reklama
 
 

Hrozí útok na internetové bankovnictví? Expert odpovídal

Aktualizováno 7. 5. 2015 14:23
Je ovládání účtu přes internet a mobil bezpečné? Jak se chovat, aby vám peníze nevybrali hackeři? Na vaše otázky odpovídal bezpečnostní expert Ondřej Filip.

Praha – Už čtyři lidé z pěti využívají v Česku internetové bankovnictví, přes chytrý telefon pak "chodí do banky" jeden člověk ze čtyř. Podle čerstvého průzkumu České bankovní asociace ale klienti nevěnují dostatečnou pozornost bezpečnosti v online prostředí a za případné napadení účtu si mohou sami. Například tím, že neaktualizují programy, které mají chránit jejich počítač před viry, nebo když do internetového bankovnictví používají stejná hesla jako například do e-mailové schránky.

Podle bankovních statistik loni došlo ke stovkám až tisícům případů, kdy se hackerům povedlo získat přístupy do internetového bankovnictví. V několika desítkách případů pak zloději úspěšně vyvedli z takto napadených účtů peníze.

Co dělat, abyste se i vy nestali obětí hackera? Jak takový útok nejčastěji probíhá? Skutečně v Česku roste počet hackerských útoků na bankovní účty? Je opravdu problém jen na straně klientů, jak tvrdí banky? Jak je internetové bankovnictví zabezpečené?

Vizitka Ondřeje Filipa

Vizitka Ondřeje Filipa

Ondřej Filip je výkonným ředitelem sdružení CZ.NIC, které je správcem domény .cz a má pod sebou také Národní bezpečnostní tým CSIRT.CZ. Filip je mezinárodně uznávaným odborníkem na internetovou bezpečnost a má za sebou například působení v poradním týmu generálního tajemníka OSN. Nyní působí v Poradním výboru pro bezpečnost a stabilitu v rámci organizace ICANN, což je mezinárodní společnost, která určuje celosvětová pravidla pro přidělování a správu domén a IP adres.

Na tyto a další dotazy odpovídal Ondřej Filip, výkonný ředitel sdružení CZ.NIC, které je správcem domény .cz a má pod sebou také Národní bezpečnostní tým CSIRT.CZ.

Základem je podle něj starat se o zabezpečení zařízení, ze kterého do bankovnictví lidé přistupují. Tedy mít nainstalovaný legální a aktualizovaný operační systém a související programy a mít nainstalovanou a aktualizovanou antivirovou ochranu. "Samozřejmě je také nutné vyhýbat se rizikovému chování jako otevírání neznámých příloh z e-mailů," připomněl známou poučku Filip.

Určitě by také lidé pro internetové bankovnictví neměli používat cizí počítače a nedůvěryhodné wi-fi sítě. "Dále je důležité kontrolovat, zdali přistupujete do bankovnictví pomocí zabezpečeného protokolu https (což je vidět v adresním řádku). Rozhodně věnujte pozornost všem varováním prohlížeče či operačního systému," dodal.

Čtenářům, kteří stále využívají již neaktualizovaný operační systém Windows XP a přistupují přes takový počítač do internetového bankovnictví, takové chování jasně nedoporučil.

Apeloval také na banky, které by podle něj měly jednoznačně nabízet takzvanou dvoufaktorovou identifikaci a klienti by tak jedinečným kódem měli vždy potvrzovat i vstup do internetového bankovnictví, a ne jen platby. "Riziko napadení přihlášení obyčejným jménem a heslem je již poměrně vysoké a i to, že by se útočník mohl dostat k bankovním výpisům a jiným informacím tohoto druhu může být pro majitele účtu velmi nepříjemné a dost možná i zneužitelné k jiným typům útoků," vysvětlil svůj postoj Filip.

Riziko, že se hackeři dokáží dostat i k potvrzovacím kódům, které banky klientům posílají přes SMS, je podle něj velmi malé, pokud je mobilní telefon dostatečně zabezpečen. "Nicméně vždy věnujte pozornost tomu, co je v SMS uvedeno. Tedy ne pouze zaslaný kód, ale i údaje o platbě, kterou potvrzujete," dodal.

