1. Způsoby zabezpečení internetových bankovních systémů

Transkript

1 Každoročně v České republice roste počet uživatelů internetu, přibývá povědomí o internetových službách, uživatelé hojně využívají internetového bankovnictví. Podle údajů Českého statistického úřadu ve 2. čtvrtletí roku 2008 využívalo služeb internetového bankovnictví 13 % jednotlivců starších 16-ti let. S rostoucím množstvím a vstupem méně zkušených uživatelů internetu do celosvětové sítě samozřejmě vznikají vyšší bezpečnostní nároky na administrátory a tvůrce bankovních informačních systémů. V článku bych se rád zaměřil na způsoby zabezpečení internetových bankovních systémů, způsoby podvodů v internetovém bankovnictví a na zásady bezpečnosti. 1. Způsoby zabezpečení internetových bankovních systémů Zabezpečení se skládá ze tří částí, a to z identifikace banky a zabezpečení přenosu dat, identifikace klienta a v neposlední řadě bezpečnosti klientského počítače. V této kapitole si postupně každou část rozebereme Identifikace banky Identita je nejčastěji ověřována pomocí SSL (Secure Socket Layer) certifikátu, který slouží k ochraně odesílaných dat. Bez tohoto certifikátu by zkušený hacker mohl odposlechnout odesílaná data. Proto doporučuji využívat SSL a sledovat, jestli jsou data podle tohoto standardu odesílána Autentizace klienta Identifikace klienta je ověření totožnosti osoby, která vstupuje do internetového bankovnictví. Nejznámějším a nejběžnějším způsobem autentizace je uživatelské jméno a heslo. Tento způsob je v dnešní době nevyhovující, bývá doplněn o certifikát, tzv. elektronický podpis, což je fyzický soubor, ve kterém jsou zakódovány informace o uživateli. Obvykle je uložen na pevném či eterním disku. Další možností autentizace jsou unikátní vygenerovaná šestimístná čísla, tzv. kódy TAN, které u nás využívá banka Oberbank. Pro přihlášení se použije uživatelské jméno a heslo, jestliže chcete vykonat bankovní operaci, zadáte jednorázový kód TAN, který se použitím zneplatní. Hojně využíván je tzv. SMS klíč. Chce-li uživatel na svém účtu provést akci, například platbu, je po něm vyžadováno zadání jednorázového číselného kódu, který ověří, zda s účtem disponuje skutečně oprávněný uživatel. 1 / 10

2 1.3. Zabezpečení klientského počítače Uživatel by samozřejmě měl také dbát na zabezpečení svého počítače. Nedoporučuji se připojovat do internetového bankovnictví pomocí počítačů v kavárnách a jiných veřejných místech, kde neznáme míru zabezpečení počítače a také jaké programy a viry může počítač obsahovat. Samozřejmostí by měl být pravidelně aktualizovaný počítač s aktuální verzí antivirového programu, anti-spyware program a kvalitní firewalle. Důležitá je taktéž ochrana přístupových údajů a zvolení silného hesla. Heslo by mělo být kombinací čísel a písmen, v žádném případě datum narození apod. Na internetu eistuje plno nástrojů, které umožní ověřit kvalitu hesla. A jak je zabezpečeno internetové bankovnictví v České republice? Srovnání uvádím v tabulce. Zabezpečení bank v České republice Jméno a heslo Certifikát Čipová karta SMS kód Kalkulátor Citibank 2 / 10

3 Česká spořitelna ČSOB 3 / 10

4 E-banka a Raiffeisenbank 4 / 10

5 GE Money Bank Komerční banka 5 / 10

6 Mbanka Poštovní spořitelna 6 / 10

7 UniCredit Volksbank 7 / 10

8 Živnostenská banka 2. Způsoby podvodů v internetovém bankovnictví Pomocí internetového bankovnictví ročně proplují z účtu na účet stovky milionů korun. Tyto peníze samozřejmě přitahují kriminální skupiny, které se formou různých nástrojů snaží na klientech peníze vylákat, či jinak se nabourat do bankovních informačních systémů. Znalosti a povědomí o taktikách hackerů pomohou uživatelům ochránit bankovní účty. V této kapitole vás seznámím s hlavními způsoby podvodů v elektronickém bankovnictví. 8 / 10

