Názory k článku Mobilní bankovnictví a virtuální karty. Proč banky tolik chtějí, abyste je používali?

Akorát u spořícího účtu banky Creditas jsem neaplikoval aplikaci a nechal přístup jen z počítače přes internetbanking, což mi na vybírání úroku jednou za měsíc postačuje. Jinak mám mobilní aplikaci u všech bank, co mám a jsem spokojený, jak to funguje jen na otisk prstu a potvrzování plateb třeba jen jednoduchým pinem. Pro jistotu mám více smartphonů, aby v případě nefunkčnosti jednoho transakce šla provést na jiném. Úsměvně na mě působí virtuální asistentka Kate z ČSOB. Na účtu mám nízký zůstatek a tak mi nabízí kontokorent, že bych prý tak mohl ušetřit. Fio smartbanking mi zase nabízí, abych si nechal potvrzovat platby přes aplikaci, když jsem zadal potvrzování přes smsky. Po otevření aplikace Moneta Money Bank mi hned nahoře píšou, že bych si mohl půjčit 700 tisíc Kč. Českou spořitelnu zase využívám např. pro přístup k portálu občana, kde si můžeme nastavit mobil a e-mail a úřady nás prý upozorní, kdy nám budou končit platnosti dokladů, abychom si nezapomněli nechat vystavit nové.

Chápu, že to byl příklad. Ale 5 transakcí za den? Tedy 150 za měsíc? Takovou podmínku bych splnil snad jedině každodenním přehazováním peněz mezi účty.

Pokud se transakcí rozumí jenom to, že se uživatel podívá do bankovnictví, tak tam to asi pro spoustu lidí splnitelné bude (je to jako neustálá kontrola mailů a různých soc. sítí).

Ale ten příklad s tou vrtačkou je zajímavý. Ano, pokud bude banka vědět, čeho chtějí její klienti dosáhnout, může jim lépe nabízet služby. Jenom mám trošku obavy z toho, že klient bude zase postaven do situace, kdy sám přece nemůže pochopit, co je pro něj dobré a má slepě důvěřovat nějakým marketingovým kecům. Asi jako když nám po dvou letech hypotéky banka (ta samá, kde jsme měli hypotéku) každý měsíc volala, ať si vezmeme půjčku (nebyla to mBank).

Přesně to jsem si při čtení článku říkal, že to je pěkná blbost. Se tam spíš někdo upsal. Nemělo to být pět plateb měsíčně? Mám pocit, že mBank kdysi nějakou takovou podmínku u nějakého produktu mívala... Možná u některé z karet...

Jinak k tomu "běžnému dennímu bankování". WTF? Jako proboha proč? Mám sice spoustu účtů, někdy i dost transakcí, co se dá platím kartou, ale pak je třeba období, kdy do žádného bankovnictví nevlezu třeba dva týdny v kuse. Proč taky?

Do ankety bych ještě přidal volbu:
"Můj telefon (naštěstí) instalaci aplikací neumožňuje."

10. 3. 2023, 08:48 editováno autorem komentáře

...nebo aspoň volba "ne a ani se nechystám". Takhle to vypadá, jako by jediný myslitelný důvod, proč tu smartphone aplikaci někdo nemá, bylo to, že ji sice chce, ale ještě se k tomu nerozhoupal. Což je nesmysl, vzhledem k tomu, jak usilovně se nám, kdo smartphone aplikaci nepoužíváme, banky snaží znepříjemnit život, je dnes už většinou nemají jen ti, kdo je opravdu nechtějí.

Jo jo, v tomhle směru se o mně asi dá říct: "Je to rebel!" Čím víc je mi něco vnucováno, tím větší k tomu mám odpor, i když by se mi to třeba za jiných okolností zamlouvalo. Stejný efekt na mne mají reklamy (zvláště ty, co na mne vyskakují na webu). I když je to něco zajímavého (jakože 99,9 % není), protože mne to otravovalo reklamou, tak to nechci.

