Moje banka zrušila posílání kódu přes šifrovanou SMS. Při vstupu do IB na počítači mi pravidelně radí abych místo Linuxu (pochopitelně distribuce aktualizované pravidelně) používal Windows "s posledními záplatami" a aktualizovaný Internet Explorer.
Nemyslíte že banky často nahrávají útočníkům i samy a díky neznalosti svých pracovníků?

Dobrý den, ochranu čtení SMS pomocí PIN kódu pochopitelně považuji za bezpečnější a doporučoval bych ji, pokud je to možně. A jako uživatel Linuxu zcela chápu Vaše pocity. Technici v bankách pochopitelně ladí systémy především na většinového uživatele, což někdy vede k takovýmto paradoxním situacím.

Ktere misto v retezci "systemy banky-ISP-domaci router-domaci pocitac-uzivatel" je obvykle nejslabsi a teda nejcastejsim cilem utocniku?

Dobrý den! O ostatních aspektech bezpečnosti jsem již hovořil a nebudu to tedy dále rozepisovat, nicméně děkuji za zmínění jednoho často podceňovaného článku, kterým jsou domácí routery. Právě na tato zařízení uživatelé často zapomínají. Přitom jsou podobně napadnutelná jako počítače či mobilní telefony. I zde platí, že by uživatel měl pro přistup do Wi-Fi sítě či do zařízení samotného používat silná hesla a aktualizovat příslušný firmware. Bohužel pro některé tyto routery se již aktualizace firmware nevydávají a tak existuje celosvětově obrovské množství takovýchto napadených či napadnutelných zařízení.

Užívám IB společně s autorisačními SMS. Používám asi 20 let starý mobil, který se neumí ani updatovat, Internet na něm nelze. Nebylo by jednodušší, kdyby si klient pořídil mobil se dvěma SIM kartami? Jedna SIM karta by sloužila výhradně pro účely autorisací a byla by blokována, aby uměla jenom přijímat SMS. Vycházím z předpokladu, že největší slabinou je mobil, který je zavirovaný a umožňuje tak odposlech SMSek. Samotné nahlížení do IB je jenom pouhé odtajnění dat, nic víc...

Dobrý den! Sice uvažujete správným směrem, ale hlavní slabinou není SIM karta, ale právě ten mobil. Pokud SMS přijde na jednu SIM kartu, muže být pomocí malware v telefonu a druhé SIM jakkoliv odeslána.

Dobrý den p. Filip
je ještě bezpečný Windows XP
Luboš

Dobrý den! Bohužel, tento operační systém bych již za bezpečný nepovažoval.

Dobrý den,

Česká spořitelna si nechává platit za autorizační SMS při přihlášení do IB. Na pobočce mi řekli, že je to nepovinná vlastnost, za SMS autorizaci transakcí se poplatky nevybírají. Tj. "filozofie" banky je nechat útočníka brouzdat v účtech klientů a chránit jen určité operace. Je to správné platit ke všem bankovním poplatkům ještě i za rozumnou bezpečnost ? Neodrazuje to klienty od odpovědného přístupu k zabezpečení ?

Děkuji za názor.

Dobrý den!
Neznám přesně situaci u České spořitelny, takže si ji nedovolím komentovat, nicméně velmi bych se přimlouval za používání dvoufaktorové autentizace již při přihlášení do bankovnictví a přimlouval bych se za to, aby banky v tomto směru své podmínky přizpůsobily.

Dobrý den. Využívám internetové bankovnictví. Chráněn jsem jednak přístupovým heslem do své banky a dále potvrzením přístupového kódu prostřednictvím SMS. Zlepším bezpečnost mých operací když přesunu komunikaci s bankou z W7 na operační systém Linux ( Ubuntu )? Jak rizikové jsou napevno uložené přístupové hesla v počítači ( při otevření komunikace s bankou mi automaticky naskočí obrazovka s přístupovými hesly) ?.
Děkuji A.Garčic

Dobrý den! Operační systém (OS) Linux je obecně považován za bezpečnější systém a přiznám se, že i já a velké množství mých kolegů v CZ.NIC či CSIRT.CZ jej používáme. Nicméně samotný OS není zárukou bezpečnosti. Záleží také, jakým způsobem jej spravujeme, aktualizujeme a podobně.

Dobrý den,
používám pro přihlášení a potvrzení operací kombinaci vlastního PIN a čísla z tokenu RSA (HW ve formě přívěsku, ne SW).
Existuje teoretická možnost prolomení algoritmu generování kódů na základě sledování odesílaných kódů? Je bezpečnost srovnatelná s potvrzováním kódem ze SMS?
Děkuji.

