Hlavní navigace

Vosála: 100% bezpečnost na internetu asi neexistuje

7. 7. 2016
Doba čtení: 14 minut

Sdílet

 Autor: Shutterstock
Jaké fígle dnes útočníci na internetu využívají nejčastěji? Jak maximalizovat ochranu a co z hlediska bezpečnosti zanedbává nejčastěji? To a více v rozhovoru s bezpečnostním expertem z ČSOB.

Že za napadaným účtem, na který se útočník dostal přes počítač, je problém někde mezi židlí a klávesnicí, slyšíme zleva zprava. Méně už se ale ví třeba o tom, že bezpečnost svého účtu můžete ohrozit i tím, že se špatně přihlásíte či odhlásíte z internetového bankovnictví. Tyto a další zajímavosti jsme se dozvěděli při rozhovoru s manažerem bezpečnosti z ČSOB.

Petr Vosála (40)

Manažer bezpečnosti elektronických kanálů ČSOB a Ery.

Vystudoval obor Informační technologie a management na Bankovním institutu v Praze.

V bankovnictví se pohybuje od roku 1998, v ČSOB působí od roku 2001.

Je manažerem útvaru Digitální kanály, má na starost bezpečnost internetového bankovnictví a elektronických kanálů.

V poslední době mi do e-mailu často přistane zpráva vyzývající k úhradě neexistujícího dluhu nebo ke změně přihlašovacích údajů do internetového bankovnictví. Pokusy o útok jsou, zdá se, častější a rafinovanější. Jsou útočníci úspěšnější při pokusech o útok na citlivá data i u vašich klientů?

Se vším, co říkáte, musím souhlasit. Kvalita, sofistikovanost i počet útoků stoupá. Na druhou stranu ale klesá jejich úspěšnost díky edukaci klientů ať už bankou, médii, přáteli nebo třeba rodinnými příslušníky.

Co se týče konkrétních statistik za naši banku, tak tyto údaje nezveřejňujeme. Nicméně případy podvedených a okradených klientů samozřejmě evidujeme a každý jednotlivý výskyt bereme velmi vážně. Ke každému přistupujeme individuálně a snažíme se zjistit maximum informací, jak k útoku mohlo dojít, abychom byli schopni si z takového případu vzít ponaučení pro příště, například pro tvorbu dalšího edukačního materiálu.

Jaký podíl z těchto úspěšných útoků má phishing? Tedy podvodné maily tvářící se jako zpráva z banky?

Relativně velmi malý. Nyní převažují útoky v oblasti sociálního inženýrství spojené především se zneužíváním sociálních sítí, kdy se útočníci snaží pod jednoduchou záminkou uživatele přimět zaplatit malý obnos přes falešnou platební bránu. Klient tam zadá své přihlašovací údaje a poté i kód z autorizační SMS. Tyto případy jsou nyní nejčastější, protože budí největší důvěru.

Když vám přijde e-mail, tak máte čas, abyste si ho pořádně přečetla a zamyslela se nad ním, a pokud tam uvidíte gramatické chyby, pro vás nerelevantní obsah nebo není uveden seriózní kontakt, snadno pojmete podezření a často vůbec nezareagujete. Těchto zpráv chodí relativně hodně a lidé se je naučili většinou rovnou mazat.

Co se týče sociálních sítí, tam je problém, že si myslíte, že vás oslovuje váš známý, kterému ale útočníci ve skutečnosti zneužili profil. Za touto konverzací už vidíte konkrétní obličej a celý podvod působí mnohem důvěryhodněji.

Pokud se ještě vrátím k phishingu, může mě ohrozit i jen samotné otevření e-mailové zprávy, nebo je nutné udělat ještě jeden krok, tedy například kliknout na odkaz nebo si stáhnout soubor v příloze?

To záleží na tom, jak je útok koncipovaný. Některé e-maily mohou totiž obsahovat přílohu, která se spustí už po rozkliknutí samotné zprávy. Ale těch je jen minimum. Drtivá většina těchto zpráv vás láká na to, abyste klikla na přílohu nebo na odkaz.

Dokáží antivirové programy zabránit útoku poté, co se příloha automaticky spustí?

Určitě. Velká většina renomovaných antivirů právě toto dokáže a umí dokonce odfiltrovat i přílohy, které bývají nejčastěji zneužité. To jsou přílohy ve formátu .exe, což je něco, co, laicky řečeno, „žije“. Není to fotka, obrázek ani text. Těžší už je si nastavit antivir tak, aby nezachycoval i to, co nechcete.

