O ÚTOCÍCH NA ČS ČTĚTE

- Hackeři útočí na spořitelnu: Již ne e-maily, ale přímo na web
- Co je to pharming?
- Spořitelna vyšetřuje dalších 8 pokusů o vykradení účtu

Útoky na internetové bankovnictví České spořitelny upozornily na problém, který se týká celého bankovního trhu. Žádná technologie neochrání stoprocentně. Zabezpečení internetového bankovnictví proto hodně závisí na tom, jak informovaný a zodpovědný je jeho uživatel.

Ataky jsou navíc čím dál propracovanější a neomezují se pouze na e-mailové zprávy. "Větší hrozbu pro uživatele představuje phishing prostřednictvím internetové telefonie, kdy útočník požaduje sdělení citlivých údajů po telefonu. Zrádnost tohoto útoku spočívá ve větší důvěryhodnosti, rozpoznat podvodný telefonát je těžší než v případě e-mailu," varuje Luděk Hrdina z bezpečnostní firmy Check Point.

ROZHOVOR S LUĎKEM HRDINOU - Než sdělíte citlivé údaje, raději zavolejte do banky - ZDE

 

Jednorázový kód nebo elektronický certifikát

Pro zajištění internetového bankovnictví je možné použít dva různé přístupy. Rozšířenější je varianta, která kombinuje přihlášení k bankovnímu účtu pomocí uživatelského jména a hesla s potvrzováním všech transakcí jednorázovým kódem. Druhý přístup pracuje s elektronickými certifikáty, které jsou ekvivalentem ověřeného podpisu. Většina bank nabízí volbu mezi několika typy zabezpečení, které se liší svou kvalitou, ale také cenou. Stojí od nuly až po tisíc korun ročně.

ČTĚTE TAKÉ Riziko útoku z webu sníží dobrý software

Jak má vypadat bezpečné heslo

Delší než 8 znaků, obsahuje malá i velká písmena, číslice a speciální znaky (např. * ! _ ? )

Nemělo by nést žádný význam

Špatné heslo: Pes1

Kvalitní heslo: WI3z_baF3

 Více čtěte ZDE

Ochrana internetového bankovnictví v České republice nejčastěji staví na jednorázových bezpečnostních kódech zasílaných prostřednictvím SMS. Tuto možnost nabízejí téměř všechny české banky. Nejnovější útok na Českou spořitelnu ale ukázal, že nejde o úplně bezpečný systém. Zejména pokud je možné změnit telefonní číslo pro zasílání bezpečnostních kódů bez návštěvy banky.

Výrazně bezpečnější, ale také dražší variantu jednorázových kódů nabízejí bezpečnostní "kalkulačky", které odborníci považují za nejlepší formu zabezpečení internetového bankovnictví. Tato malá zařízení vytvoří bezpečnostní kód pro každou transakci.

Funguje to tak, že uživatel například při převodu peněz zadá částku, číslo svého účtu a číslo účtu příjemce. Kalkulačka poté vygeneruje jedinečný a dostatečně dlouhý kód, aby nebylo možné transakci zfalšovat. Uživatel ho pak na web internetbankingu napíše. Systém pak zadaný kód porovná s kódem vygenerovaným v bance. Shodují-li se, transakci povolí.

Kalkulačku může klient získat koupí nebo pronájmem od banky. Přístup k ní je chráněn podobně jako u platebních karet kódem PIN s omezeným počtem pokusů pro zadání. Obtížnější manipulace a vyšší cena ale znamená, že tato metoda zabezpečení není v Česku moc rozšířená. Pouze Citibank vyžaduje použití bezpečnostní kalkulačky po všech klientech, kteří chtějí internetové bankovnictví.

O něco nižší úroveň zabezpečení než v případě "kalkulaček" nabízí druhý přístup k zabezpečení internetového bankovnictví - elektronické ověřené certifikáty. "Osobní certifikát zajišťuje jednoznačnou identifikaci klienta, je to jakýsi přístupový klíč k financím klienta," říká Zuzana Čepelková z Komerční banky. Vysoká úroveň bezpečnosti ale platí výhradně v případě, že uživatel investoval do uložení certifikátu na čipovou kartu a do čtečky, která ho dokáže přečíst.

 

080331-26p.jpg

Kolik stojí bezpečnější internetové bankovnictví

PODÍVEJTE SE NA TABULKU

 

Odborníci doporučují opatrnost

"Pokud má uživatel certifikát v nešifrované podobě volně na disku nebo USB paměti, není pro útočníka nic snadnějšího, než jej ukrást," upozorňuje na riziko, kterému se vystavuje většina uživatelů tohoto systému v České republice, Radek Smolík, ředitel bezpečnostní firmy Symantec.

 ČTĚTE TAKÉ - Peníze získáte zpět, byla-li platba bez PIN

Podle údajů České spořitelny se však pro bezpečnou formu uložení certifikátu na čipové kartě rozhodla pouhá tři procenta jejích uživatelů internetového bankovnictví. Důvodem malého zájmu je stejně jako v případě bezpečnostních kalkulaček vyšší pořizovací cena. Investice do těchto bezpečnostních prvků považují odborníci za velice rozumnou, ale stoprocentní ochranu zajistit nemůžou. "Technologie pomáhá omezit riziko, že se staneme obětí útoku, stoprocentní bezpečnost však neexistuje. Stejně tak nikdo nedokáže stoprocentně zajistit, že o peníze nepřijdeme při výběru hotovosti z banky," říká Radek Smolík. Stejně významné, jako bezpečnostní technologie, je zodpovědné chování uživatele internetového bankovnictví.

"Nástrojem phishingu je sociální inženýrství. To znamená, že bez ohledu na použitou technologii může člověk zapříčinit fatální selhání. A to kvůli své chybě pramenící nejčastěji z neinformovanosti," doplňuje Luděk Hrdina. (Rozhovor s ním najdete ZDE)

 

Před manipulací s účtem restartujte počítač

Důležité je dodržování obecných zásad bezpečné práce na internetu, pro přístup k bankovnímu účtu však platí ještě přísnější opatření.

Jejich základem je používání bezpečného počítače - dobře chráněného domácího nebo firemního přístroje s kvalitně zabezpečenou počítačovou sítí. V žádném případě není rozumné přihlašovat se k elektronickému bankovnictví z internetové kavárny.

Před vstupem na účet je nejbezpečnější restartovat počítač a spustit pouze webový prohlížeč. Adresu banky je nutné zadat do adresního řádku ručně. V žádném případě není vhodné navštěvovat stránky elektronického bankovnictví prostřednictvím odkazu z emailů, právě zprávy elektronické pošty slouží jako nástroj podvodníků.

V případě, že stránka banky vypadá jinak, než jste zvyklí, nebo po vás chce jiné údaje, než jen vaše přihlašovací jméno, heslo a potvrzovací kód, okamžitě bankovní aplikaci ukončete a zavolejte do banky. Je lepší vzbudit planý poplach než přijít o peníze.

080331-26p.jpg