Je internetové bankovnictví nebezpečné? Ptejte se experta

Ondřej Filip odpovídal 7. května od 13:00 do 14:00.

? Michal - 7. 5. 2015 12:37 Moje banka zrušila posílání kódu přes šifrovanou SMS. Při vstupu do IB na počítači mi pravidelně radí abych místo Linuxu (pochopitelně distribuce aktualizované pravidelně) používal Windows "s posledními záplatami" a aktualizovaný Internet Explorer.
Nemyslíte že banky často nahrávají útočníkům i samy a díky neznalosti svých pracovníků?

Ondřej Filip Ondřej Filip: Dobrý den, ochranu čtení SMS pomocí PIN kódu pochopitelně považuji za bezpečnější a doporučoval bych ji, pokud je to možně. A jako uživatel Linuxu zcela chápu Vaše pocity. Technici v bankách pochopitelně ladí systémy především na většinového uživatele, což někdy vede k takovýmto paradoxním situacím.

? Jan Novak - 7. 5. 2015 12:35 Ktere misto v retezci "systemy banky-ISP-domaci router-domaci pocitac-uzivatel" je obvykle nejslabsi a teda nejcastejsim cilem utocniku?

Ondřej Filip Ondřej Filip: Dobrý den! O ostatních aspektech bezpečnosti jsem již hovořil a nebudu to tedy dále rozepisovat, nicméně děkuji za zmínění jednoho často podceňovaného článku, kterým jsou domácí routery. Právě na tato zařízení uživatelé často zapomínají. Přitom jsou podobně napadnutelná jako počítače či mobilní telefony. I zde platí, že by uživatel měl pro přistup do Wi-Fi sítě či do zařízení samotného používat silná hesla a aktualizovat příslušný firmware. Bohužel pro některé tyto routery se již aktualizace firmware nevydávají a tak existuje celosvětově obrovské množství takovýchto napadených či napadnutelných zařízení.

? Stanislav - 7. 5. 2015 12:06 Užívám IB společně s autorisačními SMS. Používám asi 20 let starý mobil, který se neumí ani updatovat, Internet na něm nelze. Nebylo by jednodušší, kdyby si klient pořídil mobil se dvěma SIM kartami? Jedna SIM karta by sloužila výhradně pro účely autorisací a byla by blokována, aby uměla jenom přijímat SMS. Vycházím z předpokladu, že největší slabinou je mobil, který je zavirovaný a umožňuje tak odposlech SMSek. Samotné nahlížení do IB je jenom pouhé odtajnění dat, nic víc...

Ondřej Filip Ondřej Filip: Dobrý den! Sice uvažujete správným směrem, ale hlavní slabinou není SIM karta, ale právě ten mobil. Pokud SMS přijde na jednu SIM kartu, muže být pomocí malware v telefonu a druhé SIM jakkoliv odeslána.

? Luboš - 7. 5. 2015 12:00 Dobrý den p. Filip
je ještě bezpečný Windows XP
Luboš

Ondřej Filip Ondřej Filip: Dobrý den! Bohužel, tento operační systém bych již za bezpečný nepovažoval.

? David - 7. 5. 2015 11:32 Dobrý den,

Česká spořitelna si nechává platit za autorizační SMS při přihlášení do IB. Na pobočce mi řekli, že je to nepovinná vlastnost, za SMS autorizaci transakcí se poplatky nevybírají. Tj. "filozofie" banky je nechat útočníka brouzdat v účtech klientů a chránit jen určité operace. Je to správné platit ke všem bankovním poplatkům ještě i za rozumnou bezpečnost ? Neodrazuje to klienty od odpovědného přístupu k zabezpečení ?

Děkuji za názor.