Antivirový program je vždy nějak přednastavený a 95 % klientů to tak vyhovuje. Někteří uživatelé si ale mohou, například v rámci firemní pošty, posílat soubory, které už tento program považuje za podezřelé, a pak je potřeba upravit ve výjimkách nastavení, aby určité přílohy akceptoval ať už podle typu přílohy nebo například domény či odesilatele.

Najdou se i takové případy klientů, kteří naletí útočníkům, vlastní vinou se připraví o peníze a vy jim jako banka ztrátu stejně nahradíte? Podle jakého klíče tyto situace posuzujete?

Ke každé reklamaci přistupujeme velmi individuálně, ať už se to týká kyberprostoru, platební karty nebo něčeho jiného. Zde býváme ještě opatrnější. Je potřeba velké interakce s klientem, abychom co nejpřesněji zjistili míru zavinění. Tedy zda se jednalo o nedbalost nebo jestli klient té situaci vlastním přičiněním přímo napomohl, jestli se jedná o reálný fraud nebo pokus o podvod. A podle tohoto výsledku teprve připravujeme s klientem narovnání.

Z toho, jak se útočníci zaměřují na bankovní klienty a ne přímo na banky je zřejmé, že jsou pro ně mnohem snadnějším cílem. Co bychom tedy měli dodržovat, aby se riziko útoku alespoň eliminovalo?

Začal bych asi tím, že by každý měl používat zdravý rozum. Ale existuje i jakési desatero bezpečné práce a života na internetu. Obecně platí, že zařízení, ze kterého komunikujeme přes internet, bychom měli mít stoprocentně pod kontrolou. Měl by to být tedy náš domácí počítač, maximálně ten pracovní. Žádná internetová kavárna, žádný hotelový počítač apod. Počítač bychom měli mít také v dobré kondici. Tím myslím používat poslední verze operačních systémů a prohlížečů, pravidelně aktualizovat antivirové systémy i bezpečnostní doplňky a naopak neinstalovat nic z neznámých či nedůvěryhodných zdrojů. Další podmínkou je používat v elektronickém bankovnictví silná hesla a pravidelně zde kontrolovat transakce.

Neméně důležité je ale stejným způsobem přistupovat i k chytrému mobilnímu telefonu. Ten je z mého pohledu daleko nebezpečnější než počítač, protože toho umí daleko víc. Umí hrát hry, ukládat fotky a data, posílat a přijímat e-maily, ale také telefonovat přes datovou síť, umí geolokaci, zkrátka spoustu věcí, které nejsou u počítačů běžné.

Co z vaší zkušenosti klienti z hlediska bezpečnosti zanedbávají nejčastěji?

Podle mě podceňují zabezpečení svých zařízení, zejména chytrých mobilních telefonů a tabletů. Nemají v chytrých telefonech antivirové programy, instalují aplikace z nedůvěryhodných zdrojů a někdy také nepoužívají poslední verze operačních systémů a programů.

Liší se tedy nějak způsob, jak se chovat bezpečně s mobilem od toho, jak se chovat bezpečně při používání počítače?

Ta pravidla jsou velmi podobná. Tedy například používat aktuální operační systém, neinstalovat aplikace z nedůvěryhodných zdrojů, mít telefon pod kontrolou, nepovolovat root operačního systému a používat samozřejmě zámek obrazovky.

Jak jsou na tom z hlediska bezpečnosti tlačítkové telefony, tedy takříkajíc ty „nechytré“? Existuje zde riziko, že mi přes ně někdo zneužije účet?

Z tohoto pohledu jsou daleko bezpečnější. To riziko je minimální.

Jednou z rad, jak ověřovat bezpečnost přístupu například na bankovní stránky, je kontrola adresního řádku, který by měl být podbarven zeleně. Jak ale přijít na to, zda podbarvení není dáno podvodně získaným certifikátem?

Komunikace mezi prohlížečem a bankou je vždy zabezpečená nějakým certifikátem. Ten je vydaný pro určitou doménu, například pro csob.cz. Zelené podbarvení řádku ještě samo o sobě nic nedokazuje, jen poukazuje na shodu s certifikátem. Na začátku řádku je ale i ikonka zámečku, kterou když rozkliknete, uvidíte, pro kterou doménu byl ten který certifikát vydaný. Pokud je tato doména nějakým způsobem podivná, stejně jako adresa v adresním řádku, a neshoduje se s běžnou adresou banky, doporučuji se na takové stránce v žádném případě do internetového bankovnictví nepřihlašovat. Dobré je zavolat i přímo do banky a vše ověřit.

