Internetbanking: Slabinou je klient

Není pohodlnějšího ovládání bankovního účtu než z domácího křesla přes internet. Ovšem za pohodlí se platí, občas i cenou nemalou - ztrátou většiny peněz z účtu. Stalo se tak nedávno klientům Komerční banky, na jejich případ upozornil deník Právo. Patnácti klientům, kteří spravovali účet přes internet, vyluxoval organizovaný mezinárodní gang podvodníků peníze na účtu. Později se také provalilo, že útočníci stejným způsobem napadli účty také v České spořitelně.

Přestože k případům v Komerční bance došlo už na konci července, banka na nic nepřišla a nic neřešila. Když si začali klienti stěžovat, odmítla jim peníze vrátit.

Teprve poté, co byl případ medializován, banka začala s poškozenými jednat a údajně jim jejich peníze už vrátila. Jenže to už je, jak se říká, s křížkem po funuse. Těžko se jí teď podaří veřejnost a klienty přesvědčit, že nedošlo k napadení jejího vnitřního bezpečnostního systému, jak to uvedl deník Právo.

Peníze z 15 účtu klientů Komerční banky podvodníci převedli přes bílého koně, který vyexpedoval lup prostřednictvím Western Union na východ, kde, jak se zdá, zmizely navždy. Zajímavé na této krádeži je využití mezinárodní společnosti Western Union, která umožňuje posílat peníze do zahraničí na anonymního příjemce. Stačí, když si odesílatel s příjemcem dohodnou heslo, na které budou peníze vyplaceny. Není třeba předkládat žádné doklady a to jsou pro zloděje přímo ideální podmínky.

SLABINOU JE KLIENT. Krádež peněz prostřednictvím elektronického bankovnictví neznamená, že samotný princip ovládání účtu přes internet je špatný, ale ukazuje na jeho slabiny.

Nejde přitom o žádnou novinku, na slabinu, kterou využili zmínění podvodníci, upozorňují počítačoví experti banky již několik let. Tou slabinou je způsob přihlašování klienta (autorizace) do systému přes internet a jeho počítač. Banky totiž často k autorizaci používají pouze přístupové jméno a heslo, případně přístupové jméno a bezpečnostní certifikát. Pokud má banka i jiné varianty přístupu, jsou často brány jako nadstandardní a banka si za ně nechává připlatit. A klienti je nepoužívají. "Zabezpečovací technologie klienti nepoužívají patrně i z toho důvodu, že jim není jasné, jaký přínos pro ně mohou znamenat ve srovnání s jejich cenou," říká mluvčí Ministerstva informatiky Klára Volná.

Zabezpečení pomocí pouhého hesla a přístupového jména je ale nedostatečné. Oba údaje se dají zjistit pomocí špionských programů přímo z počítače klienta. Přihlašování pomocí certifikátu je bezpečnější, ale i tady existuje vysoké riziko (jak bylo patrno v případě Komerční banky), že je certifikát zneužitelný. Opět k tomu stačí malé špionské prográmky přímo v klientově počítači. Zloději v obou případech využívají toho, že klient neustále zadává stejné heslo a používá stále stejný nechráněný certifikát v počítači. Rozšířit elektronické špiony mezi klienty libovolné banky není příliš složité.

Banky se ale toho mohou vyvarovat. Stačí, když pro přihlášení do systému a potvrzování provedených transakcí budou vyžadovat jednorázově generovaná hesla prostřednictvím PIN kalkulátoru nebo zaslaného pomocí SMS. Takový způsob ochrany je dostatečný, k získání přístupu k účtu by zloděj musel kromě hesel a certifikátů ještě ukrást mobil či PIN kalkulátor.

"Stále více se také uvažuje o multifaktorové autentifikaci. Ta kombinuje zmíněné faktory ještě s třetí bezpečnostní vrstvou, a to konkrétně biometrickou, například zavedením otisků prstů do ověřování platnosti elektronického podpisu uživatele on-line bankovnictví. Je to však zatím ve vývoji," říká Katarína Orság, manažerka společnosti Internet Security Systems.

ZABEZPEČENÝ POČÍTAČ JE ZÁKLAD. Protože útoky na účty probíhají hlavně přes klientův počítač, je potřeba ho mít zabezpečený. Banky zatím pro osvětu klientů v oblasti bezpečnosti moc nedělají a většina uživatelů není internetovými odborníky. Přesto by měli dodržovat několik zásad, které zvýší zabezpečení jejich PC a sníží riziko zneužití uložených údajů (viz box Bezpečnostní zásady).

"Banky při využívání elektronického bankovnictví vystavují klienty vědomě nebezpečí, a navíc je na to často ani neupozorní. Naopak jim dávají podepsat, že jsou sami odpovědni za bezpečnost přístupu ke svému účtu," zlobí se počítačový expert Jiří Nápravník, který se zabývá bezpečností internetového bankovnictví a spolupracoval s policií při vyšetřování několika případů napadených bankovních účtů.

"Běžní uživatelé by měli přijmout jako samozřejmost, že na počítači mají mít nainstalovaný a aktualizovaný antivirový program, používat bezpečnostní bránu mezi počítačem a internetem (personální firewall), a pokud to neumí antivirový program, tak ještě používat program na vyhledávání a odstraňování spywaru," vysvětluje Nápravník.

KDE OVLÁDAT ÚČET ELEKTRONICKY. Pokud chcete ovládat účet elektronicky, měli byste si vybrat banku, která nabízí maximální zabezpečení. V tabulce Zabezpečení elektronického bankovnictví je vypsáno, jak banky chrání účty. Pokud vaše banka patří mezi méně bezpečné, existují dvě varianty - změnit banku nebo nechávat na účtu jen minimum peněz pro krytí běžných provozních nákladů a větší částky uložit jinam. Systém ochrany bankovních účtů se ale rychle zlepšuje. Ochranu nyní vylepšila Komerční banka, od října upraví elektronické bankovnictví i Česká spořitelna.

Bezpečnostní zásady

Klienti internetového bankovnictví by měli vždy dodržovat tato pravidla:

Při používání internetového bankovnictví postupovat důsledně podle pokynů banky.

Nešetřit na pořízení zabezpečovacích technologií, které banka nabízí.

Nikomu a žádným způsobem nesdělovat uživatelská hesla a jiné přístupové kódy k účtu (ani bance, ani e-mailem).

Nezapisovat si hesla a kódy tak, aby se k nim mohl někdo dostat nebo je přečíst. Třeba na papírek u monitoru.

Nepoužívat hesla, která je možné snadno odvodit - jména dětí nebo domácích mazlíčků, data narození apod.

Měnit hesla nejméně tak často, jak to banka doporučuje.

Používat aktualizované firewally a antivirové programy.

Soukromý klíč elektronického podpisu nebo certifikátu neukládat na pevný disk.

Vždy se z elektronického bankovnictví řádně odhlásit a zavřít okno prohlížeče.

Pokud možno nepřihlašovat se do banky v internetových kavárnách nebo na jiných místech, kde nemáte záruku zabezpečeného počítače.

Nestahovat podezřelé soubory a neotevírat podezřelé e-maily.