Hrozí útok na internetové bankovnictví? Expert odpovídal

Jiří Hovorka Jiří Hovorka
Aktualizováno 7. 5. 2015 14:23
Je ovládání účtu přes internet a mobil bezpečné? Jak se chovat, aby vám peníze nevybrali hackeři? Na vaše otázky odpovídal bezpečnostní expert Ondřej Filip.
Je internetové bankovnictví nebezpečné? Ptejte se experta
Dotazovaný právě odpovídá
Ondřej Filip odpovídal 7. května od 13:00 do 14:00.
Přejít k dotazům

Praha – Už čtyři lidé z pěti využívají v Česku internetové bankovnictví, přes chytrý telefon pak "chodí do banky" jeden člověk ze čtyř. Podle čerstvého průzkumu České bankovní asociace ale klienti nevěnují dostatečnou pozornost bezpečnosti v online prostředí a za případné napadení účtu si mohou sami. Například tím, že neaktualizují programy, které mají chránit jejich počítač před viry, nebo když do internetového bankovnictví používají stejná hesla jako například do e-mailové schránky.

Podle bankovních statistik loni došlo ke stovkám až tisícům případů, kdy se hackerům povedlo získat přístupy do internetového bankovnictví. V několika desítkách případů pak zloději úspěšně vyvedli z takto napadených účtů peníze.

Co dělat, abyste se i vy nestali obětí hackera? Jak takový útok nejčastěji probíhá? Skutečně v Česku roste počet hackerských útoků na bankovní účty? Je opravdu problém jen na straně klientů, jak tvrdí banky? Jak je internetové bankovnictví zabezpečené?

Vizitka Ondřeje Filipa
Autor fotografie: CZ.NIC

Vizitka Ondřeje Filipa

Ondřej Filip je výkonným ředitelem sdružení CZ.NIC, které je správcem domény .cz a má pod sebou také Národní bezpečnostní tým CSIRT.CZ. Filip je mezinárodně uznávaným odborníkem na internetovou bezpečnost a má za sebou například působení v poradním týmu generálního tajemníka OSN. Nyní působí v Poradním výboru pro bezpečnost a stabilitu v rámci organizace ICANN, což je mezinárodní společnost, která určuje celosvětová pravidla pro přidělování a správu domén a IP adres.

Na tyto a další dotazy odpovídal Ondřej Filip, výkonný ředitel sdružení CZ.NIC, které je správcem domény .cz a má pod sebou také Národní bezpečnostní tým CSIRT.CZ.

Základem je podle něj starat se o zabezpečení zařízení, ze kterého do bankovnictví lidé přistupují. Tedy mít nainstalovaný legální a aktualizovaný operační systém a související programy a mít nainstalovanou a aktualizovanou antivirovou ochranu. "Samozřejmě je také nutné vyhýbat se rizikovému chování jako otevírání neznámých příloh z e-mailů," připomněl známou poučku Filip.

Určitě by také lidé pro internetové bankovnictví neměli používat cizí počítače a nedůvěryhodné wi-fi sítě. "Dále je důležité kontrolovat, zdali přistupujete do bankovnictví pomocí zabezpečeného protokolu https (což je vidět v adresním řádku). Rozhodně věnujte pozornost všem varováním prohlížeče či operačního systému," dodal.

Čtenářům, kteří stále využívají již neaktualizovaný operační systém Windows XP a přistupují přes takový počítač do internetového bankovnictví, takové chování jasně nedoporučil.

Apeloval také na banky, které by podle něj měly jednoznačně nabízet takzvanou dvoufaktorovou identifikaci a klienti by tak jedinečným kódem měli vždy potvrzovat i vstup do internetového bankovnictví, a ne jen platby. "Riziko napadení přihlášení obyčejným jménem a heslem je již poměrně vysoké a i to, že by se útočník mohl dostat k bankovním výpisům a jiným informacím tohoto druhu může být pro majitele účtu velmi nepříjemné a dost možná i zneužitelné k jiným typům útoků," vysvětlil svůj postoj Filip.

