Hrozby a trendy Internetbankingu

Podobné dokumenty
Peníze! COMMUNICATION WEDNESDAY 4. listopadu 2015 Osobní bezpečnost na internetu. Karel Miko, DCIT, a.s.

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Elektronické bankovnictví. Přednáška v kurzu KBaA2 ZS 2009

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Bezpečné placení na internetu

Ceník pro službu Moje zdravé finance (založenou od )

Bezpečnost ve světě ICT - 10

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

BYOD podmínky a konsekvence jejich provozu u podnikatele. Tomáš Roubík Advokátní kancelář Roubík & spol.


Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Počítačová bezpečnost Aktualizace OS a aplikačních programů Firewall a další bezpečnostní nástroje

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

Sociální média v ČS: Příležitost nebo bublina. David Lorenc, Jan Průša Přímé bankovnictví 19. října 2010

Listopad 2015 Říjen 2015 Září 2015 Červenec 2015 Červen RubrikyRubriky Vybrat rubriku Auto moto Bankovní půjčka Bankovní

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba,Expresní linka Plus a TF OnLine

BUSINESS 24 Databanking

INFORMACE České spořitelny, a.s. K PLATEBNÍM SLUŽBÁM Firemní a korporátní klientela

hledět, je toto: Kolik si půjčujemekolik budeme splácetjak dlouho Říjen 2015 Září 2015 Červenec 2015 Červen 2015 Květen 2015

Jak nenaletět kyberšmejdům

Vykazování a kontrola zdravotní péče z pohledu zdravotní pojišťovny. Ing. Ladislav Friedrich, CSc. generální ředitel Oborové zdravotní pojišťovny

S 244/ /2006/710 V Brně dne 7. září 2006

most půjčky bez doložení. Pozor však na úroky, na které musíme upozornit. Díky nízkým příjmům na půjčku v bance rozhodně nedosáhnou.

eidas Vyšší bezpečnost elektronické komunikace v EU

PODMÍNKY POUŽÍVÁNÍ APLIKACE ČSOB NANÁKUPY

Tisková konference. 8. února 2006

Autentizační metody na mobilních platformách

reproductive system okamžitou výpomoc v momentě, kdy je opravdu

Vysoká škola ekonomická v Praze. Fakulta managementu v Jindřichově Hradci. Bakalář ská práce. Pavlína Vápeníková

VYSOKÁ ŠKOLA EKONOMICKÁ V PRAZE Fakulta informatiky a statistiky Katedra systémové analýzy. Vedoucí bakalářské práce:

Bezpečnost platebních systémů založených na čipových kartách. Martin Henzl Vysoké učení technické v Brně

problém získat peníze na cokoliv, na bydlení, na auto anebo třeba banking. Posléze budete kontaktováni operátorem call centra, který

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

O2 ENTERPRISE SECURITY. Vít Jergl, Vladimír Kajš

Správa přístupu PS3-1

podmínek v prostoru úřadovny banky a na internetové stránce banky.

zdarma vyhotovení + poštovné + poštovné vyhotovení

UŽIVATELSKÁ PŘÍRUČKA PRO SLUŽBU INTERNETBANKING PPF banky a.s.

půjčky praha 17 day diet. IČO: zprostředkování obchodu,služby v oblasti administrativní správy a služby organizačně hospodářské povahy

Trend Micro - základní informace o společnosti, technologiích a řešeních

Listopad 2015 Říjen 2015 Září 2015 Červenec 2015 Červen RubrikyRubriky Vybrat rubriku Auto moto Bankovní půjčka Bankovní

Bankopojištění. nový trend v distribuci produktů, jeho výhody a nevýhody. Michaela Ambrožová

SAZEBNÍK POPLATKŮ. Podnikatelské a neziskové subjekty, Veřejný sektor. platný od tel.: info@wspk.cz

Prosinec 2015 Listopad 2015 Říjen 2015 Září 2015 Červenec Červen 2015 Květen 2015 Duben 2015 Březen 2015 Únor 2015 Leden

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Bezpečnost elektronických platebních systémů

půjčky na smenku won. ] Jelikož dokáže nabídnout zajímavé částky, které se rozhodně mohou hodit. jan duna says: dobry den prosim ozasleni

DataGuard Význam bezpečnosti mobilních platforem jde ruku v ruce s rostoucí popularitou smartphonů. Bohdan Vrabec PCS spol. s r.o.

