využít cloudové platformy Googlu k vydávání se za doménu csas.cz.
ING pak své SPF záznamy má s neutrálním pravidlem, tzn. de facto bez užitku. Obě domény pak pomocí DMARC reportů pouze monitorují rizika. Lze předpokládat, že v obou případech se jedná o součást implementačního procesu, a proto by si zasloužili bronz za snahu.
Jenže obě banky zapomněly na ochranu svých dalších domén, a tak Česká spořitelna u domény servis24.cz používané pro bankovnictví sice nastavila SPF záznamy a tentokrát restriktivně, ale DMARC pravidla zde zcela chybí. ING Bank pak zcela ignorovala zabezpečení domény ingbank.cz.
Brambory pro pět bank
Pomyslné bramborové ocenění je pak za validní a dostatečně restriktivní nastavení SPF záznamů. Bramboru by si vysloužilo pět bank:
České spořitelna a její domény servis24.cz, Air Bank za doménu airbank.cz, J&T Banka jtbank.cz, mBank mbank.cz, Stavební spořitelna České spořitelny za doménu csst.cz a Zuno zuno.cz. Tím vše končí a dál nastupují banky, které se podle Mailkitu na zabezpečení domény úplně vyflákly.
Nezabezpečené domény
A kdo jsou hříšníci, kteří usoudili, že je bezpečnost jejich klientů nebude zajímat?
- Českomoravská stavební spořitelna
- Equa bank
- Fio banka
- Hypoteční banka
- ING Bank za doménu ingbank.cz
- Komerční banka
- Modrá pyramida stavební spořitelna
- MONETA Money Bank
- PPF Banka
- Raiffeisenbank
- Sberbank
- Stavební spořitelna České spořitelny za doménu burinka.cz
- UniCredit Bank
- Wüstenrot
Výše uvedený výčet 14 bank ukazuje všechny banky, které mají své domény zcela nezabezpečené.
Kompletní výsledky testu provedeného 20. 4. 2017
Banka | Doména | SPF | DMARC |
---|---|---|---|
Air Bank | airbank.cz | Správně | Chybí |
Česká spořitelna | csas.cz | Nedostatečné | Monitoring |
Česká spořitelna | servis24.cz | Správně | Chybí |
Českomoravská stavební spořitelna | cmss.cz | Chybí | Chybí |
Československá obchodní banka | csob.cz | Správně | Monitoring |
Citibank | citibank.cz | Správně | Monitoring |
Equa bank | equabank.cz | Neplatné | Chybí |
Equa bank | equabanking.cz | Chybí | Chybí |
Fio banka | fio.cz | Upozornění | Chybí |
HSBC Bank | hsbc.cz | Správně | Správně |
Hypoteční banka | hypotekapowebu.cz | Chybí | Chybí |
Hypoteční banka | hypotecnibanka.cz | Chybí | Chybí |
ING Bank | ing.cz | Nedostatečné | Monitoring |
ING Bank | ingbank.cz | Chybí | Chybí |
J&T banka | jtbank.cz | Správně | Chybí |
Komerční banka | kb.cz | Chybí | Chybí |
Komerční banka | mojebanka.cz | Chybí | Chybí |
mBank | mbank.cz | Správně | Chybí |
Modra Pyramida | vsskb.cz | Chybí | Chybí |
MONETA Money Bank | moneta.cz | Nedostatečné | Chybí |
Poštovní spořitelna | erasvet.cz | Správně | Monitoring |
PPF banka | ppfbanka.cz | Chybí | Chybí |
Raiffeisenbank | rb.cz | Chybí | Chybí |
Sberbank | sberbankcz.cz | Chybí | Chybí |
Stavební spořitelna České spořitelny | csst.cz | Správně | Chybí |
Stavební spořitelna České spořitelny | burinka.cz | Chybí | Chybí |
Unicredit bank | unicreditbank.cz | Chybí | Chybí |
Wüstenrot | wuestenrot.cz | Chybí | Chybí |
Zuno | zuno.cz | Správně | Chybí |
Dokonalé není nic
DMARC samozřejmě není univerzální řešení všech problémů se spamem bez jediné chybičky. Ve skutečnosti vůbec neřeší, jestli dopis obsahuje neřádstvo, nebo užitečné informace. Zabývá se jen tím, zda se dá alespoň trochu věřit, že jej odeslal ten, kdo je uveden v hlavičce
From
.
A není bez chyby. Problémy mu působí především různé varianty předávání dopisů, jako jsou poštovní konference či automatické přeposílání příchozí korespondence na uživatelův účet u jiné poštovní služby. Jejich analýza a návrh protiopatření se připravuje, zatím se nachází ve stavu pracovního návrhu (draft-ietf-dmarc-interoperability). Rozhodně se jedná o živý standard, na jehož budoucnost je dnes pohlíženo dost optimisticky,
píše Pavel Satrapa z Ústavu nových technologií a aplikované informatiky na Technické univerzitě v Liberci v článku na serveru Root.cz.
S trochou nadsázky to s odstupem času vypadá, že standard SPF řeší zhruba stejné množství problémů, jako sám vytváří. Velcí e-mailoví hráči ho však vzali za svůj, a tak zbytku správců nezbývá než se přizpůsobit. Máte-li v plánu SPF zavést pro svoji doménu, začněte nejdříve průzkumem, kudy uživatelé e-mailových schránek odesílají svou poštu, a případně nápravou špatného stavu. Stále totiž existuje nemalé procento lidí, kteří odesílají poštu pochybnými cestami začínajícími obvykle u SMTP serveru internetového poskytovatele. Situace se ale pomalu zlepšuje, i velcí freemailoví poskytovatelé nabízejí autentizované předávání pošty k tomu určenou službou Submission (TCP/587),
rozebírá problematiku druhého zabezpečení Ondřej Caletka z CESNETu v článku na serveru Root.cz.
Nezbývá tak než spoléhat se na zdravý rozum a kromě zabezpečení ze strany bank neklikat na podezřelé soubory a nevkládat přihlašovací hesla a údaje do formulářů, o nichž nejste skálopevně přesvědčeni, že patří právě „vaší“ bance.