Dobrý den!
Možnost prolomení RSA algoritmu je při současném stavu poznání téměř nulová. Jde o tzv. NP úplný problém, na jehož vyřešení by útočník potřeboval nepřiměřeně velkou výpočetní sílu. Útočník tedy spíše bude hledat snazší cesty, jak se k penězům dostat, tedy třeba napadením počítače a podobně.

Nejsou dnes hackeři schopni sledovat i bankou klientovi zaslaná zabezpečovací data v SMS-ce ? Tj. jaká je schopnost hackerů se dostat i do systému mobilního operátora nebo do kanálu, ve kterém banka data budoucí SMS-ky posílá mobilnímu operátorovi ?

Jsou hackeři schopni na základě oskenování komunikace bankovní karty s bankomatem vytvořit duplikát bankovní karty, pokud tato obsahuje čip ?

Pokud bankovní karta obsahuje čip, ale hackerem vytvořený duplikát karty má správný pouze magnetický proužek, nikoliv čip, je klient zodpovědný za zneužití karty, když nějaký bankomat od duplikátu vyžadoval pouze magnetický proužek ?

Dobrý den, riziko napadení systému mobilních operátorů nepovažuji za příliš vysoké, byť to pochopitelně není nemožné. V této souvislosti
bych připomněl nový zákon o kybernetické bezpečnosti díky němuž se klíčoví operátoři dostanou na seznam kritické komunikační infrastruktury, s čímž se váže celá řada povinností v bezpečnostní oblasti.

Dalším aspektem je, že útočníci se chovají racionálně a je pro ně mnohem jednodušší nějakým trikem donutit uživatele k instalovaní malware do mobilních telefonů, který dokáže SMS útočníkovi předávat.

Dobrý den,
je pro klienta z hlediska bezpečnosti lepší autorizace sms kódem na mobilní telefon nebo forma autor. tokenu od Sberbank?
( kde opisuji generovaná čísla)

Některé banky nenabízejí tzv. přihlašovací sms do IB. Kódem z sms se autor. až samotné transakce. (Fio banka, Zuno bank, ČS. a.s - kde se za přihl. sms platí)
Mají dle vašeho názoru přihlašovací sms do IB velký význam v bezpečnosti?Díky

Dobrý den, osobně považuji za bezpečnější specializovaný hardwarový token. U něj je riziko napadení v porovnaní s mobilním telefonem prakticky nulové. Lepší jsou tokeny, které vyžadují zadání základních údajů transakce.

Ano, preferuji bankovnictví, kde se dvoufaktorová autentizace uplatňuje již při přihlašování. Riziko napadení přihlášení obyčejným jménem a heslem je již poměrně vysoké a i to, že by se útočník mohl dostat k bankovním výpisům a jiným informacím tohoto druhu může být pro majitele účtu velmi nepříjemné a dost možná i zneužitelné k jiným typům útoků.

Dobrý den,
chci se zeptat na několik věcí, nejprve však můj osobní přístup.

Vybírám si banku dle sily zabez. internetového bankovnictví. Kde si můžu zvolit a kdykoliv změnit heslo, ale i uživat. jméno, které je minim 20 znaků dlouhé. Součastí musí být i přihlašovací sms, která je odesílána na mobil a mám rozumně nastavené limity intert. bankov, které jdou změnit pouze na pobočce s občanským průkazem a podpisovým vzorem.
Mám v PC aktual. antivir, ale zatím starý Windouws XP. (brzo bude nový PC s windouws 8)
Nikdy neotevírám neznámou přílohu atd.1)Jak velké je v mém konkrétním případě riziko útoku z důvodů neaktualizované operačního systému ze strany Microsoftu?2) Mám mobil Nokia Lumia 625, kde je operační systém Windouws Phone 8.01. Tam mám i Smartbanking.Nemůžu najít pro Windouws Phone nějaký antivir na mobil? Existuje něco nebo je to zbytečné pro WP z důvodu uzavřenosti systému zbytečné? Konkrétně mám banku ERA - ČSOB.Díky za odpověď.

Dobrý den, rozhodně nemůžu doporučit používání již neaktualizovaného operačního systému, jakým jsou Windows XP. Ačkoliv naznačujete, že dodržujete všechny ostatní bezpečnostní zásady, stejně je určité riziko napadení systému přes nezazáplatované zranitelnosti. Pokud by se přes takovouto zranitelnost podařilo útočníkovi vložit do Vašeho počítače malware. Mohl by třeba za běhu modifikovat to, co vidíte v prohlížeči a měnit tak třeba Vaše platební operace.