No, účast v anketě není povinná, takže když vám nesedí žádná odpověď, tak prostě neodpovíte, že? Je to snad tak složité?

Takže když někomu nesedí žádná z nabízených odpovědí (v jakékoliv otázce), má držet hubu a krok, aby nebylo poznat, že takoví lidé vůbec existují? Pak uděláte podobný "průzkum" a na základě výsledků hrdě prohlásíte, že 100 % obyvatel chce mobilní bankovní aplikace.

No, sice jste si ulevil, ale ani tak jste si další otázku do ankety nevynutil, že?

Tyto aplikace používám, šetři mi to čas, finance vyřeším ve vlaku a nemusím neustále lézt k PC, ke kterému si nesednu třeba co je týden dlouhý (kromě firemního PC). Jen je to pak jako osina v zadku, když člověk rozbije telefon/pošle ho do servisu/chcípne protože ty aplikace se nedají rozumně zálohovat..

Já aplikace rád nemám. U některých bank je mít "musím" (podmínka např. internetových plateb, zpoplatnění autorizačních SMS,...), ale hlavní banku mám FIO, kde aplikaci nemám. To ale neznamená, že ji na mobilu nepoužívám. FIO má natolik jednoduché IB, že lze komfortně používat i v browseru na mobilu a to včetně obskurdit jako Opera mini :).

Koukám, že jste jedl vtipnou kaši. Používat IB v Opeře mini je bezpečnostní díra jako prase. Takže Vám gratuluju, že vaše přihlašovací údaje vědí soudruzi v Číně.

https://en.wikipedia.org/wiki/Opera_Mini

Všeho dočasu, z IB pomalu začnou banky klienty přesouvat do aplikací, a rušit IB. Dej tomu rok nebo dva :).

10. 3. 2023, 19:43 editováno autorem komentáře

Už mne k tomu 1 banka přímo donutila. Buď si stáhnu Smart banku do mobilu, nebo se už ke svému účtu nedostanu. Je mně 70+, Smart banku mně musela do mobilu stáhnout vnučka, ale ovládat banku v mobilu je utrpení. Zaprvé na ten mobil hůře vidím, protože je to malé písmo a zadruhé již nemám tak mrštné a citlivé prsty. Prostě je to děs. Pomýšlím na odchod z té banky jinam, ale v budoucnu to budou mít všechny. V druhé bance vyšli nám seniorům zatím vstříc, že nám ponechávají i IB, ale na jak dlouho?

Tak s tím, že to dříve či později bude mít každá banka, počítejte. Takže cvičte, cvičte, ono je to na ty naše stařecké prstíky dobré cvičení motoriky :) Mám dotaz: Když vám vnučka apku stahovala, koukal jste se, abyste to příště už zvládl sám?

Má nějaká banka aplikaci, která pojede i na čistém Androidu bez Google Apps? Jiné telefony u nás v rodině nemáme.

Appku pro telefony bez služeb Google (např. pro telefony Huawei ) má například Creditas, Česká spořitelna, Hello bank, KB, mBank, Raiffeisenbank.

Mám účet u Creditas, tak jsem zkusil tu jejich aplikaci. Kromě toho, že to zabírá 178MB, to ani nefunguje. Aplikace se sice spustí, ale při pokusu zobrazit detaily transakce napíše: "CREDITAS Banking won't run without Google Play services, which are not supported on your device".

Máte appku staženou z AppGallery https://appgallery.huawei.com/app/C101748923 ?

Zkoušel jsem tu z Google Store. Teď jsem zkusil i tu z AppGallery a chová se to stejně. Ty apk se mírně liší v několika souborech, ale hadám že je to to samé jen jinak zkompilované. Dekompilovat to nebudu.

Tak to asi máte smůlu. Tu apku užívám už několik let a naprosto bez problémů mi funguje.