Ondřej Filip Ondřej Filip: Dobrý den!
Neznám přesně situaci u České spořitelny, takže si ji nedovolím komentovat, nicméně velmi bych se přimlouval za používání dvoufaktorové autentizace již při přihlášení do bankovnictví a přimlouval bych se za to, aby banky v tomto směru své podmínky přizpůsobily.

? Antonín Garčic - 7. 5. 2015 11:22 Dobrý den. Využívám internetové bankovnictví. Chráněn jsem jednak přístupovým heslem do své banky a dále potvrzením přístupového kódu prostřednictvím SMS. Zlepším bezpečnost mých operací když přesunu komunikaci s bankou z W7 na operační systém Linux ( Ubuntu )? Jak rizikové jsou napevno uložené přístupové hesla v počítači ( při otevření komunikace s bankou mi automaticky naskočí obrazovka s přístupovými hesly) ?.
Děkuji A.Garčic

Ondřej Filip Ondřej Filip: Dobrý den! Operační systém (OS) Linux je obecně považován za bezpečnější systém a přiznám se, že i já a velké množství mých kolegů v CZ.NIC či CSIRT.CZ jej používáme. Nicméně samotný OS není zárukou bezpečnosti. Záleží také, jakým způsobem jej spravujeme, aktualizujeme a podobně.

? Honza PM - 7. 5. 2015 11:11 Dobrý den,
používám pro přihlášení a potvrzení operací kombinaci vlastního PIN a čísla z tokenu RSA (HW ve formě přívěsku, ne SW).
Existuje teoretická možnost prolomení algoritmu generování kódů na základě sledování odesílaných kódů? Je bezpečnost srovnatelná s potvrzováním kódem ze SMS?
Děkuji.

Ondřej Filip Ondřej Filip: Dobrý den!
Možnost prolomení RSA algoritmu je při současném stavu poznání téměř nulová. Jde o tzv. NP úplný problém, na jehož vyřešení by útočník potřeboval nepřiměřeně velkou výpočetní sílu. Útočník tedy spíše bude hledat snazší cesty, jak se k penězům dostat, tedy třeba napadením počítače a podobně.

? Vladimír - 7. 5. 2015 10:45 Nejsou dnes hackeři schopni sledovat i bankou klientovi zaslaná zabezpečovací data v SMS-ce ? Tj. jaká je schopnost hackerů se dostat i do systému mobilního operátora nebo do kanálu, ve kterém banka data budoucí SMS-ky posílá mobilnímu operátorovi ?

Jsou hackeři schopni na základě oskenování komunikace bankovní karty s bankomatem vytvořit duplikát bankovní karty, pokud tato obsahuje čip ?

Pokud bankovní karta obsahuje čip, ale hackerem vytvořený duplikát karty má správný pouze magnetický proužek, nikoliv čip, je klient zodpovědný za zneužití karty, když nějaký bankomat od duplikátu vyžadoval pouze magnetický proužek ?

Ondřej Filip Ondřej Filip: Dobrý den, riziko napadení systému mobilních operátorů nepovažuji za příliš vysoké, byť to pochopitelně není nemožné. V této souvislosti
bych připomněl nový zákon o kybernetické bezpečnosti díky němuž se klíčoví operátoři dostanou na seznam kritické komunikační infrastruktury, s čímž se váže celá řada povinností v bezpečnostní oblasti.

Dalším aspektem je, že útočníci se chovají racionálně a je pro ně mnohem jednodušší nějakým trikem donutit uživatele k instalovaní malware do mobilních telefonů, který dokáže SMS útočníkovi předávat.

? Pavel - 7. 5. 2015 10:45 Dobrý den,
je pro klienta z hlediska bezpečnosti lepší autorizace sms kódem na mobilní telefon nebo forma autor. tokenu od Sberbank?
( kde opisuji generovaná čísla)

Některé banky nenabízejí tzv. přihlašovací sms do IB. Kódem z sms se autor. až samotné transakce. (Fio banka, Zuno bank, ČS. a.s - kde se za přihl. sms platí)
Mají dle vašeho názoru přihlašovací sms do IB velký význam v bezpečnosti?Díky

Ondřej Filip Ondřej Filip: Dobrý den, osobně považuji za bezpečnější specializovaný hardwarový token. U něj je riziko napadení v porovnaní s mobilním telefonem prakticky nulové. Lepší jsou tokeny, které vyžadují zadání základních údajů transakce.

