Móda takzvaného internet-bankingu nebo online-bankingu se závratnou rychlostí rozšířila i v našich končinách. Není divu – správa vlastních financí ještě nikdy nebyla tak jednoduchá. Člověk nemusí prakticky vůbec chodit do banky a vše vyřeší několika kliknutími. Právě proto je dnes internet-banking přisouzen zhruba každému třetímu bankovnímu účtu v České republice.
Až donedávna jsme si nemuseli dělat příliš mnoho starostí s tím, zda jsou peníze skutečně bezpečné. Případy vybrakování účtu, ke kterému došlo prostřednictvím internet-bankingu, byli velmi ojedinělé. V poslední době ale nejrůznějších vykuků a internetových kriminálníků přibývá. A lidé se začínají bát. Zatímco při přepadnutí pobočky banky je zcela jasno v tom, kdo nese zodpovědnost a kdo za vklady ručí, v případě zcizení peněz přes internet-banking dochází často k dohadům mezi bankou a klientem, kdo věc zavinil.
Důležitý je protokol
Jednou z nejdůležitějších otázek co do bezpečnosti internetového konta je samozřejmě ta, jak je účet chráněn? Stále existujícím způsobem je kombinace PIN (Personal Identification Number) a TAN (Transaction Number). Jedná se o takzvaný PIN-TAN standard. PIN je považován de facto za vstupní kartu, zatímco prostřednictvím TAN klient potvrzuje převody, trvalé příkazy nebo jiné akce, při kterých digitální peníze mění majitele. Tento způsob byl v hojnější míře používán v minulosti, dnes už se ale příliš neuplatňuje, protože je značně rizikový. Banka totiž používá TANy z aktuálně platného seznamu čísel. Bezpečnější je proto takzvaný iTAN. Písmeno „i“ zde vyjadřuje slovo indexovaný, tedy očíslovaný. Banka v tomto případě v rámci každé transakce zadává, který ze 100 TANů z aktuální seznamu chce vědět. Pokud se tak podvodníkovi, například prostřednictvím phisingu, podaří zjistit jeden či dva TANy, je docela nepravděpodobné, že budou fungovat tehdy, když se pokusí o nelegální převod z cizího účtu.
Mnohem využívanějším je takzvaný mTAN, kdy vstupuje do hry mobilní telefon. Zákazník tak neobdrží papír s vytištěnými TANy, nýbrž vždy jednu SMSku na transakci. Podstatné je, že tato je vázána pouze na jedinou operaci a navíc má obvykle časově omezené trvání. Není tedy problém ji zanést do příslušného políčka, ale po několika minutách by měl být vygenerovaný kód opět neplatný. Uživatel navíc pro vlastní bezpečnost v SMSce vidí část čísla účtu, na který peníze posílá. Docela málo se využívá takzvaný smartTAN. Ten funguje na podobné bázi, akorát z řetězce vylučuje mobil a nahrazuje ho monofunkčním přístrojem – obvykle ve formě klíčenky s malým LCD displejem, na který vám chodí kódy a informace pro potvrzení transakce.
Čtečka?
Velmi vysoký stupeň bezpečnosti vykazuje také HBCI protokol, který je v současné podobě znám také pod názvem Financial Transaction Services (FinTS). Výhodou tohoto protokolu je, že částečně vylučuje ze hry bankovní dům, který by mohl být teoreticky infiltrován a deleguje bezpečností práva na samotného zákazníka. Součástí tohoto řešení je elektronická čtečka karet s klávesnicí, která slouží k zadání PINu, příslušícího k dané kartě, kterou do čtečky zasunete. Bezpečnost je prakticky maximální – vygenerovaný kód je obvykle docela dlouhý, má jen krátké trvání a je nemožné ho použít vícekrát. Problém samozřejmě přijde s krádeží čtečky.
Na druhou stranu, v takovém případě není těžké účet zablokovat. Větší komplikací je právě ona čtečka sama o sobě. Jedná se o externí hardware a cenu za něj musí nést buď banka, nebo klient. To dosud zamezilo v jeho masivnějším rozšíření. Nepříliš komfortní také je, že je čtečku nutné nosit s sebou, pokud chcete pracovat s internet-bankingem jinde než doma. Navíc, v některých případech nastávají komplikace u určitých hardwarových sestav či softwarového prostředí, kdy čtečka nefunguje zcela korektně, nebo nefunguje vůbec. To je ale samozřejmě možné po konzultaci s bankou vyřešit.