Riziko, že se hackeři dokáží dostat i k potvrzovacím kódům, které banky klientům posílají přes SMS, je podle něj velmi malé, pokud je mobilní telefon dostatečně zabezpečen. "Nicméně vždy věnujte pozornost tomu, co je v SMS uvedeno. Tedy ne pouze zaslaný kód, ale i údaje o platbě, kterou potvrzujete," dodal.

Je internetové bankovnictví nebezpečné? Ptejte se experta

Dotazovaný právě odpovídá
Ondřej Filip odpovídal 7. května od 13:00 do 14:00.
Aktualizovat reportáž
7. 5. 2015
Ptá se: Michal

Moje banka zrušila posílání kódu přes šifrovanou SMS. Při vstupu do IB na počítači mi pravidelně radí abych místo Linuxu (pochopitelně distribuce aktualizované pravidelně) používal Windows "s posledními záplatami" a aktualizovaný Internet Explorer.
Nemyslíte že banky často nahrávají útočníkům i samy a díky neznalosti svých pracovníků?

Odpovídá: Ondřej Filip

Dobrý den, ochranu čtení SMS pomocí PIN kódu pochopitelně považuji za bezpečnější a doporučoval bych ji, pokud je to možně. A jako uživatel Linuxu zcela chápu Vaše pocity. Technici v bankách pochopitelně ladí systémy především na většinového uživatele, což někdy vede k takovýmto paradoxním situacím.

7. 5. 2015
Ptá se: Jan Novak

Ktere misto v retezci "systemy banky-ISP-domaci router-domaci pocitac-uzivatel" je obvykle nejslabsi a teda nejcastejsim cilem utocniku?

Odpovídá: Ondřej Filip

Dobrý den! O ostatních aspektech bezpečnosti jsem již hovořil a nebudu to tedy dále rozepisovat, nicméně děkuji za zmínění jednoho často podceňovaného článku, kterým jsou domácí routery. Právě na tato zařízení uživatelé často zapomínají. Přitom jsou podobně napadnutelná jako počítače či mobilní telefony. I zde platí, že by uživatel měl pro přistup do Wi-Fi sítě či do zařízení samotného používat silná hesla a aktualizovat příslušný firmware. Bohužel pro některé tyto routery se již aktualizace firmware nevydávají a tak existuje celosvětově obrovské množství takovýchto napadených či napadnutelných zařízení.

7. 5. 2015
Ptá se: Stanislav

Užívám IB společně s autorisačními SMS. Používám asi 20 let starý mobil, který se neumí ani updatovat, Internet na něm nelze. Nebylo by jednodušší, kdyby si klient pořídil mobil se dvěma SIM kartami? Jedna SIM karta by sloužila výhradně pro účely autorisací a byla by blokována, aby uměla jenom přijímat SMS. Vycházím z předpokladu, že největší slabinou je mobil, který je zavirovaný a umožňuje tak odposlech SMSek. Samotné nahlížení do IB je jenom pouhé odtajnění dat, nic víc...

Odpovídá: Ondřej Filip

Dobrý den! Sice uvažujete správným směrem, ale hlavní slabinou není SIM karta, ale právě ten mobil. Pokud SMS přijde na jednu SIM kartu, muže být pomocí malware v telefonu a druhé SIM jakkoliv odeslána.

7. 5. 2015
Ptá se: Luboš

Dobrý den p. Filip
je ještě bezpečný Windows XP
Luboš

Odpovídá: Ondřej Filip

Dobrý den! Bohužel, tento operační systém bych již za bezpečný nepovažoval.

7. 5. 2015
Ptá se: David

Dobrý den,

Česká spořitelna si nechává platit za autorizační SMS při přihlášení do IB. Na pobočce mi řekli, že je to nepovinná vlastnost, za SMS autorizaci transakcí se poplatky nevybírají. Tj. "filozofie" banky je nechat útočníka brouzdat v účtech klientů a chránit jen určité operace. Je to správné platit ke všem bankovním poplatkům ještě i za rozumnou bezpečnost ? Neodrazuje to klienty od odpovědného přístupu k zabezpečení ?

