Bezpečnostní rizika Smart bankovnictví

Bezpečnostní rizika Smart bankovnictví (Stejné hrozby, které představují problém pro PC viry, malware a krádeže identity jsou hrozbou i pro vaše smart zařízení) Doc. Ing. B. Miniberger, CSc Bankovní institut vysoká škola bminiberger@bivs.cz 1

Uživatelé internetu v ČR podle ekonomické aktivity 2

Prostředky elektronického Platební karty bankovnictví Telefonické bankovnictví (klasické a GSM Banking) Homebanking Internetové bankovnictví (klasické a smart ) 3

Internetové bankovnictví Neplnohodnotné vázáno na konkrétní počítač (Homebanking) Plnohodnotné - přístupné z jakéhokoliv počítače připojeného k Internetu proto také nazývané Internet banking) Smart banking současný fenomén elektronického bankovnictví poskytovaný pomocí smart (chytrých) prostředků iphone nebo tabletů vybavených operačním systémem 4

Internet banking Transakce prováděná pomocí internetu je několikrát levnější než transakce provedená pomocí telefonu a až stokrát levnější než na pobočce Počítač klienta ISP klienta INTE RNET Veškerá komunikace mezi klientem a bankou je zašifrována pomocí klíčů (SSL Secure Socket Layer) Délka klíče až 256 bitů ISP banky Bankovní systém 5

Zabezpečení přenosu dat a identifikace banky Přenos bankovních informací je choulostivou záležitostí a jeho zabezpečení musí být věnována patřičná pozornost. Zabezpečení průběhu komunikace s bankou a následné identifikace lze dále rozdělit do tří kategorií. V prvé řadě jde o ověření identity banky, za druhé se jedná o šifrování samotných dat a třetí kategorií je bezpečnost prohlížeče. V případě ověření identity banky jde o zajištění toho, aby byla předávaná citlivá osobní data nasměrována správnému subjektu. Z tohoto důvodu musí být zajištěna nejen identifikace zákazníka, ale také ověřena totožnost bankovního ústavu. V praxi tuto podmínku naplňují všechny banky shodně, a to využíváním tzv. protokolu SSL, v jehož případě sehrává důležitou roli webový prohlížeč, který na klientský počítač certifikát stahuje, ověří a postará se o všechno potřebné. 6

Certifikát pro ČSOB Internetbanking 7

Hodnocení bezpečnosti IB českými uživateli http://www.root.cz/clanky/autorizace-v-internetovembankovnictvi/ 8

Výběr webového prohlížeče Výběr webového prohlížeče je věcí klienta a jehož bezpečnost je pro komunikaci klíčová. Rizika v jeho případě souvisí zejména s bezpečnostními chybami vzniklými při jeho vývoji a možností napadení počítače špionážním softwarem, čemuž lze účinně zabránit sledováním bezpečnostních hlášení, včasným záplatováním, aktualizacemi, instalací antivirových balíků, odstraňovačů spyware a výběrem bezpečného přístupu k aplikaci. Samotným výběrem prohlížeče můžeme mnohým rizikům předejít. Například z pohledu množství chyb a rychlosti jejich oprav jsou na tom alternativní prohlížeče mnohem lépe než Internet Explorer. Chyb je totiž v jejich případě celkově mnohem méně a jsou rychleji opravovány. Mezi nejrozšířenější patří: Internet Explorer, MozillaFirefox, Google Chrome, Opera a Safari. 9

Zranitelnost prohlížečů http://www2.cenzic.com/downloads/cenzic_appsect rj-q2-2010.pdf V zásadě existují dva způsoby útoků: 1. Útok na slabá místa prohlížečů (útočníci pokoušejí odhalit slabá místa v kódu prohlížeče a díky těmto slabinám zaútočit na cílové počítače). 1. Útok na Plug-iny (zásuvné moduly) prohlížečů, které nepodléhají kontrole výrobců webových prohlížečů. 10

