Ako banky chránia elektronických klientov

23.05.2011 | Jana Hambálková | Ján Záborský | © 2011 TREND Holding

Čo vyžadujú bankové domy pri prístupe k účtu cez internet

Jaroslavovi Nechápavému zapípala SMS. Banka mu oznamuje, že o 15.30 h zavolá, pretože má problém s jeho osobným účtom. Jaro napäto čaká a keď v avizovanom čase zvoní telefón, v ktorom sa ohlási bankový pracovník, bez váhania mu nahlási žiadanú pozíciu z grid karty. Spokojný, že problém rýchlo vybavil, netuší, že mu podvodníci z jeho konta práve previedli časť peňazí. V ceste im pritom nestáli žiadne prekážky. Chvíľu pred tým, ako v stanovenom čase zavolali klientovi, sa ozvali v call centre banky s požiadavkou na realizáciu platobného príkazu. Keď si ozajstná pracovníčka call centra vypýtala na autorizáciu platby pozíciu z grid karty, podvodníci ju obratom získali od klienta na druhej strane.

Paranoja či prezieravosť

Scenárov, ako môžu klienti prísť o peniaze, je niekoľko. Na rozdiel od tohto jednoduchého príkladu figurujú ako hlavní hrdinovia často rôzne vírusy, ktoré sa uložia v počítači napríklad pri sťahovaní hier. Niektoré vedia odčítavať zadané pozície z grid karty, iné dokážu pozmeniť platobný príkaz zadaný v internetbankingu. A tak namiesto desiatich eur na účet kolegu odíde tisícka na konto podvodníkov. Ak nemá klient nastavené SMS, ktoré ho informujú o stave na účte, na chybu tak skoro ani nepríde. Vírus totiž na nakazenom počítači pozmenený príkaz maskuje za správny a na nezrovnalosť príde klient len po prihlásení sa do internetbankingu z iného počítača. Alebo až na mesačnom výpise. Teda ak si ho skontroluje.

karty_profimedia

Banky sa klientov pred útokmi na ich účty snažia chrániť rozličnými postupmi. Jedným je autentifikácia, ktorá sa začína pri prihlasovaní do elektronického bankovníctva. Prakticky všetky bankové domy namiesto mien pýtajú v úvode nič nehovoriace klientske čísla. Ďalší postup sa v jednotlivých bankách na trhu odlišuje. Niektoré vyžadujú už len dostatočne dlhé heslo obsahujúce písmená a číslice, ktoré si zvolí klient sám, doplnené prípadne o vlastný PIN kód. Časť bánk pýta ďalšie overenie cez zadanie pozície z grid karty, kód zo zaslanej SMS či špeciálneho generátora kódov. Všetko má jediný účel: banka si chce byť čo najistejšia, že človek, sediaci na opačnom konci linky, je oprávnený nakladať s účtom.

Po úspešnom prihlásení do elektronického sveta sa beh cez bezpečnostné prekážky nekončí. Banky potvrdenia vyžadujú nielen pri transakciách, ktoré znamenajú odlev peňazí z účtu, ale tiež pri prípadných zmenách nastavení. Na autentifikáciu zadaných platieb vybavili TREND, ktorý testoval elektronické bankovníctvo ako bežný používateľ, v Dexia banke, OTP Banke a vo Volksbank grid kartou. Tú získal aj vo VÚB s informáciou, že pri platbách prevyšujúcich tisíc eur za deň bude žiadať SMS kód. Klient si však môže SMS vyžiadať pri akejkoľvek sume, ak napríklad grid kartu práve nemá pri sebe. Ostatné bankové domy posielajú zákazníkovi SMS správu, ktorá okrem kódu obsahuje zväčša aj údaje o platbe.

Najprísnejšiu ochranu na tunajšom trhu nasadila Tatra banka. Tá nových klientov vybavuje čipovou kartou a čítačkou. Niektorí jej starí klienti síce využívajú grid karty a prihlasovanie SMS kódom. Ale od budúceho roka by na nový systém mali prejsť všetci majitelia osobných účtov. Práci s čítačkou sa klient nevyhne pri prihlasovaní do elektronického bankovníctva. Pri platbách dáva banka možnosť pomerne zdĺhavú autentifikáciu vypnúť. „Ak by sa stalo, že na klientovom počítači je vírus, ktorý by príkaz zmenil, banka by ho neuskutočnila, pretože kód z čítačky má v sebe zapracovanú sumu aj číslo účtu z príkazu a so zmenenými dátami by nesedel,“ vysvetľuje zámer banky Marek Zeman, vedúci oddelenia bezpečnosti informačných systémov v Tatra banke.

Pri práci s kartou a čítačkou je podľa neho eliminované riziko v prípade vírusu v počítači či mobilnom telefóne. Banka pripúšťa, že taký prísny prístup sa môže zdať paranoidný, hlavný cieľ však nie je sekírovanie klientov, ale zaistenie maximálnej bezpečnosti.