Na bezpečnostní protokoly se často zapomíná, ale při výběru účtu a internetového bankovnictví byste se o nich měli podrobně informovat. Právě ony totiž odfiltrují největší množství útoků. Některé více, jiné méně úspěšně. Rozhodně se vyhněte obyčejné PIN-TAN kombinaci. Tu už dneska probourá kdejaký začátečnický hacker. Ona stejně bude převažovat jen u menších bankovních domů, případně v cizích (hlavně rozvojových) zemích, pokud si zde náhodou chcete otevřít účet. Většina bank vám nabídne řešení na bázi mTAN, což je zcela korektní. Jen o fous vyšší bezpečnost vykazuje HBCI protokol se čtečkou. Tehdy se ale zase ochudíte o trochu toho komfortu.
Takhle přijdete o peníze
Určitě vás zajímá, proč si dělat takové starosti. Vždyť banky to jistě mají dobře ošetřené a člověka s drobnějšími úspory hackeři stejně nechají být. Inu, to není tak úplně pravda. Banky sice používají dobrá zabezpečení, ale zdaleka ne dokonalá. Často se musí přizpůsobovat novým metodám hackerů, na které přijdou jednoduše tak, že z nějakého konta zmizí peníze. Navíc: hackeři se nezaměřují na miliardáře typu Billa Gatese, naopak – své největší příjmy (dnes už v miliardách dolarů) generují z mnoha účtů drobných střadatelů. A právě tito střadatelé sami sobě nejčastěji zaviní finanční ztrátu, a sice neopatrným či neuvážlivým používáním počítače, na kterém zároveň provádějí internetové transakce.
Hackeři na to jdou v zásadě dvěma způsoby. Oba se řadí do oblasti odchytávání cenných dat, takzvaného phishingu. Jak tedy o data přijdete?
Buď se to děje prostřednictvím špionáže na zfalšovaných webových stránkách, nebo pomocí trojanů, jež se usadí ve vašem počítači. První varianta je přitom pro laiky poměrně častým kamenem úrazu. To vám takhle přijde důvěryhodně se tvářící (pomiňme tisíce hlupáků, kteří to dělají amatérsky a nikdo jim nenaletí) e-mail, který vypadá jako od banky. Píše se v něm, že se máte za nějakým účelem přihlásit na té a té stránce. Například za účelem změny údajů či zvýšení bezpečnosti. No, kdo by to neudělal. Navíc, když se stránka tváří také důvěryhodně. Klient tam tedy v dobré vůli zanese požadovaná data a v té chvíli má hacker prakticky absolutní moc nad jeho účtem. Ještě celkem nedávno banky takové případy hradily z vlastních zdrojů, protože jich bylo pár. Jenže už i do České republiky se tento fenomén dostal v takové míře, že se tímto způsobem každoročně ztratí miliony až desítky milionů korun. Banky tak stále častěji odmítají škodu přebírat a zcela po právu ji nechávají na bedrech klientů. Na druhou stranu, celosvětově phishingu ubývá a nahrazuje ho fenomén jiný.
Pozor na trojany!
Zatímco zfalšovaným stránkám požadujícím po vás až příliš důvěrné informace se dá s trochou té osvěty vyhnout a například se řídit známým heslem, že banka po vás e-mailem nikdy nebude vyžadovat věci týkající se zadávání citlivých údajů, druhá forma phishingu, tedy ta jdoucí přes sofistikované trojany, je o mnoho nebezpečnější a bohužel také čím dál využívanější. Tady už jsou hackeři napřed a používají celou řadu těžko viditelných triků. Ostatně, pokud má člověk v počítači takového trojana, stroj už v podstatě nepatří jemu, ale hackerovi, který si s ním může dělat, co se mu zlíbí. Sledování toho, co vy na něm děláte, patří k tomu nejmenšímu. Tady je každá rada drahá: snažit se vyhýbat podezřelým stránkám (warez, porno), které často slouží jako přístavy trojanů a pochopitelně používat antiviry s aktualizovanými databázemi. V nejnovější verzi na podezřelé stránky upozorňuje i Mozilla Firefox.
Tím bychom naše povídání o bezpečnosti při internet-bankingu pro tentokrát uzavřeli, a to s tím, že se vrátíme ještě s druhým dílem, ve kterém se dozvíte, jak se můžete sami bránit proti zrádným hackerům a nespoléhat se jen na banku.