Děkuji za názor.

Odpovídá: Ondřej Filip

Dobrý den!
Neznám přesně situaci u České spořitelny, takže si ji nedovolím komentovat, nicméně velmi bych se přimlouval za používání dvoufaktorové autentizace již při přihlášení do bankovnictví a přimlouval bych se za to, aby banky v tomto směru své podmínky přizpůsobily.

7. 5. 2015
Ptá se: Antonín Garčic

Dobrý den. Využívám internetové bankovnictví. Chráněn jsem jednak přístupovým heslem do své banky a dále potvrzením přístupového kódu prostřednictvím SMS. Zlepším bezpečnost mých operací když přesunu komunikaci s bankou z W7 na operační systém Linux ( Ubuntu )? Jak rizikové jsou napevno uložené přístupové hesla v počítači ( při otevření komunikace s bankou mi automaticky naskočí obrazovka s přístupovými hesly) ?.
Děkuji A.Garčic

Odpovídá: Ondřej Filip

Dobrý den! Operační systém (OS) Linux je obecně považován za bezpečnější systém a přiznám se, že i já a velké množství mých kolegů v CZ.NIC či CSIRT.CZ jej používáme. Nicméně samotný OS není zárukou bezpečnosti. Záleží také, jakým způsobem jej spravujeme, aktualizujeme a podobně.

7. 5. 2015
Ptá se: Honza PM

Dobrý den,
používám pro přihlášení a potvrzení operací kombinaci vlastního PIN a čísla z tokenu RSA (HW ve formě přívěsku, ne SW).
Existuje teoretická možnost prolomení algoritmu generování kódů na základě sledování odesílaných kódů? Je bezpečnost srovnatelná s potvrzováním kódem ze SMS?
Děkuji.

Odpovídá: Ondřej Filip

Dobrý den!
Možnost prolomení RSA algoritmu je při současném stavu poznání téměř nulová. Jde o tzv. NP úplný problém, na jehož vyřešení by útočník potřeboval nepřiměřeně velkou výpočetní sílu. Útočník tedy spíše bude hledat snazší cesty, jak se k penězům dostat, tedy třeba napadením počítače a podobně.

7. 5. 2015
Ptá se: Vladimír

Nejsou dnes hackeři schopni sledovat i bankou klientovi zaslaná zabezpečovací data v SMS-ce ? Tj. jaká je schopnost hackerů se dostat i do systému mobilního operátora nebo do kanálu, ve kterém banka data budoucí SMS-ky posílá mobilnímu operátorovi ?

Jsou hackeři schopni na základě oskenování komunikace bankovní karty s bankomatem vytvořit duplikát bankovní karty, pokud tato obsahuje čip ?

Pokud bankovní karta obsahuje čip, ale hackerem vytvořený duplikát karty má správný pouze magnetický proužek, nikoliv čip, je klient zodpovědný za zneužití karty, když nějaký bankomat od duplikátu vyžadoval pouze magnetický proužek ?

Odpovídá: Ondřej Filip

Dobrý den, riziko napadení systému mobilních operátorů nepovažuji za příliš vysoké, byť to pochopitelně není nemožné. V této souvislosti
bych připomněl nový zákon o kybernetické bezpečnosti díky němuž se klíčoví operátoři dostanou na seznam kritické komunikační infrastruktury, s čímž se váže celá řada povinností v bezpečnostní oblasti.

Dalším aspektem je, že útočníci se chovají racionálně a je pro ně mnohem jednodušší nějakým trikem donutit uživatele k instalovaní malware do mobilních telefonů, který dokáže SMS útočníkovi předávat.