Ochranné pravidlá

K prihlasovacím a autentifikačným kódom pridávajú banky niekoľko základných pravidiel na obmedzenie šancí zlodejom. Klient môže byť prihlásený v i-bankingu v rovnakom čase len na jednom počítači – ak sa niekomu aj podarí odsledovať jednorazové bezpečnostné kódy, do i-bankingu sa nedostane, keď tam už je oprávnený klient. A neskôr sú už nanič. Banky sa tiež chránia proti snahe o prelomenie hesiel hrubou silou. Klasicky to funguje cez generátor slov a čísel, ktoré počítač zadáva rýchlo za sebou. Väčšina bánk zastaví možnosť prihlasovania sa po troch až piatich nesprávnych zadaniach na niekoľko hodín, ba až dní. Alternatívou sú aj takzvané captcha kódy, teda upravené písmená, ktoré vie prečítať človek, nie však počítač. Využíva ich napríklad AXA banka.

Hrozbou, s ktorou sa stretli v nedávnej minulosti aj slovenskí klienti, je odchytávanie hesiel, teda phishing v rôznych formách. Klienta napríklad môže e-mail odlákať na falošnú stránku banky a vyžiadať si vyplnenie celej grid karty. V kombinácii so znalosťou klienta je možné skúsiť uhádnuť heslo, ktoré často obsahuje dátumy narodenia, mená detí alebo partnerov.

Slovenské banky sa už stretli aj s keyloggermi – nenápadnými programami, ktoré si klient slabo znalý internetových rizík nainštaluje a ktoré odosielajú na iný server údaje o všetkých stlačeniach klávesnice. Prijímateľ údajov na opačnom konci tak vidí klientske číslo i heslo, prípadne zadávané pozície z grid karty a môže ich skúsiť zneužiť.

Česká sporiteľňa pre takéto prípady zaviedla virtuálnu klávesnicu. Klient nezadáva meno a heslo cez bežnú klávesnicu, ale stláča tlačidlá myšou na obrazovke. Takéto dáta sú pre keylogger bezcenné. Ak by aj preniesol údaje o polohe myši na obrazovke a čase klikov, ešte stále treba zistiť rozlíšenie a presnú polohu klávesnice, aby sa dáta dali využiť. Virtuálna klávesnica sa pritom nemusí nachádzať na stále rovnakom mieste obrazovky. V sesterskej Slovenskej sporiteľni si klient môže cez virtuálnu klávesnicu naťukať len heslo. Prihlasovacie meno píše štandardne.

Ak sa aj hacker nakoniec dostane k údajom o klientovom mene a hesle, nie je ešte všetko stratené. Banky v prípade podozrivejších prihlásení – napríklad z viacerých miest po svete v priebehu krátkeho času – môžu klienta samy upozorniť na podozrivú činnosť a umožniť mu napríklad zmeniť heslo. To býva jedným z najčastejších kameňov úrazu – buď je ľahko uhádnuteľné, niekde zapísané, alebo ho klient používa aj pri ďalších, menej bezpečných službách, napríklad ako heslo k poštovej schránke. K tým sa vedia hackeri dostať oveľa ľahšie než k dátam v bankách.

Ďalšou častou chybou je prezradenie prístupových hesiel tretím osobám. V jednej banke sa napríklad prihodilo, že telefonoval nahnevaný klient, ktorý sa nevedel dostať do i-bankingu. Keď banka situáciu preverila, zistila, že v spornom čase bol prihlásený jeho potomok, ktorému dal otec prekopírovanú grid kartu aj prihlasovanie meno a heslo. Banky sa snažia klientom vtĺkať základné poučky – napríklad, že sa netreba prihlasovať do vlastného konta z neznámych počítačov, klient sa má starať o antivírusovú ochranu domáceho počítača či nechodiť na nezabezpečené stránky. Na vstupnej stránke do i-bankingu viaceré zdôrazňujú, že nikdy neposielajú klientovi mail s prelinkovaním na vlastnú stránku ani mu nikdy nevolajú ako prvé s požiadavkou na overenie jeho identity.

Vstupná brána do elektronického bankovníctva
(pre bežného užívateľa)

1 Klienti, ktorí majú grid kartu či autorizujú cez SMS, používajú zatiaľ pri platbe tieto nástroje.
PRAMEŇ: jednotlivé komerčné banky, spracoval TREND

0eur590x90_green

Zdroj: green

Článok vyšiel v prílohe Elektronické bankovníctvo, ktorá je súčasťou aktuálneho vydania TRENDU č. 20.

Tlačený TREND na webe, kniha ako darček a ďalšie: Desať dôvodov, prečo si predplatiť časopis TREND.

Foto - Profimedia.cz

  • Nahor
  • Tlačiť
  • Poslať e-mailom
  • Oznámiť chybu
  • 1 Diskusia

Nástroje

  • Nahor
  • Tlačiť
  • Poslať e-mailom
  • Oznámiť chybu
  • 1 Diskusia