Pro zvýšení bezpečnosti ČSOB používá dvoufaktorovou autentizaci. Tedy poté, co zadáte své přihlašovací údaje, ještě musíte doplnit kód, který vám přijde na váš telefon. ČSOB nabízí klientům k autentizaci tzv. Smart klíč, který se stal v anketě Computerworld i IT produktem roku 2015. Jak se Smart klíč liší od klasické autorizační SMS?

Autorizační SMS je vygenerovaná bankou, která ji posílá na mobilního operátora, a ten zase na vaše zařízení. Pokud v něm ale máte škodlivý program, který ji umí odstínit, nebo dokonce přeposlat, pak se ani nemusíte dozvědět, že už vám ta autorizační zpráva přišla a stále na ni čekáte s myšlenkou, že „dnes je to tedy nějaké pomalé“. Pokud jste ale před tím „odevzdala“ své přihlašovací údaje na podvodné stránce a útočník si nechal přesměrovat i vaši SMS, pak už má volný přístup k realizaci finanční transakce.

Díky Smart klíči odpadá celý proces zasílání a přepisování SMS kódu. Smart klíč propojuje vaše internetové bankovnictví přímo s aplikací, kterou si stáhnete do svého chytrého telefonu z důvěryhodného zdroje. Pak klíč chodí online přímo do aplikace a ta nedovolí, aby autorizační zprávu mohl někdo dostat ven z vašeho zařízení. Navíc může fungovat i v offline režimu, takže bez přístupu k internetu.

Jak by se měli bankovní klienti správně přihlašovat a odhlašovat z internetového bankovnictví a v čem lidé chybují už z hlediska samotného přístupu na stránky s internetovým bankovnictvím?

V první řadě je nutné se vždy zamyslet nad tím, zda mám daný počítač, ze kterého se chci přihlásit, plně pod kontrolou. Pokud ano, otevřel bych prohlížeč a zadal adresu stránek banky do adresního řádku z hlavy, případně využil záložku „oblíbené“ na mém zařízení, případně se proklikal na přihlašovací stránku přes webové stránky dané banky. Rozhodně bych nechodil přes vyhledávač. A i přestože nejsem úplně paranoidní, zkontroluji adresní řádek, jeho zelené podbarvení, ikonku zámku a to, zda je opravdu na doméně banky. Pak se rozhlédnu, zda mi někdo „nekouká přes rameno“ – jsem-li například v práci, kde je open  space – a přihlásím se, ideálně i za pomoci autorizační SMS nebo ještě lépe Smart klíče.

Pokud zadávám platbu, tak v první řadě čtu, co mi aplikace zobrazuje a při potvrzení kontroluji částku i účet příjemce. To samé kontroluji i u autorizační SMS než platbu odešlu. V ideálním případě mám ještě nastavené odesílání potvrzení o provedené transakci, které mi přijde jiným kanálem, například e-mailem.

Pokud chci z aplikace odejít, rozhodně kliknu na tlačítko „odhlásit“ a neodcházím tak, že bych jen zavřel prohlížeč.

A proč je tak důležité se opravdu odhlásit?

Prohlížeč navazuje komunikaci s bankou – my tomu říkáme session – je to linka, přes kterou si banka a prohlížeč vyměňují informace, a to i v okamžiku, když vy aktivně neprovádíte žádnou transakci. Ve chvíli, kdy jen zavřete prohlížeč, neukončíte tím tu příslušnou relaci. A čistě hypoteticky, pokud má váš počítač někdo pod kontrolou, tak umí tu relaci zachytit a napojit se na ni.

Co přihlašování do smartbankingu – funguje na stejných principech?

Ano, jen s tím rozdílem, že mobilní bankovnictví může využívat nativní aplikaci, tedy aplikaci určenou pro dané mobilní zařízení. Tam bych snad jen doporučil ji stahovat z certifikovaného obchodu, tedy například AppStore nebo Google Play.

Stačí mi tedy podle vás pro bezpečí mého chytrého telefonu mít na něm antivir? Tedy za předpokladu, že mám také aktualizovaný operační systém.