Ceník České spořitelny, a.s., pro bankovní obchody (dále jen Ceník)

SAZEBNÍK POPLATKŮ - LIDÉ platný od

ODBORNÝ ČASOPIS PRO PROFESIONÁLNÍ FINANCE

půjčka ihned kraliky maxwell. Řada lidí dokonce využívá půjček několik najednou, což autozastavárna,, Cash Broker, SE, Ideal Reality Hradec Králové,

Vítejte ve světě platebních karet

Realita všedního dne, nebo sci-fi?

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

Prezentace pro konferenci Smart city Brno

OBCHODNÍ PODMÍNKY PRO ELEKTRONICKÝ STYK S BANKOU SBERBANK ONLINE BANKING

Internetové bankovnictví

Pololetní zpráva. za první pololetí roku Raiffeisenbank a.s.

půjčka do something. Částka, kterou si lze zapůjčit je od půjčka do something zkratka BRKI. americké hypotéky, hypoteční kalkulačka, hypotéka

Autentizační server C.A.S.E. Bezpečný a pohodlný single-sign on do interní sítě i cloud služeb.

Schvalování nezajištěných úvěrů. Grym Vojtěch Senior Underwriter

pro fyzické osoby, fyzické osoby podnikatele a právnické osoby

Bezpečnostní projekt Případová studie

INFORMACE České spořitelny, a.s. K PLATEBNÍM SLUŽBÁM Soukromá klientela

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

půjčky fiorinal 3. Určitě Ferratum půjčka Ačkoliv v současné době je zákazníky nejenom bank, ale i nebankovních institucí.

Kaspersky Mobile Security

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Kvalitní data kvalitní agendy

Avast Globální lídr v zabezpečení digitálních zařízení

I. Předmět Všeobecných obchodních podmínek poukázek (dále jen VOPP) Tyto VOPP upravují základní provozní a obchodní podmínky používání poukázek.

pobočka Mladá Boleslav - Mladá Boleslav - konto poplatky - sporici poplatky - CALYON - zaměstnání - banky v ČR - servis 24 - ČS brno

SEPA A INOVACE. esepa. Tomáš Fíla

BYOD nebezpečí, které musíme akceptovat. Richard Voigts DCD Publishing/Reseller Magazine

Sazebník České spořitelny, a.s., pro bankovní obchody (dále jen Sazebník)

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Maturitní témata. Informační a komunikační technologie. Gymnázium, Střední odborná škola a Vyšší odborná škola Ledeč nad Sázavou.

Kategorie Základní školy

STANDARDNÍ SAZEBNÍK ODMĚN A POPLATKŮ

Tisková konference. 21. února 2007

Analýza zabezpečení bankovních účtů bank podnikajících v ČR

Technická univerzita v Liberci Hospodářská fakulta. Elektronické bankovnictví v podmínkách ČR. Electronic banking in conditions CZ BP PE KFÚ

ZDARMA Pracovní doba nonstop Nutno zaslat ověřovací poplatek 1 Kč. 500 až 4. Dozvídáme se z cofidis půjčka provident bank nich, jak

Příloha č. 2: Souhrn odpovědí oslovených subjektů

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Město Police nad Metují tajemník

1. Způsoby zabezpečení internetových bankovních systémů

Unie investičních společností České republiky. únor 2005

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

UŽIVATELSKÁ PŘÍRUČKA PRO INTERNETBANKING PPF banky a.s.