9 2.1. Dobrovolné Pod tuto metodu spadají tzv. phishing a pharming. Phishing je podvod za účelem získání a zneužití informací. Nejčastější formou je phishingový , který informuje o produktech a akčních nabídkách banky. Tento obsahuje odkaz na web, jenž je velice podobný webu bankovní instituce, na kterou odkazuje. Jestliže uživatel zadá na tomto webu své přihlašovací údaje, získává útočník hesla a může používat uživatelovo konto. Ochrana je snadná - nereagovat na tyto y, zadávat adresu internetového bankovnictví do příkazového řádku ručně a kontrolovat pravost certifikátů. Pharming je podstatně nebezpečnější. Útočník neoslovuje přímo jednotlivé uživatele služby, ale napadne vybraný DNS server. Jestliže útočník ochranu DNS serverů prolomí, může přenastavit doménová jména na libovolnou adresu. Uživateli se pak v jeho prohlížeči zobrazí falešná stránka a u té, je-li dobře zpracována, i sofistikovanější uživatelé nepoznají pravost webu, přihlásí se do systému a útočník získá cenné přihlašovací údaje. Jediná obrana proti pharmingu je pravidelná kontrola certifikátu, který zfalšovat nelze Odchycení Odchycení je získání přihlašovacích údajů od uživatele podvodem. Většinou se jedná o programy, které jsou v počítači nainstalovány bez vědomí uživatele. Jsou to především trojské koně, spyware a viry. Eistují také programy, které skenují klávesnici a úhozy zaznamenávají do souboru, které později odesílají. Další formou je odposlouchávání komunikace, kdy útočníci odposlouchávají komunikaci mezi bankou a klientem. Ochru je kvalitní antivirový program a instalování ověřených a kvalitních aplikací Od třetích stran Spočívá v získání informací od třetích stran. Například při nákupu v internetovém obchodě získávají jeho provozovatelé citlivé informace, které mohou snadno zneužít. Ochranu vidím v nakupování v ověřených internetových obchodech, kde je toto riziko menší Hacking Hacking je odhalování slabých míst systému za účelem průniku neboli nabourání se do systému. Obrana spočívá na straně autorů bankovních informačních systémů tvorbou kvalitních a bezpečných systémů Lidský faktor Pod poslední položkou si můžeme představit shouldering, což je například dívání se přes rameno a pozdější získání a zneužití přihlašovacích údajů. 9 / 10

10 3. Zásady bezpečnosti Ochrana nejen finančních prostředků, ale i svých osobních údajů by měla být prioritou uživatelů na internetu. Při dodržování zásad bezpečnosti uživatel podstatně sníží možnost odcizení peněz. V této části si popíšeme několik bezpečnostních zásad. Uživatelé by měli používat pouze programy a služby, které jsou dostatečně důvěryhodné. Při vstupu do internetového bankovnictví je nutné si pečlivě zkontrolovat www adresu banky a použitý certifikát. Důležité je také chránit certifikát, své osobní a přihlašovací údaje. Nikdy nikomu nesdělujte své přihlašovací údaje. Neodpovídejte na podvodné y snažící se vylákat hesla. Banka totiž nikdy nekontaktuje uživatele, aby získala tyto informace. Doporučuji taktéž pravidelně kontrolovat pohyb a zůstatek na účtu. V případě nabourání se na účet může vlastník konta včas zasáhnout a zablokovat účet. Jak jsem se již zmínil, samozřejmostí by měl být kvalitní antivirový program. Jestliže je uživatel laik, je dobré se poradit s odborníkem o softwarovém vybavení počítače. Závěrem Bezpečnost internetového bankovnictví by mělo být prioritou jak uživatelů, tak bank, jedná se přece o prestiž, mít kvalitní a bezpečné bankovnictví. Samozřejmě, nedá se dosáhnout stoprocentního zabezpečení, banky by však měly usilovat o včasnou reakci na vzniklé hrozby. Domnívám se, že banky by měly investovat nejen do vývoje bankovních informačních systémů, ale také do lepší informovsti svých klientů. Z nedávného průzkumu totiž jasně vyplývá, že většina úspěšných útoků na internetové bankovnictví je založena na oklamání důvěřivých uživatelů, kteří své přihlašovací údaje zadají na internetových stránkách snažící se napodobit originální bankovní přihlašovací systém. 10 / 10