Na cistem Androidu provozuju aplikace nekolika bank.
Podminkou je nainstalovat microG (opensource implementaci proprietarnich googlich knihoven). Pouzivam i s rootem (Magisk + skryti rootu pred aplikacemi).
Podarilo se mi zprovoznit aplikace vsech bank, ktere pouzivam: mBank, Hello, FIO, drive Expobank.
Bankovni aplikace stahuju pomoci neoficialniho klienta Google Play, ktery se jmenuje Aurora store.
Vse tedy funguje bez Google uctu a jeho aplikaci a frameworku.

Zajímavé, že se banky moc nechlubí tím, že co se začalo zavádět používání aplikací na mobilu místo internetového bankovnictví s potvrzováním pomocí SMS, tak vzrostl počet úspěšných útoků s finanční ztrátou více jak stonásobně. Původní model s potvrzováním pomocí SMS při útoku vyžadoval, aby se někdo naboural do PC a zároveň do mobilu. Pokud to byl mobil bez připojení na internet, nebylo jak se do něj nabourat a potvrzování bylo bezpečné. Zatímco používání aplikace hackery přímo vybízí. Aplikace vyžaduje, aby byl mobil připojený na internet - tedy je přístupný komukoliv, kdo se do něj umí dostat, což je triviální úloha. Pak stačí už jen mobil monitorovat a počkat, až uživatel zadá heslo. Hacker má na jednom místě zadávání příkazu k převodu i potvrzování - doba vyluxování účtu je pak záležitostí sekund. Nepomohou ani žádné nastavené limity transakcí, protože limity se nastavují kde? Ano, hádáte správně. Limity se nastavují v aplikaci na mobilu a tu může hacker plně ovládat. Tím, že se zadávání finanční transakcí a jejich potvrzování děje na jednom zařízení je výsledná bezpečnost nulová. Kdo četl podmínky při instalaci aplikace, tak se dozví, že banka nenese žádnou zodpovědnost za zneužití aplikace. Z jejího pohledu je transakce řádně autorizována .. tedy klient nemá nárok na jakékoliv odškodnění.

Můžete dát odkaz na statistiku, z níž jste vyšel při sdělení, že "vzrostl počet úspěšných útoků s finanční ztrátou více jak stonásobně"? Rád bych si tu statistiku prostudoval podrobněji a to včetně případných průvodních protokolů k takové statistice. Děkuji!

Myslím, že odkaz na statistiku Pierre nedodá, protože si tu větu buď zcela vymyslel nebo si jí přečetl někde na Aeronetu.

Odposlech SMS je triviální - buď speciálním zařízením nebo klonování SIM. SMS se proto už nebudou používat. Napadení mobilu není tak jednoduché (sandboxing). Pokud máte strach, kupte si mobil s delší podporou (Apple, Samsung, Xiaomi, ...)

"Napadení mobilu není tak jednoduché" No nevím, když si dcera nevěděla rady s vyplněním platebního příkazu, tak vyřešit vzdálený přístup k jejímu mobilu byla záležitost 5 minut. Aplikace pro vzdálený přístup jsou běžně ke stažení. Po stažení a nainstalování zobrazí 20 místný kód, který mě sdělila a pomocí něho jsem platební příkaz zadal vzdáleně.
Nepřijde mi až tak složité někoho přesvědčit, aby si aplikaci nainstaloval a sdělil kód. (to zvládne naprostý laik s dobrými přesvědčovacími schopnostmi).
Nebo si půjčit telefon - např. pro zavolání a během "hovoru" něco nainstalovat (to zvládne také amatér, který vám za telefonát v nouzi nabídne třeba stovku a vy mu telefon půjčíte).
Nebo aplikaci podstrčit do nějakého programu, který pak přístupový kód odešle sám. (i to se děje, každou chvíli se lze dočíst, že na google play byla aplikace s nežádoucím kódem).
Co se týče klonování SIM, tak nevím jak dnes, ale před 8 lety to znamenalo
vyjmout SIM z mobilu a přes noc ji nechat dekódovat. Odposlechnutí SMS vyžaduje hodně drahé zařízení (monitor GSM signálu stojí kolem 500 tis. Kč a vyžaduje opravdu hodně dlouhý sběr dat pro dekódování, navíc mobil nesmí přeskočit na jinou BTS, protože s tou si vymění nové klíče) .

