Možná ohrožení elektronického bankovnictví

Rozměr: px
Začít zobrazení ze stránky:

Download "Možná ohrožení elektronického bankovnictví"

Transkript

1 Bankovní institut vysoká škola Praha Možná ohrožení elektronického bankovnictví Bakalářská práce Jan Štěrba Duben 2014

2 Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod Možná ohrožení elektronického bankovnictví Bakalářská práce Autor: Jan Štěrba Informační technologie, SIS Vedoucí práce: Ing. Antonín Vogeltanz Praha Duben, 2014

3 Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Teplicích dne Jan Štěrba

4 Poděkování Touto cestou bych rád poděkoval mému vedoucímu práce panu Ing. Antonínu Vogeltanzovi za vedení této bakalářské práce. Velké díky patří také mým rodičům za obrovskou podporu při studiu. Děkuji.

5 Anotace Cílem této bakalářské práce je analyzovat moţnosti elektronického bankovnictví, uvést jeho výhody a nevýhody v podobě hrozeb, které s sebou elektronické bankovnictví přináší. Práci začínám stručnou charakteristikou elektronického bankovnictví a heslovitě uvádím, jaké výhody můţe jeho uţivateli přinést. Dále uţ se věnuji hlavní části práce, kde popisuji jednotlivé hrozby a bezpečnostní útoky na elektronické bankovnictví, které pak uzavírám obranou proti nim. V samotném závěru uvádím bezpečnostní prvky, které můţe uţivatel u jednotlivých bank vyuţít. Klíčová slova: elektronické bankovnictví, hrozby, phishing, pharming, DoS útoky, sociální inţenýrství, skimming. Annotation The aim of this bachelor s thesis is to analyze the possibilities provided by electronic banking and describe the advantages and disadvantages in the form of various threats that are connected to it. The thesis begins with brief characteristics of electronic banking along with the list of advantages that it can provide for its users. Then, I devote to the main part of thesis, where I describe the various security threats and security attacks against electronic banking, which then I am closing with defense against them. The last part of this thesis contains the description of security features available to clients of various banks. Key words: electronic banking, threats, phishing, pharming, DoS attacks, social engineering, skimming.

6 Obsah ÚVOD... 9 Zvolené metody zpracování Elektronické bankovnictví Hrozby elektronického bankovnictví Libanonská smyčka Skimming Magnetický prouţek Jak se dělá Skimming? Sociální inţenýrství, aneb řekněte si o heslo Phishing SMiShing Pharming Domain Name Server DNS Hosts soubor Co je to ten Pharming? Jak pomáhá hosts soubor farmaření Napadení serveru DNS Vishing Denial of Service (DoS) Druhy DoS Proč lidé dělají DoS? Záplavové útoky Záplava ICMP pakety Zacyklení pomocí sluţeb echo a chargen DoS s vyuţitím chyby Vyčerpání systémových prostředků

7 2.8.8 Distribuovaný DoS Distributed Reflection Denial of Service Trojské koně Moţné bezpečnostní útoky Phishingové útoky Četnost phishingových útoků dále stoupá Skimmingové útoky a manipulace bankomatů DoS útoky Březnový DDoS den po dni Obrana proti bezpečnostním útokům a incidentům Internetové bankovnictví a jeho nástrahy Přihlašovací údaje Obrana proti sociálnímu inţenýrství Nenechte se ulovit Odstřihnutí útočníka na drátě Kontrola hosts souboru Obrana proti DoS útokům Aktualizace Záplavová opatření Nechte Trojské koně před Trojou Placené antiviry Jde to i zadarmo Nenechte si oskimmovat kartu Vyhodnocení bezpečnostních prvků bank ze strany uţivatele Moţné bezpečnostní prvky Uţivatelské jméno a heslo Autorizační SMS

8 5.1.3 Osobní certifikát Elektronický bezpečnostní klíč Bankami nabízené bezpečnostní prvky Závěr Seznam pouţité literatury: Seznam obrázků, tabulek a pouţitých zkratek:

9 ÚVOD Elektronické bankovnictví se stalo běţnou součástí ţivota většiny z nás a přitom si často neuvědomujeme co nám vedle všech těch uţitečných věcí, kvůli kterým ho vyuţíváme, hrozí a na co bychom si měli dávat pozor. Proto cílem mé práce bude analyzovat moţnosti elektronického bankovnictví, uvést jeho výhody a nevýhody v podobě hrozeb, které s sebou elektronické bankovnictví přináší. Za osobní cíl si pak kladu práci koncipovat tak, aby byla co nejvíce srozumitelná i těm, kteří mají i minimum zkušeností s počítači, ale zároveň se tématu věnovat dostatečně podrobně a poskytnout tak komplexní pohled na téma, které se dotýká všech uţivatelů jakékoli formy elektronického bankovnictví. První kapitola se věnuje vymezení elektronického bankovnictví a poukazuje na výhody, které s sebou elektronické bankovnictví přináší. Informuje o nutnosti identifikace a autentizace uţivatele a upozorňuje i na to, ţe ne vţdy jsou jeho uţivatelé v bezpečí. Druhá kapitola je uţ věnována samotným hrozbám a tvoří hlavní část práce. Budu se snaţit podrobně a srozumitelně popsat jednotlivé hrozby, které uţivatele elektronického bankovnictví mohou postihnout a to nejen na internetu, ale i mimo něj. Konkrétní podobu některých z nich pak uvedu v třetí kapitole, která se věnuje samotným útokům, které vznikly v nedávné minulosti, které jsou stále aktuální a u kterých se předpokládá, ţe budou vznikat i nadále. Další, v pořadí jiţ čtvrtá kapitola by pak měla odpovědět na otázku, jakým způsobem se dá jednotlivým hrozbám bránit a upozornit čtenáře na to, ţe mnohé z hrozeb, se kterými se mohou setkat, se dá plně odstranit pouhou obezřetností a selským rozumem, coţ však závisí na informovanosti dané osoby o moţných ohroţeních elektronického bankovnictví. V závěrečné páté kapitole se pak budu věnovat konkrétním bezpečnostním prvkům bank, které můţe uţivatel vyuţít, přičemţ se pokusím vyhodnotit jejich bezpečnostní přínosnost uţivateli v závislosti na ceně, za kterou jsou tyto prvky nabízeny jednotlivými bankami a poskytnout tak čtenáři moţnost, udělat si svůj obrázek o tom, zda se mu takové zabezpečení vyplatí, nebo ne. 9

10 Zvolené metody zpracování Při zpracování této bakalářské práce jsem k řešení dané problematiky zvolil hlavně analýzu internetových zdrojů, ze kterých jsem se snaţil vybrat relevantní informace, coţ nebylo vţdy snadné, jelikoţ v některých oblastech se názory na danou problematiku dosti různí. Na tyto různorodé názory a mnohdy tedy i zavádějící informace, jsem narazil hlavně ve čtvrté kapitole, kdyţ jsem se zabýval obranou proti DoS útokům, kde obrané metody existují, ale samotná obrana je velice sloţitá a můţe se různit u kaţdé specifické situace. Celá kapitola pak pojednává o zapojení samotného uţivatele do, ve směs, preventivních opatření, která nejen ţe jsou pro uţivatele nesmírně uţitečná, důleţitá a hrozby redukující, ale jsou k dostání i v nízkonákladových provedeních. V kapitole třetí, která popisuje bezpečnostní útoky, které se v nedávné minulosti staly a která upozorňuje na to, ţe jsou pořád aktuální, jsem vyuţil hlavně zpravodajské zdroje, které o těchto útocích informovaly. Nevynechal jsem však ani samotné banky, které taktéţ upozorňovaly především na phishing a skimming, ať uţ z důvodu prevence, nebo kvůli aktuálně probíhajícím útokům mířeným přímo na danou banku. V poslední kapitole, která obsahuje vyhodnocení bezpečnostních prvků bank, jsem tak pro jistotu vsadil nejen na webové stránky bank, ale i na jejich konkrétní pracovníky, kteří byli ochotni podat informace o tom, jaké bezpečnostní prvky internetového bankovnictví nabízejí. Následné vyhodnocení jsem pak zaloţil na komparaci takto získaných dat. 10

11 1 Elektronické bankovnictví Nejkomfortnější formou přímého (elektronického) bankovnictví je komunikace prostřednictvím osobního počítače klienta, který se do příslušné banky napojuje přes internet. 1 Elektronické bankovnictví je relativně nová, avšak velice efektivní forma komunikace klienta s bankou. K takovéto komunikaci se vyuţívají moderní komunikační technologie, a ač si spousta lidí pod pojmem elektronické bankovnictví vybaví pouze internetové bankovnictví, není tomu tak. Elektronické bankovnictví spočívá v tom, ţe klient nemá přímý osobní kontakt s bankou, ale komunikuje s ní nejen přes internet, ale jakýmkoli komunikačním kanálem jako je GSM síť, ale i ATM terminál. Aby však bylo moţné navázat bezpečné spojení pro komunikaci, musí banka zajistit identifikaci klienta, aniţ by s ním byla v osobním kontaktu. K takovéto identifikaci je tedy potřeba nějaká metoda, pomocí které se klient vzdáleně bance autentizuje. Taková to metoda samozřejmě není jen jedna. Je jich více a některé banky dokonce poskytují několik autentizačních metod klientovi najednou a je pak na něm, které si zaktivuje a bude se jimi postupně autentizovat. Jak jsem jiţ avizoval, autentizačních metod je celá řada. Jsou to například certifikační ověření, autentizace pomocí SMS zprávy, PIN kódy nebo třeba elektronické podpisy. V dnešní době, kdy je komunikace díky internetu, mobilním telefonům, tabletům a dalším technologickým vychytávkám relativně snadná, je bankovnictví zase o něco jednodušší. Kaţdý jistě ocení, ţe nemusí kvůli kaţdé transakci, ať uţ je to koupě nové televize, postele nebo grafické karty do banky a papírově vyplňovat příkaz k úhradě, ale má moţnost odkudkoliv provést převod, dotázat se na zůstatek nebo se například podívat na výpis z účtu pomocí internetového bankovnictví, GSM bankingu nebo třeba Homebankingu. Takové metody přímého bankovnictví šetří nejen peníze, ale hlavně drahocenný čas. Se stále rychlejším rozvojem komunikačních technologií, musí společnosti, které tyto technologie vyuţívají, čelit nejrůznějším kybernetickým útokům, které nespočívají pouze v přímém napadení systému banky, ale z velké části sází na neobezřetnost, neinformovanost a někdy aţ hloupost lidí. 1 Přímé bankovnictví: Přímé (elektronické) bankovnictví. Finanční Vzdělavání [online] [cit ]. Dostupné z: 11

12 Jak uţ jsem zmiňoval, tak jednou z hlavních výhod elektronického bankovnictví je značná úspora času a nákladů a to nejen na straně klienta, ale i banky. Není to však jediná výhoda. Další velice příjemnou součástí elektronického bankovnictví je dostupnost komunikace s bankou, která je oproti osobnímu kontaktu s bankéřem oproštěna o otevírací dobu. Jinými slovy můţete pomocí některých forem elektronického bankovnictví, zejména toho internetového, provádět jakékoli operace na svém účtu 24 hodin denně / 7 dní v týdnu a po celý rok, ať uţ je víkend, Vánoce, Velikonoce nebo státní svátek. Jelikoţ to zní aţ příliš dobře asi uţ očekáváte nějaký háček a máte pravdu, nic není dokonalé a v našem světě plném podvodů si na několik věcí ohledně elektronického bankovnictví musíme dávat pozor a právě na to se zaměříme v několika příštích kapitolách. 12

13 2 Hrozby elektronického bankovnictví Pojmem hrozba označujeme možnost využitkovat zranitelné místo IS k útoku na něj ke způsobení škody na aktivech. 2 Přičemţ zranitelným místem nazýváme slabinu informačního systému (IS) vyuţitelnou ke způsobení škod nebo ztrát útokem na IS. 3 Podoba hrozeb elektronického bankovnictví je opravdu pestrá a útočníci nelení ve vymýšlení nových a nových způsobů, které by mohli elektronické bankovnictví ohrozit. V základu tyto hrozby můţeme rozdělit na ty, se kterými se můţeme setkat na internetu a mimo internet. Mimo internet se podíváme na techniku Libanonské smyčky a také se budeme zabývat skimmingem, dále se začneme přibliţovat k hrozbám panujícím na internetu v podobě Sociálního inţenýrství a technikám jako je velice známý phishing a pharming a jejich modifikované podoby. Po tom, co si řekneme několik slov o Vishingu se přesuneme k DoS útokům, u kterých vysvětlím, o co obecně útočníkům jde, čeho chtějí dosáhnout a dále se podíváme na některé konkrétní techniky a typy DoS útoků. Kapitolu zakončíme několika málo slovy o Trojských koních, kteří nejenţe napomáhají samotným DoS útokům, ale jsou přímo nebezpeční i pro samotného uţivatele, jehoţ počítač je trojským koněm infikován. 2 HANÁČEK, Petr a Jan STAUDEK. Bezpečnost informačních systémů: Metodická příručka zabezpečování produktů a systémů budovaných na bázi informačních technologií. Praha: Úřad pro státní informační systém, 2000, s. 13. ISBN Tamtéţ, s

14 2.1 Libanonská smyčka Tato hrozba se netýká internetového bankovnictví, netýká se důmyslného hackování do informačních systémů, ale přímo vaší platební karty a bankomatu, ze kterého si chcete vybrat peníze. Libanonská smyčka je totiţ technické zařízení, které útočník nepozorovaně umístí na štěrbinu ATM 4, kam se vkládají platební karty. Toto zařízení je konstruováno tak, aby ATM nebyl schopen kartu přijmout, ale ani navrátit. Karta se totiţ, díky pásce připevněné na plastovém zařízení připomínající ústí otvoru pro vkládání platebních karet do ATM, zasekne v podstatě na půli cesty a ATM ji pak není schopen jak zasunout dovnitř, tak ani vysunout zpátky k drţiteli karty. Obrázek 1: Libanonská smyčka Zdroj: V tuto chvíli přichází na scénu pachatel, který nejspíš libanonskou smyčku instaloval, či o ní minimálně ví a chce jí zneuţít ve svůj prospěch a oběť okrást. Udělá to tak, ţe vyuţije zmatenosti oběti z nefunkčnosti bankomatu, který si v tu chvíli nemůţe vybrat své peníze a zároveň mu ATM nechce, resp. nemůţe vrátit jeho platební kartu. Útočník tedy poradí oběti, aby zadala PIN s uklidněním, ţe je to běţné a po zadání pinu se ATM "rozběhne", ale samozřejmě je to jen podlý trik, který pachateli slouţí, buďto k osobnímu odpozorování PINu, případně si zadávání PINu nahraje předem připravenou kamerou, umístěnou také někde na 4 ATM zkratka anglického Automated Teller Machine je mezinárodním označením pro bankomat 14

15 bankomatu. Pokud oběť PIN zadá a útočníkovi se ho podaří vypozorovat, má na půl vyhráno. ATM samozřejmě dále nefunguje, jelikoţ je platební karta zachycena libanonskou smyčkou. Útočník tedy následně, dle své improvizace či připraveného plánu, oběti například řekne, aby šla chybu nahlásit do banky a ţe on ATM zatím pohlídá, aby ho nikdo nepouţíval. Ve chvíli, kdy oběť odejde a jelikoţ útočník jiţ zná PIN platební karty oběti, stačí mu, aby sám kartu získal k následnému pouţití. Kdyţ je tedy oběť z dohledu, sundává libanonskou smyčku z ATM a díky pásce, která kartu zachytila, vyndává spolu s libanonskou smyčkou i platební kartu, kterou vzhledem k tomu, ţe zná PIN kód, můţe zneuţít ve svůj prospěch a oběť konečně okrást Skimming Tato podvodná technika by se dala popsat několika slovy a to tak, ţe sbírá data z platební karty. Pro toho, kdo skimming uţ zná, jen si tuto techniku momentálně nedokázal s ničím určitým spojit, tomu tento, do jisté míry, překlad z angličtiny dosti pomohl. Pro Vás, kteří jste o skimmingu nikdy neslyšeli, nebo si pořád nejste jistí, o co se to vlastně jedná, mám dobrou zprávu, podíváme se na tuto, jíţ dlouhá léta pouţívanou a stále a stále vylepšovanou, techniku blíţe. 6 Oskimmování platební karty spočívá v tom, ţe se útočník snaţí nějakým způsobem dostat k platební kartě oběti a následně získat pomocí svého skimmovacího zařízení data z magnetického prouţku karty, kde jsou zaznamenány například informace o číslu karty, časové platnosti karty, jinými slovy do kdy karta platí, kdy expiruje. Dále se v záznamu rozlišuje, zda se jedná o kartu tuzemskou či mezinárodní, nebo další doplňující údaje jako je CVC či CVV bezpečnostní kód Magnetický proužek Magnetický prouţek platební karty je obdobou pásky uţívané v disketách nebo magnetofonových kazetách a v současné době je definován ISO normou, která však 5 SALMON, Michal. Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. Měšec.cz [online] [cit ]. Dostupné z: 6 KALAMÁR, Štěpán a Miroslav PETRÁK. Skimming jako jeden z druhů kybernetické kriminality. Kybernetická bezpečnost [online] [cit ]. Dostupné z: 15

16 bankovním platebním systémům nechává dostatek prostoru k tomu, aby definovaná pole pouţívala tak, jak potřebuje. Magnetický prouţek obsahuje tři záznamové stopy se specifickým účelem při čemţ: V roce 1969 Mezinárodní asociace leteckých dopravců IATA (International Air Transportation Association) definovala první stopu magnetického prouţku. Cílem bylo usnadnit automatické odbavení leteckých cestujících. První stopa obsahuje číslo karty (maximálně osmnáct číslic) a jméno klienta (maximálně dvacetšest alfanumerických znaků). Druhá stopa je nejvíce vyuţívaná v bankovnictví a slouţí pro online finanční transakce, ať uţ tuzemské či mezinárodní. Tata stopa byla vytvořena American Bankers Association (ABA) a obsahuje 40 numerických znaků včetně čísla karty (maximálně 19 číslic). Třetí stopu pak vyvinuly banky pro finanční transakce a od první a druhé stopy liší tím, ţe její záznam můţe být přepisován, kdyţto u dvou předchozích stop, byl záznam určen pouze pro čtení. Dle parametru, který byl na třetí stopě přítomen, bylo moţné verifikovat PIN-kód. Informace jako je PIN-kód, finanční limit nebo kód země byly zaznamenány pomocí sto sedmi numerických znaků. Abychom měli nějakou představu o tom, jak mohou vypadat data přečtená z magnetického prouţku, ukáţeme si praktický příklad, který díky platební kartě VISA Electron od dnes jiţ neexistujícího účtu České Spořitelny není cenzurovaný. Přečtená data: Tabulka 1: Data v magnetickém proužku Stopy 1, 2 a 3 1. Stopa %B ^NOVOTNY/ZDENEK.MR ^ ?; 2. Stopa = ?+ 3. Stopa = = ==1= ? Zdroj: 16

17 A co to všechno znamená? Následuje legenda, která popisuje, co jednotlivé části stop znamenají. Stopa 1: Tabulka 2: Význam údajů v magnetickém proužku - Stopa 1 % Začátek stopy B Formát (pro platební karty "B") Základní číslo karty (natištěno i na kartě) ^ Oddělovač NOVOTNY/ZDENEK.MR Majitel karty, titul ^ Oddělovač 0212 Datum platnosti (12/2002) 521 Servisní kód VISA Electron 1 PVKI: Indikátor čísla PIN 6526 PVV: PIN (viz poznámka) Zdroj: Stopa 2: Tabulka 3: Význam údajů v magnetickém proužku - Stopa Základní číslo karty (natištěno i na kartě) = Oddělovač 0212 Datum platnosti (12/2002) 521 VISA Electron 1 PVKI: Indikátor čísla PIN 6526 PVV: PIN 191 CVV: Ověřovací kód karty 20 Rozšiřující data? Konec stopy Zdroj: Stopa 3: Tabulka 4: Význam údajů v magnetickém proužku - Stopa 3 01 Formát Základní číslo karty (natištěno i na kartě) = Oddělovač 203 Země 17

18 000 Kód měny 0 Exponent měny 2000 Částka schválená na cyklus 0000 Zbývající částka tohoto cyklu 0305 Zahájení cyklu (den) 01 Délka cyklu (dnů) 2 Počet opakování Kontrolní parametr PIN 1 Interchange control 00 PAN - servisní omezení 2000 FSAN - servisní omezení 0212 Datum platnosti (12/2002) 2 Pořadové číslo karty vydané k účtu = Oddělovač Primární číslo účtu = Oddělovač Sekundární číslo účtu (není) = Oddělovač 1 Relay marker = Oddělovač Šifrovací kontrolní data Výplň? Konec stopy Zdroj: PVV (PIN Verification Value): Tato hodnota uvedená shodně na první i druhé stopě není přímo číslo PIN, které je zadáváno například při výběru hotovosti. Tato hodnota vznikne výběrem číslic menších než 9 z výsledku procesu zakódování otevřeného hesla PIN pomocí dvojice klíčů při vícenásobném průchodu algoritmem DES (Decrypt-Encrypt-Standard). Neexistuje algoritmus, který by mohl odhalit ze znalosti tohoto údaje uvedeného na kartě výchozí PIN asociovaný s kartou. 7 7 Karty s magnetickým pruhem. Pandatron.cz [online] [cit ]. Dostupné z: 18

