Hlavní navigace

Žádné internetové bankovnictví není zcela bezpečné

18. 9. 2006
Doba čtení: 5 minut

Sdílet

Nedávné kauzy Komerční banky a České spořitelny, jejímž klientům byly odčerpány peníze z účtu pomocí internetového bankovnictví, vedly k posílení zabezpečení aplikací. Ale... žádný prostředek zabezpečení internetového bankovnictví není zcela bezpečný! Jaká rizika skýtají?

Výhody internetového bankovnictví jsou nepopiratelné a velmi dobře známé – neustálý přístup do banky, pohodlí domova či dostupnost z celého světa… o nich není sporu. Internetové bankovnictví ale může znamenat nemalé riziko pro vaše úspory. I to lze ale snížit.

Vykradení účtů z Komerční banky a téměř dokonaný stejný čin v České spořitelně ukázaly zřetelně, že není možné usnout na vavřínech. Obě banky obratem posílily technickou stránku zabezpečení a dle důvěrných informací se k podobnému kroku chystá alespoň jedna další banka.

Posilování zabezpečení ze strany banky by se mohlo zdát být dostatečnou ochranou proti vytunelování účtu. Není tomu tak. Každý technický prostředek lze napadnout a získat z něj informace potřebné k přístupu k účtu – a jeho následnému vyplenění. Jaká jsou jejich rizika?

Úroveň zabezpečení je nepřímo úměrná pohodlí klienta. Chcete-li využívat bezpečnější technické prostředky zabezpečení internetového bankovnictví, musíte se smířit nižším pohodlím.

Rizika zabezpečovacích prostředků internetového bankovnictví

Za nejméně bezpečné je zcela oprávněně považováno přihlašování (a autorizace plateb) uživatelským jménem a heslem (či jejich obdobami). Pravděpodobně jste již slyšeli nebo četli o snímači klávesnice, díky němuž útočník získá informaci o stištěných klávesách – a z nich získat přístupová hesla již není větší problém. Např. Česká spořitelna nebezpečí snížila grafickou klávesnicí umístěnou u vstupního formuláře na stránky, s níž klient manipuluje pomocí myši.

Ovšem nebezpečí neplyne jen ze scanování klávesnice. Je-li uživatelské jméno a heslo příliš jednoduché, je možné ho rozluštit „tvrdou silou“. Je-li naopak příliš složité, uživatelé si ho poznamenávají a zvyšují tím riziko.

Bezpečnější jsou certifikáty, ale i ty mají svá rizika. U nich velmi záleží na tom, jakým způsobem jsou používány. Jsou-li uloženy na disku počítače (nebo dokonce veřejně na internetu), je velmi snadné je získat. Mnohem bezpečnější jsou na externím médiu (disketa, CD, USB disk), které je k počítači připojováno pouze za účelem podpisu. I v tomto případě není certifikát zcela v bezpečí – existují programy, které si na připojení certifikátu počkají, a pak ho zkopírují.

Dalším krokem k větší bezpečnosti jsou certifikáty uložené na čipových kartách a USB tokenech, které přístup k certifikátu ještě dále chrání. I v tomto případě ale dokáže „šikovný“ útočník zabezpečení prolomit a data z karty či tokenu zkopírovat.

Jinou kategorií zabezpečení je zasílání SMS kódů na mobilní telefon. V tomto případě jsou dvě možnosti komunikace s bankou – s šifrovaným přenosem pomocí SIM Toolkit a klasické nešifrované SMS zprávy. První varianta má navíc tu výhodu, že přístup k obdržené bankovní zprávě je chráněn navíc bankovním PIN kódem.

Nebezpečí klasických SMS zpráv je nasnadě. Stačí ponechat nechráněný mobilní telefon u počítače a „kolemjdoucí“ nenechavec může velmi snadno přijít k vašim penězům. Ovšem ani bankovní SMS zprávy nezaručí naprostou jistotu. Jakékoli elektronické zařízení je možné zkopírovat (kopírování telefonních čipů není nijak obtížné), a stačí tedy nechat mobilní telefon chvilku bez dozoru. Dešifrování dat je jen otázkou času, peněz a schopností útočníka. Pomocí fyzikálních útoků je to otázka spíše minut než let.