7. 5. 2015
Ptá se: Pavel

Dobrý den,
je pro klienta z hlediska bezpečnosti lepší autorizace sms kódem na mobilní telefon nebo forma autor. tokenu od Sberbank?
( kde opisuji generovaná čísla)

Některé banky nenabízejí tzv. přihlašovací sms do IB. Kódem z sms se autor. až samotné transakce. (Fio banka, Zuno bank, ČS. a.s - kde se za přihl. sms platí)
Mají dle vašeho názoru přihlašovací sms do IB velký význam v bezpečnosti?Díky

Odpovídá: Ondřej Filip

Dobrý den, osobně považuji za bezpečnější specializovaný hardwarový token. U něj je riziko napadení v porovnaní s mobilním telefonem prakticky nulové. Lepší jsou tokeny, které vyžadují zadání základních údajů transakce.

Ano, preferuji bankovnictví, kde se dvoufaktorová autentizace uplatňuje již při přihlašování. Riziko napadení přihlášení obyčejným jménem a heslem je již poměrně vysoké a i to, že by se útočník mohl dostat k bankovním výpisům a jiným informacím tohoto druhu může být pro majitele účtu velmi nepříjemné a dost možná i zneužitelné k jiným typům útoků.

7. 5. 2015
Ptá se: Petr

Dobrý den,
chci se zeptat na několik věcí, nejprve však můj osobní přístup.

Vybírám si banku dle sily zabez. internetového bankovnictví. Kde si můžu zvolit a kdykoliv změnit heslo, ale i uživat. jméno, které je minim 20 znaků dlouhé. Součastí musí být i přihlašovací sms, která je odesílána na mobil a mám rozumně nastavené limity intert. bankov, které jdou změnit pouze na pobočce s občanským průkazem a podpisovým vzorem.
Mám v PC aktual. antivir, ale zatím starý Windouws XP. (brzo bude nový PC s windouws 8)
Nikdy neotevírám neznámou přílohu atd.1)Jak velké je v mém konkrétním případě riziko útoku z důvodů neaktualizované operačního systému ze strany Microsoftu?2) Mám mobil Nokia Lumia 625, kde je operační systém Windouws Phone 8.01. Tam mám i Smartbanking.Nemůžu najít pro Windouws Phone nějaký antivir na mobil? Existuje něco nebo je to zbytečné pro WP z důvodu uzavřenosti systému zbytečné? Konkrétně mám banku ERA - ČSOB.Díky za odpověď.

Odpovídá: Ondřej Filip

Dobrý den, rozhodně nemůžu doporučit používání již neaktualizovaného operačního systému, jakým jsou Windows XP. Ačkoliv naznačujete, že dodržujete všechny ostatní bezpečnostní zásady, stejně je určité riziko napadení systému přes nezazáplatované zranitelnosti. Pokud by se přes takovouto zranitelnost podařilo útočníkovi vložit do Vašeho počítače malware. Mohl by třeba za běhu modifikovat to, co vidíte v prohlížeči a měnit tak třeba Vaše platební operace.

Bankovnictví ve Windows mobile bych podle dostupných informací považoval za bezpečné.

7. 5. 2015
Ptá se: Petr Chval

Dobrý den, mám dotaz na mobilní bankovnictví. Byly již identifikovány případy, kdy došlo ke zneužití prostřednictvím keylogerů v SW klávesnicích mobilů, nebo jde zatím jen o teoretickou hrozbu? A pokud ano, šlo i o klávesnice stažené přes Google Play?

Děkuji, Petr Chval

Odpovídá: Ondřej Filip

Dobrý den, bohužel nemám informace, zdali k takovému incidentu již došlo. Nicméně teoreticky to pochopitelně možné je. Ani to, že aplikace je dostupná přes Google Play či jiný oficiální zdroj nemusí vždy nezaručit, že je aplikace bezpečná. Pokud se týká stolních počítačů či notebooků, tam již ke zmíněným incidentům došlo.

7. 5. 2015
Ptá se: Jiří Šolc

Dobrý den,

není lepší pro příjem potvrzovacích kódů z banky používat staré telefony, než ty chytré? Chytré telefony vnímám vlastně jako malý počítač, který mi může hacker zavirovat. Může mi ale nějak zavirovat starý "nechytrý" telefon? Může se přes něj dostat ke kódu v SMS?