Proti blbosti uživatele nelze ochránit. Instalace ovládacího SW vyžaduje přidělení oprávnění správce (mobilu), což tak jednoduché není a ta aplikace je pak v příslušném seznamu vidět. Instalace vzdáleného ovládání do počítače (např. Windows) je stejně triviální, ale program má pak navíc neomezené možnosti skrývání. Odposlech SMS klonováním SIM možný je, stejně jako odposlech komunikace (není potřeba tak drahé zařízení), podobně je poměrně jednoduché SMS číst (až nejnovější systémy Androidu to komplikují), proto mají banky nařízeno přestat ověřovat pomocí SMS kódů.

Prostě nemáte pravdu - nejbezpečnější jsou mobilní telefony (ztrátu zjistíte hned, můžete vše čas zablokovat) plus autentizační aplikace ve spojení se zamykáním telefonu (kód, fráze, otisk etc). Viz jakýkoliv článek o bezpečnosti.

Vy srovnáváte situaci, kdy si někdo nainstaluje nějakou aplikaci a dá jí určitá oprávnění s opravdovým nabouráním se do telefonu bez vědomí uživatele?

Jako pardon, ale pokud to první někdo udělá "nechtěně" nebo z naivity, tak to není selhání zabezpečení telefonu, ale jeho uživatele...

Co tu šíříte lži a paniku? Klonování SIM není triviální a u nových karet je prakticky nemožné, jak říkají sami operátoři. A musel by jste mít tuto sim kartu v ruce. Tedy pouze nějaký extrémně naivní člověk, co by půjčil svojí SIM cizinci na ulici a ještě by mu sdělil přístupové údaje do bankovnictví.

Jak mi tedy nějaký podvodník z Nigérie triviálně naklonuje SIM kartu? Prosím o triviální postup krok za krokem. Já si triviálně naklonuji simku Andreje Babiše a podívám se mu triviálně na účet.

Pokud budete mít dost peněz, zaplatíte si firmu, která klonování provede. Není nutné si zařízení kupovat, stačí když to technicky lze. Výsledek je tak jako tak skutečnost, že banky musí ukončit používání potvrzovacích SMS a přejít na jiné způsoby (např. autentizační aplikace, generování elektronických klíče atd.). Mimo to SMS chodí přes operátora nešifrované, což je pro banky další problém. Pro policii a soudy samozřejmě výhoda, neřku-li že v cizině (Čína, Rusko apod) jste pak úplně nahranej, protože kdokoliv úplatný, kdo do SMS centra má přístup, může leccos "zařídit". Prostě SMS nebrat.

17. 3. 2023, 14:10 editováno autorem komentáře

Tak článek mě nalákal svým titulkem, ale odpověď na otázku z titulku jsem se při jeho čtení tak nějak stejně nedozvěděl. Ani to není o bankách, ale jen o mBank. Přijde mi to jako povídání o tom, jak v mBank brainstormovali a k čemu došli.

Ale v něčem jsou stejně mimo. Aspoň v mém případě. Já si tedy vrtačku určitě nekupoval proto, abych se doma cítil více domácky, ale právě proto, abych s ní vrtal díry. :-)

Jo a jak mám zkušenosti se spoustou banku, tak tedy zrovna mBank (resp. její internetové bankovnictví) mi přijde jako nejméně přehledné a větší pakárnu jak "mSpoření" také aby člověk pohledal...