Jste s tímto zvoleným (Vámi preferovaným) způsobem platby spokojen? Co na zvoleném způsobu platby oceňujete?

B7:7B:9E:D2:1F:C8:B3:0C:12:DA:0A:5E:13:53:26:7B:F2:8 D:70:D7, po aktualizaci certifikátu s touto správnou

parametry půjčka 3000 kč na none for the road. You are using an outdated browser půjčka 3000 kč na none for the road.

Transkript:

Pohled banky na bezpečnost přímého bankovnictví David Pikálek Česká spořitelna, a.s. Přímé bankovnictví

Agenda 1. Zkušenost roku 2008 v ČR 1. Phishing 2. Pharming 2. Aktuální trendy v bezpečnosti ADK 1. ČR 2. Evropa a USA 3. Plány ČS v oblasti bezpečnosti 28. 12. 2015 strana 2

Ukázka phishingu na ČS Útočníci se u phishingu hodně rychle učí 28. 12. 2015 strana 3

Dopad phishingu na ČS Následky phishingové vlny z jara 2008: 1) nedošlo k žádnému zneužití peněz přes internetové bankovnictví 2) několik stovek klientů vyzradilo údaje o svých platebních kartách a) někteří včetně PINu b) u poloviny karet došlo k pokusu o zneužití c) k reálným transakcím došlo u 10% karet d) průměrná škoda na kartu byla 13 000 Kč e) díky úspěšným reklamacím byly téměř všechny peníze klientům vráceny 3) zahlcené klientské centrum ve špičce až 3000 telefonátů a 8500 e-mailů denně 4) osvěta klientů intenzivní komunikace bank, ČNB i policie vedla k výraznému zlepšení povědomí klientů o možných hrozbách a připomněla, jak se bezpečně chovat na internetu Phishing se nejvíce zaměřuje na platební karty 28. 12. 2015 strana 4

Pharming V roce 2008 se na českém trhu objevily dva hlavní typy pharmingu: 1) získání přihlašovacích a autorizačních údajů do internet bankingu a) klientův počítač je infikován trojským koněm nebo jiným škodlivým SW b) trojský kůň čeká, až klient použije své internetové bankovnictví c) přesměrování na falešné stránky s cílem získat dodatečné bezpečnostní prvky (např. Bezpečnostní kód) d) pokus o zneužití peněz na účtu klienta 2) získání údajů o platební kartě a) klientův počítač je infikován trojským koněm nebo jiným škodlivým SW b) trojský kůň čeká, až klient použije svou platební kartu c) přesměrování na falešné stránky s cílem získat dodatečné bezpečnostní prvky (CVV/CVC a/nebo PIN) d) pokus o zneužití peněz na účtu klienta Pharming se vloni týkal asi 50 klientů ČS, ani jeden nebyl úspěšný 28. 12. 2015 strana 5

Jak bojovat proti phishingu a pharmingu Hlavní nástroje: 1) Prevence - proaktivní komunikace přímá komunikace na klienty osvěta v médiích 2) Koordinace ČNB a Bankovní asociace Policie ČR technologické firmy (výrobci antivirů, antispamové databáze ) 3) Nové metody zabezpečení dvoufaktorové metody fraud management systémy 28. 12. 2015 strana 6

Letáky na pobočkách a ke stažení na webu 28. 12. 2015 strana 7

Komunikace a) Interní: Maily všem 12,000 zaměstnancům Průběžné info na Intranetu b) Externí Internet Tiskové zprávy Rozhovory Inzerce v tisku Odborná konference Spolupráce s experty 28. 12. 2015 strana 8

Participace na osvětě 28. 12. 2015 strana 9

Agenda 1. Zkušenost roku 2008 v ČR 1. Phishing 2. Pharming 2. Aktuální trendy v bezpečnosti ADK 1. ČR 2. Evropa a USA 3. Plány ČS v oblasti bezpečnosti 28. 12. 2015 strana 10

