Hlavní navigace

Jak bezpečně používat mobilní bankovnictví?

Autor: Shutterstock
Dalibor Z. Chvátal

Kauza programu QRecorder pro Android připomněla dávno zodpovězené otázky, jak a zda vůbec se dá bezpečně bankovat z chytrého telefonu. Spolehnout se na oficiální obchod Google totiž nelze. Stačí uživateli poslat aktualizaci aplikace, nainstalovat ji a průšvih je na cestě.

Doba čtení: 6 minut

Je příjemné mít možnost si nahrát hovor z mobilu, zvláště když si naše hovory na firemní čísla protistrany často automaticky nahrávají. Pokud máte chytrý telefon, můžete mít od výrobce vestavěnou aplikaci, nebo si ji stáhnete z oficiálního obchodu Apple, Google či Microsoftu. Když aplikaci začnete instalovat, začne po vás vyžadovat mnoho oprávnění. Pokud je bezmyšlenkovitě odklikáte, zaděláváte si do budoucna na problémy.

Zrada z obchodu Google Play

O záškodnické aplikaci QRecorder jako první informovala společnost ESET. Podařilo se nám zachytit nástroj na nahrávání hovorů QRecorder. Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla tzv. ztrojanizovaná. To znamená, že po jedné z posledních aktualizací se z QRecorderu stal tzv. trojský kůň. Ten umožňuje útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah, což se také děje, říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. Podrobnosti najdete ve výše odkazované tiskové zprávě.

Ve zkratce, aplikace na pozadí zpočátku jen skenovala instalované aplikace a čekala na „pokyny“ svého vývojáře. Ty později přišly a měly jasný cíl: získat kontrolu nad přihlašovacími a autorizačními údaji, které uživatel chytrého mobilu používá v internetovém, resp. mobilním bankovnictví nebo v čemkoli, co lze zpeněžit.

Chyba uživatele, řeknete si, nemá přece stahovat pochybné aplikace. Problém je, že tato aplikace byla z oficiálního obchodu Google Play. Uživatel mobilu by tak nejspíše čekal daň v podobě stále se zobrazujících reklam (appka byla zadarmo), nicméně už ne trojského koně, který mu chce ukrást peníze. A toto je jednoznačně chyba Google, že takovou aplikaci do obchodu pustil.

Pro pořádek dodejme, že existují dvě aplikace shodného jména. Ta první je špatná, ta druhá je v pořádku.

Záškodnická aplikace QRecorder s virem je již z obchodu Google Play stažena, původní odkaz měla tento: com.apps.callvoicerecorder a byla od vývojáře se jménem NickBaza.

Původní aplikace QRecorder od vývojáře „NickBaza“ obsahovala trojského koně. Jejím cílem bylo získat přihlašovací a autorizační údaje do nejrůznějších systémů, včetně internetového a mobilního bankovnictví.
Autor: Dalibor Z. Chvátal

Původní aplikace QRecorder od vývojáře „NickBaza“ obsahovala trojského koně. Jejím cílem bylo získat přihlašovací a autorizační údaje do nejrůznějších systémů, včetně internetového a mobilního bankovnictví.

Stále dostupná aplikace se stejným názvem QRecorder má odkaz com.abc.callvoicerecorder a je od vývojáře PA Production. Tato je v pořádku.

Stále dostupná aplikace QRecorder od nepálského vývojáře se jménem Ali Pharid. Tato je v pořádku.
Autor: Dalibor Z. Chvátal

Stále dostupná aplikace QRecorder od nepálského vývojáře se jménem Ali Pharid. Tato je v pořádku.

Všimněte si, že rozdíl je pouze v tučně označeném slově „apps“, resp. „abc“ uprostřed odkazu. Nepálský vývojář Ali Pharid stále existující aplikace QRecorder je tak nyní mylně zasypán varujícími recenzemi, že jde o virus. Přitom jde ale o odlišnou aplikaci (takže se ji nemusíte bát stahovat). Jak k problému došlo, popisuje ve své tiskové zprávě.

Jak se bránit?

Existuje obrana proti situaci, kdy si z oficiálního obchodu Apple, Google či Microsoftu stáhnete aplikaci a ta při nějaké z dalších aktualizací bude obsahovat škodlivý software, který má za cíl ukrást vám peníze? Existuje, ale je velmi nepraktická.

Říká se vtip, že paranoidní pracovníci z oddělení risku v bankách používají dvě věty:

  • Nejbezpečnější platební karta je nevydaná.
  • Nejbezpečnější mobilní/internetové bankovnictví je neaktivní.

Neznamená to samozřejmě návrat zpět k papíru, ale následující řádky vám pomohou pochopit, proč to není legrace. Jde totiž o vaše peníze a bude hůř.

Pravidelně kontrolujte oprávnění aplikací

Vždy, když stahujete aplikaci do chytrého mobilu, zkontrolujte si oprávnění, které jí dáváte. Mobil vám to předem sdělí, pravdou ale je, že výčet oprávnění je často tak velký, že drtivá většina uživatelů to automaticky odkliká/potvrdí, aniž by o tom přemýšlela.