Nesmíme zapomínat ani na nebezpečí fyzických útoků. Pak je otázkou, jak se vám podaří přesvědčit banku a policii, že transakci jste provedli pod nátlakem pachatele, kterému jste neviděli do obličeje, vyhrožoval vám bez přítomnosti svědků a přiměl vás převést vaše úspory na účet „bílého koně“.

Jedním z nejbezpečnějších prostředků ochrany internetového bankovnictví je PIN kalkulátor. Jeho výhodou oproti mobilnímu klíči je, že nedochází k přenosu kódu od banky k uživateli a zpět (banka zašle kód na mobilní telefon a uživatel ho po síti internetu posílá zpět do banky k ověření), ale uživatel si generuje kód na základě údajů o transakci, který zasílá bance. Banka na základě stejného algoritmu a stejných vstupních údajů vygeneruje kód také a oba následně porovná.

Ovšem i kalkulátor lze zkopírovat, jako kterékoli elektronické zařízení. O dešifrování údajů z něj platí totéž, co o dešifrování informací ze SIM Toolkit. Jde to – a pro pachatele této trestné činnosti to není žádný větší problém.

Hodnocení bezpečnosti IB českými uživateli

Hodnocení zabezpečení IB

Poznámka: 1 – nejlepší hodnocení, 5 – nejhorší hodnocení
Zdroj: Průzkum agentury NMS pro ČSOB

Jak si ochránit peníze na účtu?

Nejúčinnější obranou peněz na běžném účtu je pravděpodobně otevření si účtu u malé banky, kde vás osobně dobře znají a kde nemůžete podávat příkazy jinou než písemnou formou na přepážce ve vaší pobočce. Toto je ale poněkud nepraktický způsob zabezpečení. A přiznejme si, v dnešní době pro většinu lidí nepoužitelný.

Pokud budete využívat internetové bankovnictví (ale i jiné platební prostředky – jedním z nejvíce rizikových jsou elektronické platební karty s magnetickým proužkem chráněné pouze podpisem majitele), je třeba si uvědomit, jaká rizika s tím jsou spojená. Je to obdobné jako u investic do podílových fondů – stejně jako se určité podílové fondy hodí jen pro investory s určitým rizikovým profilem, nehodí se každé zabezpečení internetového bankovnictví pro každého.

Rizika napadení účtu přes internet lze účinně snížit – ale především na straně klienta. Banka může pouze poskytnout technický prostředek, pracovat s ním už musí klient. Pokud využívá např. certifikát na čipové kartě, kterou ale nechává permanentně zasunutou v počítači připojeném na internet, který je navíc k dispozici i spolupracovníkům a návštěvám ve firmě, pak ani čipová karta nic nezmůže.

Přestože ochránit se zcela proti virům, trojským koňům, spyware a dalším nežádoucím programům nelze, riziko snižuje obezřetné chování na internetu, pravidelná aktualizace antivirového programu a používání firewallu. Ani návštěva erotických stránek pochybného původu nezvyšuje bezpečnost prostředí ve vašem počítači.

Nezbytné je také „zabezpečení zabezpečovacích prostředků“ – pokud využíváte např. PIN kalkulátor, je třeba ho chránit před nepovolanými osobami. Jeho (byť jen dočasné) zcizení může mít za následek zcizení prostředků z účtu.

Tip do článku - účto fakturace duben

Nedůvěřivost je dalším bodem, který vám pomůže ochránit váš účet. Nikdy neodpovídejte na e-maily z banky a v žádném případě nesdělujte hesla – ani na stránkách, které se jako bankovní tváří. Pokud budete mít podezření, že s přihlašovací stránkou k internetovému bankovnictví není něco v pořádku, určitě neprodleně kontaktujte banku – nikoli však na telefonním čísle, které je uvedené na podezřelé stránce.

Nic není tak černé…

Zcizení peněz z účtu je trestným činem, i když se děje přes internet. Jako k trestnému činu se k němu staví jak policie, tak banky. Nejsou-li porušena pravidla bezpečného chování ze strany klienta, ručí za přístup k účtu banka. Ale… dokázat, že se jedná o kriminální činnost a nikoli o podvod ze strany klienta je velmi obtížné. Banky se však v posledních případech ke klientům postavily čelem a ztráty uhradily.

Anketa

Jakou formu zabezpečení IB považujete za nejspolehlivější?

Autor článku

Šéfredaktor portálu Investujeme.cz. Absolvent IES FSV UK. Člen skupiny historického šermu Heraldicus...
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).