19 2.2.2 Jak se dělá Skimming? Skimming dat z platebních karet se ve světě těší velké oblibě a to nejen díky tomu, ţe zejména v USA se pořád pouţívají ve velkém platební karty chráněné pouze magnetickým prouţkem, ale i díky jednoduchému pořízení skimmovacího zařízení, které si útočník nemusí doma tajně vyrábět, ale má moţnost si ho koupit v obchodě a vzhledem k výdělkům, kterých touto podvodnou technikou můţe dosáhnout je pořizovací cena zařízení zanedbatelná. 8 Potenciální oběti mající svou platební kartu vybavenou pouze magnetickým prouţkem, mohou být skimmingem ohroţeni prakticky kdekoli, kde pouţijí svou platební kartu, ať uţ je to k zaplacení nákupu v jejich oblíbeném supermarketu, večeře s rodinou, nebo třeba při Obrázek 2: Čtečka magnetických karet zdroj: výběru z bankomatu. Platební karty s magnetickými prouţky se hojně pouţívají v USA, kde přechod na tzv. Chip and PIN technologii je pro tamní společnosti a hlavně banky finančně natolik náročná, ţe k plošné výměně, nejen všech platebních karet, ale i terminálů v obchodech, na benzínových pumpách, nemluvě o všech bankomatech a obecně všude, kde se dá pouţít platební karta, prozatím nedochází. 9 8 SALMON, Michal. Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. Měšec.cz [online] [cit ]. Dostupné z: 9 HRADECKÝ, Michal. Skimming In: Padělání peněz a skimming [online] [cit ]. Dostupné z: 19

20 To však neplatí o České republice, kde naopak veškeré platební karty Chip and PIN technologii jiţ zavedenou mají. Tato technologie je dalším stupněm zabezpečení v oblasti platebních karet. Zde se dostáváme k dalšímu rozdělení, na karty elektronické a embosované. Elektronické karty jsou vyuţitelné pouze u obchodníků, kteří mají elektronický online terminál, a u tohoto typu karty je tedy vyţadováno online ověření transakce. Pomocí karet embosovaných můţeme platit stejně jako kartami elektronickými, avšak navíc na sobě mají reliéfně vytištěné údaje, které jsou potřebné pro offline transakce, tedy pro pouţití u obchodníků, kteří mají pouze imprinter a nemají online terminál, těch je však v ČR jiţ jen málo.vzhledem k tomu, ţe skimming se v ČR zaměřuje hlavně na bankomaty, které ve sto procentech případů PIN k pouţití platební karty vyţadují, útočníci museli skimming posunout na novou úroveň a vymyslet, jak PIN, který není uloţen na magnetickém prouţku karty, a oskimmováním karty ho tedy znát nebudou, získat a v této podvodné technice pokračovat.na obrázku č. 3 vidíme, jak můţe vypadat nástavec na skimmovací zařízení Obrázek 3: Skimmovací nástavec na bankomat Zdroj: pouţitelné na bankomatu, které se nasazuje přímo na štěrbinu pro vloţení platební karty. Jak sami můţete vidět, zařízení vizuálně působí jako běţná část bankomatu a pro oběť je jen těţko rozeznatelné, ţe jde o podvodné zařízení, které má za úkol přečíst data z magnetického prouţku její platební karty. Jak jsem jiţ uvedl, bankomaty v ČR vyţadují pro přístup k účtu pomocí platební karty kód PIN, a jelikoţ ho útočník oskimmováním platební karty nezíská, musí ho zjistit jinak. V praxi se můţeme setkat s jednoduchými technikami, jako je vypozorování PINu osobně útočníkem, od kterých však útočníci odstoupili, jelikoţ je to pro ně riziko a raději volí 20

21 techniky, u kterých jsou méně nápadní, nebo ideáně PIN zjišťují vzdáleně a osobně nejsou přítomni vůbec. 10 V ČR se tedy můţeme běţně setkat s případy, kdy je skimming na takové úrovni, ţe útočník všechna data získá tzv. z pohodlí domova. Skimmovací zařízení má doplněno o velice kvalitně vyrobený nástavec, který jak tvarově, tak barevně odpovídá komponentě bankomatu a pro získání PINu pak pouţije například mini kameru nebo třeba i termovizuální kameru, kterou taktéţ umístí na bankomat. Vyskytují se dokonce případy, kdy útočník Obrázek 4: Podvodný PIN pad Zdroj: https://www.europol.europa.eu/sites/default/files/images/card_skimming_02.preview.jpg nainstaloval na bankomat vizuálně podobný, či aţ identický PIN-pad 11, který umístil nad originální a který je velice špatně zjistitelný i pro obezřetné uţivatele. Falešný PIN-pad je zkonstruován tak, aby stále fungoval i PIN-pad pravý. Při zmáčknutí tlačítka falešného PIN-padu se tlačítko promáčkne aţ na pravý PIN-pad a bankomat tedy funguje bezproblémově a nic netušící oběti tak odevzdávají své ověřovací přístupové kódy (PINy) do rukou útočníků. Podvodný PIN pad můţeme vidět na obrázku č KALAMÁR, Štěpán a Miroslav PETRÁK. Skimming jako jeden z druhů kybernetické kriminality. Kybernetická bezpečnost [online] [cit ]. Dostupné z: 11 PIN pad je klávesnice bankomatu, pomocí které uţivatel zadává přístupový kód (PIN kód) 21

22 Také jsem zmínil způsob odsledování PINu miniaturní kamerou, coţ můţeme vidět na obrázku č. 5, u které je vše asi jasné. Je to obyčejná kamera, pomocí které můţe útočník Obrázek 5: Kamera na zmanipulovaném bankomatu Zdroj: vzdáleně sledovat zadávání PINu své oběti, která je však prostě miniaturizována do, na první pohled, neviditelných rozměrů. Zmínil jsem však také termokameru, pomocí které má útočník moţnost vidět, co jeho oběť na PIN-padu namačkala i v případě, ţe si velmi pečlivě PIN-pad kryje, ať uţ rukou, peněţenkou, nebo čímkoli jiným, co má momentálně po ruce a pomáhá mu to zakrýt stisk tlačítek PIN-padu. Termokamera totiţ zachycuje tepelnou stopu a to aţ 40 sekund po stisku, coţ je pro útočníka v případě zakrytí výhledu na PIN-pad velice výhodné, jelikoţ moţnost útoku pomocí termovize si uvědomuje jen málokterá oběť a tedy téměř nikdo nebude vědomě aplikovat taková opatření, která by moţnost odsledování termokamerou znemoţnila. Ve skutečnosti člověk PIN-pad přestane krýt ve chvíli, kdy PIN namačká, v tu chvíli uţ termokamera má výhled na PIN-pad, a zobrazí tepelnou stopu na klávesách, které oběť zmáčkla. Teď jistě můţete namítnout, ţe PIN je několika místný, obvykle čtyř a ţe útočník nezná kombinaci, ve které má PIN pouţít. Není to úplně pravda, jelikoţ při chladnutí 22

23 tepelné stopy se dá do jisté míry odhadnout, jak oběť klávesy mačkala za sebou. 12 To můţeme vidět na obrázku č. 6. Důleţitou a pro útočníky dnes uţ nepostradatelnou součástí skimmingu je, ţe data z oskimmované platební karty a údaje o PINu, ať uţ získaná pomocí falešného PIN-padu, miniaturní obyčejné nebo i termovizuální kamery, jsou nejen zaznamenána, ale rovnou i online posílána útočníkovi, coţ mu zajištuje nejen to, ţe se na místo činu jiţ nemusí vracet, ale můţe být na druhém konci světa, kde svůj skimmovací podvod dokončí. Nejčastěji je však za skimmingem organizovaná skupina a tedy útočník, který skimmovací sadu zařízení v blízkosti či přímo na bankomatu instaloval, zpravidla není útočníkem, který i kartu pouţije k výběru peněz, ale spíše tím, kdo zařízení zase sundá a pouţije jinde tak, aby bylo obtíţnější zařízení odhalit. Obrázek 6: Získání PINu termokamerou zdroj: Kdyţ uţ jsme si pověděli o nejrůznějších vychytávkách a metodách, které útočníci pouţívají ke skimmingu, můţeme tuto podvodnou metodu uzavřít tím, jak vlastně útočník nakonec získá to, o co mu celou dobu jde, peníze. Jak uţ z výše uvedeného textu vyplývá, útočník dokáţe získat údaje o platební kartě a dokáţe získat i PIN, aby však toho mohl nyní vyuţít ve svůj prospěch, potřebuje tato data přenést. K tomuto účelu si vyrobí svou platební kartu, na kterou nahraje získané údaje a se znalostí PINu si uţ kráčí k bankomatu, třeba i na druhém konci světa, kde si peníze vybere. 12 KALAMÁR, Štěpán a Miroslav PETRÁK. Skimming jako jeden z druhů kybernetické kriminality. Kybernetická bezpečnost [online] [cit ]. Dostupné z: 23

24 2.3 Sociální inženýrství, aneb řekněte si o heslo Sociotechnika je ovlivňování a přesvědčovaní lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný využit lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby získal hledané informace. 13 Sociální inţenýrství je dnes jedním z nejpopulárnějších a zároveň nejúčinnějších typů útoku, kdy hackeři zneuţívají našich chyb v uvaţování, nedokonalostí lidské psychiky, lidských vlastností jako je důvěra a zvědavost, a snaţí se tak dosáhnout úspěchu. Oblíbené je hlavně takzvané sociální inţenýrství. Útočník totiţ nemusí získávat citlivé informace a vnikat do zabezpečených systému pomocí nejrůznějších hackerských metod, nemusí být programátorským guru, stačí mu se nebát, mít kuráţ, působit důvěryhodně a o přístupová hesla, přihlašovací jména a jiné citlivé informace si prostě a jednoduše říct. K provedení pouţívají útočníci y, telefonní hovory, SMS zprávy, sociální sítě, webové stránky firem či osobní webové stránky jejich zaměstnanců, či jakékoli jiné metody, které jim umoţní komunikací či vypozorováním získat citlivé údaje. 14 V dnešní době, kdy jsou sociální sítě a zejména tedy Facebook obrovským boomem, kdy účet na sociální síti má více jak miliarda lidí, jsou sociální sítě, díky neobezřetnosti jejich uţivatelů doslova rájem Sociálních inţenýrů. Kaţdý den jsme tak na sociálních sítích svědky milionů kliknutí na podvrţená a zavirovaná videa lákající na nahé fotky známých hereček, na zaručené rady o tom, jak zhubnout za jeden týden 10 kg nebo jak rodiče 20 let den co den fotili svého potomka. Určitě to některé lidi naláká a teď bychom mohli potenciální oběti rozdělit do tří skupin: Znalí uţivatelé, kteří si opravdu při pohybu na internetu dávají pozor a jsou obezřetní. Uţivatelé, kteří jsou sice znalí a ví, ţe jim můţe něco hrozit, avšak to ignorují, často s myšlenkami mě se to přeci stát nemůţe. Nakonec tu máme uţivatele, kteří jsou v oblasti hrozeb na internetu naprosto neznalí a o hrozbách na internetu netuší. 13 MITNICK, Kevin. Umění klamu. Vyd. 1. Gliwice: Helion, 2003, s. 2. ISBN ERBEN, Lukáš. Příchod hackerů: Kevin Mitnick, Stanley Mark Rifkin a sociální inţenýrství. Root.cz [online] [cit ]. Dostupné z: 24

25 Pro druhou a třetí skupinu uţivatelů jsou pak takové podvrhy velice nebezpečné, jelikoţ si svou neznalostí či ignorací a neopatrností během pár minut mohou zavirovat počítač. Hackeři také vyuţívají sociální sítě proto, ţe jejich uţivatelé jsou obklopeni svými přáteli a v domnění, ţe jim od nich nic nehrozí, kliknou na jakékoli video či odkaz, který jim pošlou. Hackeři toto vědí a zdatně toho vyuţívají ve svůj prospěch, nabourávají se do účtů a rozeslání podvodné odkazy ať uţ je to na zavirovanou webovou stránku či aplikaci se škodlivým kódem. Neuvedením si na profilu sociální sítě citlivé informace jako je telefonní číslo, či adresa, se značně sniţuje riziko, ţe Vás zasáhnou některé níţe popsané hrozby Phishing Původ tohoto označení má kořeny v anglickém slově fishing, značícím rybaření, což je více než výstižné, protože jeho podstatou je nachytávání počítačových uživatelů na falešné y, podobně jako se chytají ryby na lákavou návnadu. 16 Pro pochopení následujícího ohroţení, Phishingu, coţ je asi nejznámější podvodná technika související s elektronickým bankovnictvím, je třeba vysvětlit několik pojmů, které bychom si s phisingem mohli plést. Většina lidí, která přišla do styku s počítačovou technikou a hlavně tedy s internetem, uţ nejspíše slyšela i o phishingu. Pro vysvětlení a hlubšího ponoření do phishingu si nejdříve řekneme, co phishing není, aby následující phishingová fakta nebyla zavádějící a nepřipisovali bychom na vrub elektronického bankovnictví, vedle jeho mnoha výhod, i nevýhody, které s ním nesouvisí. To však neznamená, ţe nejsou nebezpečné a nemusí nás tedy zajímat, ba naopak musíme si na ně dávat velký pozor! Scam typu Nigerian 419 Tento spamm se snaţí oběť podvést tak, ţe pomocí faxu, dopisu či u (v případě u by se dal zaměnit za phishing, ale není tomu tak) ji vyzývá k darování peněţitého obnosu s příslibem návratu mnohonásobně vyšší sumy. Jelikoţ je tato podvodná technika vyuţívána uţ od 80. let, je logické, ţe prošla nějakým vývojem a od faxů a dopisů se posunula k efektivnějšímu způsobu kontaktování lidí za účelem podvodu a to 15 HAVLOVÁ, Alţběta. Sociální inţenýrství aneb nástrahy Facebooku. Český rozhlas [online] [cit ]. Dostupné z: 16 Rhybaření střídá pharming. BITTO, Ondřej. Lupa.cz [online] [cit ]. Dostupné z: 25

26 em. V průběhu let se posunula aţ k formě, kde oběti vyzývá k navštívení, v u zmíněné, země, kde se pak oběť stala rukojmím a byla propuštěna aţ po výplatě vysokého výkupného. Některé zdroje dokonce uvádí, ţe nejedna z obětí, které výkupné nezaplatili, byli zavraţděni. Podvodná internetová aukce Za 64% internetových podvodů můţe tento scam, podvodníci dostali moţnost růstu s narůstající popularitou online aukcí jako je například e-bay nebo aukro. 17 Většinou podvodníci jednají tak, ţe nabízejí zboţí za velmi nízkou cenu, coţ přitáhne spoustu lidí, kteří díky své neopatrnosti a tím, ţe nedají na své pochyby o příliš nízké ceně, se stanou oběťmi podvodu. Po zaplacení částky předem na účet podvodníka, pak oběti samozřejmě zboţí nepřijde, v případě jiné formy platby podvodník objednávku zruší, nebo pošle jinou, úhledně zabalenou avšak bezcennou věc. To však není tak časté, jelikoţ nejdřív musí podvodník zaplatit určitou sumu za poštovné, balné a ještě ho to stojí čas. 18 Některé prvky tohoto scamu, jako třeba klamná sdělení, jsou společná s phishingem. Další prvky jako prodej kradeného zboţí, však s phishingem nemají nic společného a proto tyto podvody za phishing označovány nejsou. 4 Jak jsem jiţ naznačil, téměř všichni lidé, pouţívající internet jiţ ví, ţe phishing existuje, něco o něm slyšeli, moţná i četli, někteří se s podvodnou technikou setkali a někteří i moţná phisherům (jak se lidem, kteří podvodnou techniku - phishing pouţívají, říká a kterou si v několika příštích odstavcích popíšeme) na jejich podvod naletěli. Pokusím se tedy vysvětlit co phishing je, jak ho poznat, na co si dávat pozor a ve čtvrté kapitole si pak i povíme, jak se proti této a dalším podvodným technikám bránit. Ti co se jiţ s phishingem setkali jistě alespoň částečně tuší, jak se elektronického bankovnictví dotýká a není pro ně zde tedy tento pojem překvapením. Pro Vás ostatní, kteří jste se s phishingem prozatím nesetkali a tedy ani netušíte jak velká je to hrozba, se Vám ji pokusím vysvětlit od základu. 17 JAMES, Lance. Phishing bez záhad. 1. vyd. Praha: Grada, 2007, Co není phish, Scam typu Nigerian, Podvodná internetová aukce. ISBN VYLEŤAL, Martin. Inzertní a aukční weby bojují proti podvodným nabídkám, předcházet jim ale zatím neumí. Lupa.cz [online] [cit ]. Dostupné z: 26

27 Phishing, o kterém můţeme slyšet také jako cardingu nebo brand spoofingu 19, má mnoho definic a my si jednu z nich určitě uvedeme, ale co bude pro nás důleţitější, je ţe si ho definujeme jeho popisem, coţ je pro uţivatele, dle mého názoru, mnohem cennější, jelikoţ tím pochopí, jak phishing funguje a následně bude i schopen logicky odvodit, jaká je základní obrana proti této podvodné technice, namísto toho, aby si přečetl i třeba tu nejlepší definici, která existuje a kterou však do druhého dne zapomene. Slovem PHISHING označujeme podvodné ové útoky na uživatele Internetu, jejichž cílem je vylákat důvěrné informace. 20 Phishing obvykle začne tak, ţe potencionální oběť dostane ovou zprávu, která se tváří jako zpráva z banky. Pokud máte své účty otevřené u jiné banky, neţ je uvedena v e- mailu, zřejmě ho nebude řešit, protoţe Vám hned bude jasné, ţe je to buď podvod, nebo si budete myslet, ţe se stala někde chyba a není určen Vám. V případě, ţe u banky, na jejíţ klienty je cílen phishingový útok, otevřený jakýkoli účet máte a navíc máte aktivní internetové bankovnictví, prostřednictvím kterého se Vás phisheři snaţí okrást, můţe takový , pro neznalého a phishingem neposkvrněného uţivatele, na první pohled vypadat důvěryhodně a oběť si tedy můţe myslet, ţe opravdu pochází z banky. Ve phishingových ech však phisheři oběť vyzývají k zadání citlivých údajů, jako je unikátní přihlašovací jméno a k němu přiřazené heslo oběti, která účet vlastní. Takové údaje však po Vás banka nikdy chtít nebude! Phishingová zpráva, kterou můţete vidět na obrázku č. 7, dále obvykle obsahuje odkaz na podvodně vytvořenou webovou stránku, na kterou jsou oběti phishingového u směřovány a vyzývány k zadání zmíněných citlivých údajů. Jak si můţete všimnout, překlad do češtiny dělal v tomto případě phisherům problémy a pokud si zprávu přečteme a neklikneme rovnou bezmyšlenkovitě na odkaz Obnovit se Ted, dojde nám, ţe zprávu rozhodně nepsal ani podprůměrně nadaný pracovník banky. Existují však i případy, kdy i v češtině vypadají y opravdu důvěryhodně, tentokrát se pouţitá čeština phisherům moc nepovedla a o důvěryhodnosti takového u se snad nedá hovořit ani při letmém 19 JAMES, Lance. Phishing bez záhad. 1. vyd. Praha: Grada, 2007, Co je to phishing?. ISBN Co je to phishing. Hoax [online] [cit ]. Dostupné z: 27

28 prvním pohledu. Obrázek 7: Phishingový Zdroj: Abychom si tedy popsali, co by se dělo po kliknutí na jiţ výše zmíněný odkaz Obnovit se Ted, budeme předpokládat, ţe je pro nás ová zpráva pořád důvěryhodná. Po kliknutí na odkaz budeme přesměrováni na podvodnou www stránku, kterou můţete vidět na obrázku č. 8 a kterou si později popíšeme a naučíme se je rozeznávat od těch pravých, nepodvodních, bankovních stránek. Podvodná stránka, na kterou budeme po kliknutí na odkaz přesměrováni, zabezpečena není, ba naopak, při zadání vašich citlivých údajů, nejčastěji přihlašovací jméno a heslo, se data odešlou phisherům. Ti se pak mohou, pokud nemáte aktivní další úroveň zabezpečení, nejčastěji certifikát, či sms zprávu s unikátně vygenerovaným dalším přístupovým kódem, který je při kaţdém přihlášení jiný a má omezenou časovou platnost, přihlásit do Vašeho internetového bankovnictví, kde nejenţe získávají další citlivé údaje, ale je to pro ně i prvním krokem k vytunelování Vašeho účtu. 28

29 Phisheři v tuto chvíli obvykle na peníze ještě nedosáhnou, jelikoţ k peněţité transakci je v drtivé většině aplikací internetového bankovnictví potřeba další ověření, ke kterému prozatím phisheři přístup nemají, avšak i ten dokáţí získat. Nyní si však povíme o dalších hrozbách elektronického bankovnictví, které povětšinou také mají za cíl od uţivatelů získat citlivé údaje, avšak k tomu vyuţívají jiné technické prostředky či metody, jimiţ se snaţí podvést uţivatele. 21 Obrázek 8: Phishingová webová stránka Zdroj: 21 Co je to phishing. Hoax [online] [cit ]. Dostupné z: 29