Nový trend trojské koně Roste počet nových variant Roste počet používaných hostů (zdroj RSA) 28. 12. 2015 strana 11

Mění se cíl útoků Vývoj způsobu útoku: Viry šířené na médiích Makroviry Červy Phishing Pharming Trojské koně Nástroje ochrany: On-demand souborové antiviry Real-time souborové antiviry Personální firewally Antispam filtry Hodnocení důvěryhodnosti??? Úspěšnost detekce trojských koní antivirovými nástroji byla v roce 2009 průměrně 19% (zdroj RSA) 28. 12. 2015 strana 12

Co klienti používají v ČS Počty uživatelů přímého bankovnictví 1 000 000 900 000 800 000 700 000 600 000 500 000 400 000 300 000 200 000 100 000 0 I.08 III.08 V.08 VII.08 IX.08 XI.08 I.09 Aktuální trendy: 1) Počet uživatelů ADK roste z 2,8 milionů běžných účtů v ČS má přímé bankovnictví přes 1,2 milionu z nich (43%) meziroční růst počtu klientů s ADK zpomalil na 9% nejpopulárnějším kanálem se stal internet banking s 940 000 uživateli 2) Transakce jedině přes internet každý pracovní den ČS zpracuje v průměru 270 000 on-line příkazů v objemu skoro osm miliard korun 80% transakcí klienti v ČS zadají přes přímé bankovnictví Telefon Internet GSM 28. 12. 2015 strana 13

Srovnání bezpečnostních metod v ČS Bezpečnostní metody: Počty uživatelů přímého bankovnictví 1) používané metody SMS PKI a čipová karta Autentizační kalkulátor 2) preference klientů nejčastěji používanou metodou zabezpečení jsou autorizační SMS méně než tři procenta klientů používají vyšší formy zabezpečení (kalkulátor nebo PKI) 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 I.08 III.08 V.08 VII.08 Uživatelů celkem IX.08 XI.08 Autentizační kalkulátor PKI na čipové kartě I.09 Klienti jednoznačně preferují jednoduchost před vyšší bezpečností 28. 12. 2015 strana 14

Trendy v EU Řešení bezpečnosti: Většina bank používá různé varianty ověření statickým heslem nebo OTP z tabulky Trendem je posilování bezpečnosti dodatečnými prvky nebo dvoufaktorovými metodami Banka ID/heslo vylepšené heslo SMS Token CAP/DPA PKI Citigroup ne TAN ne Digipass připravuje ne Deutsche Bank ne TAN, Code Card/Number card ne ne připravuje ne ABN-AMRO ano ne ne ano ano ano HSBC ne heslo + kontrolní otázky ne ano ne ne UBS ne ne ne ne ano ne Dexia ano GRID karta, TAN ano ano ano ne Barclays Bank ne PIN + náhodné pozice z hesla ne ne ano ne Fortis ano ne ne ne ano ne Royal Bank of Scotland ne náhodně vybraná písmena z hesla ne ne ano ne ING Direct ano ne ne ne ne ne BNP Paribas ano BAWAG P.S.K. ne ne ne ne ano ano Většina bank zavádí nebo zvažuje metodu EMV CAP/DPA 28. 12. 2015 strana 15

Trendy v ČR Řešení bezpečnosti: Řeší zvlášť autentizaci uživatele a autorizaci pokynů Používání bezpečnostních metod se liší mezi bankami PW TOKEN PKI SMS GRID Summary CITIBANK +/- -/+ -/- -/- -/- +/+ RAIFFEISEN +/- -/- -/- -/+ -/- +/+ POŠTOVNÍ SPOŘITELNA +/- -/- -/- -/+ -/- +/+ ČSOB +/- -/+ +/+ +/- -/- ++/++ KB -/- -/- +/+ -/+ -/- +/++ HVB +/- +/- -/+ -/+ -/- ++/++ E-BANKA -/- +/+ +/+ +/+ -/- +++/+++ ČESKÁ SPOŘITELNA +/- +/+ +/+ -/+ -/- +++/+++ Banky nemají společný přístup k řešení bezpečnosti 28. 12. 2015 strana 16