Ano, preferuji bankovnictví, kde se dvoufaktorová autentizace uplatňuje již při přihlašování. Riziko napadení přihlášení obyčejným jménem a heslem je již poměrně vysoké a i to, že by se útočník mohl dostat k bankovním výpisům a jiným informacím tohoto druhu může být pro majitele účtu velmi nepříjemné a dost možná i zneužitelné k jiným typům útoků.

? Petr - 7. 5. 2015 10:38 Dobrý den,
chci se zeptat na několik věcí, nejprve však můj osobní přístup.

Vybírám si banku dle sily zabez. internetového bankovnictví. Kde si můžu zvolit a kdykoliv změnit heslo, ale i uživat. jméno, které je minim 20 znaků dlouhé. Součastí musí být i přihlašovací sms, která je odesílána na mobil a mám rozumně nastavené limity intert. bankov, které jdou změnit pouze na pobočce s občanským průkazem a podpisovým vzorem.
Mám v PC aktual. antivir, ale zatím starý Windouws XP. (brzo bude nový PC s windouws 8)
Nikdy neotevírám neznámou přílohu atd.1)Jak velké je v mém konkrétním případě riziko útoku z důvodů neaktualizované operačního systému ze strany Microsoftu?2) Mám mobil Nokia Lumia 625, kde je operační systém Windouws Phone 8.01. Tam mám i Smartbanking.Nemůžu najít pro Windouws Phone nějaký antivir na mobil? Existuje něco nebo je to zbytečné pro WP z důvodu uzavřenosti systému zbytečné? Konkrétně mám banku ERA - ČSOB.Díky za odpověď.

Ondřej Filip Ondřej Filip: Dobrý den, rozhodně nemůžu doporučit používání již neaktualizovaného operačního systému, jakým jsou Windows XP. Ačkoliv naznačujete, že dodržujete všechny ostatní bezpečnostní zásady, stejně je určité riziko napadení systému přes nezazáplatované zranitelnosti. Pokud by se přes takovouto zranitelnost podařilo útočníkovi vložit do Vašeho počítače malware. Mohl by třeba za běhu modifikovat to, co vidíte v prohlížeči a měnit tak třeba Vaše platební operace.

Bankovnictví ve Windows mobile bych podle dostupných informací považoval za bezpečné.

? Petr Chval - 7. 5. 2015 10:37 Dobrý den, mám dotaz na mobilní bankovnictví. Byly již identifikovány případy, kdy došlo ke zneužití prostřednictvím keylogerů v SW klávesnicích mobilů, nebo jde zatím jen o teoretickou hrozbu? A pokud ano, šlo i o klávesnice stažené přes Google Play?

Děkuji, Petr Chval

Ondřej Filip Ondřej Filip: Dobrý den, bohužel nemám informace, zdali k takovému incidentu již došlo. Nicméně teoreticky to pochopitelně možné je. Ani to, že aplikace je dostupná přes Google Play či jiný oficiální zdroj nemusí vždy nezaručit, že je aplikace bezpečná. Pokud se týká stolních počítačů či notebooků, tam již ke zmíněným incidentům došlo.

? Jiří Šolc - 7. 5. 2015 10:37 Dobrý den,

není lepší pro příjem potvrzovacích kódů z banky používat staré telefony, než ty chytré? Chytré telefony vnímám vlastně jako malý počítač, který mi může hacker zavirovat. Může mi ale nějak zavirovat starý "nechytrý" telefon? Může se přes něj dostat ke kódu v SMS?

