Veliká kulatá mýdlová věc

Útok na majitele účtů u České spořitelny, který se odehrál minulý týden, ukázal na jednu ze slabin zabezpečení internetového bankovnictví této firmy. Ale hlavně na to, že čeští uživatelé elektronického bankovnictví nebudou blbci, zatímco útočníci ano.

Vojtěch Bednář

Ilustrace: Nenad Vitas

Phishing ve velkém se Česku zatím celkem úspěšně vyhýbal. Přeci jen jsme malý rybníček, skoro všichni se tady znají, PayPal dlouho nefungoval, globální služby moc nepoužíváme. Podvodníkům ze zahraničí se nevyplatilo investovat do překladu svých dílek a jejich přesného zacílení na tuzemské rybičky. Sem tam se sice i u nás objevilo loudění vstupních údajů k lukrativním ICQ číslům, e-mailům nebo účtům do firemních aplikací, šlo ale spíše o přesah ze zahraničí, případně záležitost čistě soukromé průmyslové špionáže.

Minulý týden dostali přímý zásah majitelé účtů v České spořitelně, respektive uživatelé systému Servis 24. Určitě jste o kauze něco slyšeli, četli (třeba i rozhovor s jedním z podvodníků na Lupě), nebo dokonce viděli ve zpravodajství na Nově. Pohlédněme však na problém z trochu netradiční strany.

Podle všeho to vypadá, že útok byl profesionálně připraven. Falešná stránka s přihlášením do bankovnictví vypadala úžasně. E-mail už byl sice o něco horší, ale na neodborníka by patrně stačil. Autoři zacílili na nejslabší a současně nejsnáze použitelný způsob přihlášení do elektronického bankovnictví. Tím je kombinace čísla a hesla. Uživatelé si obojí pamatují. A tak své údaje snadno a rychle do podvodné stránky vyplní. Jenže.

Jenže kdyby k útoku došlo minulý měsíc, asi by to byla tragédie. Banka však od října zavádí dodatečnou metodu autentizace transakcí pomocí SMS. Uživatelům byl automaticky vymazán denní limit a patrně naprostá většina z nich nyní musí před provedením jakékoliv platby v přihlášeném stavu zadávat do aplikace bankovnictví autorizační kód. Tato skutečnost pochopitelně ve zprávách na Nově nebyla. Výsledkem je, že pokud útok skutečně způsobí nějakou škodu, nebude patrně nijak velikého rozsahu (ačkoliv podvržená stránka vyžadovala i zadání tohoto kódu). Páni podvodníci (omlouvám se, pokud jsem urazil dámy – podvodnice) to prostě špatně načasovali, a tak ostrouhali mrkvičku.

EBF16

Česká spořitelna se dušuje, že většina postižených uživatelů své přihlašovací údaje nikam nezadala, ale nahlásila bance, že je proti ní veden masivní phishingový útok. Jenže zprávy, hlavně ty televizní, vypadaly, jako kdyby polovina národního pokladu měla každou chvílí zmizet někde v zahraničí. Tak už to většinou bývá.

Věřme bance, že má pravdu, a že naši uživatelé elektronického bankovnictví skutečně nejsou blbci. Mám totiž takový nepříjemný pocit, že podobných pokusů bude časem přibývat, zejména až se všichni vrhneme na eBay a podobné služby. Snad se pak koeficient „blbovzdornosti“ Čechů prudce nesníží.

33 názorů Vstoupit do diskuse
poslední názor přidán 22. 10. 2006 17:27

Školení: Právo pro e-shopy

  •  
    Jak provozovat e-shop v souladu se zákonem.
  • Jak přistupovat k vrácení zboží a spory se spotřebiteli.
  • Jak v souladu s právem marketovat e-shop.

Detailní informace o školení Právo pro e-shopy »