Phishing Phishing je podvod za účelem získání soukromých informací a jejich následné zneužití. Návnadou je obvykle e-mail informující o potřebě ověřit majitele účtu, tato stránka se jeví jako original, ale přitom jde o podvrh. Pokud uživatel uvěří textu a poskytne požadované údaje bude mít utočník tyto údaje k dispozici a využije jich ve svůj prospěch a ke ztrátě podvedeného. - Ochrana proti phishingu kontrola certifikátu banky, nezadávat privátní informace, používání vícefaktorové autentizace klienta 11

Pharming Pharming je, sofistikovanější a hlavně nebezpečnější bratr phishingu. Ke své činnosti využívá překladu jména serveru na odpovídající IP adresu, útočí tedy na DNS ( Domain Name Systém ). Pokud uživatel zadá webovou adresu do prohlížeče, DNS server ho nepřesměruje na odpovídající IP adresu, ale na adresu jinou, podvrženou, drženou v moci útočníka. Útočník má velmi podobnou webovou stránku, nerozpoznatelnou od webové stránky bankovního ústavu, takže nic netušící uživatel zadáním svých přístupových údajů poskytne útočníkovi přístup do komunikace s bankou. V tu chvíli má útočník veškerou komunikaci pod kontrolou, včetně přístupových informací daného nic netušícího klienta. 12

Cookies další potenciální hrozba Cookies neznamenají žádné nebezpečí pro počítač jako takový. Přesto cookies mohou být nebezpečné pro ochranu soukromí. Navštívený web si totiž může ukládat do cookies jakékoliv informace, které o návštěvníkovi zjistí a může tak postupně zjišťovat zájmy konkrétního návštěvníka. Které stránky navštěvuje, jaké informace vyhledává, jak často daný web navštěvuje apod. Cookies lze zneužít zejména tehdy, pokud získá útočník přístup k počítači uživatele, neboť cookies na počítači nejsou nijak chráněny. Pak lze předstírat např. cizí identitu. 13

Masivní útoky na servery v Česku Mezi 4. březnem a 8. březnem 2013 zažilo česko řadu masivních útoků nejprve na zpravodajské servery, poté na banky a nakonec na tuzemské mobilní operátory, které zneprovoznily na několik hodin. Bylo to způsobeno DDoS Distributed Denial of Services (zahlcení odesíláním jalových paketů z více zdrojů, které bylo zřejmě organizováno ze zahraničí. Útoky DDoS lze si objednat, je to výnosný obchod řádově desítek až stovek miliard dolarů 14

Přímá reklama na útoky DDoS 15

Desatero bezpečného používání internetového bankovnictví 1. Neprozrazujte přístupové kódy a hesla k účtu blízkým osobám ani pracovníkům banky. 2. Přístupové kódy a hesla k účtu si zaznamenávejte způsobem, který nenapoví případnému nálezci kódů, že se jedná o přístup k internetovému bankovnictví a uchovávejte je odděleně. 3. Pravidelně měňte užívaná hesla. 4. Vyhýbejte se užití neznámých počítačů např. v internetových kavárnách, zvláště pokud nepoužíváte jednorázová hesla pro vstup na účet. V případě, že neznámý počítač musíte využít, při nejbližší následné příležitosti změňte heslo. 5. Pravidelně aktualizujte internetový prohlížeč a operační systém. 6. Využívejte a pravidelně aktualizujte antivirové programy. 7. Podpisový certifikát neukládejte na pevný disk ani na internet. 8. Nedůvěřujte e-mailům z banky, které jste si neobjednali. Nikdy své bezpečnostní údaje neposílejte e-mailem. 9. Ověřte si certifikát stránky, na které se k účtu přihlašujete. Pokud se vám přihlášení k účtu nepodaří, přestože vkládáte dle vašeho názoru správné uživatelské jméno a heslo, neprodleně kontaktujte banku - mohli jste být přesměrováni na jiné stránky. 10. Při ukončení práce s internetovým bankovnictvím se vždy odhlaste a zavřete okno prohlížeče. 16