Odpovídá: Ondřej Filip

Dobrý den!
Ano, riziko u těchto "hloupých" telefonů je pochopitelně výrazně nižší. Nicméně dovolím si podotknout, že například telefony založené na OS Symbian (velká část starších Nokií) bych spíše z toho pohledu řadil mezi "chytré" telefony, protože do nich je možné instalovat aplikace.

7. 5. 2015
Ptá se: Ing. Ivana Škodová

Dobrý den,

když máme samostatný počítač jen na internetové bankovnictví, kde nejdou e-maily, nic nestahujeme v rámci tohoto počítače, je tam naistalována aktuální NORTON 360, přihlašujeme se do banky přes Mozilla Firexox- je třeba dělat ještě další úpravy, či obranu před případným útokem?
Používáme autorizační SMS přes Apple 6s s licenčním software.
Děkuji moc.
Škodová

Odpovídá: Ondřej Filip

Dobrý den, musím Vás v tomto směru pochválit. Pokud ještě tento počítač pravidelně aktualizujete a věnujete pozornost přijatým SMS zprávám, tak věřím, že by Vás v této oblasti nemělo nic špatného potkat.

7. 5. 2015
Ptá se: Jan Hušbauer

Dobrý den, potvrzuji každou platbu v internetovém bankovnictví přes kód, který mi banka pošle v SMS. Může se někdo k mým penězům dostat i přes tento systém? A pokud ano, jak? Děkuji za odpověď. JH

Odpovídá: Ondřej Filip

Dobrý den!
Pokud je Váš mobilní telefon dostatečně zabezpečen, pak je riziko skutečně velmi malé. Nicméně vždy věnujte pozornost tomu, co je v SMS uvedeno. Tedy ne pouze zaslaný kód, ale i údaje o platbě, kterou potvrzujete.

7. 5. 2015
Ptá se: Růžena

Dobrý den. Jak nejlépe zabezpečit z mé strany vstup do bankovního účetnictví. Děkuji.

Odpovídá: Ondřej Filip

Dobrý den,

základní zásadou je starat se o zabezpečení zařízení, ze kterého do bankovnictví přistupuji. Tedy mít nainstalovaný legální a aktualizovaný operační systém a související programy. Mít nainstalovanou a aktualizovanou antivirovou ochranu. Samozřejmě je také nutné vyhýbat se rizikovému chování jako otevírání neznámých příloh z e-mailů. Určitě pro bankovnictví nepoužívejte cizí počítače a nedůvěryhodné Wi-Fi sítě. Dále je důležité kontrolovat, zdali přistupujete do bankovnictví pomocí zabezpečeného protokolu https (což je vidět v adresním řádku).

Rozhodně věnujte pozornost všem varováním prohlížeče či operačního systému. Dále bych preferoval bankovnictví s dvoufaktorovou autentizací, tedy takovou, která krom obyčejného hesla vyžaduje ještě nějakou další informaci - kód z RSA generátoru nebo přepis kódu ze SMS.

7. 5. 2015
Ptá se: milda šlehofer

lze věřit bankovním mobilním aplikacím???
však obecně je zabezpečení telefonu a aplikací u lidí spíš minimální, ne???
není to achillova pata internetového bankovnictví a plateb přes internet???
.m)

Odpovídá: Ondřej Filip

Ano, myslím, že tomu rozumíte správně. Přímo aplikace pro mobilní bankovnictví bych považoval za bezpečné. Tento software je bankami pečlivě testován a riziko chyby je spíše malé. Ale vetším problémem je vlastní zabezpečení mobilního telefonu, na kterém je aplikace provozována. Pokud člověk bezhlavě stahuje neznámé aplikace či aplikace z neznámých zdrojů a odsouhlasuje jim veškerá práva, pak se jistě může dočkat nemilého překvapení.

 

Právě se děje

Další zprávy