30 2.5 SMiShing Slovo SMiShing je sloţeninou anglické zkratky pro SMS a anglického slova phishing. Jak uţ název tedy napovídá, tato hrozba bude kombinovat phishing a SMS zprávy. Konkrétně se tedy jedná o to, ţe hackeři pouţijí phishingovou metodu podvodu, která je výše popsána, avšak pro šíření nevyuţijí , ale SMS zprávy. Jelikoţ je posílání textových zpráv po hlasových hovorech nejčastější typem komunikace skrz mobilní telefon, jsou pro hackery SMS zprávy ideální příleţitostí, jak podvést uţivatele. Kaţdý den se po celém světě pošlou miliardy SMS zpráv, při čemţ více a více z nich je klasifikováno jako spam nebo phishingový útok. Zpráva z Pew Internet and American Life Project tvrdí, ţe 73 procent dospělých Američanů v průměru odešle a přijme skrz mobilní telefon 41,5 zprávy denně. Tento průměr velice zvedají lidé ve věku let, u kterých je, jak můţete vidět na obrázku č. 9, průměr Obrázek 9: Počet odeslaných a přijatých sms zpráv denně Zdroj: odeslaných a přijmutých SMS zpráv 110 za den. Uţivatelé jsou obvykle zvyklí na podezřelé zprávy a bezpečnostní hrozby při práci na počítačích, proto na nich často mívají bezpečnostní software za účelem detekce škodlivého softwaru a prevenci útoků a jsou i celkově 30

31 obezřetnější. Méně z nich si však uvědomuje, ţe malware a phishingové útoky jsou problémem i pro mobilní zařízení. Jelikoţ jsou lidé zvyklí na příjem textových zpráv a jsou často v domnění, ţe skrz mobilní telefon jim ţádná nebezpečí nehrozí, hackeři toho zdatně vyuţívají. Pokud je totiţ oběť neobezřetná a nepřemýšlí nad hrozbami, které mohou z jejího jednání plynout, jsou pro hackery ideálními zákazníky, kteří pak často smishingové zprávě podlehnou, na odkaz kliknou a v klidu udělají to, co po nich útočník ţádá. Dále uţ je scénář stejný jako u phishingu, útočník se snaţí získat citlivé údaje a oběť okrást Pharming Stejně jako jsme si v minulé kapitole z důvodů moţné záměny ne-phishingových technik s těmi phishingovými vysvětlili některé pojmy, zde si stručně charakterizujeme a vysvětlíme základní princip fungování DNS (Domain Name Server) a řekneme si, co je to hosts soubor, avšak ne z důvodu zaměnitelnosti tohoto pojmu s pharmingem, ale proto, ţe je to nutné k pochopení této podvodné techniky Domain Name Server DNS Pro pochopení definice tohoto pojmu bychom si nejdříve museli vysvětlit, jak se pracuje s dvojkovou soustavou, co je to IP adresa a jakým protokolem je vyuţívána, coţ je to pro toto téma irelevantní, a my definici můţeme obejít popisem fungování. Pro začátek si řekneme, ţe DNS překládá IP adresu domény na název. To běţnému uţivateli asi moc neřekne a tato věta pro něj nebude zrovna smysluplná, ale nechci Vás pojmem IP adresa, který patří spíše do jiné práce, nijak zvlášť zatěţovat, a proto tento pojem budeme vnímat pouze jako čtyři čísla oddělená tečkou například Takováto čtyři čísla pod sebou skrývá kaţdá webová stránka. Vzhledem k tomu, ţe je takové číslo špatně zapamatovatelné člověku, vytvořil se systém DNS, který toto číslo přeloţí na název, v tomto konkrétním případě IP adresa domény odpovídá názvu seznam.cz, který si téměř kaţdý zapamatuje mnohem snáz, neţ výše zmíněné číslo (IP adresu). 22 BRADLEY, Tony. 'Smishing' Attacks Are on the Rise. PCWorld [online] [cit ]. Dostupné z: 23 Odborně IP adresa rozhraní či přeneseně IP adresa počítače. 31

32 Ohledně serverů na kterých běţí systém DNS je potřeba říct, ţe poţadavky, které jsou kladeny na jejich zabezpečení, míří opravdu vysoko a tyto servery jsou tedy velice dobře zabezpečeny, aby se pokud moţno zamezilo veškerým hackerským útokům. Tyto servery totiţ nesou databázi, v níţ jsou zaznamenány IP adresy domén a k nim příslušný název tak, abychom místo mohli do webového prohlíţeče napsat seznam.cz Hosts soubor Soubor hosts slouţí k rychlejšímu vyhledávání a překladu IP adresy domény na název. Pokud máte v souboru hosts IP adresu a k ní přiřazený název, nebude se IP adresa zadávaného názvu do webového prohlíţeče vyhledávat na DNS serveru, ale pouţije se ta, která je zapsána v souboru hosts. To se dá vyuţít k zablokování určitého webu, přesměrování jinam, ale také to má výhodu rychlosti jelikoţ web nevyhledáváte na vzdálením DNS serveru v internetu a máte překlad IP adresy na jmennou adresu ve svém počítači. Moţnost nastavení zablokování či přesměrování určitého webu je pro nás výhodou a jistým stupněm ochrany. Pokud například víme, ţe stránka je plná virů, můţeme ji v hosts souboru zablokovat tak, ţe jí přiřadíme IP adresu localhostu, tedy lokální IP adresu našeho počítače, která je vţdy a kterou ţádná webová doména mít nemůţe. Co se týče přesměrování jinam, například na naši vytvořenou stránku na které bude například napsáno: Tato stránka je zablokována, jelikoţ je plná virů! dosáhneme úplně stejně, ale místo IP adresy localhostu tedy místo zadáme IP adresu naší stránky, kterou můţeme zjistit například v příkazovém řádku pomocí příkazu ping nebo nslookup. 24 Soubor hosts lze v operačním systému Windows nalézt v C:\%WINDIR%\system32\drivers\etc, kde %WINDIR% je instalační adresář Windows. Hosts můţe obsahovat například tyto údaje: Tabulka 5: Příklad obsahu hosts souboru IP Adresa Jmenný název Popis localhost Adresa Vašeho počítače servis24.cz Adresa internetového bankovnictví české spořitelny Zdroj: Vlastní tvorba 24 HOSTS soubor. In: Zajímavosti [online] [cit ]. Dostupné z: 32

33 Bohuţel a jak uţ to tak bývá, má zapisování do hosts souboru i stinné stránky. Hacker, který by se nám dostal do počítače, můţe stejně jako my soubor hosts upravit a přesměrovat nás na svou podvodnou stránku a právě tuto metodu si rozebereme ve pharmingu Co je to ten Pharming? Jelikoţ s rostoucí informovaností potenciálních obětí přestal phishing dosahovat takových úspěchů, vymysleli hackeři další podvodnou techniku, která je pro oběti mnohem nebezpečnější, protoţe je sofistikovanější a hůře odhalitelná. 25 Stejně jako u phishingu si hacker vytvoří podvodnou stránku například pro internetové bankovnictví české spořitelny, a cílí na to, aby oběť na této podvodné stránce zadala své citlivé údaje. Asi se teď ptáte, v čem se tedy ten pharming liší od jiţ výše popsaného phishingu. Rozdíl je v metodě, pomocí které hacker dosahuje, chcete-li, láká oběti, aby zadali své citlivé údaje 26. V případě pharmingu nemají podvodné metody nic společného se spammování ů vypadajících jako y z banky, hackeři v tomto případě vyuţívají mnohem méně okatý způsob, který si popíšeme v několika následujících odstavcích. Kdyţ uţ má hacker vytvořenou a umístěnou podvodnou stránku, na nějakém serveru například pod IP adresou a je tato stránka vzhledově identická s webovou stránkou, na níţ je cílen útok, můţe hacker přistoupit k druhému kroku přesměrovat uţivatele na jím vytvořenou podvodnou stránku tak, aby si oběť myslela, ţe je na té správné. Toho můţe dosáhnout v zásadě dvěma způsoby. Jednak lokální modifikací souboru hosts a druhou moţností je značně efektivnější, avšak mnohem náročnější způsob a tím je napadení DNS serveru. 27 Popíšeme si obě metody a začneme s lokálním napadením hosts souboru Jak pomáhá hosts soubor farmaření První metodou farmaření, jak se pharming do češtiny někdy překládá, je lokální modifikace hosts souboru hackerem. Kdyţ jsme si definovali co je to hosts soubor, co 25 BITTO, Ondřej. Rhybaření střídá pharming. Lupa.cz [online] [cit ]. Dostupné z: 26 Stejně jakou u phishingu je to obvykle přihlašovací jméno a heslo k účtu internetového bankovnictví. 27 BEDNÁŘ, Vojtěch. Pharming je zpět a silnější. Lupa.cz [online] [cit ]. Dostupné z: viewvote 33

34 obsahuje a k čemu se dá vyuţít, mluvili jsme hlavně o věcech nám prospěšných, které můţeme vyuţít ke své ochraně. Teď se však zaměříme na jiţ avizovanou stinnou stránku věci, při které hacker infikuje náš počítač škodlivým softwarem, například trojským koněm, který bude mít za úkol změnit host soubor tak, aby nás přesměroval například ze stránky našeho internetového bankovnictví na jeho podvodnou stránku, aniţ bychom si toho byli vědomi. Popsal jsem metodu, pomocí které můţeme přesměrovat stránku, o které víme, ţe je například zavirována. Prostě zapíšeme jmenný název domény k IP adrese, která danému názvu nepřísluší a ze které nám nehrozí ţádné nebezpečí. Tuto metodu však můţe pouţít i hacker, a jelikoţ nebo webová stránka přepisovat hosts soubor neumí, hacker pouţije škodlivý kód, který náš počítač napadne a hosts soubor přepíše. Takovýto škodlivý kód můţe být součástí přílohy u, aplikace nebo ho oběť například stáhne z webu na základě podvodné zprávy. 28 Přepisování hosts souboru je tedy nutné udělat lokálně na kaţdém počítači, jehoţ uţivatel by se později mohl stát obětí. Tuto nevýhodu odstraňuje druhá metoda, kterou hackeři mohou vyuţít k pharmingu. Tato metoda spočívá v napadení samotného DNS serveru, coţ je naštěstí mnohem obtíţnější, bohuţel ne nemoţné a proto si tuto metodu také popíšeme Napadení serveru DNS Jak uţ název napovídá, hackeři se při vyuţití této metody snaţí nabourat do samotného DNS serveru. Jak jsem jiţ zmiňoval, servery DNS jsou výborně zabezpečeny a pro hackery je tedy velice obtíţné najít a následně vyuţít nějakou skulinku v zabezpečení tak, aby si toho nikdo nevšiml. Toto zabezpečení značně omezuje vyuţívání této metody, která by byla nesmírně efektivní, pokud by se hackerům povedlo zabezpečení prolomit. Hackeři by totiţ v takovém případě mohli, stejně jako v hosts souboru, změnit IP adresu domény u jmenného názvu serveru. To by však udělali přímo na DNS serveru, tudíţ by jim odpadla nutnost nabourávat se do Vašeho počítače, aby Vás přesměrovali na svou podvodnou stránku. Namísto toho by zdárné provedení takového útoku znamenalo, ţe všechny oběti, které by byly připojeny na napadený DNS server, by v případě zadání, jmenného názvu adresy přiřazeného k hackery změněné IP adrese, byly nevědomky přesměrovány z původní domény na jinou, podvodnou doménu, na které uţ běţí pharmingová webová stránka, která je 28 BEDNÁŘ, Vojtěch. Pharming je zpět a silnější. Lupa.cz [online] [cit ]. Dostupné z: viewvote 34

35 totoţná s původní avšak opět není zabezpečena příslušným certifikátem a po zadání citlivých údajů Vás nepřihlásí do ţádné aplikace, ale údaje pošle hackerům, kteří se pak mohou do aplikace pod Vašimi údaji přihlásit Vishing Nyní se blíţe podíváme na méně známou, avšak na hrozbu, která rozhodně stojí za pozornost, je jí Vishing. Tuto hrozbu většina široké veřejnosti nezná, jelikoţ je pro útočníka, který se opět snaţí získat citlivé údaje od své oběti, celkem náročná a nedá se realizovat plošně jako phishing, nebo pharming. Tentokrát se totiţ útočník zaměřuje na svou oběť pomocí telefonního hovoru. V praxi se setkáváme s případy, kdy osoba, na kterou je útok cílen, je pomocí u nebo SMS zprávy kontaktována hackerem o nestandardním pohybu na jeho účtu nebo s oznámením technických problémů, kdy je potřeba okamţitě kontaktovat banku na přiloţeném, avšak podvodném čísle. Pokud takovému útoku oběť podlehne a zavolá na uvedené podvodné číslo, útočník má lehčí půlku útoku splněnou. Nyní však musí působit důvěryhodně v očích oběti a tvářit se, jako příslušný pracovník banky. Útočník se tedy představí jménem banky a snaţí se z oběti vytáhnout citlivé údaje telefonicky, coţ na někoho můţe působit natolik důvěryhodně, ţe údaje útočníkovi sdělí. Útočník se obvykle ptá na přihlašovací jméno a heslo do internetového bankovnictví, číslo platební karty, její expiraci a CVC či CVV kód případně další citlivé údaje, které mu mají pomoci k vyřešení výše zmíněných vymyšlených technických či jiných problémů, či jako kontrolu, ţe po telefonu opravdu mluví s majitelem bankovního účtu, na kterém byly zaznamenány podezřelé transakce. Pokud oběť naletí na SMS zprávu či podobného rázu a na podvrhnuté číslo zavolá, tak by se měl kaţdý člověk zarazit ve chvíli, kdy útočník začne vyzvídat citlivé údaje, ať uţ jde o vyzvídání telefonicky, em, SMS zprávou nebo i dokonce při osobním kontaktu v bance. Takovéto údaje po Vás ţádný skutečný pracovník banky s dobrými úmysly, za účelem vyřešení jakéhokoli problému, chtít nikdy nebude. Abychom však dokončili popis průběhu Vishingového útoku, který opravdu záleţí pouze na vybudování si důvěry obětí k útočníkovi, je pro útočníka velice výhodné, aby oběť neměla o podvodu tušení, ani po skončení hovoru. Útočník proto hovor končí tím, ţe oběť 29 BEDNÁŘ, Vojtěch. Pharming je zpět a silnější. Lupa.cz [online] [cit ]. Dostupné z: viewvote 35

36 ujišťuje, ţe se vše vyřešilo a to díky jeho bezproblémové spolupráci a hlavně díky včasnému zásahu banky, která odstranila technické problémy nebo třeba zablokovala podezřelou transakci dříve, neţ se stihla uskutečnit. Klient banky je pak naopak nadšený dobrou prací banky, vstřícností pracovníka a o tom, ţe byl právě okraden, vůbec netuší. Útočníci jsou díky tomuto typu kyberútoku často úspěšní, jelikoţ oběti o takovém typu útoku na rozdíl třeba od phishingu a pharmingu nikdy ani neslyšeli. Na tento typ útoku bychom si tedy také měli dávat pozor, i kdyţ pravděpodobnost, ţe zasáhne právě nás je o proti phishingu nesrovnatelně menší. Jelikoţ však počet klientů vyuţívajících ke svému bankovnímu kontu elektronické bankovnictví roste a roste a útočníci dnes mají moţnost vyuţívat k hovorům VoIP 30 technologie, je Vishing pro hackery další příleţitostí, která stojí za pozornost. 2.8 Denial of Service (DoS) Denial of Sevice (DoS) je útok, pomocí kterého se hackeři snaţí o znepřístupnění dané sluţby, počítače nebo dokonce celé sítě. DoS útoky nejsou ţádnou novinkou a proto druhů těchto útoků je spoustu, přičemţ se dále a dále rozvíjejí. Ačkoli je tedy tento typ útoků uţ nějaký ten pátek na světě, dávnou minulostí prozatím rozhodně není Druhy DoS Velká spousta lidí jiţ o DoS útocích slyšela. Slyšela i o útocích DDoS, které můţeme povaţovat za jakousi podmnoţinu těchto útoků a můţeme ji tedy označit i jako první základní rozdělení a to v závislosti na počtu počítačů, kterými je útok iniciován. DoS útoky jsou iniciovány jedním jediným počítačem. Do DDoS útoků jsou pak zapojeny dva a více počítačů, přičemţ v praxi počet zapojených počítačů do distribuovaného DoS útoku se pohybuje v řádech statisíců. Útoky dále můţeme rozdělit na lokální a vzdálené. Lokálním DoS se myslí útok, při kterém musí mít hacker přímý přístup k počítači, na který je útok namířen. Při vzdáleném útoku, jak uţ název napovídá, přistup k počítači, na který útočíme, nepotřebujeme, útočíme vzdáleně. 30 VOIP - Voice over Internet Protocol 36

37 Dále existují záplavové, reflektivní, typy vyuţívající chyb a vyčerpání systémových prostředků nebo DoS útoky, vyuţívající techniky man-in-the-middle. Tyto techniky si na následujících stranách dále rozebereme a popíšeme. DoS útoky jsou velice nebezpečné a jejich počet stále roste. V dnešní době jsou však k vidění buďto záplavové útoky nebo DoS útoky, které vyuţívají nějaké chyby, nejčastěji v aplikaci. Takováto chyba není nijak extrémně nebezpečná z toho důvodu, ţe aplikaci ve verzi, ve které se chyba vyskytuje, nemá nainstalovanou na počítače zas tak velké mnoţství uţivatelů. Problémy však nastávají ve chvíli, kdy se objeví chyba v něčem, čeho vyuţívá ke své plně funkčnosti kaţdý počítač. To můţe být například operační systém, kterých je však několik a pořád tedy nejsou zasaţeny všechny počítače. Nejhorší situací je pak chyba v některém ze sítových protokolů, které jsou klíčové pro připojení k internetu, na kterém denně visí stamilióny lidí Proč lidé dělají DoS? Důvodů a motivací, které lidi vedou k uskutečnění DoS útoků, je hned několik Snížení konkurence schopnosti DoS útoky mohou poškodit či dokonce zničit konkurenční společnosti. Pokud úspěšně napadnete společnost specializující se na obranu proti DoS útokům a zmedializujete to, moc zákazníků jí asi nezůstane a noví se k ní rozhodně nepohrnou Seberealizace Důvodem realizace útoku, a to nejen DoS útoku, ale jakýkoli útok obecně proto, můţe být také to, ţe si chce útočník dokázat, ţe útok zvládne, či aby to dokázali někomu jinému a zvýšili si tak svůj společenský kredit Z pomsty Někteří labilní jedinci pak mohou přistoupit i k takovýmto způsobům jako k formě pomsty například za propuštění ze zaměstnání. 31 HALLER, Martin. Denial of Service (DoS) útoky: úvod. Lupa.cz [online] [cit ]. Dostupné z: 37

38 DoS útok jako forma demonstrace Sem spadají politicky motivované útoky, typicky směřované na vládní a stranické systémy či politické strany Kyber terorismus Tyto útoky jsou směřovány na systémy, které jsou důleţité pro fungování státu a jeho infrastruktury. DoS útok můţe také poslouţit k zamaskování jiného útoku na infrastrukturu. Pokud útočník najde chybu, která mu dovolí proniknout do systému, avšak jejíţ zneuţití můţe vzbudit pozornost správců, tak podnikne DoS útok na jinou část sítě a odvede pozornost. Pak uţ má dostatek času na vyuţití chyby, přičemţ správcům se nemusí vůbec podařit primární útok odhalit, jelikoţ mají dost práce s DoS a kontrola všech logů po takovém útoku trvá dny i týdny Záplavové útoky Prvním druhem DoS útoku, na který se podíváme, je útok záplavový. Všechny typy záplavových útoků si jsou velice podobné a liší se pouze pouţitým protokolem nebo nastaveným příznakem. Tyto útoky nemají téměř ţádný historický vývoj, který se nedá očekávat ani do budoucna. Záplavové neboli DoS flood útoky jsou jedny z nejprostších útoků, kdy se útočník snaţí poslat na linku své oběti takové mnoţství dat, které ji zahltí a znemoţní tak její provoz. Tento útok se realizuje spíše distribuovaně, coţ, jak jsem jiţ uvedl výše, znamená, ţe jsou k takovému útoku pouţity dva a více počítačů. Kdybychom tento útok přirovnali k situaci z běţného ţivota, mohli bychom ho znázornit například na odtoku vody v umyvadle. Pokud pustíte kohoutek, odtok umyvadla je navrţen tak, aby voda plynule odtékala. Pokud však do umyvadla najednou vylejete desetilitrový kýbl vody, tak se odtok touto vodou zahltí a voda tekoucí z kohoutku odtékat dočasně přestane a přesně takhle funguje i zahlcení sítové linky. 32 ČMELÍK, Martin. Seznamte se DoS a DDoS útoky. Security-portal.cz [online] [cit ]. Dostupné z: -dos-ddos-útoky 38

