V poslední době banky a jejich klienty trápí především phishing. Došel tak daleko, že útočníci používali i jména a domén tvářících se jako domény ČNB. Není proto divu, že v rámci doprovodného programu MasterCard Banky roku byla uspořádána konference „Počítačová kriminalita v bankovním sektoru“.
Foto z konference
Phishing – zpravidla snadno odhalitelný
Phishing, tedy zasílání podvodných zpráv, jejichž cílem je vylákat citlivé (zpravidla) bankovní údaje, patří k méně nebezpečným a zpravidla snadno odhalitelným. Základní pravidlo zní: Nereagujte na nevyžádané e-maily, které se tváří jako zaslané bankou.
I v případě, že se klient nechá zlákat (kupříkladu hrozbou neprovedené transakce, vidinou náhlé výhry nebo jen prostým varováním před podvodnými e-maily), nemá ještě zdaleka prohráno.
Cílové internetové stránky, na nichž je vyzván k zadání přístupových kódů k internetovému bankovnictví či identifikační čísla a PINy platebních karet, jsou velmi často snadno rozpoznatelné – i když ani to neplatí zdaleka vždy a chytří útočníci vždy uvedou nějaké vysvětlení, proč stránky nevypadají jako obvykle.
REKLAMA
Při každém podezření na podvodný e-mail či nestandardní chování stránek internetového bankovnictví je dobré kontaktovat banku. Nedoporučuji ale využít kontaktní číslo uvedené na podezřelých stránkách, které v případě útoku může patřit podvodníkům.
Pharming – nebezpečnější verze phishingu
Pharming na rozdíl od phishingu využívá slabin na klientově počítači. Jeho cílem je (zjednodušeně) spustit v počítači oběti program, s nímž získá útočník nad počítačem kontrolu. Poté je již otázkou času, kdy si přečte vše potřebné např. při skenování úderů klávesnice (toto je důvod, proč banky nabízí též grafické klávesnice pro zadávání hesel… ovšem i pohyby myši lze sledovat).
DNS útoky – a klient je bezmocný
DNS, celým názvem „Domain Name System“, česky „Systém doménových jmen, slouží k překladu slovních adres (např. www.hypoindex.cz) na jejich číselné určení (např. 78.24.9.77). Systém DNS popsal na konferenci Pavel Tůma ze sdružení CZ.NIC, které spravuje česká doménová jména, a uvedl též, kde je systém zranitelný.
Obrázek: Zranitelnost DNS
REKLAMA
Zdroj: Přednáška Pavla Tůmy ze sdružení CZ.NIC na konferenci „Počítačová kriminalita v bankovním sektoru“ pořádané v rámci doprovodného programu MasterCard Banky roku.
Podvrhne-li útočník falešné směrování DNS, má smůlu i klient, který má svůj počítač aktualizovaný a dobře zabezpečený. Při zadání obvyklé adresy do prohlížeče je mu načtena podvržená stránka a klient nemá šanci poznat, že není na stránkách banky. Tedy, pokud útočníci stránky zkopírují věrně.
Řešením, které se postupně bude aplikovat, je DNSSEC – systém doménových jmen chráněný ověřovacími certifikáty.
Zabezpečovací technika… vše má své mouchy
Nejslabším článkem internetového bankovnictví je klient. Proto mu banky dávají do ruky ověřovací nástroje, které jsou mnohem bezpečnější než pouhé uživatelské jméno a heslo. Ovšem žádný prostředek není zcela bezpečný.
REKLAMA
Dlouhou dobu se považovalo za nejbezpečnější autentizovat (ověřit identitu) klienta pomocí certifikátu na čipové kartě. Ukazuje se ale, že ani to není zcela bezpečný prostředek. I s ní je možné zadat neoprávněnou transakci, která bude podepsána klientem a bude zadána z počítače, u něhož klient právě sedí. Tedy, pro zloděje dokonalé alibi.
Své nedostatky mají všechny prostředky zabezpečení – ať už se jedná o zasílané SMS zprávy, PIN kalkulátor či jiné. Vždy budou zloději o krůček napřed a vždy najdou způsob, jak se ke klientovým penězům dostat.
Není to tak černé, jak se to maluje
Malovat čerta na zeď (či v tomto případě na monitor) je důležité. Jen pod vidinou hrozby budou klienti obezřetní. A nejen klienti – i firmy začínají dbát na zabezpečení IT systémů až pod přímou hrozbou. O tom svědčí též závěry „Průzkumu stavu informační bezpečnosti“ Ernst & Young, které na konferenci prezentoval Pavol Oetter.
Velká publicita kolem nedávného phishingového útoku na klienty České spořitelny vedla k mnohem větší ostražitosti uživatelů internetu – nejen internetového bankovnictví ČS.
Navíc za každým internetovým bankovnictvím stojí vnitřní bankovní systémy, které hlídají, zda jsou transakce v pořádku. Jak fungují? To banky s ohledem na udržení si náskoku před zločinci nesdělují. Jsou ale schopny vyhodnotit chování klienta a varovat při nestandardních transakcích. Pokud tedy nikdy nepřevádíte peníze do Karibiku, zřejmě vás banka při prvním převodu bude kontaktovat.
Rizika v bankovnictví (ale i v jiných oborech) nejsou zdaleka jen na internetu. Podle posledních informací se stále častěji množí např. podvody s falešnými exekučními výměry. Není nutné proto propadat panice. Je ale dobré vědět, jaká rizika mohou klienty potkat – a počítat s nimi i v rámci preventivních opatření.
A kdo vede? Podvodníci jsou vždy o krok v předu. Ale banky jsou jim neustále v patách.