Ondřej Filip Ondřej Filip: Dobrý den!
Ano, riziko u těchto "hloupých" telefonů je pochopitelně výrazně nižší. Nicméně dovolím si podotknout, že například telefony založené na OS Symbian (velká část starších Nokií) bych spíše z toho pohledu řadil mezi "chytré" telefony, protože do nich je možné instalovat aplikace.

? Ing. Ivana Škodová - 7. 5. 2015 10:36 Dobrý den,

když máme samostatný počítač jen na internetové bankovnictví, kde nejdou e-maily, nic nestahujeme v rámci tohoto počítače, je tam naistalována aktuální NORTON 360, přihlašujeme se do banky přes Mozilla Firexox- je třeba dělat ještě další úpravy, či obranu před případným útokem?
Používáme autorizační SMS přes Apple 6s s licenčním software.
Děkuji moc.
Škodová

Ondřej Filip Ondřej Filip: Dobrý den, musím Vás v tomto směru pochválit. Pokud ještě tento počítač pravidelně aktualizujete a věnujete pozornost přijatým SMS zprávám, tak věřím, že by Vás v této oblasti nemělo nic špatného potkat.

? Jan Hušbauer - 7. 5. 2015 10:34 Dobrý den, potvrzuji každou platbu v internetovém bankovnictví přes kód, který mi banka pošle v SMS. Může se někdo k mým penězům dostat i přes tento systém? A pokud ano, jak? Děkuji za odpověď. JH

Ondřej Filip Ondřej Filip: Dobrý den!
Pokud je Váš mobilní telefon dostatečně zabezpečen, pak je riziko skutečně velmi malé. Nicméně vždy věnujte pozornost tomu, co je v SMS uvedeno. Tedy ne pouze zaslaný kód, ale i údaje o platbě, kterou potvrzujete.

? Růžena - 7. 5. 2015 10:33 Dobrý den. Jak nejlépe zabezpečit z mé strany vstup do bankovního účetnictví. Děkuji.

Ondřej Filip Ondřej Filip: Dobrý den,

základní zásadou je starat se o zabezpečení zařízení, ze kterého do bankovnictví přistupuji. Tedy mít nainstalovaný legální a aktualizovaný operační systém a související programy. Mít nainstalovanou a aktualizovanou antivirovou ochranu. Samozřejmě je také nutné vyhýbat se rizikovému chování jako otevírání neznámých příloh z e-mailů. Určitě pro bankovnictví nepoužívejte cizí počítače a nedůvěryhodné Wi-Fi sítě. Dále je důležité kontrolovat, zdali přistupujete do bankovnictví pomocí zabezpečeného protokolu https (což je vidět v adresním řádku).

Rozhodně věnujte pozornost všem varováním prohlížeče či operačního systému. Dále bych preferoval bankovnictví s dvoufaktorovou autentizací, tedy takovou, která krom obyčejného hesla vyžaduje ještě nějakou další informaci - kód z RSA generátoru nebo přepis kódu ze SMS.

? milda šlehofer - 7. 5. 2015 10:26 lze věřit bankovním mobilním aplikacím???
však obecně je zabezpečení telefonu a aplikací u lidí spíš minimální, ne???
není to achillova pata internetového bankovnictví a plateb přes internet???
.m)

Ondřej Filip Ondřej Filip: Ano, myslím, že tomu rozumíte správně. Přímo aplikace pro mobilní bankovnictví bych považoval za bezpečné. Tento software je bankami pečlivě testován a riziko chyby je spíše malé. Ale vetším problémem je vlastní zabezpečení mobilního telefonu, na kterém je aplikace provozována. Pokud člověk bezhlavě stahuje neznámé aplikace či aplikace z neznámých zdrojů a odsouhlasuje jim veškerá práva, pak se jistě může dočkat nemilého překvapení.

autor: Jiří Hovorka | 7. 5. 2015 10:11

Související

    Pokračujte dál

    Hlavní zprávy

    reklama
    reklama
    reklama
    reklama
    reklama
    reklama
    reklama