Article, show

Pohodlné i pro zloděje

29. ledna 2007, 00:00 - JAN NĚMEC
29. ledna 2007, 00:00

INTERNETOVÉ BANKOVNICTVÍNěkolik pokusů o vykradení účtů přes internetové bankovnictví opět poukázalo na bezpečnostní slabiny této služby. Poučily se banky a zlepšily zabezpečení svých aplikací přímého bankovnictví?S rozmachem internetu přímo úměrně roste také obliba internetového bankovnictví a s ní i počet jeho uživatelů.

INTERNETOVÉ BANKOVNICTVÍ Několik pokusů o vykradení účtů přes internetové bankovnictví opět poukázalo na bezpečnostní slabiny této služby. Poučily se banky a zlepšily zabezpečení svých aplikací přímého bankovnictví?

S rozmachem internetu přímo úměrně roste také obliba internetového bankovnictví a s ní i počet jeho uživatelů. V loňském roce jich už byly v České republice více než dva miliony. Takzvaný internetbanking však bohužel neposkytuje úsporu času a větší pohodlí pouze jeho klientům. Oblíbili si ho totiž i bankovní lupiči. Ti tak už pro peníze nemusejí chodit přímo na pobočku a v klidu mohou krást třeba z druhého konce světa.

O případech zneužití internetového bankovnictví „kyberzloději“ informovala média v minulých letech několikrát. Scénář byl většinou podobný: organizovaná skupina získala přes internet identifikační údaje klientů banky, přihlásila se na jejich konta a peníze si pak převedla na své účty v jiné zemi.

RUSOVÉ ZAÚTOČILI NA ŠVÉDY

Zřejmě nejrozsáhlejší on-line podvod se před pár týdny odehrál ve Švédsku. Kvůli němu přišlo 200 klientů banky Nordea o více než milion dolarů. Skupina ruských hackerů přitom napálila uživatele poměrně jednoduše: Hromadně rozeslali e-maily předstírající svůj původ přímo v bance. V nich byl klient informován o nutnosti instalace bezpečnostního softwaru zaslaného v příloze. A právě kvůli tomuto špionážnímu programu (takzvanému spyware) se jeho tvůrci dostali k heslům.

Kdo se nechal ukolébat faktem, že se podvodníci zaměřují pouze na zahraniční banky, ten byl vyveden z omylu v loňském roce. V březnu 2006 se terčem útoku stali klienti českých poboček Citibank. V srpnu média informovala o vykradených účtech několika klientů Komerční banky, a v říjnu si internetoví podvodníci vybrali pro změnu zákazníky České spořitelny.

BEZPEČNOST NA ČTVRTOU

Zabezpečení internetového bankovnictví lze rozdělit do čtyř základních rovin: bezpečnou identifikaci banky, identifikaci klienta, zajištění bezpečného přenosu dat a autorizaci plateb.

Bezpečná identifikace banky má zajistit, aby klient zadal své identifikační údaje opravdu na stránkách banky, a nikoliv na podvrženém webu. Banky identifikaci provádějí pomocí takzvaného SSL certifikátu, který vydává některá z certifikačních autorit (například VeriSign).

S jistou dávkou zjednodušení lze říci, že SSL certifikátem se banka, respektive její webové stránky prokazují internetovému prohlížeči uživatele. Prohlížeč zkontroluje získané údaje a pokud je kontrola platnosti certifikátu pozitivní, zobrazí stránky. Uživatel to pozná podle malého žlutého zámku ve stavovém řádku prohlížeče.

HESLO NESTAČÍ, POŘIĎTE SI ČIP

K identifikaci klienta se používá několik metod, z nichž nejjednodušší je prokázání se uživatelským jménem a heslem. Tato metoda je sice jednoduchá a pohodlná, na druhou stranu ale také nejsnadněji zneužitelná. Proto banky většinou nabízejí další, pokročilejší zabezpečení identifikace klienta - čipové karty s digitálním certifikátem (elektronickým podpisem), jednorázová hesla zasílaná formou SMS nebo takzvané autentizační kalkulátory, které generují nová hesla při každém přihlášení k internetbankingu.

Fyzické oddělení těchto zařízení od samotného počítače a jednorázovost hesel zásadně ztěžují hackerům práci. Identifikační údaje totiž již nemohou získat snadno přes internet, ale pouze krádeží karty, mobilního telefonu nebo kalkulátoru. Některé banky vydávají bezpečnostní certifikáty v podobě souboru, který by však uživatel měl vždy ukládat odděleně od počítače, na němž provozuje internetbanking. V opačném případě toto bezpečnostní opatření ztrácí smysl.

Bezpečný přenos dat mezi klientem a bankou obstarává banka šifrováním dat opět pomocí SSL certifikátu. Od uživatele k bance a zpět tak proudí pro cizí osoby nečitelná data, která jsou vždy dešifrována až u příjemce. Nejčastěji je používáno 128bitové šifrování.

Autorizace plateb je nadstavbou ke třem výše zmiňovaným bezpečnostním prvkům. Pokud by selhala předchozí opatření a neoprávěná osoba se i přes ně dostala ke klientskému účtu, zabrání právě autorizace plateb (pomocí SMS zaslané na klientův mobilní telefon nebo elektronickým podpisem) odčerpání peněz.

LIDSKÝ FAKTOR = NEJSLABŠÍ ČLÁNEK

Nejslabším článkem řetězu bývají v případech krádeží prostřednictvím internetového bankovnictví uživatel zadat do připravených políček své přihlašovací jméno a heslo k internetovému bankovnictví nebo třeba přímo číslo kreditní karty. Autoři phishingových e-mailů spoléhají na to, že rozesláním na velké množství e-mailových adres natrefí i na klienta dotyčné banky, který navíc bude natolik důvěřivý, že své údaje odešle. Pokud není chráněn přístup k účtu jinak než jménem a heslem, nestojí pak zlodějům již nic v cestě.

Další možností získání identifikačních údajů klienta jsou nejrůznější viry nebo takzvané keyloggery. Ty buď přímo otevřou především jeho samotní uživatelé. Metody vykrádání účtů přes internet tak převážně vycházejí z využití neznalosti, nedbalosti nebo neopatrnosti uživatelů.

Velmi populárním a často používaným způsobem, jak se dostat k identifikačním údajům klienta banky, se stal v posledních letech phishing. Tato metoda je založena na hromadném rozesílání e-mailů, které s různou měrou věrohodnosti předstírají původ přímo v bance. Uživatel obdrží e-mail s hlavičkou banky, který mu oznamuje, že musí například potvrdit příchozí platbu nebo aktualizovat své osobní údaje. E-mail obsahuje odkaz na podvržené stránky banky, kde má zadní vrátka do počítače a zajistí útočníkovi přístup ke všem datům, nebo pouze sledují a odesílají informace o veškerých stisknutých klávesách a dění na počítači. Tyto škodlivé programy si na počítač uživatel může nainstalovat třeba otevřením přílohy neznámého e-mailu nebo návštěvou infikovaných webových stránek.

Kromě napálení klienta může bankovní lupič teoreticky proniknout také přímo do systému banky a tam odcizit peníze z účtů; takový útok je ale daleko složitější, náročnější a vyžaduje mnohem sofistikovanější metody. I při nejlepší vůli a opatrném chování mu navíc klient banky nemůže zabránit.

Možnost obsluhovat účet prostřednictvím internetu nabízejí v Česku všechny velké banky. Pro zabezpečení používají v podstatě všechny uvedené metody či jejich kombinace. Všechny banky, které používají jednoduché přihlašování pouze pomocí jména a hesla, zabezpečují alespoň autorizaci plateb pomocí autorizačních SMS, digitálních certifikátů nebo autentizačních kalkulátorů. Banky HVB, Citibank, eBanka a Komerční banka dokonce neumožňují ani v základním nastavení přihlášení bez autorizace digitálním certifikátem nebo autentizačním kalkulátorem a jejich zabezpečení je proto nejsilnější. Minusem je v některých případech poměrně vysoká cena těchto nadstavbových zabezpečovacích zařízení.

RADY PRO INTERNETOVÉ BANKOVNICTVÍ

  • pro přístup k účtu přes internet používejte pouze počítač s pravidelně aktualizovaným operačním systémem, zabezpečený antivirovým programem a firewallem
  • nepřihlašujte se k internetbankingu z internetové kavárny nebo počítače, který může využívat více lidí
  • neodpovídejte na e-maily „od banky“, která vyžaduje jakékoliv identifikační údaje, banky tímto způsobem s klienty nikdy nekomunikují
  • osobní autentizační údaje nikomu nesdělujte a nemějte je ani uložené na harddisku počítače, z kterého se připojujete
  • v prohlížeči nepovolujte funkci zapamatování hesla
  • buďte obezřetní při kontrolování elektronické pošty a neotvírejte přílohy podezřelých e-mailů
  • používejte „silná“ hesla (alespoň osm znaků, kombinace čísel a písmen), jednou za tři měsíce heslo změňte
  • pokud používáte k zabezpečení osobní certifikát, nikdy jej neukládejte na harddisk počítače

Hodnocení

Zaujala Vás tato zpráva?
Ohodnoťte ji

Loading

Děkujeme za Vaše hodnocení

Komentáře

Mohlo by vás zajímat

Finance
Zisky mobilních operátorů? Přes 10 miliard korun ročně
OSVČ a výdajový paušál v praktických příkladech
Kdy jsou vaše peníze na internetbanking v ohrožení?
Konec vesnických prodejen? Vyřeší jejich ztrátovost dotace?
"Bude to dobrý rok," banky a stavební spořitelny počítají výsledky v polovině roku 2017
Auta
Bentley si myslí, že speciálních edicí není nikdy dost.…
Auto za průměrný plat? Jde to, ale musíte slevit z mnoha požadavků
Rolls-Royce dnes představí nový Phantom. Premiéru můžete sledovat živě
Transfăgărășan s Mazdou MX-5 je zážitek, na jaký se jen tak nezapomíná
Škoda odstartovala sériovou výrobu modelu Karoq. První majitelé se dočkají v říjnu
Technologie
Velká aktualizace ovladačů u AMD. Mnohé novinky pro hráče, GPU Profiler pro vývojáře
Podoba referenčního Radeonu RX Vega je venku. AMD ho chce stavět proti GTX 1080
Ransomware v posledních dvou letech vydělal přes 25 milionů dolarů
Chrome 60 lepí 40 děr a podporuje Touch Bar na nových Macboocích Pro
Core i7-8700K má prý turbo 4,7 GHz. I při zátěži šesti jader může běžet nad 4 GHz
Hry pro příležitostné hráče
Zavřít