Smart banking V čem se Smartbakning od GSM bankovnictví zásadně liší? Především tím, že pro tento účel využívá jiné generace mobilních prostředků známých jako chytrý telefon nebo tablet, na kterých je implementován operační systém, umožňující interaktivní práci s aplikací jako u běžného internetového bankovnictví, ale z kteréhokoliv místa, kde je k dispozici Wi-Fi připojení. V současné době existuje několik operačních systémů pro mobilní telefony. Takovými operačními systémy jsou například: Symbian OS, Windows Mobile, ios, Android, PalmOS a další, jejichž výčet a popis by přesáhl rozsah tohoto příspěvku. Nicméně s rostoucí popularitou chytrých telefonů, se dá očekávat nejen dynamický nárůst aplikací, ale také jejich napadení zejména viry. 17

Antivirové, antispamové aj. prostředky Příští rok se počítačoví zločinci zaměří na mobilní zařízení. http://bankovnictvi.ihned.cz/c1-58999730-pocet-utoku-na-mobily-poroste online 21.12. 2012 Vzroste počet cílených a sofistikovaných útoků na mobily a množství škodlivých programů pro mobilní zařízení poroste rychleji než pro osobní počítače. Rozšíří se i koordinované útoky na PC a mobil uživatelů v jeden okamžik, vyplývá z prognózy FortiGuard Labs firmy Fortinet (nyní eviduje asi 50 tisíc vzorků škodlivých kódů pro mobilní zařízení). Bezpečnostní model založený jen na heslech dnes dokážou kyberzločinci překonat během pár minut. Třeba pomocí nástroje za 20 USD mohou vyzkoušet kolem 300 milionů kombinací hesla za pouhých 20 minut Odkaz na FortiGuards http://www.fortinet.com/press_releases/121210.html on-line 8-1-2013 18

AVG Antivirus 19

Některé další antiviry pro mobily http://www.eset.com/home/#acc=null,tab-248177=3om/czcs/antivirus-for-tablets http://cz.norton.com/norton-mobile-security/ 20

Prevence operací mobilního bankovnictví Při všech operacích prováděných prostřednictvím mobilního bankovnictví, je nutno klást důraz na jejich zabezpečení podle zásad, zmíněných pro internetové bankovnictví. Pouze s tím rozdílem (oproti internetové kavárně), že pokud budete pracovat se svým chytrým prostředkem v otevřeném prostoru, musíte si dát pozor, aby nikdo nenahlížel na postup přihlašování se do vaší aplikace. Nikomu tento prostředek nepůjčujte pro práci s jinou aplikací, aniž byste se předem odhlásili. Totéž platí o vašem mobilním telefonu, jestli byl použit pro bezkontaktní platby. Dáváte-li své zařízení do servisu, půjčujete ho na delší dobu jiné osobě, prodáváte ho, nebo již nechcete používat Smart banking, deaktivujte tuto aplikaci přímo v zařízení funkcí k tomu určenou. Zařízení pak nebude možné použít k obsluze vašich účtů. Opětovnou aktivaci pak provedete podle návodu poskytovatele této služby. 21

Některé funkčnosti antivirových Základní ochrana programů Připojení k Internetu je povoleno pouze oprávněným programům Blokování přístupu hackerů do počítače Blokování internetových červů na vstupních místech Prověřuje v době nečinnosti, takže neovlivňuje používání počítače Blokuje útoky online Identifikuje a odstraňuje spyware a nežádoucí monitorovací software Prověřování elektronické pošty je podporováno pro libovolného e- mailového klienta, který je kompatibilní s protokolem POP3 a SMTP Filtruje nevyžádanou poštu Ochrana identity Šifrování vašich hesel online tak, aby je nebylo možné zcizit Ochrana před krádeží identity online atd podroběji viz např.: http://buy.norton.com/estore/rc/nssoptions 22

Shrnutí Smyslem tohoto příspěvku bylo poukázat na některá rizika elektronického platebního styku jak u klasického internetového bankovnictví, tak zejména u plateb pomocí chytrých bezdrátových nástrojů typu smartphonů a tabletů, které se začínají masově užívat v celém světě. S dynamickým rozvojem prodeje, rozšiřováním a využíváním těchto smart prostředků lze očekávat nárůst pozornosti hackerů. Proto by měl každý uživatel věnovat zvýšenou pozornost nejen manipulaci s těmito prostředky, ale také jejich antivirovému zabezpečení. 23

24