39 Obrázek 10: Zahlcení linky Zdroj: V dnešní době to uţ platí jen napůl, jelikoţ oběť, coţ je obvykle nějaký server, je připojen k internetu pomocí linek o rychlosti, které útočník zdaleka nedosahuje. Je to, jako byste chtěli ucpat umyvadlo kapkou vody. To by prostě nešlo. Útočníci k tomu tedy vyuţívají výše zmíněný DDoS útok při kterém útočí statisíce počítačů. Takţe ačkoli jednou kapkou vody umyvadlo nezahltíte, statisíce nebo i milióny kapek to bezproblémově zvládnou. Klasickým DoS záplavovým útokem tak v dnešní době můţete být úspěšní tak maximálně ţertovně vůči svému kamarádovi, který má připojení do několika Mb/s V jednoduchosti je síla Záplavové útoky a především ty distribuované jsou velmi nebezpečné z toho důvodu, ţe je velice obtíţné se jim účinně bránit. Pokud je na Vás takový útok namířen, vy osobně s tím nic neuděláte, jelikoţ je Vaše linka prostě zahlcena. Ano, můţete ho zjistit, vidět ţe na Vaši linku přichází stále stejné pakety, ale pokud nemáte zavedena nějaká preventivní opatření, nemáte ţádnou moţnost jak komunikaci odfiltrovat a tím znemoţnit útočníkovi další zahlcování. Jedinou Vaší šancí je, aby Vám Váš poskytovatel internetu poskytl linku novou a 33 Čte se megabit za sekundu. 39

40 komunikaci začal filtrovat uţ u něj, coţ pokud to není Váš soused a dobrý kamarád, nejspíš neudělá. Vám tedy nezbývá nic jiného neţ počkat, aţ útočník přestane. Pokud s takovou ţádostí přijde větší firma, která svému poskytovateli platí značné obnosy za své připojení, situace můţe být jiná a poskytovatel jí nejspíše vyhoví a komunikaci odfiltruje vytvořením pravidla ve firewallu. Pro útočníka to však není velkou překáţkou, jelikoţ zfalšováním zdrojové adresy a změnou portu pravidlo obejde a v útoku pokračuje. Coţ obvykle vede aţ k úplnému odpojení serveru a následné analýze útoku a hledání útočníka. Abychom si tyto typy útoků také dali do souvislosti s elektronickým bankovnictvím, představte si, ţe by se takový útok povedl úspěšně zrealizovat vůči internetovému bankovnictví. Samotné aplikaci internetového bankovnictví by se s největší pravděpodobností nic nestalo, avšak klienti dané banky by aplikaci nemohli pouţít, jelikoţ by se k ní jednoduše nemohli připojit, neměli by kudy, na lince by uţ nebylo místo. Kdyţ si uvědomíme, ţe hlavní výhodou elektronického bankovnictví je, ţe se k němu můţu připojit tzv. 24/7, přičemţ nemusím vytáhnout paty z domova, tak by úspěšný útok mohl banku velice poškodit, nemluvě o tom, ţe případná medializace, která je většinou plná polopravd by mohla v klientech banky vzbudit značné pochybnosti o bezpečnosti jejich finančních prostředků Záplava ICMP pakety Nyní uţ se podíváme na konkrétní záplavový útok, který je realizován vyuţitím ICMP protokolu 34. Jak uţ název napovídá, tento typ záplavového útoku vyuţívá ICMP protokol. Pakety typu ICMP Echo jsou vyuţívány programem ping a slouţí k zjišťování dostupnosti vzdáleného zařízení. Dle doporučení RFC by měla být maximální velikost ICMP Echo paketu 548 B. V operačních systémech Linux a Windows však program ping umoţňuje velikost ICMP Echo paketu aţ B. ICMP Echo pracuje tak, ţe po té co odešleme ICMP Echo request, tak po doručení na cílový počítač se zpátky vyšle ICMP Echo reply. Při této akci zůstává zachována velikost paketu. Pokud tedy útočník zfalšuje adresu odesílatele, ICMP Echo reply se odešle jinam neţ má, coţ má za následek dvojité ucpání datové linky oběti. Jednou směrem k oběti a po druhé na falešnou adresu odesílatele. V Linuxovém operačním systému jsou moţnosti programu ping takové, ţe tento útok značně usnadňují. Nejen ţe se zde dá nastavit velikost ICMP Echo paketu, ale nabízí přímo 34 ICMP protokol slouţí k přenosu řídících hlášení o chybách či zvláštních okolnostech přenosu. 40

41 reţim flood, který posílá ICMP Echo pakety jak nejrychleji to jde. Tento reţim je aktivován přepínačem -f. Útočník také velmi snadno pozná, zda byl jeho útok úspěšný či ne. Za kaţdý ICMP Echo request paket se totiţ v konzoli vypíše tečka a s kaţdým přijatým ICMP Echo reply paketem se jedna tečka smaţe. Útočník tedy vidí, zda je úspěšný podle toho, zda stíhá oběť odpovídat (není úspešný), nebo ne (uspěl). Dnes jsou však v praxi ICMP Echo pakety velmi často filtrovány Zacyklení pomocí služeb echo a chargen Ačkoli se v dnešní době tyto sluţby uţ nepouţívají, za zmínku stojí proto, ţe se dali pouţít tak, aby odrovnali i server, který byl k internetu připojen mnohem rychleji neţ my. Zajímavostí také je, ţe reakcí sluţby na takovou záplavu bylo často její úplné zhroucení. Jak uţ název napovídá, bude se útok týkat pouţití sluţeb echo a chargen tak, aby se zacyklili a tím datovou linku zahltili. Obě sluţby po příchodu dat na jejich port posílají data zpět. U sluţby echo se jedná o jakousi ozvěnu. To znamená, ţe všechna data, která sluţbě echo přijdou na její port, pošle sluţba zpět. Sluţba chargen pak funguje tak, ţe zpět neposílá na rozdíl od echo všechna data, ale jen náhodně vybraná. V dobách kdy tyto dvě sluţby bývaly často defaultně spuštěny v operačních systémech Linux, se jich vyuţívalo tak, ţe se poslala data na port echo, přičemţ se zfalšovala zdrojová adresa a port. Zdrojová adresa se nastavila na počítač, na kterém byla zapnuta sluţba echo nebo chargen, přičemţ port byl nastaven na příslušnou sluţbu. Takovéto pouţití těchto sluţeb mělo za následek neustálé posílání dalších a dalších dat stále dokola, coţ způsobilo zacyklení a zahlcení datové linky DoS s využitím chyby Další druh DoS útoků vyuţívá chyby v softwaru nebo hardwaru. Ţivotnost takových útoků není příliš velká, jelikoţ jsou takové chyby velmi rychle záplatovány a opraveny. Na druhou stranu tyto útoky nejspíš nikdy nezmizí, jelikoţ nikdo není neomylný a chyby v softwaru či hardwaru se prostě budou vyskytovat dál. Tím spíš v softwarech, 35 HALLER, Martin. Denial of Service (DoS) útoky: záplavové typy. Lupa.cz [online] [cit ]. Dostupné z: 41

42 jejichţ sloţitost dále a dále roste a je těţší a těţší ošetřit všechny moţné bezpečnostní díry, které se při jejich tvorbě vyskytují. Vzhledem k tomu, ţe existují internetové databáze, které shromaţďují data o chybách, které se v aplikacích vyskytují, útočníci toho vyuţívají. Po tom, co si vyhlédnou oběť, zjistí jaký software a hardware oběť pouţívá. Pak útočník najde v internetové databázi chyby, kterých by mohl vyuţít a zaútočí. Takové útoky jsou přímo cílené proti určité oběti a útočník k nim tedy obvykle má nějaký konkrétní důvod. Druhou moţností je, ţe si chce útočník například dokázat, ţe zvládne útok realizovat. Najde nejprve v databázi jakoukoli chybu, která zatím zazáplatována a opravena není a pak zaútočí prakticky na kohokoli, kdo je chybou zranitelný i kdyţ vůbec netuší, o koho jde či jaké mu to můţe způsobit škody Horší než záplava DoS útoky vyuţívající chyb jsou nejnebezpečnějšími útoky této kategorie a k uskutečnění takového útoku není potřeba nijakých extra prostředků. Pro nedostupnost oběti při vyuţití chyby často stačí pouhé vygenerování relativně nízkého počtu určitých paketů. Rychlost připojení k internetu jak oběti, tak útočníka tedy v tomto případě není vůbec důleţitá, jak tomu bylo u útoků záplavových. Jelikoţ je k provedení útoku potřeba jen několik málo paketů, tak i vysledování útočníka je velice obtíţné a filtrovací pravidla firewallu nám zde také nepomohou. Nebezpečí se také skrývá v tom, ţe ve chvíli, kdy se o chybě ze které zranitelnost pramení, oběť dozví, útočníci ji uţ dávno vyuţívají a útočí. Ačkoli jsem na začátku zmínil, ţe ţivotnost takových útoků je velice krátká, jelikoţ jsou chyby co nejrychleji záplatovány a opraveny, některé společnosti, hlavně s téměř monopolními produkty, své záplaty nevydávají tak rychle, jak by bylo potřeba či chybu úplně ignorují a nezabývají se jí. Toho se samozřejmě útočníci snaţí vyuţít co moţná nejvíce, protoţe software u kterého se se záplatováním nepospíchá a který má obrovská masa lidí je pro útočníky něco jako ráj Vyčerpání systémových prostředků Tyto útoky se od útoků vyuţívajících chyb liší pouze v detailech. Ve své podstatě také vyuţívají chyb v softwaru nebo hardwaru. Nejsou to však chyby ve smyslu bezpečnostních děr, jako tomu bylo u útoků "vyuţívajících chyby", ale spíše takové, které vznikly nedokonalostmi návrhu. Takovéto chyby reagují na akci jiným způsobem, neţ je obvyklé. To 42

43 znamená, ţe například při práci s určitými speciálně upravenými pakety program vytíţí procesor více neţ obvykle či se neúměrně zvýší vyuţití operační paměti. Útok se liší také tím, ţe rychlost připojení opět hraje roli, jelikoţ ke zdárnému provedení útoku uţ nestačí jen několik málo paketů, ale opět větší datový tok. V praxi se tedy posílá co největší počet speciálně upravených paketů, které vytíţí procesor nebo program zahltí operační paměť natolik, ţe počítač začne stránkovat na disk. Pokud se to povede, útočník docílí toho, ţe je systém nepouţitelný. Počítač uţ nemůţe vykonávat nic dalšího tedy ani to, co původně obsluhoval. Běţný uţivatel se s tímto můţe v praxi setkat v podobě, kdy nějaká aplikace přestane odpovídat Zástupců je celá řada Zástupců, kteří patří do kategorie DoS útoků zaměřujících se na vyčerpání systémových prostředků, je celá řada. Ping of death, Stream, Raped, TearDrop, RPC Named Pipes, Land Attack, NBName, Fork bomb a další. Rozhodně si nepopíšeme ani zdaleka všechny. Zaměříme se na jeden spíše historický útok PoD a dále na SYN flood, který je velice známý a stále realizovatelný a doplníme tyto metody o metodu Fork bomb, coţ není úplně klasický DoS, se kterými jsem se zatím měli moţnost seznámit, je však aţ neskutečně jednoduchý a tím je i zajímavý Ping of Death (PoD) Název tohoto útoku je opět velice výstiţný a dal by se přeloţit jako ping smrti a patří nebo spíše patřil do kategorie DoS útoků vyuţívajících chybu. Ano, opět program ping, tedy základní diagnostický program ověřující dostupnost zařízení na síti. Jak jsem jiţ uvedl u záplavového útoku ICMP pakety, ke zjištění dostupnosti zařízení se pouţívá Echo request paket, který dle specifikace RFC můţe mít maximálně B. V době kdy byl útok uskutečnitelný, přišli útočníci s trikem jak tuto velikost nedodrţet a poslat paket větší, coţ mělo za následek spadnutí systému HALLER, Martin. Denial of Service (DoS) útoky: typy vyuţívající chyb a vyčerpání systémových prostředků (2.). Lupa.cz [online] [cit ]. Dostupné z: 43

44 SYN Flood Dle názvu by mnozí řekli, ţe by se tento útok měl řadit spíše do záplavových. Ano, tento útok je realizován za pomoci zaplavení datové linky správně nastavenými TCP pakety, avšak výsledkem je vyčerpání systémových prostředků TCP handshake Pro pochopení SYN Flood si musíme vysvětlit způsob navázání spojení v rámci TCP protokolu, který se nazývá TCP handshake. Prvním předpokladem pro navázání spojení je, Obrázek 11: TCP handshake Zdroj: ţe chtějí komunikovat obě strany, které si vymění několik TCP paketů, coţ se nazývá TCP handshake a nejlépe to pochopíme z obrázku č. 11. Klient, který chce navázat spojení se serverem, nejdříve vyšle paket s příznakem SYN, coţ znamená synchronizaci (zelená šipka). Jelikoţ s Vámi server komunikovat chce, pošle zpátky paket s příznakem SYN, čímţ se zajistí obousměrná komunikace a připojí k němu také příznak ACK 37, kterým spojení potvrzuje (modrá šipka). Po té co klient paket s příznaky SYN a ACK vyslané serverem přijme, uzavírá handshake odesláním posledního paketu a příznakem ACK (šipka červené barvy), čímţ se server dozví, ţe spojení bylo navázáno a nevyskytla se chyba. V tuto chvíli si uţ klient a server mohou předávat data (oranţová obousměrná šipka) A jak to tedy funguje? Útočníci vyuţívají toho, ţe server na paket s příznakem SYN reaguje tak, ţe vymezí systémové prostředky pro budoucí spojení s klientem a čeká na odpověď klienta po odeslání SYN + ACK paketu, pokud neodpoví, odešle server tento paket znovu v domnění, ţe se první 37 ACK zkrat anglického slova acknowledge v překladu potvrzení. 44

45 paket ztratil. Po nějaké době klientova neodpovídání server svého úsilí zanechá a systémové prostředky uvolní. Pokud však klient (útočník) bude zaplavovat server pakety s příznakem SYN dostatečně dlouho, obsadí se všechna spojení, která budou otevřena jen na půl a na server se tak uţ nikdo další nedostane. Dalšími výhodami tohoto útoku je také to, ţe se dá zfalšovat IP adresa odesílatele a SYN + ACK paket, který server odesílá klientovi, jde tak na úplně jiné zařízení v síti. Výhodou je i velikost SYN paketu, která je pouhých 42 bytů a rychlost útočníkova připojení k internetu je tedy naprosto irelevantní Fork bomb Zmínil jsem, ţe tento typ útoku není úplně klasický DoS útokem, kdybychom se snaţili zařadit ho do této skupiny, patřil by do lokálních DoS útoků, tedy útoků, k jejichţ provedení je potřeba přímý přístup k cílovému počítači. Tento útok vyčerpá systémové prostředky s pouţitím programů, které do nekonečna spouští samy sebe a ve výsledku se projeví zamrznutím či pádem systému samotného. Ačkoli takové útoky mají stoprocentní úspěšnost, jejich omezenost spočívá v jejich lokálnosti, čímţ se řadí do útoků spíše s nízkou nebezpečností Distribuovaný DoS O DDoS útocích jsem si prozatím řekli jen to, ţe se od DoS útoků liší v počtu pouţitých počítačů. Pokud je útok distribuovaný vyuţívá dva a více počítačů, coţ umoţňuje napadnout servery s mnohem rychlejším připojením, neţ mají jednotlivé počítače. Útoky jsou tedy typicky záplavové. 38 HALLER, Martin. Denial of Service (DoS) útoky: typy vyuţívající chyb a vyčerpání systémových prostředků (2.). Lupa.cz [online] [cit ]. Dostupné z: 45

46 DDoS po staru V dobách dnes jiţ dávno minulých se DDoS útoky prováděli několika útočníky, kteří po vzájemné domluvě, ze svých či z počítačů ke kterým měli přístup, nabourali (hacknuli) další počítače, pomocí kterých byl pak útok veden. S postupem času se však DDoS útoky vyvinuly a jejich současná podoba se značně změnila. Ustoupilo se od hackování jednotlivých počítačů a přešlo se k technikám, které pomocí rozšíření trojských koní umoţnily ovládat infikované počítače, které vytvářejí tzv. botnety. Obrázek 12: Dřívější podoba DDoS útoku Zdroj: DDoS s využitím botnetu Botnet je sloţeninou slova bot a net. Slovem bot se v souvislosti s botnetem označuje program, který plní útočníkovi příkazy. Počítače infikované botem, se někdy téţ nazývají zombie, coţ značí ovládnutí daného počítače, aniţ by to jeho uţivatel věděl. Sdruţená síť nakaţených počítačů botem je označována jako bot network zkráceně botnet. Aby boti mohli přijímat příkazy, často si skrytě stáhnou a nainstalují doplňující programy, pomocí kterých se například připojí na přislušné IRC, coţ je spolu s vyuţitím HTTP nejčastějším prostředkem pro komunikaci hackera s botem, který pak má moţnost ovládat všechny najednou. Byly však objeveny případy, kdy hacker své boty ovládal pomocí Twittru nebo em. 46

47 Botnety mohou ve vyjímečných případech čítat aţ přes milión infikovaných počítačů, které hacker můţe následně ovládat a uskutečnit z nich tedy i DDoS útok. S takovými zdroji pak hackeři nemají problém zneškodnit jakýkoli server. Nakaţení tak vysokého počtu počítačů je však velice obtíţné a není to obvyklé, nakonec tak vysoký počet počítačů k uskutečnění DDoS útoku však ani hackři nepotřebují a proto se botnety obvykle vyskytují v daleko menších počtech zasaţených počítačů. Obrázek 13: Útok s využitím botnetu Zdroj: Někteří hackeři si však tvorbou botnetů také vydělávají a takovou síť zotročených počítačů prodají nebo dokonce pronajímají, v čemţ se skrývá další dimenze nebezpečnosti těchto útoků. Botnety jsou dnes ţádaným produktem černého trhu a jejich ceny se odvíjejí od různých kritérií počínajících od počtu počítačů, které botnet bude čítat aţ po jejich umístění na planetě s předpokládanou rychlostí připojení. Dle přiloţeného ceníku v tabulce č. 6, můţete sami vidět, ţe takovou botnetovou síť si můţe dovolit téměř kaţdý. Tabulka 6: Ceník pronájmu botnetu Počet počítačů v botnetu Světový mix 25 USD 110 USD 200 USD Evropský mix 50 USD 225 USD 400 USD Německo, Kanada, Británie 80 USD 350 USD 600 USD Spojené státy 120 USD 550 USD 1000 USD Zdroj: 47

48 2.8.9 Distributed Reflection Denial of Service Zkráceně DRDoS jsou útoky reklektivního typu, při kterých útočník vyuţívá další zařízení v síti, od kterých se útok v podstatě odráţí a tím se dostává k oběti. Tato zařízení však nemusí být předem napadnuta. Útočníkovi stačí, aby si předem zjistil, jaká zařízení v síti k útoku vyuţije a pak na jejich IP adresy odesílá malé, v logu nevyčnívající, mnoţství určitých paketů, které mají zfalšovanou zdrojovou adresu, která je zaměněna za IP adresu oběti, na kterou je útok namířen. Tyto útoky se tedy snaţí zahltit linku oběti a jsou ve výsledku distribuované s tím, ţe útočník opět nepotřebuje mít rychlejší linku neţ oběť. Výhodou těchto útoků také je, ţe vzhledem k tomu, ţe se pakety při cestě sítí k oběti "odrazí" od dalších zařízení a netečou tedy stále stejnou cestou, je velice obtíţné útočníka vystopovat. Jak to můţe vypadat, lez vidět na obrázku č. 14, který porovnává reflektivní DoS útok s obyčejným. Obrázek 14: Reflektivní vs Obyčejný DoS Zdroje: (vlevo) a GIF (vpravo) Zesilující útoky Zesilující DDoS útoky jsou jakousi podskupinou útoků reflektivních, jelikoţ fungují na takovém principu, ţe útočník odešle nějaké mnoţství dat a k oběti se dat dostane několikanásobně více, tudíţ se data někde zesílí a právě k tomu je potřeba prostředník jakého vyuţívá i útok reflektivního typu Smurf Prvním a také historicky nejstarším útokem nazývaným Smurf je útok ICMP flood, který je doplněn o zesílení. ICMP flood jsme si jiţ popsali a tudíţ si vysvětlíme pouze to, 48