Pokud jste koupila nový telefon a znáte jeho historii, používáte zámek klávesnice a stahujete aplikace a aktualizace z důvěryhodných zdrojů, je podle mě práce s takovým telefonem velmi bezpečná.

Může být chytrý telefon rizikem, když nemám antivir, ale nevyužívám mobilní bankovnictví?

Může. Pokud se přihlásíte na webovou prezentaci, která vypadá jako internetové bankovnictví, ale je podvodná a zadáte sem přihlašovací údaje, někdo je může odchytit. V případě, že používáte autorizační SMS a máte v telefonu aplikaci, která tyto zprávy umí přeposlat, pak jste v ohrožení, i když nepoužíváte mobilní bankovnictví.

Dá se říci, že existují operační systémy nebo třeba prohlížeče, které jsou bezpečnější než jiné?

Určitě dá, ale nechtěl bych se pouštět na tenký led. Nejsem odborníkem na všechny operační systémy, ale dokážu si představit, že některé jsou bezpečnější než jiné. Obecná rada zní, že je dobré tyto věci stahovat z oficiálních obchodů a udržovat je aktualizované.

Na konferenci o internetové bezpečnosti, kterou Měšec.cz pořádal, ale například zaznělo, že na rozdíl od AppStore, kde se přísně sleduje, co je zde ke stažení, například na Google Play už takovou jistotu o bezpečnosti všech aplikací nemáte.

Já jsem se chtěl této odpovědi trochu vyhnout (smích). Ale je to tak, jak říkáte. Android obecně je daleko víc otevřená platforma než Windows nebo iOS, takže je obtížnější mít absolutní kontrolu nad obsahem všech programů vystavených na Google Play. I statistiky ukazují na to, že zde je daleko víc škodlivého obsahu.

Podařilo se někdy v historii úspěšně napadnout přímo banku? A pokud ne, zaznamenáváte pokusy o útok?

Banka má spoustu systémů a bylo by krátkozraké tvrdit, že žádný z těch systémů nedoznal úhony. Ale ty hlavní bankovní systémy, pod kterými si banky představujete, jsou velmi bezpečné. Pokusy sice zaznamenáváme, ale máme nastavené mechanismy, jak tomu předcházet a jak se bránit.

Ty útoky mohou být různé. Zhruba před rokem jsme zaznamenali tzv. DDos útok, tedy zahlcení internetových stránek banky paralelními požadavky. V tomto případě to probíhá tak, že útočník naprogramuje síť počítačů, aby se neustále dotazovaly například na kurzovní lístek banky. Webové stránky jsou vždy dimenzované jen na určitý počet přístupů a v okamžiku, kdy je tento limit násobně překročen, mohou, lidově řečeno, spadnout.

Všimla jsem si, že e-shopy čím dál víc začínají nabízet uživatelům možnost zapamatování údajů z karty pro usnadnění příští platby. Je to podle Vás bezpečné, pokud jde o velký zavedený internetový obchod?

Číslo karty, její platnost a CVV kód jsou údaje, se kterými je možné kartu zneužít. Tyto informace musí k provozovateli internetového obchodu nějak doputovat a on je poté někde ukládá a obojí je principiálně nebezpečné. V případě velkých zavedených obchodů se samozřejmě předpokládá určitá úroveň zabezpečení. Já osobně bych to ale nedělal. Navíc pokud se zaregistrujete a uložíte v prohlížeči přihlašovací údaje na e-shop, který si ještě pamatuje čísla vaší karty, pak už jen stačí, abyste nechali svůj počítač – například v práci – chvíli nehlídaný a někdo si na vás může koupit třeba telefon nebo jiné likvidní zboží.

Co platby na internetu obecně? Jaké zásady dodržovat, abych eliminovala riziko, že mi zde kartu někdo zneužije?

Stoprocentní bezpečnost dnes asi neexistuje, ale je možné riziko omezit. První obecnou zásadou je používat zabezpečený počítač a dále nakupovat ve známých ověřených internetových obchodech. Pokud platíte kartou, vyplatí se na ní mít nastavenou službu 3D Secure a pro platby na internetu na účtu zvolený rozumný limit. Ještě lepší je povolit si platby na internetu těsně před tím než skutečně platíte a hned potom si je zase „vypnout“. Nebo pro platby na internetu můžete používat předplacenou kartu, pak riskujete skutečně jen částku, kterou máte na kartě takzvaně nabitou. Pro všechny případy bych doporučil i pojištění internetových rizik.

