Čím a proti čemu se brání Česká spořitelna?

Online bankingu svěřuje svou důvěru a peníze stále více uživatelů, u nás mezi nejčastěji využívané služby tohoto druhu patří Servis 24 od České spořitelny. Co hrozí nejen jeho klientům, proč je hodně na očích a jaké možnosti zabezpečení jsou nabízeny?

Drtivá většina uživatelů dnes používá online bankovnictví, přičemž nezáleží na tom, u jakého finančního ústavu mají svůj účet. U jedné banky jsou však možnosti online přístupu k transakcím a stavu účtu mnohem více na očích – řeč je o České spořitelně. Jedním z důvodů je samozřejmě široká obliba u masové veřejnosti, ruku v ruce s tím jde ale také neustále diskuze o možnostech zabezpečení a vyšší počet pokusů o útok.

Bankovnictví podle toho, jak útočníci pískají

V nedávné zprávičce Servis 24 bezpečnější, PaySec stále s nedostatkem jste se mohli dočíst o tom, že Česká spořitelna u svého Servisu 24 zrušila možnost změny autorizačního telefonního čísla po Internetu, tedy toho čísla, na které je zaslána autorizační SMS v případě online transakcí. Pokud tak nyní klient potřebuje změnit telefonní číslo, na které je zasílána autorizační SMS zpráva, musí opět navštívit kamennou pobočku.

Uvedený fakt je zajímavý tím, jak se internetoví útočníci dokážou postarat o návrat ke kořenům. Internetové bankovnictví nám totiž mělo (a samozřejmě stále má) ušetřit chození do vždy přeplněných poboček a mrhání času sezením s pořadovým lístkem v ruce. Také v této oblasti ale platí, že spolu s rozšiřováním online služeb a poskytováním stále většího pohodlí se otevírají cestičky pro zneužití, a tak musí být okovy zase utahovány.

Také za touto poslední změnou v oblasti vynucené autorizace stojí nejspíš škodlivý kód, který klienta banky na první pohled naprosto neviditelně přesměruje na podvodné stránky. Nejčastěji bývají používány phishingové techniky, tedy falešné e-maily s podvrženým odkazem, nebo malware, jenž přesměrování provede přímo na uživatelově počítači na pozadí. V každém případě ale nebezpečí číhá v tom, že si klient banky ničeho podezřelého nevšimne a o podvodníkových transakcích se dozví až z pravidelného výpisu.

Chcete vědět vše o phishingu? Přečtěte si poutavé články o tom, jak se dnes phishing provádí, jakou roli v něm hrají zneužité počítače obyčejných uživatelů Internetu i jak je možné se podvodným e-mailům bránit.

Jak již bylo zmíněno, za popularitou útoků proti internetbankingu České spořitelny ve velké míře stojí její rozšířenost. Jedná se o obecný problém na všech polích počítačové bezpečnosti, útočníci totiž logicky volí útoky na služby a systémy, které hrají prim ve své kategorii. Za všechny jmenujme například pokusy o phishing proti PayPalu, útoky proti systémům Windows nebo právě phishingové vlny proti České spořitelně. Čas od času se ale objeví i nová varianta phishingu, která se uživatele pokouší balamutit oklikou: podvodné e-maily naopak cílí jen na úzkou skupinu lidí.

Jedná se především o obesílání uživatelů některé místní služby nebo menší regionální banky v USA, prostě takové online služby, kde lze vybrat (nebo snadno ukrást databázi) podmnožinu uživatelů a e-mail jim ušít přímo na míru. Namísto nelogických zpráv s rádoby lákavým odkazem pak podvodníci pošlou specifickou zprávu s oslovením a patičkou, navíc kauza hned nenaplní nespočet zpravodajských serverů, jako je tomu v případě klasického masového phishingu.

Bezpečně až v nadstandardu

Pojďme ale zpět ke službě Servis 24 od České spořitelny a podívejme se na to, jaké možnosti zabezpečení vlastně nabízí. Nejjednodušší variantou přihlášení, která od klienta nevyžaduje žádné technické vědomosti nebo vyřizování navíc, je standardní kombinace uživatelské jméno/heslo. (V případě prvního přihlášení ještě takzvaný bezpečnostní kód.) Uživatelské jméno je v tomto případě klientské číslo a heslo si uživatel může změnit. Právě na tuto základní formu klientova přihlášení útočily a útočí phishingové pokusy – stačí zkopírovat vzhled stránky a na vlastním podvodném webu pak data z formuláře zasílat k sobě.

V České spořitelně máte šest možností, jak obsluhovat svůj účet: osobně na pobočce, prostřednictvím sběrného boxu nebo bankomatu a dále „na dálku“ přes telefon, Internet nebo mobilní telefon. Poslední tři zmíněné možnosti jsou efektivní, pokud fungují. Spořitelnu totiž před nedávnem často zrazovala technika. Více v článku Zakletý Servis 24 České spořitelny na serveru Měšec.cz.

Dalším nebezpečím, které může ohrožovat uvedený základní způsob autentizace, jsou keyloggery. Ty zařídí, že jakmile klient zadá údaje do formuláře Servisu 24, uloží se stisknuté klávesy do speciálního souboru, případně není problém rovnou se pokusit přenést je po síti k útočníkovi. Právě z důvodu boje proti této hrozbě nabízejí možnosti přihlášení u řady služeb, Servis 24 nevyjímaje, takzvanou grafickou klávesnici – uživatelské jméno a heslo se zadává klepáním myší na vyobrazené klávesy. Z minulosti jsou ale ze zahraničí známé i útoky proti tomuto systému, škodlivý kód ve standardním zobrazení sleduje danou oblast prohlížeče, zachytává klepnutí myší a podle souřadnic je schopen v některých případech přesně odhadnout stisknuté grafické klávesy.

Content

Vyšší stupeň zabezpečení v případě Servisu 24 nabízejí možnosti přihlášení prostřednictvím certifikátu uloženého na čipové kartě a autentizacím kalkulátorem. Hlavní výhodou uvedených variant je fakt, že pro úspěšné přihlášení je zapotřebí mít po ruce hardware, a nemůže tedy jen tak dojít k ukradení informací po síti nebo jejich phishingovému loudění. Problém ale je v tom, že obě uvedené varianty patří mezi nadstandardní možnosti zabezpečení, takže klient musí vyřídit dodatek pro jejich využívání – ve standardní výbavě dostane pouze možnost přihlášení pomocí uživatelského jména a hesla, respektive autorizaci transakcí pomocí SMS zpráv.

Servis 24 patří mezi nejznámější tuzemské služby pro online bankovnictví, pro útočníky nejspíš i nadále bude nejlepším terčem. Pokud si klienti chtějí být o něco jistější při jeho používání, nezbývá než navštívit kamennou pobočku a zamluvit si některý z uvedených nadstandardních variant, které se nespoléhají jen na triviální kombinaci uživatelského jména a hesla. Jaký způsob zabezpečení u svého online bankingu používáte a jak jste s ním spokojeni? Podělte se s ostatními o své zkušenosti v diskuzi pod článkem.

Anketa

Používáte Servis 24 od České spořitelny?

46 názorů Vstoupit do diskuse
poslední názor přidán 25. 2. 2009 19:07
Zasílat nově přidané názory e-mailem

Školení SEO - jak na optimalizaci pro vyhledávače

  •  
    Analýza klíčových slov - jaká slova vybrat.
  • Metody linkbuildingu - jak získat zpětné odkazy.
  • Vyhodnocování SEO - nesledujte jen pozice.

Detailní informace o školení SEO »