49 jakým způsobem je zesílení provedeno. Základem je zfalšování zdrojové adresy ICMP Echo request paketu, která je opět změněna na IP adresu útočníkova cíle. Tento paket je pak pingem poslán na broadcastovou 39 adresu nějaké sítě, která ho odešle na všechny systémy, které síť obsahuje. Systémy následně odpovídají ICMP Echo reply paketem, který je díky zfalšované IP adrese paketu odeslán na zařízení, na které útočník útočí. V takové síti mohou být stovky počítačů a i jeden paket tak vyvolá obrovské zesílení. Variantou tohoto útoku je pak útok Fraggle, který je modifikován tak, ţe nevyuţívá ICMP protokol, ale protokol UDP se sluţbami Echo a Chargen, které jsme si téţ jiţ vysvětlili, takţe uţ nebude problém si domyslet, jak by takto modifikovaný útok mohl vypadat. 2.9 Trojské koně Závěr této kapitoly věnujeme trojským koním, coţ je malware 40, pomocí kterého má útočník moţnost získat od oběti citlivé údaje nebo jeho počítač pouţít například k DDoS útoku. Trojské koně jsou velice rozšířeným typem malwaru a zaměřují se především na to, aby mohl útočník vzdáleně přistupovat k cizímu systému a ovládat ho. První skupinou jsou programy cílící přímo na hesla uţivatele, tzv. sniffery. Jsou to programy, které se snaţí získat citlivé údaje tak, ţe je vyhledávají na místech, kam se dají ukládat a následně je automaticky vyuţívat, jako je prohlíţeč. Pokud uţivatel k důleţitým aplikacím jako je , elektronické bankovnictví nebo k nějakému platebnímu systému, například k Paypalu svá hesla nikam neukládá a pamatuje si je, tyto programy narazí a právě v takovou chvíli je pro útočníka výhodnější pouţití tzv. keyloggerů. Keyloggery jsou aplikační programy, které zaznamenávají kaţdý stisk klávesnice a pro útočníka je tedy ţádoucí, aby se taková aplikace spustila na počítači oběti při kaţdém zapnutí a on mohl odposlechnout, co oběť zadává. Keyloggery jsou tedy vyuţívány hlavně pro získání přístupových údajů uţivatelů, kteří si svá hesla neukládají. Aplikace je typicky ukládá do souboru a ten je následně odesílán útočníkovi. Nevýhodou pro útočníka je, ţe si konkrétní přístupové údaje musí v souboru vyhledat. Nejvíce však trojské koně cílí na ovládnutí jiného systému. Obsahují sítovou sluţbu, která umoţní útočníkovi proniknout do cizího systému, tzv. backdoor. Taková sluţba otevírá porty, kterými pak útočník můţe do systému proniknout. Takovýto typ trojského koně je 39 Broadcast je zprávou, která je přijímána všemi sítovými rozhraními připojenými do počítačové sítě. 40 Malware je obecné označení pro škodlivý kód 49

50 typický pro vytvoření zombie počítače a následného utváření botnetu, pomocí kterého je pak uskutečněn DDoS útok. Posledním typem trojského koně je tzv. Security software disabler, tedy škodlivý kód, jehoţ cílem je blokace softwaru, který zabezpečuje ochranu počítače. 50

51 3 Možné bezpečnostní útoky Útokem, který nazýváme rovněž bezpečnostní incident, rozumíme buďto úmyslné využitkování zranitelného místa, tj. využití zranitelného místa ke způsobení škod/ztrát na aktivech IS, nebo neúmyslné uskutečnění akce, jejímž výsledkem je škoda na aktivech 41 V této kapitole se podíváme na konkrétní útoky, které se v dávné i nedávné minulosti staly. Poukáţeme na četnost a vývoj phishingových útoků a také se zaměříme na některé modifikace útoků, které jsme v druhé kapitole nepopsali. Nevynechám ani DoS útoky na zpravodajské portály, které dále pokračovali a byly namířeny i na banky a těmi kapitolu zakončím. 3.1 Phishingové útoky V roce 2008 se objevila vlna phishingových útoků na Českou spořitelnu. Tyto phishingové útoky začali obyčejnými na první pohled rozpoznatelnými podvodnými y a postupem času se útočníci ve svém snaţení zlepšovali a zlepšovali a z ů, které byli z počátku opravdu chabými pokusy, se vyklubali útoky velice vydařené. Z počátku byly y psané angličtinou, neměli ţádnou grafickou úpravu jako pravé y České spořitelny. Navíc odkaz, který obsahoval, byl na první pohled podvodný a do očí bijící. Konkrétně proti tomuto útoku podala Česká spořitelna trestné oznámení na neznámého pachatele. To, ţe byl útok realizován opravdu bídně a byl pro potencionální oběti velice nedůvěryhodný, nasvědčuje i to, ţe podle dostupných informací zveřejněných Českou spořitelnou nebyl poškozen ţádný z jejich klientů. Konkrétní podoba útoku je vidět na obrázku č HANÁČEK, Petr a Jan STAUDEK. Bezpečnost informačních systémů: Metodická příručka zabezpečování produktů a systémů budovaných na bázi informačních technologií. Praha: Úřad pro státní informační systém, 2000, s. 15. ISBN

52 Obrázek 15: Příklad phishingového útoku na ČS zdroj: Phisheři však postupně útok dovedli na mnohem lepší úroveň a ještě ten stejný měsíc, kdy jste mohli dostat výše uvedený ubohý podvodný , jste se mohli napálit na další verzi, která byla opět směřována proti České spořitelně. Tento útok byl však na první pohled rozhodně důvěryhodný. Byl napsán česky, text dával souvisle smysl a chyby byly spíše Obrázek 16: Příklad důvěryhodného phishingového útoku Zdroje: (vlevo) a (vpravo) 52

53 drobné, diakritické. Grafická úprava u vypadala důvěryhodněji. Byl úhledně naformátován, obsahoval například logo České spořitelny a odkaz obsaţený v u byl zamaskován tak, aby vypadal, ţe odkazuje na skutečnou webovou adresu pro vstup do internetového bankovnictví. Obsah podvodného phishingové u byl také drze zajímavý tím, ţe upozorňoval právě na podvodné phishingové y, mohl si to nejspíš dovolit vzhledem k velice slušnému zpracování, přičemţ následná podvodná stránka, na kterou se oběť mohla prokliknout z u vypadala taktéţ velice slušně, na coţ si můţete udělat vlastní názor sami z obrázku č. 16. Česká spořitelna pochopitelně není jediným subjektem, který potkal phishingový útok. Co se bankovních společností týče tak napadeny byly například Citibank v roce 2009, Raiffeisenbank v roce 2011 a například v roce 2013 se útočníci zaměřili na GE Money bank nebo Mbank Četnost phishingových útoků dále stoupá Ačkoli je phishing velice známý, počty phishingových útoků stále rostou, coţ vyplývá z výzkumu společnosti Kaspersky Lab The evolution of phishing attacks , který proběhl na datech sesbíraných v letech Zajímavým výsledkem výzkumu je také to, ţe šíření drtivé většiny odkazů neproběhlo mailem, ale běţným prohlíţením internetu. Tedy na webových stránkách, příspěvcích na fórech, blozích, či osobních zpráv na sociálních sítích. I tak počet phishingových zpráv šířených em meziročně vzrostl o 1,86% z 10,23% v letech na 12,09% v letech Obrázek 17: Způsoby šíření phishingových zpráv Zdroj: _report_the_evolution_of_phishing_attacks_ pdf - strana 8 Celkový nárůst phishingových útoků v letech oproti rokům výzkum vyčíslil na 87%. Kaspersky Lab ve svém výzkumu mimo jiné zveřejnil, třicet nejčastějších cílů phishingových útoků v letech , které jsou vyčísleny v milionech útoku za dané období, coţ můţeme vidět na obrázku č

54 Obrázek 18: 30 nejčastějších cílů phishingových útoků v letech Zdroj: - strana Skimmingové útoky a manipulace bankomatů V roce 2013 si skimmeři vzali do hledáčku bankomaty v Karlovarském kraji a na několik bankomatů umístili skimmovací zařízení. Tato zařízení byla však odhalena a policisté vyuţili toho, ţe skimmeři často své čtečky z bankomatů opět stahují, aby tak sníţili šanci na jejich odhalení a nemuseli vyrábět nové a nové. V tomto případě se to vyplatilo a skimmer, který přišel z bankomatu podvodné zařízení odstranit zřejmě s úmyslem ho pouţít někde jinde, byl chycen. V dubnu 2012 muţ a ţena Bulharského původu byly dopadeni při pokusu o skimming v Jihočeském kraji. Muţ nejdříve během několika málo sekund nainstaloval na bankomat skimmovací zařízení, které však bylo záhy odhaleno a byla uvědomena policie, která si na pachatele opět počkala, neţ se vrátí a skimmovací zařízení se pokusí odinstalovat. To se stalo ještě tentýţ den 5. dubna večer, kdy ho však doprovázela ještě ţena. Výsledkem bylo také zjištění, ţe je muţ členem organizované skupiny, která se na tuto trestnou činnost zaměřuje a působí ve více státech světa. V roce 2011 se začali objevovat důmyslné případy okradení klienta banky, kdy se sice nejednalo o skimming, ale velikou roli hrála manipulace útočníka s bankomatem a také obrovská neobezřetnost obětí. Útočníci zkonstruovali lištu s lepicí páskou, která zachytává 54

55 část bankovek v bankomatu. Útočník tak nekrade ţádné údaje, ale rovnou peníze. Oběť pak z bankomatu vyndá méně peněz, neţ vybral ze svého účtu. Útočník pak obejde zmanipulované bankomaty a peníze si z ústí bankomatu odlepí. Na první lištu upozornila policii třiceti čtyř letá Brňanka, další pak objevil servisní technik bankomatů. 3.3 DoS útoky Vlna DDoS útoků, která přišla počátkem března 2013, se prohnala přes zpravodajské weby, webhosting, vyhledávač seznam.cz a nevyhnula se ani českým bankám. Vlny útoků trvaly několik dní a řadí se mezi největší DDoS útoky, které Česká republika zaţila. Nejsilnější vlna útoků dosahovala toku aţ 300Gb/s Březnový DDoS den po dni V pondělí ráno 4. března 2013 se objevily první problémy s dostupností některý zpravodajských sluţeb, jako jsou Lidovky.cz, idnes.cz, Denik.cz, Novinky.cz a IHNED.cz. Pro podobné útoky se často nabízí řešení v podobě odstřihnutí zahraničního provozu, jelikoţ jsou útoky obvykle vedeny ze zahraničí, tentokrát to však nebylo moţné, protoţe se zdálo, ţe část nebo i celý útok přichází z českých IP adres. Servery opět z velké části fungovaly kolem pondělního poledne, kdy však útočníci poslali vlnu útoků na weby Mladé fronty jako je Ţivě.cz nebo E15.cz, které ráno informovaly o DDoS útocích na ostatní zpravodajské weby. Zasaţena byla také mobilmania.cz. Ještě ten den kolem půl čtvrté odpoledne přišla další vlna útoků, která byla opět mířena na zpravodajské weby, které v tu dobu uţ opět fungovaly a tak se situace opakovala a byly zasaţeny například Novinky.cz, idnes.cz, IHNED.cz, Lidovky.cz, E15.cz, Ţivě.cz nebo Mobilmania.cz. Tím ale útoky neskončili, jak si moţná někteří mysleli, právě naopak. V úterý v dopoledních hodinách přišla vlna DDoS útoků na Seznam.cz. Tento útok byl však na rozdíl od toho pondělního jasně identifikován jako útok ze zahraničních IP adres a proto se technici rozhodli ho odstřihnout. Pro zahraničí byla tedy sluţba nedostupná, avšak tuzemští uţivatelé nedostupnost sluţby zprvu nepocítili. Kolem jedné hodiny po poledni se pokusil Seznam.cz opět zpřístupnit server i pro zahraniční uţivatele, coţ však mělo za následek další vlnu DDoS útoků a vzniklý stav byl stabilizován aţ v pozdějších odpoledních hodinách. Ve středu přišli na řadu české banky a zde byla situace opravdu kritická. Nejen ţe banky útok neustály a jejich webové stránky nebyly dostupné, ale dle slov mluvčí České spořitelny Kristýny Dolínek Havligerové nefungovalo ani internetové bankovnictví a 55

56 problémy nastaly i v oblasti platebních online terminálů, které taktéţ byly vytíţeny natolik, ţe klienti nemohli přibliţně hodinu platit svými platebními kartami. Kromě české spořitelny byly zasaţeny také ČSOB, Komerční banka, Raiffeisenbank a Fio banka. Kdyţ se pak kolem druhé hodiny odpolední útok opakoval, nastala stejná situace a webové stránky, internetové bankovnictví ani platební terminály funkční opět nebyly. Čtvrteční ráno pak nepotěšilo mobilní operátory, zejména O2 a T-Mobile, kteří ač útok poměrně zvládli hodinová vlna DDoS útoku pro ně rozhodně nic příjemného nebyla. Do problémů se také dostaly weby praţského dopravního podniku a registru vozidel, které vyuţívají kapacity právě těchto mobilních operátorů a ačkoli na tyto weby útok mířen přímo nebyl, odnesli to také. Nakonec se českým expertům podařilo získat malware, který byl zodpovědný za tvorbu botnetu, ze kterého byl útok následně veden. Výsledkem jeho zkoumání bylo, ţe se jednalo o SYN flood DDoS útok, který zřejmě nepřicházel z ČR, ale ze zahraničních IP adres, které byly s největší pravděpodobností zfalšovány a nelze tak stoprocentně říci odkud byl útok veden. Tok byl však realizován přes NIX.cz, který sdruţuje české i zahraniční poskytovatele internetových sluţeb a filtrace zahraničního provozu od toho českého je velice obtíţná. 56

57 4 Obrana proti bezpečnostním útokům a incidentům V této kapitole se zaměříme na techniky, metody a chování, které nám pomůţou, do mnohdy dosti vysoké míry, zvýšit bezpečnostní opatření a tím samotnou hrozbu či její dopady zmírnit nebo odstranit. Obecně popíšu několik zásad, jak by se měl člověk chovat na internetu, v okolí ATM a platebních terminálů a na příkladech uvedeme, proč a jak jednoduše můţeme většinu výše popsaných hrozeb značně eliminovat, vyhnout se jim a nestát se tak obětí útočníka. Dále také probereme jednotlivé hrozby a vysvětlíme si, proč mají útočníci moţnost je proměnit v útoky a do jaké míry jim můţeme jejich útočení znemoţnit. Ať uţ v souvislosti s internetovým bankovnictvím a hrozbami popsanými v druhé kapitole či nikoli, jsou tři základní věci, které by měl uţivatel mít. 1. Antivirový program 2. Antispyware 3. Firewall V dnešní době jsou firewally součástí operačních systémů, co se týče antivirových a antispywarových programů, tak ty součástí čistého OS nejsou, avšak mnoho kvalitních programů tohoto typu je zdarma ke staţení. Rozhodně to není stoprocentní ochrana, ale je to překáţkou pro útočníka, který Vám chce počítač hacknout nebo vyuţít například jako botnet. Neméně důleţité je pak udrţovat operační systém a všechny vaše aplikační programy aktualizovány, coţ se týká samozřejmě i antiviru a antispywaru. Aplikace by pak měl uţivatel stahovat a instalovat pouze z ověřených zdrojů. V neposlední řadě se doporučuje nepracovat na počítači jako administrátor resp. správce. 4.1 Internetové bankovnictví a jeho nástrahy Jelikoţ je internet plný nástrah a mnohé hrozby se proměňují v útoky díky neznalosti či neopatrností oběti, začneme několika zásadami, jak by se měl člověk na internetu chovat v souvislosti s internetovým bankovnictvím obecně a dále pak přejdeme k obraně proti konkrétním internetovým hrozbám, které jsme si v druhé kapitole popsali. 57

58 4.1.1 Přihlašovací údaje Obecně platí, ţe údaje jako jsou přihlašovací jméno a heslo, se nikomu nesdělují a to ani rodinným příslušníkům a hlavně ne dětem, kteří by pak tuto citlivou informaci mohli poskytnout třetí osobě, jelikoţ si zatím prostě neuvědomují, ţe to můţe rodiče poškodit, ţe z takového jednání plynou nějaké hrozby. Obecně to však platí nejen na přihlašovací jméno a heslo, ale na všechny citlivé údaje. Pokud si přihlašovací údaje nejste schopni zapamatovat a máte je někde poznamenané, uchovávejte jej na bezpečném místě. Myslete také na to, ţe veřejné počítače, které jsou k mání například v internetových kavárnách, knihovnách nebo třeba na letištích, nejsou bezpečné a měli by Vám v rámci internetu poslouţit pouze k anonymnímu prohlíţení webových stránek a neměli byste se tedy přihlašovat k webové stránce či do jakékoli aplikace jako je , sociální sítě a uţ vůbec ne do internetového bankovnictví. Pouţitím přihlašovacích údajů na takovýchto veřejných zařízeních se vystavujete nebezpečí získání těchto dat třetí stranou. Nejen ţe se často stává, ţe se lidé prostě zapomenou při odchodu odhlásit, ale i z důvodu, ţe webový prohlíţeč zaznamenává spoustu informací jako historie navštívených stránek nebo právě uţivatelská jména a hesla. Ano, tyto údaje se dají z prohlíţeče smazat, na coţ ale bohuţel spousta uţivatelů zapomene. Co uţ ale na takovém veřejném zařízení, kterým můţe být například počítač nebo tablet, neovlivníte, je keylogger nebo jiný škodlivý kód, jehoţ prostřednictví má útočník moţnost citlivé údaje odposlechnout Obrana proti sociálnímu inženýrství První internetová hrozba, kterou jsme si v druhé kapitole popsali je sociální inţenýrství. Ve zkratce se útočník snaţí přesvědčit svou oběť, aby mu své citlivé údaje prostě řekla. K sociálnímu inţenýrství se dnes často vyuţívají sociální sítě, webové stránky společnosti či Vaše osobní webové stránky. Prostě místa, kde útočník můţe citlivé informace nasbírat. To, ţe nemáte nikomu své citlivé informace přímo sdělovat, uţ víte. Neméně důleţité ale také je, abyste na svých či firemních webových stránkách toho na sebe neprozradili víc, neţ je opravdu potřeba. Toto platí i nebo spíše hlavně pro sociální sítě, na kterých lidé o sobě často prozradí úplně vše a ani si to neuvědomují. Tito lidé jsou uţ dnes často diagnostikováni jako závislý, přičemţ jiţ existují léčebné metody, kterými se lidé takové závislosti mohou zbavit, podobně jako například závislosti na alkoholu. Jako teoretický příklad bychom si mohli uvést situaci, kdy by si uţivatel dobrovolně a veřejně 58

59 uvedl například informaci o tom, kde přesně bydlí, tedy adresu bydliště a k tomu uvědomil veřejnost o tom, ţe jede na týden na dovolenou. Pokud by se taková informace dostala do rukou například zloděje, tak uţ ví, kde a kdy nikdo nebude a neţ se z dovolené vrátíte, Vaše věci jsou dávno rozprodané. Dbejte tedy na své soukromí a pamatujte, ţe opravdoví přátelé uţ vědí, kde bydlíte, vědí, ţe jedete na dovolenou a ti ostatní, to vědět nepotřebují Nenechte se ulovit Po sociálním inţenýrství jsme se seznámili s phishingem, který vychází z anglického slova fishing v překladu rybaření. Abychom se nechytili na háček, ukáţeme si, nejdříve co nedělat, abychom se k háčku vůbec přiblíţili a dále naopak co dělat, abychom háček odhalili, kdyţ uţ se k němu přiblíţíme. Zásady, které v následujících řádcích popíšu, jsou jako obrana účinné i pro další hrozby zejména pro SMiShing a Pharming a proto je nebudu rozebírat zvlášť. Zvlášť však bude rozebrána ochrana hosts souboru, který se k Pharmingu vyuţívá. Obrana proti phishingu z hlediska běţného uţivatele spočívá jednoduše v tom, naučit se neklikat na kaţdý odkaz, který Vás na něco láká a to hlavně při běţném surfování po internetu. S ohledem na to, ţe je phishing často šířen pomocí u, prostě a jednoduše neotevírejte podezřelé y od lidí, které neznáte, nestahujte podezřelé přílohy a pokud dostanete , který vytváří dojem, ţe je od banky, neklikejte na odkaz uvedený v u, ale na webovou stránku se dostaňte z vašeho prohlíţeče zadáním webové adresy banky, kterou znáte. Vhodné je také sledovat, zda je v prohlíţeči opravdu adresa, která má odpovídat webové stránce a není nepatrně pozměněna, nebo dokonce úplně jiná. Toto opatření však není tak účinné jak se můţe zdát například díky jiţ zmíněné moţnosti změny v hosts souboru. U webových bankovních aplikací se můţeme spolehnout na ověření certifikátu banky prohlíţečem. Banky se totiţ identifikují certifikátem vydávaným nezávislou institucí, tzv. certifikační autoritou. V České republice jsou momentálně Ministerstvem vnitra České republiky akreditovány tři certifikační autority, které poskytují záruku, ţe klient komunikuje s bankou přes webové stránky, které bance opravdu patří. Jsou jimi: První certifikační autorita, a. s. Česká pošta, s. p. eidentity a. s. Takovou certifikaci poznáme na webové stránce tak, ţe ve stavovém řádku vedle webové adresy je visací zámek s textem ověřeno, důvěryhodné, nebo podobným heslem podbarveným zelenou barvou. Prohlíţeče umoţňují náhled na informace o certifikátu, který 59

60 obsahuje například informace o tom, komu a kým je certifikát vydán, do kdy platí, nebo i podrobnější informace o vystaviteli certifikátu s odkazem na jejich webovou stránku. Jak to momentálně prakticky vypadá u ČSOB, v prohlíţeči Opera a Chrome, můţeme vidět na obrázku č. 19. Obrázek 19: Certifikační ověření ČSOB Zdroj: Vlastní tvorba Toto certifikační ověření není určeno pouze bankám, ale i jakýmkoli dalším organizacím, které se chtějí nebo se takto musí prokázat. Velké mnoţství certifikovaných webových stránek je spojeno s platebním stykem. Tento fakt tedy vyuţijete i v případech, kdy platíte svou platební kartou na internetu, kde obvykle zadáváte jméno a příjmení, číslo karty, datum expirace a verifikační kód (CVC, CVV kód na zadní straně karty). Tyto údaje vţdy zadávejte pouze na patřičných místech, u kterých jste si stoprocentně jisti, ţe právě tam mají být vyplněny, přičemţ místa podepsané výše popsanou metodou certifikace organizace můţete povaţovat za důvěryhodná. 60