Ve svém bezpečnostním desateru jeden bod věnujete i tzv. telefonnímu smishing. Co je to?

Jedná se o phishing přes telefon nebo SMS zprávu. Klasicky probíhá například tak, že vám někdo zavolá s tím, že je z banky a potřebuje ověřit správnost vaší nedávno realizované transakce.. Podle údajného bankovního zaměstnance tato transakce není v pořádku. Uvádí například, že vypadla ze zpracování, a aby bylo možné ji zařadit zpět, je nutné ověřit jisté údaje. Za tímto účelem potřebuje znát první, třetí, čtvrtý a pátý znak z vašeho hesla. Takto jsou útočníci z oběti schopni vylákat citlivé údaje.

Další používanou historkou je oznámení údajné blokace platební karty kvůli snahám o její zneužití. Útočník požádá o e-mailovou adresu s tím, že na ni pošle odkaz pro odemčení platební karty. Pro odemčení je nutné zadat číslo karty a CVV kód, aby se ověřil její držitel. Během hovoru pak pro ověření a kontrolu nenuceně požádá i o platnost karty. Pokud u telefonu sedí útočník, který se vyzná v sociálním inženýrství, celé to může vypadat velmi důvěryhodně a reálně.

Dají se tyto hovory nějak odlišit od skutečného ověřování banky, kdy za ni volají zaměstnanci z anti-fraudového oddělení?

Banky skutečně mají něco, čemu říkáme fraud detection system, tedy interní mechanismy, které vyhodnocují transakce pro daného klienta netypické. Pokud už následně zaměstnanec banky klientovi volá, má přesně nastavený call skript (scénář hovoru – pozn. red.), aby po vás nikdo nemohl chtít vyloženě důvěrná data. Tyto hovory ale probíhají tak, že pracovník banky popíše přesně netypickou transakci a zeptá se klienta, zda ji opravu realizoval. Vyžaduje se tedy pouze odpověď ano nebo ne.

Pokud by se klientovi nezdál hovor z jakéhokoli důvodu důvěryhodný, může jej předčasně ukončit s tím, že si raději on sám zavolá na příslušnou linku banky.

Student Vysokého učení technického v Brně nedávno na konferenci předvedl, jak se dá zprostředkovaně provést platba na dálku za pomoci zařízení útočníka, které přeposílá komunikaci mezi terminálem a kartou i na velké vzdálenosti. Útočník by tak mohl z karty peníze ukrást třeba v MHD, kdyby se nepozorovaně přiblížil s mobilem k vaší tašce, kde máte bezkontaktní kartu. Sám student ale přiznal, že simulovat vhodné podmínky k tomu, aby se zneužití podařilo, je v praxi dost těžké. Banky podle něj o této možnosti ví. Dá se jí nějak předejít?

S bezkontaktní kartou banka komunikuje bezkontaktně. Umím si představit, že je principiálně možné tuto komunikaci nějakým způsobem odchytit a přesměrovat. Podle zmiňovaného článku mělo být obranou před tímto zneužitím kovové pouzdro, což je nesmysl.

Bezkontaktní platební karty jsou nastaveny tak, aby měly limity odpovídající (ne)bezpečnosti, takže transakce do 500 Kč se autorizovat nemusí, nad 500 Kč terminál vždy vyžaduje PIN. Principiálně zneužití jakéhokoli systému vyloučit nelze, ale jde to vždy ruku v ruce s mitigací rizik.

I tak všechny tyto hrozby samozřejmě bereme velmi vážně, snažíme se je prověřovat a eliminovat.

dan_z_prijmu

Jak jste v úvodu zmínil, počet útoků roste, ale snižuje se jejich úspěšnost. Dá se tedy říci, že jsou klienti poučitelní?

Podle mého názoru klient jako jednotlivec poučitelný je, lidstvo jako celek nikoli (smích). Tím, jak se moderní technologie dostávají stále více do našeho povědomí, roste s tím i ochota lidí se nechat poučit. Je dobře, že se o témata bezpečnosti zajímají média, i banky bývají mnohdy hodně otevřené a o rizicích a prevenci se pravidelně zmiňuje i Česká bankovní asociace. Pokud začnou lidé vnímat, že tato rizika se bezprostředně mohou dotknout i jich, přestanou je podceňovat. A to je dobře.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).