Potřebuje stáhnutá hra oprávnění pro čtení a odesílání SMS? Proč aplikace pro zobrazování tapet vyžaduje přístup k historii vašich hovorů? Vážně chcete aplikaci pro poslech hudby udělit oprávnění k platbám přes NFC?

Jednoduše napsáno, přemýšlejte, co po vás aplikace chce a co jí skutečně dovolíte.

Zůstaneme u Androidu, protože právě tato kauza se jej týká. Udělejte si kontrolu, jaké aplikace po vás chtějí data a co jste jim už povolili. Najdete to v Nastavení → Správce oprávnění (menu se podle typů mobilů může lišit).

Vypadá to přibližně takto:

Android vám umí zobrazit, jaká data jste povolili aplikacím o vás získávat.
Autor: Dalibor Z. Chvátal

Android vám umí zobrazit, jaká data jste povolili aplikacím o vás získávat.

V Androidu zjistíte, jaké aplikace mají oprávnění číst/posílat SMS. A můžete to samozřejmě změnit.
Autor: Dalibor Z. Chvátal

V Androidu zjistíte, jaké aplikace mají oprávnění číst/posílat SMS. A můžete to samozřejmě změnit.

Toto je ale jen prevence. Jakmile si nakaženou aplikaci nainstalujete, už nemusí pomoci následně oprávnění „vypnout“.

Nedělejte si z mobilu sbírku či knihovnu aplikací

Stahujte do mobilu pouze aplikace, které skutečně potřebujete, nebo o ně máte vážný zájem. Brouzdat jen tak po obchodě s aplikacemi nebo klikat pro jejich stažení na vyskakující reklamy je opět zárodkem průšvihu.

A jen pro jistotu připomínáme, že stahovat aplikace mimo hlavní obchod je nebezpečné, pokud osobně neznáte vývojáře. Rovněž rootnout mobil je asi tak bezpečné, jako když u svého bytu/domu necháte místo bezpečnostního zámku s mříží jen tenký visící předsíňový závěs. Můžete jen doufat, že zloděj nic nevezme, vždyť se přece ví, že krást se nemá.

Mobil je malý počítač. Myslete na to

Chytrý telefon má procesor, paměť a mnoho dalších udělátek. Je to totiž malý počítač se všemi výhodami a nevýhodami. Může vám moc dobře posloužit, ale když se do něj dostane nepovolaná osoba (třeba přes zavirovanou aplikaci), může vám způsobit také mnoho starostí a v konečném důsledku velkou finanční ztrátu.

Nepoužívejte mobil „na všechno“

U zmiňovaného zneužití aplikace QRecorder došlo k převodům peněz z českých a polských účtů. Ty následně někdo vybral v hotovosti z bankomatů. Jak k převodu došlo? Pachatel znal přístup do internetového bankovnictví, protože se do něj uživatel přihlašoval přímo z mobilu.

To by ještě nevadilo, ale potvrzující SMS chodily opět na stejný mobil. Z toho vyplývá jedno velmi důležité pravidlo:

Nepoužívejte jedno zařízení pro dvou- či vícefaktorovou autentizaci!

Je to složité? Vysvětlíme si to. Pokud se z mobilu přihlašujete do banky (jedno zda přes mobilní aplikaci, nebo přes webový prohlížeč) a do stejného mobilu vám chodí SMS (nebo jiné ověřovací kódy) pro potvrzení operace, je to bezpečnostní průšvih. Proč? Případný útočník snadno uvidí totéž, co vidíte vy.

Abyste mu to ztížili, nechte si autorizační SMS posílat na jiné číslo a do jiného mobilu. Nebo třeba pro potvrzení operace zadané přes počítač použijte náhodně vygenerovaný klíč/SMS z mobilu, který však není k počítači připojen (třeba kabelem, přes Bluetooth či Wi-Fi).

Nastavte si limit pro mobilní platby

Pokud používáte mobilní banku prostřednictvím aplikace, nebojte se a používejte ji. Banky investují velké peníze do zabezpečení mobilního bankovnictví. Ale s mobilem, se kterým bankujete, nelezte na všechny weby, které vás napadnou. Chovejte se s ním stejně, jako byste se přihlašovali z počítače.

Pro platby z mobilní aplikace banky si nastavte limity, pakliže to vaše banka umožňuje. Takže třeba drobné platby do pár tisíc korun můžete poslat z mobilu, ale větší převod zrealizujete přes počítač (ne přes webový prohlížeč v mobilu!).

diners2018

Dětem dejte na hraní něco jiného. Nebo jiný mobil

Nenechte dětem umožnit stahovat si všelijaké hry do mobilu/tabletu, který používáte k finančním operacím. Děti z toho ještě nemají rozum, cokoliv odklikají, jen aby se vrátily ke hře, musíte myslet za ně.

A ano, všechno to bude otravné. Nebude vás to časem bavit a přijdete o pohodlí. A pak si musíte položit otázku: zda vám to pohodlí, kdy vše vsadíte na jednoho koně (mobil), stojí za to riziko, že můžete přijít o peníze.

Našli jste v článku chybu?