Bankovnictví ve Windows mobile bych podle dostupných informací považoval za bezpečné.

Dobrý den, mám dotaz na mobilní bankovnictví. Byly již identifikovány případy, kdy došlo ke zneužití prostřednictvím keylogerů v SW klávesnicích mobilů, nebo jde zatím jen o teoretickou hrozbu? A pokud ano, šlo i o klávesnice stažené přes Google Play?

Děkuji, Petr Chval

Dobrý den, bohužel nemám informace, zdali k takovému incidentu již došlo. Nicméně teoreticky to pochopitelně možné je. Ani to, že aplikace je dostupná přes Google Play či jiný oficiální zdroj nemusí vždy nezaručit, že je aplikace bezpečná. Pokud se týká stolních počítačů či notebooků, tam již ke zmíněným incidentům došlo.

Dobrý den,

není lepší pro příjem potvrzovacích kódů z banky používat staré telefony, než ty chytré? Chytré telefony vnímám vlastně jako malý počítač, který mi může hacker zavirovat. Může mi ale nějak zavirovat starý "nechytrý" telefon? Může se přes něj dostat ke kódu v SMS?

Dobrý den!
Ano, riziko u těchto "hloupých" telefonů je pochopitelně výrazně nižší. Nicméně dovolím si podotknout, že například telefony založené na OS Symbian (velká část starších Nokií) bych spíše z toho pohledu řadil mezi "chytré" telefony, protože do nich je možné instalovat aplikace.

Dobrý den,

když máme samostatný počítač jen na internetové bankovnictví, kde nejdou e-maily, nic nestahujeme v rámci tohoto počítače, je tam naistalována aktuální NORTON 360, přihlašujeme se do banky přes Mozilla Firexox- je třeba dělat ještě další úpravy, či obranu před případným útokem?
Používáme autorizační SMS přes Apple 6s s licenčním software.
Děkuji moc.
Škodová

Dobrý den, musím Vás v tomto směru pochválit. Pokud ještě tento počítač pravidelně aktualizujete a věnujete pozornost přijatým SMS zprávám, tak věřím, že by Vás v této oblasti nemělo nic špatného potkat.

Dobrý den, potvrzuji každou platbu v internetovém bankovnictví přes kód, který mi banka pošle v SMS. Může se někdo k mým penězům dostat i přes tento systém? A pokud ano, jak? Děkuji za odpověď. JH

Dobrý den!
Pokud je Váš mobilní telefon dostatečně zabezpečen, pak je riziko skutečně velmi malé. Nicméně vždy věnujte pozornost tomu, co je v SMS uvedeno. Tedy ne pouze zaslaný kód, ale i údaje o platbě, kterou potvrzujete.

Dobrý den. Jak nejlépe zabezpečit z mé strany vstup do bankovního účetnictví. Děkuji.

Dobrý den,

základní zásadou je starat se o zabezpečení zařízení, ze kterého do bankovnictví přistupuji. Tedy mít nainstalovaný legální a aktualizovaný operační systém a související programy. Mít nainstalovanou a aktualizovanou antivirovou ochranu. Samozřejmě je také nutné vyhýbat se rizikovému chování jako otevírání neznámých příloh z e-mailů. Určitě pro bankovnictví nepoužívejte cizí počítače a nedůvěryhodné Wi-Fi sítě. Dále je důležité kontrolovat, zdali přistupujete do bankovnictví pomocí zabezpečeného protokolu https (což je vidět v adresním řádku).

Rozhodně věnujte pozornost všem varováním prohlížeče či operačního systému. Dále bych preferoval bankovnictví s dvoufaktorovou autentizací, tedy takovou, která krom obyčejného hesla vyžaduje ještě nějakou další informaci - kód z RSA generátoru nebo přepis kódu ze SMS.

lze věřit bankovním mobilním aplikacím???
však obecně je zabezpečení telefonu a aplikací u lidí spíš minimální, ne???
není to achillova pata internetového bankovnictví a plateb přes internet???
.m)

Ano, myslím, že tomu rozumíte správně. Přímo aplikace pro mobilní bankovnictví bych považoval za bezpečné. Tento software je bankami pečlivě testován a riziko chyby je spíše malé. Ale vetším problémem je vlastní zabezpečení mobilního telefonu, na kterém je aplikace provozována. Pokud člověk bezhlavě stahuje neznámé aplikace či aplikace z neznámých zdrojů a odsouhlasuje jim veškerá práva, pak se jistě může dočkat nemilého překvapení.