Agenda 1. Zkušenost roku 2008 v ČR 1. Phishing 2. Pharming 2. Aktuální trendy v bezpečnosti ADK 1. ČR 2. Evropa a USA 3. Plány ČS v oblasti bezpečnosti 28. 12. 2015 strana 17

Komplexní bezpečnost $ $ $ Havarijní plány, krizové scénáře, bezpečnostní politiky Banka Banka Banka Bankovní asociace Incident management, problem management, release management Doporučené nástroje antiviry, diagnostika, firewally Bezpečnostní monitoring Internet Scoring Užívání služby SERVICE24 & BUSINESS24 Authoring & Development Klient Klientské PC Filtering Rozvoj a podpora kanálu Internetbanking Hlášení a řešení problémů Klientský helpdesk Knowledge management Doporučení, návody, sdělení, varování 28. 12. 2015 strana 18

Nové bezpečnostní metody Kritéria pro výběr: Bezpečnost, odolnost proti útokům Použitelnost pro různé kanály přímého bankovnictví Komfort, jednoduchost používání Náročnost z pohledu banky Hodnocené metody: Heslo, vylepšené heslo, generátor OTP, HW token, SMS OTP, digitální podpis Výsledek: Kritériím nejlépe vyhovují metody: SmartSIM a EMV CAP/DPA SmartSIM je SIMToolkit aplikace ovládaná v mobilním telefonu EMV CAP/DPA je aplikace na platební kartě ovládaná off-line čtečkou s klávesnicí Další kroky: Ve skupině ERSTE byla za standard zvolena metoda EMV CAP/DPA V tomto roce příprava projektu, v roce 2011 chceme implementovat ČS připravuje zavedení nových bezpečnostních metod 28. 12. 2015 strana 19

Ochrana klientského PC Doporučení bank: Požadavky na správné verze systému a komponent Personální firewall Antivirový program Pravidelná aktualizace systému a všech programů Opatrnost při používání e-mailu a Internetu Pomoc banky: Včasné informace o nových hrozbách Nástroj, kterým si uživatel PC otestuje Použití nástroje má být dobrovolné Výstupem je jednoduchá informace: PC je/není kompatibilní s aplikací ČS Internetbankingu PC má/nemá známou bezpečnostní zranitelnost V případě nalezení problému nástroj nabídne návod k řešení Většina uživatelů si není jistá nastavením a bezpečností vlastního PC 28. 12. 2015 strana 20

Ochrana banky Banka je povinná sledovat podezřelé aktivity na účtech klientů Řešení: Více automatizovaných nástrojů Hodnotí důvěryhodnost transakcí podle různých příznaků Blacklisty, whitelisty Pravidelné transakce v obvyklé výši Používání známé/prověřené stanice Přihlášení z neobvyklé lokace, v neobvyklou dobu Další sledované vzorce podvodného chování Je zavedený řízený proces sledování Výstupem nástrojů je varování na transakce s vyšším rizikem Pracovníci banky transakce dále prověřují Poslední možností je ověření transakce s klientem 28. 12. 2015 strana 21

Shrnutí 1. Útoky využívající phishing či pharming jsou stále sofistikovanější 2. Novým trendem jsou útoky trojských koní 3. Klíčové aktivity minimalizující riziko 1. Prevence - komunikace 2. Koordinace 3. Nové bezpečnostní metody (u klienta i v bankách) 4. Erste Bank Group bude rozvíjet zejména EMV CAP/DPA a tokeny 28. 12. 2015 strana 22

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář