INTERNETOVÉ BANKOVNICTVÍNěkolik pokusů o vykradení účtů přes internetové bankovnictví opět poukázalo na bezpečnostní slabiny této služby. Poučily se banky a zlepšily zabezpečení svých aplikací přímého bankovnictví?S rozmachem internetu přímo úměrně roste také obliba internetového bankovnictví a s ní i počet jeho uživatelů.
INTERNETOVÉ BANKOVNICTVÍ Několik pokusů o vykradení účtů přes internetové bankovnictví opět poukázalo na bezpečnostní slabiny této služby. Poučily se banky a zlepšily zabezpečení svých aplikací přímého bankovnictví?
S rozmachem internetu přímo úměrně roste také obliba internetového bankovnictví a s ní i počet jeho uživatelů. V loňském roce jich už byly v České republice více než dva miliony. Takzvaný internetbanking však bohužel neposkytuje úsporu času a větší pohodlí pouze jeho klientům. Oblíbili si ho totiž i bankovní lupiči. Ti tak už pro peníze nemusejí chodit přímo na pobočku a v klidu mohou krást třeba z druhého konce světa.
O případech zneužití internetového bankovnictví „kyberzloději“ informovala média v minulých letech několikrát. Scénář byl většinou podobný: organizovaná skupina získala přes internet identifikační údaje klientů banky, přihlásila se na jejich konta a peníze si pak převedla na své účty v jiné zemi.
RUSOVÉ ZAÚTOČILI NA ŠVÉDY
Zřejmě nejrozsáhlejší on-line podvod se před pár týdny odehrál ve Švédsku. Kvůli němu přišlo 200 klientů banky Nordea o více než milion dolarů. Skupina ruských hackerů přitom napálila uživatele poměrně jednoduše: Hromadně rozeslali e-maily předstírající svůj původ přímo v bance. V nich byl klient informován o nutnosti instalace bezpečnostního softwaru zaslaného v příloze. A právě kvůli tomuto špionážnímu programu (takzvanému spyware) se jeho tvůrci dostali k heslům.
Kdo se nechal ukolébat faktem, že se podvodníci zaměřují pouze na zahraniční banky, ten byl vyveden z omylu v loňském roce. V březnu 2006 se terčem útoku stali klienti českých poboček Citibank. V srpnu média informovala o vykradených účtech několika klientů Komerční banky, a v říjnu si internetoví podvodníci vybrali pro změnu zákazníky České spořitelny.
BEZPEČNOST NA ČTVRTOU
Zabezpečení internetového bankovnictví lze rozdělit do čtyř základních rovin: bezpečnou identifikaci banky, identifikaci klienta, zajištění bezpečného přenosu dat a autorizaci plateb.
Bezpečná identifikace banky má zajistit, aby klient zadal své identifikační údaje opravdu na stránkách banky, a nikoliv na podvrženém webu. Banky identifikaci provádějí pomocí takzvaného SSL certifikátu, který vydává některá z certifikačních autorit (například VeriSign).
S jistou dávkou zjednodušení lze říci, že SSL certifikátem se banka, respektive její webové stránky prokazují internetovému prohlížeči uživatele. Prohlížeč zkontroluje získané údaje a pokud je kontrola platnosti certifikátu pozitivní, zobrazí stránky. Uživatel to pozná podle malého žlutého zámku ve stavovém řádku prohlížeče.
HESLO NESTAČÍ, POŘIĎTE SI ČIP
K identifikaci klienta se používá několik metod, z nichž nejjednodušší je prokázání se uživatelským jménem a heslem. Tato metoda je sice jednoduchá a pohodlná, na druhou stranu ale také nejsnadněji zneužitelná. Proto banky většinou nabízejí další, pokročilejší zabezpečení identifikace klienta - čipové karty s digitálním certifikátem (elektronickým podpisem), jednorázová hesla zasílaná formou SMS nebo takzvané autentizační kalkulátory, které generují nová hesla při každém přihlášení k internetbankingu.
Fyzické oddělení těchto zařízení od samotného počítače a jednorázovost hesel zásadně ztěžují hackerům práci. Identifikační údaje totiž již nemohou získat snadno přes internet, ale pouze krádeží karty, mobilního telefonu nebo kalkulátoru. Některé banky vydávají bezpečnostní certifikáty v podobě souboru, který by však uživatel měl vždy ukládat odděleně od počítače, na němž provozuje internetbanking. V opačném případě toto bezpečnostní opatření ztrácí smysl.
Bezpečný přenos dat mezi klientem a bankou obstarává banka šifrováním dat opět pomocí SSL certifikátu. Od uživatele k bance a zpět tak proudí pro cizí osoby nečitelná data, která jsou vždy dešifrována až u příjemce. Nejčastěji je používáno 128bitové šifrování.
Autorizace plateb je nadstavbou ke třem výše zmiňovaným bezpečnostním prvkům. Pokud by selhala předchozí opatření a neoprávěná osoba se i přes ně dostala ke klientskému účtu, zabrání právě autorizace plateb (pomocí SMS zaslané na klientův mobilní telefon nebo elektronickým podpisem) odčerpání peněz.
LIDSKÝ FAKTOR = NEJSLABŠÍ ČLÁNEK
Nejslabším článkem řetězu bývají v případech krádeží prostřednictvím internetového bankovnictví uživatel zadat do připravených políček své přihlašovací jméno a heslo k internetovému bankovnictví nebo třeba přímo číslo kreditní karty. Autoři phishingových e-mailů spoléhají na to, že rozesláním na velké množství e-mailových adres natrefí i na klienta dotyčné banky, který navíc bude natolik důvěřivý, že své údaje odešle. Pokud není chráněn přístup k účtu jinak než jménem a heslem, nestojí pak zlodějům již nic v cestě.
Další možností získání identifikačních údajů klienta jsou nejrůznější viry nebo takzvané keyloggery. Ty buď přímo otevřou především jeho samotní uživatelé. Metody vykrádání účtů přes internet tak převážně vycházejí z využití neznalosti, nedbalosti nebo neopatrnosti uživatelů.
Velmi populárním a často používaným způsobem, jak se dostat k identifikačním údajům klienta banky, se stal v posledních letech phishing. Tato metoda je založena na hromadném rozesílání e-mailů, které s různou měrou věrohodnosti předstírají původ přímo v bance. Uživatel obdrží e-mail s hlavičkou banky, který mu oznamuje, že musí například potvrdit příchozí platbu nebo aktualizovat své osobní údaje. E-mail obsahuje odkaz na podvržené stránky banky, kde má zadní vrátka do počítače a zajistí útočníkovi přístup ke všem datům, nebo pouze sledují a odesílají informace o veškerých stisknutých klávesách a dění na počítači. Tyto škodlivé programy si na počítač uživatel může nainstalovat třeba otevřením přílohy neznámého e-mailu nebo návštěvou infikovaných webových stránek.
Kromě napálení klienta může bankovní lupič teoreticky proniknout také přímo do systému banky a tam odcizit peníze z účtů; takový útok je ale daleko složitější, náročnější a vyžaduje mnohem sofistikovanější metody. I při nejlepší vůli a opatrném chování mu navíc klient banky nemůže zabránit.
Možnost obsluhovat účet prostřednictvím internetu nabízejí v Česku všechny velké banky. Pro zabezpečení používají v podstatě všechny uvedené metody či jejich kombinace. Všechny banky, které používají jednoduché přihlašování pouze pomocí jména a hesla, zabezpečují alespoň autorizaci plateb pomocí autorizačních SMS, digitálních certifikátů nebo autentizačních kalkulátorů. Banky HVB, Citibank, eBanka a Komerční banka dokonce neumožňují ani v základním nastavení přihlášení bez autorizace digitálním certifikátem nebo autentizačním kalkulátorem a jejich zabezpečení je proto nejsilnější. Minusem je v některých případech poměrně vysoká cena těchto nadstavbových zabezpečovacích zařízení.
RADY PRO INTERNETOVÉ BANKOVNICTVÍ
- pro přístup k účtu přes internet používejte pouze počítač s pravidelně aktualizovaným operačním systémem, zabezpečený antivirovým programem a firewallem
- nepřihlašujte se k internetbankingu z internetové kavárny nebo počítače, který může využívat více lidí
- neodpovídejte na e-maily „od banky“, která vyžaduje jakékoliv identifikační údaje, banky tímto způsobem s klienty nikdy nekomunikují
- osobní autentizační údaje nikomu nesdělujte a nemějte je ani uložené na harddisku počítače, z kterého se připojujete
- v prohlížeči nepovolujte funkci zapamatování hesla
- buďte obezřetní při kontrolování elektronické pošty a neotvírejte přílohy podezřelých e-mailů
- používejte „silná“ hesla (alespoň osm znaků, kombinace čísel a písmen), jednou za tři měsíce heslo změňte
- pokud používáte k zabezpečení osobní certifikát, nikdy jej neukládejte na harddisk počítače