61 4.1.4 Odstřihnutí útočníka na drátě Nyní několik slov o obraně proti Vishingu, tedy hrozbě, při které se snaţí útočník zjistit citlivé údaje telefonicky. Takovému útoku často předchází ová zpráva, která informuje oběť o smyšleném podezřelém pohybu na jeho účtu nebo s informací o technických problémech k jejich vyřešení má oběť zavolat na podvodné v u přiloţené telefonní číslo. Jednak bychom na takový neměli vůbec reagovat. Pokud by totiţ nějaký takový problém nastal, ţádná banka k tomu nepotřebuje od Vás jakékoli citlivé údaje. Údaje, které zpracovávat můţe jako je jméno, příjmení nebo adresa, uţ k dispozici má a ty ostatní nepotřebuje. Z toho vyplývá, ţe ţádný pracovník banky po Vás nebude chtít citlivé údaje jako přihlašovací jméno a heslo do internetového bankovnictví ani osobně, natoţ pak telefonicky. Kdyţ uţ by měl klient potřebu ověřit si skutečnost, o které byl v u či jinak informován, měl by volat na číslo podpory banky, které je uvedeno na jejich webových stránkách, nikoli na nějaké, které na něj vyskočí v u. Pokud by oběť všechno zanedbala a s útočníkem uţ hovořila, měla by mít na paměti, ţe citlivé údaje se nesdělují nikomu, ať uţ působí sebedůvěryhodněji. Jak sami můţete vidět, obrana proti tomuto útoku je velice jednoduchá a navíc stoprocentně účinná Kontrola hosts souboru Vracíme se k pharmingové metodě vyuţití hosts souboru. Je několik způsobů, jak si uţivatel můţe hlídat, ţe není jeho hosts soubor přepisován a právě na tyty způsoby se teď podíváme a uvedeme je do praxe tak, aby je mohl kdokoli jednoduše aplikovat na svém počítači Jen pro čtení První a nejjednodušší ochranou je, přiřadit souboru atribut jen pro čtení, coţ v OS Windows uděláme tak, ţe pravým myšítkem klikneme na hosts soubor, čímţ otevřeme kontextovou nabídku souboru, ve které vybereme vlastnosti a na kartě obecné zaškrtneme zmíněný atribut. Útočník by tak potřeboval oprávnění správce, aby mohl do souboru něco zapsat, coţ však pro něj nemusí být aţ takový problém a proto máme i další metody. 61

62 Kontrola velikosti skriptem Jelikoţ při zapsání jakýchkoli dat do hosts souboru se mění jeho velikost, můţeme si napsat skript, který nám bude velikost hosts souboru kontrolovat a při změně nás o tom uvědomí. Skript by mohl vypadat například takto: Set FileSystemObject = CreateObject("Scripting.FileSystemObject") Set Hosts_File = FileSystemObject.GetFile("C:\Windows\system32\drivers\etc\hos ts") If Hosts_File.Size <> 824 then MsgBox "S Vaším hosts souborem bylo manipulováno, změnila se jeho velikost. Velikost hosts souboru je nyní " &Hosts_File.Size& " bajtů.", VbCritical else Msgbox "S hosts souborem manipulováno nebylo a má stále velikost " &Hosts_File.Size& " bajtů.", VbInformation end if Kód stačí zkopírovat do poznámkového bloku a dát mu příponu vbs. V kódu je několik věcí, které můţe být nutno změnit, aby fungoval. Například cesta k hosts souboru. Ta, která je v kódu uvedena, platí pro Windows 7, Vista a XP. V dalších operačních systémech bude cesta s největší pravděpodobností jiná, a proto je nutno ji v takovém případě změnit. Dále číslo 824 značí velikost hosts souboru v bytech, kterou si musíte upravit na aktuální velikost Vašeho hosts souboru, coţ zjistíte ve vlastnostech souboru. Skript je pro kontrolu nutné spustit, buďto ručně poklepáním na soubor nebo ho umístit do sloţky po spuštění, čímţ se spustí automaticky po spuštění počítače. V OS Windows také máme moţnost nastavit aplikaci plánovač úloh tak aby kontrolu spouštěla v předem plánovaných intervalech, a tím kontrolu z automatizujeme a nastavíme její četnost. V obou případech by však bylo vhodné smazat následující část kódu: else Msgbox "S hosts souborem manipulováno nebylo a má stále velikost " &Hosts_File.Size& " bajtů.", VbInformation 62

63 Je to vhodné z důvodu, aby Vás skript neobtěţoval ať uţ po zapnutí počítače, nebo několikrát za den dle naplánování spuštění onoho skriptu plánovačem úloh, ačkoli je soubor v pořádku. Pokud v kódu tyto řádky nebudou, vůbec nepoznáte, ţe skript soubor zkontroloval. Pokud se však jeho velikost změnila, upozorní Vás. Takové upozornění můţe zprostředkovávat i nějaký antispywarový program, který máte nainstalovaný Hosts soubor pod dohledem Spybot Search & Destroy Spybot Search & Destroy je jedním z programů, který mimo jiné hosts soubor nejen kontroluje, ale předchází i potenciálním hrozbám tím, ţe známé nebezpečné stránky blokuje za pomoci hosts souboru tak, aby jmenný název nebezpečné stránky byl přiřazen k IP adrese stránky bezpečné a při zadání do prohlíţeče tedy přesměrován na bezpečnou stránku. Při pouţití takového programu je pak neţádoucí mít hosts soubor určen jen pro čtení a není vhodný ani skript, který by kontroloval změnu jeho velikosti, jelikoţ program do něj bude zapisovat za účelem obrany. Nelekněte se tedy, pokud je Váš hosts soubor rozrostlý Obrana proti DoS útokům Obrana proti DoS útokům je obecně velice sloţitá. Některé DoS útoky, které jsme si v druhé kapitole popsali, jsou jiţ dnes minulostí a nesetkáme se s nimi. Proti některým naopak slušná obrana není a v blízké budoucnosti nejspíš ani nebude. Většinou je však nutné být na případný útok připraven, počítat s ním a tím získat moţnost značného omezení dopadů, které při útoku mohou vzniknout. Do obrany proti DoS útoků se můţe zapojit kaţdý tím, ţe kvalitně chrání svůj počítač a pro hackery je pak mnohem těţší infikovat právě Váš počítač, udělat z něj zombie a vytvořit tak botnet. To je samozřejmě utopické přání a jako obranu proti DoS útokům to můţeme brát vyloţeně jen na té teoretické úrovni Aktualizace V úvodu kapitoly jsem psal, ţe je důleţité aktualizovat aplikační programy a OS. V oblasti DoS útoků vyuţívajících chyby je to jediná rozumná obrana. Tyto útoky mají relativně krátkou ţivotnost právě díky tomu, ţe tvůrci softwaru chyby záplatují a my je 42 HOSTS soubor. In: Zajímavosti [online] [cit ]. Dostupné z: 63

64 pomocí aktualizací implementujeme do našeho počítače, stává se náš systém imunní vůči vyuţití dané chyby Záplavová opatření SYN flood je bohuţel stále aktuální hrozbou, přičemţ obrany se nedostává. Je několik způsobů, které mohou pomoci, ale spíše účinné nejsou. Kdyţ se útoky začali objevovat, doporučovalo se zvětšit prostor pro polootevřená spojení a zároveň sníţit jejich timeout 43. Zřejmě s ideou, ţe útočník nebude mít prostředky na to, aby zahltil i je. Důsledkem je pak větší zátěţ na systém, a pokud má útočník zdroje, stačí mu zaútočit větší silou a opatření je pak k ničemu. Důsledkem malého timeoutu můţe být také zahození regulérního spojení, coţ se klientovi projeví stejně, jako by byla sluţba nedostupná. Další obranu můţeme hledat také v oblasti zařízení filtrujících provoz na sítí, jako je například TippingPoint od firmy HP nebo DDoS protector od firmy Check Point, tyto zařízení však nejsou zadarmo. Dále se nabízí vyuţití techniky na bázi load balanceru tedy vyvaţování zátěţe, kdy se zátěţ rozloţí mezi více prvků sítě Blacklist Často vyuţívanou obranou jsou blacklisty neboli černé listiny. Jsou to seznamy, kam jsou umisťovány hříšníci, se kterými na základě předchozích zkušeností není vhodné komunikovat. Typicky jsou blokovány IP adresy zařízení, ze kterých hrozí, ţe by mohl přijít útok. Aby tato metoda měla šanci na úspěch a byla účinná, je nutno udrţovat blacklist aktuální. Blacklisty jsou nejjednodušší obranou a jsou vyuţitelné a primárně se také vyuţívají i v jiných oblastech. Typicky na obranu proti doručení spamu do ových schránek nebo na blokaci webových stránek, ať uţ firmou, která nechce zpřístupnit některé URL adresy svým zaměstnancům v pracovní době nebo například antivirovými společnostmi, které takové seznamy vytváří za účelem ochrany svých klientů, kteří by mohli chtít přistupovat na zavirované webové stránky. Blacklisty tedy mohou být účinnou obranou nejen proti DDoS útokům. Bohuţel, nebo pro útočníky bohudík, však tato obrana také není účinná ve sto procentech případů. 43 Doba, po kterou zůstává polootevřené spojení napůl otevřené. Po uplynutí se spojení automaticky zavře. 64

65 SYN cookies Často zmiňovanou ochranou je pak vyuţití SYN-cookies. Jde o to, ţe zahlcení serveru je realizováno tak, ţe útočník záplavou SYN paketů způsobí polootevření tolika spojení, ţe to server zahltí. SYN-cookies obrana spočívá v tom, ţe se k SYN-ACK paketu připojí hash vypočítaný z několika údajů ţadatele o spojení, například z jeho IP adresy a portu a následně se toto polootevřené spojení zahodí a tím se zahlcení předejde. Avšak potřebujeme zajistit, aby prošla regulérní spojení, která s útokem nemají nic společného. Pokud tedy přijde následný ACK paket pro dokončení handshaku s hashem, který server mohl sám vygenerovat, znamená to, ţe spojení chce navázat někdo, kdo se nesnaţí server zahltit. Spojení se tedy otevře jako by bylo uţ předtím polootevřené a tím se odfiltrují regulérní spojení od těch útočných. Problém je v tom, ţe výpočet hashe zatěţuje server a ubírá mu výkon, coţ je samozřejmě neţádoucí. Takové řešení se pak často aplikuje aţ ve chvíli, kdy útok probíhá, a polootevřená spojení jsou vyčerpána. Ačkoli velké mnoţství zdrojů uvádí toto řešení jako absolutní opatření proti SYN flood útokům, vzhledem k tomu, ţe útoky tohoto typu jsou pořád aktuální, tak se v reálném provozu toto opatření zřejmě plně neosvědčilo. 4.3 Nechte Trojské koně před Trojou Úplně nejzákladnější obranou opět není nic jiného neţ obezřetnost samotného uţivatele. Pokud se uţivatel obezřetně pohybuje na internetu, neotevírá a nestahuje podezřelé přílohy ů či souborů kdekoli na webu, značně sniţuje moţnost být infikován. V úvodu této kapitoly jsme si uvedli několik věcí, které by měl kaţdý uţivatel mít. V případě trojských koní je velice důleţitou součástí vašeho systému antivirový program. Trojské koně jsou samostatné škodlivé programy, které neinfikují další soubory, a proto je Váš antivirový program neumí vyléčit, ale pouze smazat. Je třeba říci, ţe ne kaţdý antivir Vás před něčím ochrání a ţádný antivir Vás neochrání přede vším. Je to dáno tím, ţe nejdříve vţdy vznikne vir a aţ následně vzniká proti němu nějaká obrana, tedy antivir. To je také důvod, proč je nutné aktualizovat všechny aplikační programy včetně antiviru, prohlíţeče a také operační systém. Společnosti ve svých aktualizacích zabezpečují mezery nebo vzniklé hrozby, které programy nebo OS májí a prostřednictvím aktualizací je šíří ke svým zákazníkům. 65

66 4.3.1 Placené antiviry Současnou špičkou mezi placeným softwarem, který se stará o naše bezpečí před všelijakým malwarem jsou programy, resp. antivirové ochranné balíky Norton antivirus, Norton Internet Security a Norton 360 od firmy Symantec, které dlouhodobě vykazují vynikající výsledky. Je to velice stabilní software, jehoţ úroveň detekce malwaru nevykazuje velké výkyvy a jejich uţivatele jsou tak chráněni na velice slušné úrovni po celou dobu vyuţívání daného softwaru. Nezaostává však ani Kaspersky Lab se svými produkty Kaspersky Internet Security a Kaspersky Anti-Virus, který je taktéţ výborným celistvým produktem na poli antivirů uspokojujícím i velice náročné uţivatele. Jakýmsi dlouhodobým nešvarem těchto produktů je dosti veliká zátěţ počítače. Velice populárními antivirovými řešeními jsou NoD 32 nebo Smart Security od firmy Eset. Je to zřejmě dáno jeho jednoduchostí přívětivostí k uţivateli a velice slušnou náročností na počítač, coţ uţivatelé oceňují. Mezi absolutní špičku bych ho však v posledních letech neřadil, coţ však neznamená, ţe je špatný. Nabízí velice slušné výkony, někdy je v detekci aţ extrémně úspěšný, jindy však vykazuje spíše podprůměrné výsledky a jeho výkony jsou tedy dosti výkyvové. Je tedy vhodné ho kombinovat s firewallem jiné firmy či vyuţívat další ruční skenery, neţ se dlouhodobě spoléhat na jeho komplexní řešení. Do popředí se také dere Bitdefender, antivir, jehoţ výkony bych do budoucnosti doporučil sledovat. Uţ nyní podává velice dobré výsledky, navíc se stále zlepšuje a v příštích letech by tak mohl být velice dobrou alternativou výše uvedených produktů Jde to i zadarmo Většina obyčejných uţivatelů však povaţuje investici do antiviru či celého balíku ochranných sluţeb za zbytečnou a v některých případech je to určitě správná analýza. Ne kaţdý totiţ potřebuje špičkový software na ochranu svého počítače. Navíc antiviry, které si za chvilku uvedeme, nejsou vůbec špatné a jsou zdarma. Je tedy dobré zanalyzovat, jaká data ve svém počítači uchováváte a jak jsou pro Vás hodnotná. Počítač Vaší třináctileté dcery zřejmě nebude nutné prvotřídně zabezpečovat za několik tisíc ročně. Podíváme se tedy na řešení, do kterých nemusíme investovat peníze. Prvním a velice populárním zástupcem je Avast. Je to komplexní antivirové řešení a dlouhodobě vykazuje dobré výsledky. Jeho popularita mezi volně staţitelnými antiviry je 66

67 oprávněná a dá se říci, ţe jeho komplexností a kvalitou se řadí na špičku ve svém oboru. Alternativou je pak Avira Antivir Personal jehoţ detekční schopnosti jsou více neţ nadprůměrné a v této oblasti je na tom často lépe neţ Avast. Bohuţel však prozatím neumí kontrolovat poštu v ţádném z poštovních klientů a pro ochranu v této oblasti je pak nutno vyuţívat webového rozhraní. K oběma produktům je pak velice dobré vyuţívat některý z volně stáhnutelných firewallů jako je například Zone Alarm v jeho free verzi Nenechte si oskimmovat kartu V okolí bankomatů by se kaţdý měl chovat obezřetně, měl by si dávat pozor nejen na to, kdo se k němu blíţí a kdo je v jeho okolí, ale měl by si dávat pozor i na samotné zařízení. Prvním krokem je přesvědčit se zda neobjevím nějaké stopy po manipulaci s bankomatem, stopy lepidla, nápadně vypadající komponenta, která by k bankomatu nemusela patřit, kamera umístěná na, nebo v okolí bankomatu, která by mohla odsledovat PIN kód. Pokud jsme se dostatečně přesvědčili o tom, ţe bankomat nemá na sobě nainstalované podvodné skimmovací zařízení, pořád to neznamená, ţe ho opravdu nemá či ţe karta uţ nebyla oskimmována jinak a útočník nepotřebuje jen zjistit PIN. Proto si vţdy kryjte PIN-pad při zadávání PINu tak, aby ho útočník nebo kamera nemohla odsledovat. Nezapomeňte také na termo kameru a PIN-pad buďto kryjte i po zadání PINu nebo jednoduše zahřejte i další klávesy. Nepodlehněte pocitu bezpečí v krytých bankomatech, které jsou umístěny v nějakém komplexu například v budově banky. I tyto bankomaty jsou často napadány a někdy na ně útočníci přímo cílí, jelikoţ na instalaci podvodného zařízení mají klid a čas a nikdo ho neruší. Jelikoţ útočníci také často instalují skimmovací zařízení na čtečku magnetických prouţků, která je umístěna u vstupních dveří do krytého prostoru bankomatu a funguje v podstatě jako klíč, kterým se k bankomatu dostanete, není vhodné Vaši platební kartu pouţívat pro vstup do tohoto prostoru. Zásady obezřetného chování samozřejmě neplatí pouze v okolí bankomatů, ale i všude tam, kde svou platební kartu pouţíváte. 44 Free verze verze typicky volně stáhnutelná k nekomerčnímu vyuţití 67

68 5 Vyhodnocení bezpečnostních prvků bank ze strany uživatele Abychom měli co vyhodnocovat a vyhodnocení rozuměli, musíme si nejprve říci, jaké bezpečnostní prvky, které uţivatel můţe vyuţívat, existují a následně u vzorku šesti bank, GE Money Bank, ČSOB, UniCredit Bank, Air Bank a Fio banka zjistíme, jaké jsou moţnosti a které bezpečnostní prvky zákazník můţe vyuţít. A zbývá nám tedy uţ jen identifikovat klienta, coţ se dá provést několika způsoby. V dnešní době je internetové bankovnictví základní sluţbou kaţdé banky. To však musí být pokud moţno zabezpečeno tak, aby se co nejvíce sníţila moţnost proniknutí útočníka. Z předchozí kapitoly si můţeme domyslet, ţe ze strany banky je zabezpečení dostatečné a k průnikům tedy dochází prakticky jenom jako důsledek chyb a neopatrností, které uţivatel napáchá a útočník jich vyuţije. Bezpečnost internetového bankovnictví můţeme rozdělit do tří skupin, které následně tvoří komplexní zabezpečení. Jsou jimi nejen identifikace banky na jedné straně, kterou jsme si jiţ popsali v minulé kapitole, a identifikace klienta na straně druhé, čemuţ se budeme věnovat v této kapitole, ale také zabezpečení přenosu dat mezi nimi, coţ je řešeno vysokoúrovňovým šifrováním, které se povaţuje za bezpečné. Můţeme tedy přejít k identifikaci a autentizaci samotného uţivatele. 5.1 Možné bezpečnostní prvky Pro začátek je však dobré vědět, ţe na českém trhu není banka, která by nabízela produkt, jehoţ bezpečnost by byla absolutně nulová a pokud byste na nějaký v budoucnu narazily, doporučil bych ho nevyuţívat. U internetového bankovnictví má klient ve většině případů na výběr ze dvou a více moţností, chcete-li úrovní zabezpečení. Pokud toho banka nabízí více, obvykle své bezpečnostní prvky bere jako nadstandartní a za jejich vyuţití si účtuje poplatky. Je tedy spousta lidí, kteří by pohodlnost a jednoduchost vyuţívání internetového bankovnictví vyměnili za zvýšení jeho bezpečnosti, avšak i kdyţ jejich banka bezpečnostní prvky nabízí, často je odradí cena, kterou si banka účtuje. 68

69 5.1.1 Uživatelské jméno a heslo Úplně nejzákladnější ochranou, kterou nabízí drtivá většina, ne-li dokonce všechny české banky je uţivatelské jméno a heslo. Tato ochrana je samostatně velmi nedostatečná, a proto se často kombinuje s dalším ochranným prvkem nejčastěji autorizační SMS zprávou. Nedostatečná ochrana je to proto, ne snad, ţe by útočník dokázal heslo, které je také šifrováno, rozluštit, ale spíše z důvodu, ţe existují škodlivé kódy zvané keyloggery, které po infiltraci do počítače "odposlouchávají" kaţdý Váš stisk klávesnice. Data jsou následně odeslána útočníkovi, který Vám pohodlně vyluxuje účet. Toto do jisté míry řeší grafická klávesnice, která jest ovládána myší. I tu však některé škodlivé kódy dokáţou odposlechnout a na takové zabezpečení se tedy spolehnout zrovna nedá Autorizační SMS Obrázek 20: Přihlášení do IB pomocí uživatelského jména a hesla Zdroj: Vlastní tvorba Jako doplňkovou sluţbou pro identifikaci klienta uţivatelským jménem a heslem, je autorizační SMS zpráva výborným zabezpečením a dosti míru ochrany zvyšuje. Kaţdá transakce či pouhé přihlášení do internetového bankovnictví si vyţádá unikátně vygenerovaný SMS klíč, který Vám banka zašle SMS zprávou na předem zvolené telefonní číslo. Do internetového bankovnictví se dostanete či provedete transakci aţ po té, co toto unikátní heslo zadáte. Takové heslo je pouţitelné pouze jednou a obvykle má i omezenou časovou platnost. I kdyby byl tedy Váš počítač napaden škodlivým kódem a Vaše přístupové údaje byly odposlechnuty, máte další úroveň zabezpečení a tedy i překáţku pro hackera, který se chce k Vašim penězům dostat. Bohuţel se v nedávné minulosti, díky "chytrým" mobilním telefonům, které mají plnohodnotný operační systém a jsou dnes naprostým boomem, začali objevovat pokusy o infikování těchto "chytrých" telefonů škodlivým kódem, který bez Vašeho vědomí odchytí a odešle autorizační SMS zprávu. Je tu tak moţnost, ţe pokud hacker zná přístupové údaje, do Vašeho internetového bankovnictví, přihlásí se a ačkoli SMS bude směřována na Váš mobilní telefon, hacker SMS zprávu odchytí, přepošle ji sobě a bez Vašeho vědomí se na účet dostane. 69

70 5.1.3 Osobní certifikát Osobní certifikát je elektronickým ověřením totoţnosti osoby, které byl vydán a klient s jeho pomocí prokazuje bance svou totoţnost v případě, ţe s ní chce komunikovat elektronicky. Osobní certifikáty tak zároveň slouţí jako elektronický podpis. Tato elektronická náhrada podpisu normálního funguje na principu asymetrického šifrování a pro podepsání dokumentu je nutno nejprve vytvořit otisk dokumentu, který nazýváme hash. Tento hash je dále zašifrován privátním klíčem autora, který je tajný. V tuto chvíli je elektronický podpis na světě. Druhá strana však ještě potřebuje ověřit jeho důvěryhodnost a to, ţe cestou nebylo s dokumentem manipulováno. To se dělá tak, ţe druhá strana opět vypočte hash dokumentu a rozšifruje obsah elektronického podpisu autorovým veřejným klíčem. Rozšifrovaný výsledek se pak porovnává s hashem dokumentu, který při stoprocentní shodě poskytuje záruky o tom, ţe se s dokumentem nemanipulovalo. Důvěryhodnost je pak zajištěna certifikátem vydávaným některou z důvěryhodných certifikačních autorit, coţ je vlastně elektronicky podepsaný veřejný klíč doplněný o identifikační údaje jeho majitele. Elektronický podpis je vyuţíván jak ke komunikaci s orgány veřejné správy, tak i ve sféře komerční. V bankovní sféře se pak vyuţívá například k podepisování transakcí, coţ je realizováno dvěma způsoby. Buď máte certifikát uloţen jako soubor na některém ze svých uloţišť (flash disk, cd, pevný disk), nebo na čipové kartě vydávané bankou, k jejímuţ pouţití je nutnost mít čtečku čipových karet Elektronický bezpečnostní klíč Obrázek 21: Přihlášení do IB pomocí čipové karty Zdroj: Vlastní tvorba Kalkulačka nebo token, jak se tomuto zařízení také říká, je generátor unikátního bezpečnostního hesla, které se generuje v zařízení vypadající jako malá kalkulačka. Toto zařízení si klient banky musí zpravidla koupit, avšak jakékoli další instalování čehokoliv do počítače odpadá. Výhodou kalkulačky je také její přenosnost. V praxi funguje tak, ţe po zadání přístupového PIN kódu do kalkulačky se vygeneruje časově omezené jednorázové 70

PLATBY KARTOU NA INTERNETU

PLATBY KARTOU NA INTERNETU PLATBY KARTOU NA INTERNETU Chcete rychle, pohodlně a bezpečně nakupovat z pohodlí domova či kanceláře? Není nic jednoduššího, než nakupovat přes internet kartou. Karta šetří Váš čas i peníze S kartou můžete

Více

Podvody v bankovní praxi

Podvody v bankovní praxi Podvody v bankovní praxi Pavel Gernt Credit Fraud Manager Raiffeisenbank Obsah Hlavní rizika používání platebních karet Na co si dát pozor v transakčních podvodech Specifika úvěrových podvodů v segmentu

Více

Ostatní služby bank. Bc. Alena Kozubová

Ostatní služby bank. Bc. Alena Kozubová Ostatní služby bank Bc. Alena Kozubová Ostatní služby Obchody s cizími měnami Přímé bankovnictví Platební karty Operace s cennými papíry Poradenské služby Obchody s cizími měnami Česká národní banka na

Více

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě Aktuální hrozby internetu 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě Trojské koně Viz předchozí hodina. Škodlivý program, který v počítači vytváří podmínky pro přijímání dalších škodlivých programů.

Více

Úhradová forma placení Nástroje bezhotovostního placení

Úhradová forma placení Nástroje bezhotovostního placení Úhradová forma placení Nástroje bezhotovostního placení HOR_62_INOVACE_8.ZSV.4 Mgr. Jana Horná 8. ročník ( VI/2 EU OPVK) 5. 10. 2012 Základy společenský věd 8. ročník; Úhradová forma placení. Nástroje

Více

Evropský polytechnický institut, s.r.o. BAKALÁŘSKÁ PRÁCE 2014 LENKA HOLÁ

Evropský polytechnický institut, s.r.o. BAKALÁŘSKÁ PRÁCE 2014 LENKA HOLÁ Evropský polytechnický institut, s.r.o. BAKALÁŘSKÁ PRÁCE 2014 LENKA HOLÁ Evropský polytechnický institut, s.r.o. v Kunovicích Studijní obor: Finance a daně, Ekonomická informatika SOFTWAROVÝ AUDIT (Bakalářská

Více

CZ.1.07/1.5.00/34.0036. Inovace a individualizace výuky VY_62_INOVACE_ZEL16. BEZPEČNOSTNĚ PRÁVNÍ AKADEMIE BRNO, s.r.o.

CZ.1.07/1.5.00/34.0036. Inovace a individualizace výuky VY_62_INOVACE_ZEL16. BEZPEČNOSTNĚ PRÁVNÍ AKADEMIE BRNO, s.r.o. Číslo projektu CZ.1.07/1.5.00/34.0036 Název projektu Inovace a individualizace výuky Číslo materiálu Název školy Autor VY_62_INOVACE_ZEL16 BEZPEČNOSTNĚ PRÁVNÍ AKADEMIE BRNO, s.r.o., střední škola Ing.

Více

Elektronické bankovnictví IV. čtvrtek, 31. května 12

Elektronické bankovnictví IV. čtvrtek, 31. května 12 Elektronické bankovnictví IV. Hrozby elektronického bankovnictví Slepá důvěra a hloupost = možnost zneužití sociálního inženýrství Phishing Vážený kliente, obracíme se na Vás se žádostí ověření vašeho

Více

Bezpečnost ve světě ICT - 10

Bezpečnost ve světě ICT - 10 Informační systémy 2 Bezpečnost ve světě ICT - 10 Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: pondělí 8 50 10 25 Spojení: e-mail: jan.skrbek@tul.cz tel.: 48 535 2442 Obsah: Bezpečnostní hrozby

Více

Postup nastavení bezpečné E-mailové schránky pro zákazníky Logicentra

Postup nastavení bezpečné E-mailové schránky pro zákazníky Logicentra Postup nastavení bezpečné E-mailové schránky pro zákazníky Logicentra Důvod přidělování speciálních schránek. Podle posledních statistik kolem 90 % všech E-mailů na Internetu tvoří nevyžádaná pošta. Patří

Více

Manuál pro majitele Korporátní karty. Manuál pro majitele Korporátní karty

Manuál pro majitele Korporátní karty. Manuál pro majitele Korporátní karty Manuál pro majitele Korporátní karty Obsah příručky 1 MojeBanka Business...3 1.1 Přihlášení do aplikace MojeBanka Business...3 1.2 Elektronické výpisy v sekci evýpisy...3 1.3 Výpisy v sekci Výpisy transakcí...4

Více

Registrační číslo projektu: Škola adresa: Šablona: Ověření ve výuce Pořadové číslo hodiny: Třída: Předmět: Název: E-mail I víme o něm vše?

Registrační číslo projektu: Škola adresa: Šablona: Ověření ve výuce Pořadové číslo hodiny: Třída: Předmět: Název: E-mail I víme o něm vše? Registrační číslo projektu: CZ.1.07/1.4.00/21.3712 Škola adresa: Základní škola T. G. Masaryka Ivančice, Na Brněnce 1, okres Brno-venkov, příspěvková organizace Na Brněnce 1, Ivančice, okres Brno-venkov

Více

III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Název školy Gymnázium, Šternberk, Horní nám. 5 Číslo projektu CZ.1.07/1.5.00/34.0218 Šablona III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Označení materiálu VY_32_INOVACE_Zim15 Vypracoval, Dne

Více

Bezpečné placení na internetu

Bezpečné placení na internetu David Lorenc dlorenc@csas.cz Přímé bankovnictví, Česká spořitelna 22.02.2011 Praha Agenda 1. Podvody řešené v bankách 2. Jak je bezpečné placení na internetu 3. Vnímání bezpečnosti klienty 4. Bezpečnost

Více

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové

Více

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ Bohdan Vrabec PCS spol. s r.o. b.vrabec@pcs.cz www.dataguard.cz Založena v roce 1992 Zeměření na IT bezpečnost Poskytování

Více

Lyoness tajemství nakupovat

Lyoness tajemství nakupovat Možnosti nakupování Lyoness tajemství nakupovat 1. Uplatnění CashBack karty 2. Přímá platba (Potvrzení o platbě) 3. Originální poukázky 4. Online poukázka 5. Převod elektrické energie a plynu 1. Uplatnění

Více

CitiManager: Stručný návod k přechodu na nový systém pro držitele karet

CitiManager: Stručný návod k přechodu na nový systém pro držitele karet Tento stručný návod vám ukáže: 1. jak postupovat při registraci do CitiManager a) Pouze pro stávající držitele karet, kteří používají online výpisy b) Pouze pro držitele karet, kteří používají papírové

Více

Číslo projektu CZ.1.07/1.5.00/34.0394 Škola SOŠ a SOU Hustopeče, Masarykovo nám. 1 Ing. Miriam Sedláčková Číslo

Číslo projektu CZ.1.07/1.5.00/34.0394 Škola SOŠ a SOU Hustopeče, Masarykovo nám. 1 Ing. Miriam Sedláčková Číslo Číslo projektu CZ.1.07/1.5.00/34.0394 Škola SOŠ a SOU Hustopeče, Masarykovo nám. 1 Autor Ing. Miriam Sedláčková Číslo VY_32_INOVACE_ICT.3.06 Název Teorie internetu- bezpečnost Téma hodiny Bezpečné užívání

Více

Expresní linka. První kroky se službou Expresní linka

Expresní linka. První kroky se službou Expresní linka Expresní linka První kroky se službou Expresní linka OBSAH Co Vám Expresní linka nabízí? 3 Možnost zabezpečení přístupu k Expresní lince 4 První kroky Registrace čísla Vašeho mobilního telefonu 4 První

Více

Stinnou stránkou elektronické komunikace nejsou jenom HOAXy. Josef Džubák www.hoax.cz

Stinnou stránkou elektronické komunikace nejsou jenom HOAXy. Josef Džubák www.hoax.cz Stinnou stránkou elektronické komunikace nejsou jenom HOAXy Josef Džubák www.hoax.cz HOAX? Co to je? Anglické slovo, znamená v překladu: - Mystifikace Podvod Žert Novinářská kachna Kde je začátek? Fámy

Více

Aktualizovat operační systém a programy. Tyto aktualizace obsahují prvky zabezpečení systému i různých programů.

Aktualizovat operační systém a programy. Tyto aktualizace obsahují prvky zabezpečení systému i různých programů. Při práci a pohybu na Internetu hrozí nám i našemu počítačovému vybavení řada nebezpečí. Řekneme si, jak postupovat, aby práce s Internetem neohrozila naše soukromí, nebo techniku, kterou využíváme. Ohrožení

Více

Práce s e-mailovými schránkami v síti Selfnet

Práce s e-mailovými schránkami v síti Selfnet Práce s e-mailovými schránkami v síti Selfnet Obsah návodu Základní informace k nastavení schránky selfnet.cz...2 Doporučené parametry nastavení e-mailového klienta...2 Základní informace k nastavení e-mailové

Více

Instalace a první spuštění Programu Job Abacus Pro

Instalace a první spuštění Programu Job Abacus Pro Instalace a první spuštění Programu Job Abacus Pro Pro chod programu je nutné mít nainstalované databázové úložiště, které je připraveno v instalačním balíčku GAMP, který si stáhnete z našich webových

Více

UŽIVATELSKÁ PŘÍRUČKA INTERNETOVÉHO

UŽIVATELSKÁ PŘÍRUČKA INTERNETOVÉHO OBSAH UŽIVATELSKÉ PŘÍRUČKY: UŽIVATELSKÁ PŘÍRUČKA INTERNETOVÉHO BANKOVNICTVÍ CITFIN, SPOŘITELNÍ DRUŽSTVO PRO VÍCE INFORMACÍ VOLEJTE +420 234 092 333 1 VSTUP DO INTERNETOVÉHO BANKOVNICTVÍ 1 PŘIHLÁŠENÍ SE

Více

Platební systém XPAY [www.xpay.cz]

Platební systém XPAY [www.xpay.cz] Platební systém XPAY [www.xpay.cz] popis platebních metod Bankovní převod a Poštovní poukázka v ČR a SR a průběhu platby verze 19 / 29.2.2012 1 Obsah 1 Přehled platebních metod 3 1.1 Bankovní převod v

Více

VY_62_INOVACE_1ZIM68. Autor: Mgr. Jana Zimková. Datum: 7.10.2011. Ročník: 5. Vzdělávací oblast: Finanční gramotnost. Předmět: Matematika

VY_62_INOVACE_1ZIM68. Autor: Mgr. Jana Zimková. Datum: 7.10.2011. Ročník: 5. Vzdělávací oblast: Finanční gramotnost. Předmět: Matematika VY_62_INOVACE_1ZIM68 Autor: Mgr. Jana Zimková Datum: 7.10.2011 Ročník: 5. Vzdělávací oblast: Finanční gramotnost Předmět: Matematika Tematický okruh: Nestandardní aplikační úlohy a problémy Téma: Pokladnička

Více

RYCHLÝ PRŮVODCE INTERNETOVÝM BANKOVNICTVÍM

RYCHLÝ PRŮVODCE INTERNETOVÝM BANKOVNICTVÍM RYCHLÝ PRŮVODCE INTERNETOVÝM BANKOVNICTVÍM JAK SE PŘIHLÁSIT Do internetového bankovnictví se přihlásíte na adrese www.bankservis.cz Pro přihlášení zadejte Přihlásit. prosím Vaše klientské číslo a PIN.

Více

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA hlavac@dcit.cz DCIT, a.s., http://www.dcit.cz

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA hlavac@dcit.cz DCIT, a.s., http://www.dcit.cz Jen technická ochrana nestačí Ing. Jindřich Hlaváč, CISA hlavac@dcit.cz DCIT, a.s., http://www.dcit.cz Statistika nuda je Statistika technologií 98 % uživatelů PC používá antivirový program 70 % uživatelů

Více

Platební systém XPAY [www.xpay.cz]

Platební systém XPAY [www.xpay.cz] Platební systém XPAY [www.xpay.cz] popis platební metody MTSMS a průběhu platby verze / 9..0 Obsah Přehled platebních metod. MTSMS. MTSMS [erotický obsah] Průběh platby. Platba s přesměrování na platební

Více

Sbírka tipů pro SERVIS 24

Sbírka tipů pro SERVIS 24 Sbírka tipů pro SERVIS 24 AKTIVACE LIMITY 3D SECURE SMS PIN Obsah Aktivace elektronického výpisu... 1 Změna limitů u platební karty... 2 Oblíbené položky... 3 Zrychlené převody... 4 Recyklace plateb...

Více

BLESK peněženka předplacená platební karta. Nominace o Cenu v soutěži Zlatá koruna v kategorii finanční produkty Novinka roku. MOPET CZ a.s.

BLESK peněženka předplacená platební karta. Nominace o Cenu v soutěži Zlatá koruna v kategorii finanční produkty Novinka roku. MOPET CZ a.s. BLESK peněženka předplacená platební karta. Nominace o Cenu v soutěži Zlatá koruna v kategorii finanční produkty Novinka roku MOPET CZ a.s. Proč předplacená platební karta Na českém trhu do roku 2014 neexistovala

Více

Platební systém XPAY [www.xpay.cz]

Platební systém XPAY [www.xpay.cz] Platební systém XPAY [www.xpay.cz] popis platebních metod PRSMS a průběhu platby verze 17 / 29.2.2012 1 Obsah 1 Přehled platebních metod 3 1.1 Premium rate SMS 3 1.2 Premium rate SMS [erotický obsah] 3

Více

Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci

Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci Obsah 1 Základní informace o aplikaci... 2 2 Uživatelský účet... 2 2.1 Dodatečná autentizace... 2 2.2 Aktivace nově založeného uživatelského

Více

iphone 4.x.x. (3G, 3GS, 4) a Android 2.1, 2.2, 2.3.3. verze 1 / září 2011

iphone 4.x.x. (3G, 3GS, 4) a Android 2.1, 2.2, 2.3.3. verze 1 / září 2011 Manuál mobilního bankovnictví iphone 4.x.x. (3G, 3GS, 4) a Android 2.1, 2.2, 2.3.3. verze 1 / září 2011 Přihlášení Vstupní stránka pro přihlášení do aplikace mobilního bankovnictví. Stránka pro přihlášení

Více

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT SOU Valašské Klobouky Radomír Soural Zkvalitnění výuky prostřednictvím ICT Název a číslo projektu CZ.1.07/1.5.00/34.0459 Název školy SOU Valašské Klobouky, Brumovská 456 Název klíčové aktivity III/2 Inovace

Více

Co je to E-Business Centrum

Co je to E-Business Centrum Co je to E-Business Centrum Jedná se o internetovou aplikaci, která je určena k oboustranné výměně informací mezi informačním systémem firmy Bartech, s.r.o. a zákazníkem. Přínosem jsou informace o novinkách,

Více

Jak nastavit poštu v síti SPKFree

Jak nastavit poštu v síti SPKFree Jak nastavit poštu v síti SPKFree V poslední době se množí dotazy kolem pošty. Ti, kteří je kladou jsou bohužel ztraceni a vůbec nechápou základní věci. Ti, kteří odpovídají šílí, jak někdo může nevědět

Více

Šablona: III/2 Inovace ve výuce prostřednictvím ICT Číslo výukového materiálu: 383 Informatika - software Mgr. Lenka Hanykýřová

Šablona: III/2 Inovace ve výuce prostřednictvím ICT Číslo výukového materiálu: 383 Informatika - software Mgr. Lenka Hanykýřová Základní škola Nový Bor, náměstí Míru 128, okres Česká Lípa, příspěvková organizace e-mail: info@zsnamesti.cz; www.zsnamesti.cz; telefon: 487 722 010; fax: 487 722 378 Registrační číslo: CZ.1.07/1.4.00/21.3267

Více

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 27 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek: Anotace: CZ.1.07/1.5.00/34.0410

Více

Tematický celek: Základy hardware a sítí. Učivo (téma): Hrozby internetu škodlivé programy

Tematický celek: Základy hardware a sítí. Učivo (téma): Hrozby internetu škodlivé programy Označení materiálu: VY_32_INOVACE_IKT_K_55 Autor: Jaromír Škrabal Tematický celek: Základy hardware a sítí Učivo (téma): Hrozby internetu škodlivé programy www.zlinskedumy.cz Stručná charakteristika Materiál

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Příručka pro uživatele Telefonního bankovnictví

Příručka pro uživatele Telefonního bankovnictví Příručka pro uživatele Telefonního bankovnictví Vážený kliente, naším cílem je nabídnout Vám takové finanční služby, které Váš skutečný život zjednoduší. Proto jsme se rozhodli novou podobu našich finančních

Více

Už ivatelska dokumentace

Už ivatelska dokumentace Už ivatelska dokumentace Aplikace Portál úspěšných projektů je určena k publikování informací o projektech realizovaných za přispění některého z Operačních programů v gesci Ministerstva vnitra České republiky.

Více

Manuál pro implementaci služby PLATBA 24. Datum: 17. prosince 2014 Verze: 1.49

Manuál pro implementaci služby PLATBA 24. Datum: 17. prosince 2014 Verze: 1.49 Manuál pro implementaci služby PLATBA 24 Datum: 17. prosince 2014 Verze: 1.49 1 Úvodní informace ke službě PLATBA 24... 3 1.1 Obecný popis služby... 3 1.2 Administrativní předpoklady k využití služby PLATBA

Více

Střední průmyslová škola strojnická Olomouc tř.17. listopadu 49. Výukový materiál zpracovaný v rámci projektu Výuka moderně

Střední průmyslová škola strojnická Olomouc tř.17. listopadu 49. Výukový materiál zpracovaný v rámci projektu Výuka moderně Střední průmyslová škola strojnická Olomouc tř.17. listopadu 49 Výukový materiál zpracovaný v rámci projektu Výuka moderně Registrační číslo projektu: CZ.1.07/1.5.00/34.0205 Šablona: VI/2 Sada: 1 Číslo

Více

U:fonova samoobsluha. Uživatelský manuál

U:fonova samoobsluha. Uživatelský manuál U:fonova samoobsluha Strana 1 (celkem 15) v1.1 21.8.2008 OBSAH: 1) Úvod 2) Přihlášení do samoobsluhy Ověření přihlašovacích údajů Chybně uvedeny přihlašovací údaje Ověření snadno zneužitelného hesla Úvodní

Více

WEBTRANSFER česky REGISTRACE

WEBTRANSFER česky REGISTRACE WEBTRANSFER česky REGISTRACE Oficiální stránka Webtransfer Mikroúvěry od lidí k lidem (P2P) PŮJČÍ POSKYTOVATELÉ SPLÁCÍ ZÁJEMCI O projektu Je to platforma pro poskytování mikropůjček (mikroúvěrů) tzv. Peer

Více

Web-terminal User s Guide A S S E T M A N A G E M E N T P R O J E C T. Verze 1.0 Česky

Web-terminal User s Guide A S S E T M A N A G E M E N T P R O J E C T. Verze 1.0 Česky www.faunus-am.com www.faunusanalytics.com Web-terminal User s Guide A S S E T M A N A G E M E N T P R O J E C T Verze 1.0 Česky I Copyright 2010 Faunus Analytics LLC. Daný dokument je majetkem společnosti

Více

Vybrané formy kybernetické trestné činnosti páchané na dětech Miroslav Petrák

Vybrané formy kybernetické trestné činnosti páchané na dětech Miroslav Petrák Vybrané formy kybernetické trestné činnosti páchané na dětech Miroslav Petrák státní zástupce Okresního státního zastupitelství v Jindřichově Hradci mpetrak@osz.jhr.justice.cz Jihlava září 2013 Obsah -

Více

Manuál QPos Pokladna V1.18.1

Manuál QPos Pokladna V1.18.1 Manuál QPos Pokladna V1.18.1 OBSAH Obsah 1. QPOS dotyková pokladna... 3 2. Jak číst tento manuál... 4 2.1. Čím začít?... 4 2.2. Členění kapitol... 4 2.3. Speciální text... 4 3. První spuštění... 5 3.1.

Více

Zvyšování kvality výuky technických oborů

Zvyšování kvality výuky technických oborů Zvyšování kvality výuky technických oborů Klíčová aktivita VI.2 Vytváření podmínek pro rozvoj znalostí, schopností a dovedností v oblasti finanční gramotnosti Výukový materiál pro téma VI.2.1 Řemeslná

Více

Nastavení telefonu Samsung S5610

Nastavení telefonu Samsung S5610 Nastavení telefonu Samsung S5610 Telefon Samsung S5610, zakoupený v prodejní síti společnosti T-Mobile Czech Republic a.s., má potřebné parametry pro použití T-Mobile služeb již přednastaveny. Pokud je

Více

Mgr. Stěpan Stěpanov, 2013

Mgr. Stěpan Stěpanov, 2013 Mgr. Stěpan Stěpanov, 2013 Co to je počítačový spam? Otázka 1 Počítačový virus Masově šířená zpráva Šunka, prodávaná online Druh spywaru Odpověď 1 Počítačový spam je nevyžádané masově šířené mediální sdělení,

Více

Internet Banka v mobilu

Internet Banka v mobilu Internet Banka v mobilu Obsah Co je Internet Banka v mobilu?... 3 Co umí Internet Banka v mobilu?... 3 Kdo může používat Internet Banku v mobilu?... 3 Na jakých telefonech Internet Banka v mobilu funguje?...

Více

NÁVOD K POUŽÍVÁNÍ DIGITÁLNÍ PENĚŽENKY MASTERCARD MOBILE

NÁVOD K POUŽÍVÁNÍ DIGITÁLNÍ PENĚŽENKY MASTERCARD MOBILE 1 Podporované platformy Aplikace MC Mobile je podporovaná na zařízeních: iphone (iphone 3GS, iphone 4, iphone 4S, iphone 5) ipad (ipad, ipad 2, ipad 3rd generation) Android. Pozn.: minimální podporované

Více

Aktuální trendy a inovace v on-line platbách. Václav Keřka 29. května 2014

Aktuální trendy a inovace v on-line platbách. Václav Keřka 29. května 2014 Aktuální trendy a inovace v on-line platbách Václav Keřka 29. května 2014 1 Aktuální trendy v on-line platbách Kde se nakupuje na internetu v Česku? Odhad počtu českých e-shopů Platba kartou 30 000 Tržby

Více

Nápověda pro efektivní užívání služeb První Mobil

Nápověda pro efektivní užívání služeb První Mobil Nápověda pro efektivní užívání služeb První Mobil 1 Obsah Užitečné informace... 3 Získání SIM s novým číslem... 3 Získání SIM se svým současným číslem... 3 Aktivace SIM... 3 ČVOP... 4 Jak získat ČVOP...

Více

CISCO CCNA I. 8. Rizika síťového narušení

CISCO CCNA I. 8. Rizika síťového narušení CISCO CCNA I. 8. Rizika síťového narušení Základní pojmy Rizika Devastace sítě Ztráta dat a důležitých informací Ztráta kontroly nad sítí Následnéčasové ztráty Krádež dat Ztráta identity (bankovní operace

Více

Vzhled a popis hlavních funkcí systému SMSbrána.cz

Vzhled a popis hlavních funkcí systému SMSbrána.cz Vzhled a popis hlavních funkcí systému SMSbrána.cz www.smsbrana.cz Hlavní stránka a přihlášení do systému 4 Neogenia s.r.o. +420 5 9 260 info@smsbrana.cz www.neogenia.cz Odesílač SMS Nejdůležitější část

Více

MANUÁL PRO STUDENTY ŠKOLNÍ INFORMAČNÍ SYSTÉM

MANUÁL PRO STUDENTY ŠKOLNÍ INFORMAČNÍ SYSTÉM MANUÁL PRO STUDENTY ŠKOLNÍ INFORMAČNÍ SYSTÉM Obsah 1. SLOVO NA ÚVOD... 2 2. MANUÁL K JEDNOTLIVÝM ÚKONŮM... 2 A. PRVNÍ PŘIHLÁŠENÍ DO ŠISU... 2 B. UŢIVATELSKÉ JMÉNO A HESLO... 3 C. ÚVODNÍ STRÁNKA (HOME)

Více

Registr práv a povinností

Registr práv a povinností Registr práv a povinností Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP v4.0

Více

Bezpečná správa dodavatele. Návod k nastavení HP dodavatele: Jak zaregistrovat vaši firmu v databázi dodavatelů HP

Bezpečná správa dodavatele. Návod k nastavení HP dodavatele: Jak zaregistrovat vaši firmu v databázi dodavatelů HP Návod k nastavení HP dodavatele: Jak zaregistrovat vaši firmu v databázi dodavatelů HP Global Procurement Poslední aktualizace: 2 February 2012 OBSAH Téma 1 Proč potřebuje HP údaje o vaší společnosti?...

Více

Internet - základní pojmy

Internet - základní pojmy Název školy: Střední odborná škola stavební Karlovy Vary Sabinovo náměstí 16, 360 09 Karlovy Vary Autor: Ing. Hana Šmídová Název materiálu: VY_32_INOVACE_07_INTERNET_P2 Číslo projektu: CZ 1.07/1.5.00/34.1077

Více

schopni vysvětlit, co znamená protokol NFS a k čemu se používá; umět rozpoznat autorské dílo a znát autorská práva;

schopni vysvětlit, co znamená protokol NFS a k čemu se používá; umět rozpoznat autorské dílo a znát autorská práva; POKYNY KE STUDIU 1 Rozšiřující data na Internetu Pracovní materiály Doprovodné obrázky a videa na Internetu Rejstřík pojmů 7 SDÍLENÍ DAT Čas ke studiu: 1,5 hodiny Cíl: Po prostudování této kapitoly budete:

Více

VY_32_INOVACE_IKTO2_1960 PCH

VY_32_INOVACE_IKTO2_1960 PCH VY_32_INOVACE_IKTO2_1960 PCH VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU: CZ.1.07/1.5.00/34.0883 NÁZEV PROJEKTU: ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY: III/2 DATUM VYTVOŘENÍ:

Více

Při ochraně Vašeho majetku spoléhejte na silného partnera a spolehlivou technologii. Galaxy Flex

Při ochraně Vašeho majetku spoléhejte na silného partnera a spolehlivou technologii. Galaxy Flex Galaxy Flex Integrovaný systém zabezpečení a kontroly vstupu výrobce Honeywell Galaxy Flex Při ochraně Vašeho majetku spoléhejte na silného partnera a spolehlivou technologii Spolehlivý zabezpečovací systém

Více

Testování mobilní aplikace Servis24. Semestrální práce z předmětu A7B39TUR Autor: Peter Šourek sourepet@fel.cvut.cz

Testování mobilní aplikace Servis24. Semestrální práce z předmětu A7B39TUR Autor: Peter Šourek sourepet@fel.cvut.cz Testování mobilní aplikace Servis24 Semestrální práce z předmětu A7B39TUR Autor: Peter Šourek sourepet@fel.cvut.cz 1. Obsah 1.Obsah...2 2. aplikace...3 3.Cílová skupina uživatelů...3 4.Use cases...3 4.1První

Více

Informace o poštovním provozu na serveru mail.ktkadan.cz a stručný návod na použití OpenWebMailu

Informace o poštovním provozu na serveru mail.ktkadan.cz a stručný návod na použití OpenWebMailu Informace o poštovním provozu na serveru mail.ktkadan.cz a stručný návod na použití OpenWebMailu 1. Obecné informace Příchozí zprávy se ukládají do vaší schránky na serveru mail.ktkadan.cz. Tuto schránku

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

Základní definice, vztahující se k tématu kybernetické bezpečnosti

Základní definice, vztahující se k tématu kybernetické bezpečnosti Základní definice, vztahující se k tématu kybernetické bezpečnosti PRAHA 2009 Počítačová kriminalita (cyber-crime, kyberzločin): Trestná činnost, v níž figuruje určitým způsobem počítač jako souhrn technického

Více

Škodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007

Škodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007 Škodlivý kód, útok na aplikace Ing. Miloslav Hub, Ph.D. 5. prosince 2007 Viry (1) Nejstaršíforma škodlivého kódu. Základní funkce: Šíření Destrukce Techniky šíření: Bootovacíviry z diskety Souborové viry

Více

Ceník pro Osobní konto České spořitelny

Ceník pro Osobní konto České spořitelny Ceník pro Osobní konto České spořitelny 1. Osobní konto 2. Tuzemský platební styk 3. Debetní karta Visa Gold 4. Přímé bankovnictví 5. Nedodržení smluvních podmínek 1. OSOBNÍ KONTO ČS 1.1 Založení, přechod

Více

1. 3. 2013. Akceptace karet v dopravě

1. 3. 2013. Akceptace karet v dopravě 1. 3. 2013 Akceptace karet v dopravě Platba v dopravě bezkontaktní kartou ČSOB ve spolupráci s DP města Liberec a Jablonec a DP Brno zprovoznila kiosky na prodej jízdenek pomocí bezkontaktní karty. Každá

Více

Návod na instalaci HW certifikátu aplikace PARTNER24

Návod na instalaci HW certifikátu aplikace PARTNER24 Návod na instalaci HW certifikátu aplikace PARTNER24 Verze: 2.13 (19. 8. 2015) Vlastník: CEN7350_03 Jméno souboru: P24_manual_certifikat_hw Obsah Návod na instalaci HW certifikátu aplikace PARTNER24...

Více

Seminární práce. Téma. Jméno, Příjmení, rok,

Seminární práce. Téma. Jméno, Příjmení, rok, Seminární práce Téma Jméno, Příjmení, rok, Obsah 1. O projektu... 2 2. Procházení webu... 2 3. Phishing... 3 a. Co dělat, pokud se stanu obětí phishingu?... 3 b. Falešné webové stránky neboli Spoofing...

Více

1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele.

1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 1. Vstup do aplikace Na adrese: http://i.statnisprava.cz 2. První stránka aplikace 1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 2. Poté budete přesměrováni na stránku

Více

Platební karta slouží k bezhotovostnímu placení K výběru z bankomatu Každá platební karta se skládá z několika základních prvků:

Platební karta slouží k bezhotovostnímu placení K výběru z bankomatu Každá platební karta se skládá z několika základních prvků: Platební karta slouží k bezhotovostnímu placení K výběru z bankomatu Každá platební karta se skládá z několika základních prvků: 1. Logo a název banky jedná se o firemní označení banky, která poskytuje

Více

Bezpečnost elektronických platebních systémů

Bezpečnost elektronických platebních systémů Bezpečnost elektronických platebních systémů Security of electronic payment systems Bc. Matyáš Markusík Diplomová práce 2012 UTB ve Zlíně, Fakulta aplikované informatiky, 2012 4 ABSTRAKT Diplomová práce

Více

PRŮVODCE PRO POUŽÍVÁNÍ ELEKTRONICKÝCH PLATEB

PRŮVODCE PRO POUŽÍVÁNÍ ELEKTRONICKÝCH PLATEB PRŮVODCE PRO POUŽÍVÁNÍ ELEKTRONICKÝCH PLATEB Nejdůležitější funkce Co je epayments ewallet? Jak používat zůstatek na kartě? 1 PRŮVODCE PRO POUŽÍVÁNÍ ELEKTRONICKÝCH PLATEB Po úspěšné registraci do elektronických

Více

Connection Manager - Uživatelská příručka

Connection Manager - Uživatelská příručka Connection Manager - Uživatelská příručka 1.0. vydání 2 Obsah Aplikace Správce připojení 3 Začínáme 3 Spuštění Správce připojení 3 Zobrazení stavu aktuálního připojení 3 Připojení k internetu 3 Připojení

Více

Musím se zaregistrovat, abych mohl(a) platit pomocí Platební brány?

Musím se zaregistrovat, abych mohl(a) platit pomocí Platební brány? PLATEBNÍ BRÁNA ČASTO KLADENÉ DOTAZY - FAQ Co je to Platební brána? Platební brána je jednoduchá a bezpečná platební metoda. Platební brána umožňuje realizovat on-line platby za zboží a služby pomocí internetového

Více

PODMÍNKY DEBETNÍCH VIRTUÁLNÍCH KARET

PODMÍNKY DEBETNÍCH VIRTUÁLNÍCH KARET PODMÍNKY DEBETNÍCH VIRTUÁLNÍCH KARET Tyto Podmínky virtuálních karet obsahují bliţší úpravu práv a povinností vyplývajících z uzavřené smlouvy, na základě které je vydána debetní virtuální platební karta

Více

PROFI TDi s.r.o. 696 37, Želetice 40 www.profi-tdi.cz info@profi-tdi.cz. Návod k používání systému OTDI.CZ

PROFI TDi s.r.o. 696 37, Želetice 40 www.profi-tdi.cz info@profi-tdi.cz. Návod k používání systému OTDI.CZ Návod k používání systému OTDI.CZ Vážený kliente. Děkujeme za projevený zájem o náš on-line systém evidence kontrol, určený speciálně pro účely dozorů staveb. Systém OTDI.CZ nabízí svým uživatelům zejména:

Více

Číslo a název šablony III / 2 = Inovace a zkvalitnění výuky prostřednictvím ICT

Číslo a název šablony III / 2 = Inovace a zkvalitnění výuky prostřednictvím ICT Číslo projektu CZ.1.07/1.5.00/34.0556 Číslo a název šablony III / 2 = Inovace a zkvalitnění výuky prostřednictvím ICT klíčové aktivity Označení materiálu VY_32_INOVACE_SO_IKT_16 Název školy Střední průmyslová

Více

Penetrační testování

Penetrační testování Penetrační testování Michal Zeman Ing. Ladislav Beránek, CSc., MBA Školní rok: 2008-09 Abstrakt Práce se zabývá testováním zranitelnosti informačních systémů. Tyto systémy se dnes velmi rozšiřují a často

Více

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1. Koordinační středisko pro resortní zdravotnické informační systémy Závěrečný test Základy informační bezpečnosti pro uživatele Verze: 1.2 Test - Základy informační bezpečnosti pro uživatele Stránka 2 z

Více

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/21.2374, Modernizace výuky

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/21.2374, Modernizace výuky Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/21.2374, Modernizace výuky Šablona: III/2 Sada: 3 Ověření ve výuce: (nutno poznamenat v TK) Třída: IX.A Datum: 10. 12. 2013 IX.B 17. 12. 2013

Více

Obsah. 1. KROK: Víte, za co utrácíte?... 2. 2. KROK? Máte odpovídající životní úroveň?... 4. 3. KROK: Využíváte finančního trhu?...

Obsah. 1. KROK: Víte, za co utrácíte?... 2. 2. KROK? Máte odpovídající životní úroveň?... 4. 3. KROK: Využíváte finančního trhu?... Obsah 1. KROK: Víte, za co utrácíte?... 2 2. KROK? Máte odpovídající životní úroveň?... 4 3. KROK: Využíváte finančního trhu?... 5 4. Nechejte si poradit od odborníka... 6 www.anekamickova.cz 1 Zdravím

Více

Era osobní účet Příručka pro klienty, kteří dovršili 18 let

Era osobní účet Příručka pro klienty, kteří dovršili 18 let Era osobní účet Příručka pro klienty, kteří dovršili 18 let Co se na vašem účtu mění Způsob podepisování Nyní už všechny dokumenty podepisujete pouze vy. Platební karta Týdenní limit pro výběry z bankomatů

Více

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 28 CZ.1.07/1.5.00/34.0410 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek:

Více

Certifikát. První kroky s certifikátem na čipové kartě

Certifikát. První kroky s certifikátem na čipové kartě Certifikát První kroky s certifikátem na čipové kartě Vážená klientko, vážený kliente, děkujeme Vám za projevení důvěry a blahopřejeme k získání certifikátu. Co je to osobní certifikát Certifikát uložený

Více

MojeBanka - Informace pro příjemce platebních karet

MojeBanka - Informace pro příjemce platebních karet Vážení obchodní partneři, jsme rádi, že Vám můžeme nabídnout moderní a bezpečný způsob distribuce výpisů z akceptace platebních karet. Pro získání elektronických výpisů z je nezbytné, abyste využívali

Více

podmínek v prostoru úřadovny banky a na internetové stránce banky.

podmínek v prostoru úřadovny banky a na internetové stránce banky. Obchodní podmínky pro zajištění vydávání a používání platebních karet k účtům vedeným bankou Fio banka, a.s., IČ 61858374, Praha 1, V Celnici 10, PSČ 117 21, zapsanou v obchodním rejstříku vedeném rejstříkovým

Více

Finanční gramotnost pro SŠ -7. modul Platební karty

Finanční gramotnost pro SŠ -7. modul Platební karty Modul č. 7 Ing. Miroslav Škvára Platební karty a jak se v nich vyznat Co si myslíte? Platební karta je VÝHRA nebo POHROMA? 2 Druhy platebních karet 1. Debetní platební karta 2. Kreditní platební karta

Více

Stav affiliate marketingu v České a Slovenské republice

Stav affiliate marketingu v České a Slovenské republice mariorozensky.cz Stav affiliate marketingu v České a Slovenské republice Možná jste již zaslechli mé oblíbené tvrzení, že pouze 2 % obchodníků využívají affiliate marketing. Affiliate trh sice neustále

Více

Kategorie Základní školy

Kategorie Základní školy Obsah: Kategorie základní školy... 3 1. kolo... 3 2. kolo... 6 3. kolo... 9 Kategorie Střední školy...13 1. kolo...13 2. kolo...16 3. kolo...2 Porovnání stejných otázek u ZŠ a SŠ...23 Kategorie Základní

Více

VÍŠ, CO JE TO BANKA?

VÍŠ, CO JE TO BANKA? VÍŠ, CO JE TO BANKA? Plán vyučovací hodiny (č. 5) TÉMA VYUČOVACÍ HODINY: Víš, co je to banka? VĚK ŽÁKŮ: využití podle úrovně žáků (doporučení 6. až 8. třída) ČASOVÁ DOTACE: 45 minut POTŘEBNÉ MATERIÁLY:

Více

VISA KARTY ELEKTRONICKÉ VÝPISY Z VISA KARET V SYSTÉMECH OFFICE NET ČR (MULTICASH CLASSIC) A ACCESS ONLINE ČR

VISA KARTY ELEKTRONICKÉ VÝPISY Z VISA KARET V SYSTÉMECH OFFICE NET ČR (MULTICASH CLASSIC) A ACCESS ONLINE ČR VISA KARTY ELEKTRONICKÉ VÝPISY Z VISA KARET V SYSTÉMECH OFFICE NET ČR (MULTICASH CLASSIC) A ACCESS ONLINE ČR Elektronické výpisy z VISA karet Doplňková služba Elektronické výpisy z VISA karet umožňuje

Více

Základní zabezpečení. Ing. Radomír Orkáč 28.2.2013, Ostrava. radomir.orkac@vsb.cz

Základní zabezpečení. Ing. Radomír Orkáč 28.2.2013, Ostrava. radomir.orkac@vsb.cz Základní zabezpečení Ing. Radomír Orkáč 28.2.2013, Ostrava radomir.orkac@vsb.cz Mě se to netýká... Proč by se chtěl někdo dostat do mého počítače?! Kresba: Pavel Kantorek Hrozba Cílem útočníka je získat

Více