O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu
Do nedávna to vypadalo, že vykradení účtu přes internetové bankovnictví je nepravděpodobné, a pokud už k němu došlo, byla to "chyba klienta, který si účet dobře nezabezpečil". Nedávné incidenty ale představily problematiku v pravém světle. Internetové bankovnictví v podání českých bank bezpečné není. Stejně tak není bezpečný zaručený elektronický podpis.

Problémy s vykradenými bankovními účty přes internetová bankovnictví se v žádném případě neobjevily před několika dny, jak by se mohlo zdát v souvislosti s incidentem v Komerční bance. Jedná se o problém, který zde byl již mnoho let. Banky se ale  tvářily, že jich se tento problém netýká, protože mají své internetové bankovnictví zabezpečeno podle mezinárodních standardů a používají SSL nebo určitou délku šifrovacího klíče. Jenže internetové bankovnictví není v žádném případě pouze otázka počítačů, počítačových technologií a způsobu šifrování. Internetové bankovnictví je především služba banky, a tak bylo a je nutné se na něj dívat.

Před několika lety jsem nalezl a otestoval způsob, jak je možné "vykrást" internetové bankovnictví několika bank v České republice.  Při svém působení na Burze cenných papírů Praha jsem se naučil, že finanční sektor je velmi citlivý na poplašné zprávy. Proto jsem o svých zjištěních nejdříve informoval pracovníky bank, u kterých jsem slabinu nalezl. Doufal jsem, že mne přesvědčí o tom, jak mají mnou popisovaná rizika ošetřena. Věřil jsem, že banky mají pojistku, která zajistí, aby nemohlo dojít k vykrádání účtů nebo budou mít zájem objevené slabiny odstranit. Velmi jsem se mýlil. Zástupci bank se mi snažili vysvětlit, že se mýlím,  vše mají v pořádku a způsoby vykradení účtů, které jsem jim popisoval jsou spíš z oblasti sci-fi.


Na vykradení účtů profesionálem se nečekalo dlouho

Přečtěte si víc

Jiří Nápravník působil jako soudní znalec v oborech výpočetní technika a počítačová kriminalita. V letech 2003-04 se podílel na úspěšném vyšetření několika případů, kdy došlo k vykradení bankovních účtů prostřednictvím internetového bankovnictví. Více se o autorovi dnešního článku dočtete zde. 

Před rokem jsme vám s ním nabídli on-line rozhovor:
Jiří Nápravník: internetbanking nepoužívám I.
Jiří Nápravník: internetbanking nepoužívám II.

V průběhu let 2003 – 2006 se skutečně začaly objevovat případy napadených účtů a reakce bank byly víc než zarážející. Neobjevovala se žádná vstřícnost ke klientům, žádná snaha rychle a jasně odhalit příčinu a pachatele provedeného podvodu. Klienti se svými reklamacemi v bankách neuspěli, viz např. článek Vykradli vám účet? Banka pošle k soudu vás. Policie ovšem následně ve svých vyšetřováních zjistila, že se pachatelé do počítačů poškozených klientů dostali bez jejich přispění a přesto, že je měli zabezpečené podle doporučení bank.

Od roku 2003 do jara 2006 se vždy jednalo o jednotlivé případy a hlavně podvodníci byli vždy z České republiky. To mohlo vzbuzovat dojem, že vykrádání bankovních účtů přes internetové bankovnictví je pouze okrajový problém a v případě vyšetřování Policie pachatele odhalí a dopadne.

Tato pohoda skončila uprostřed letošních prázdnin, kdy po předchozí přípravě zaútočil profesionál (profesionálové) na několik bankovních účtů v Komerční bance (profil, názory) a České spořitelně (profil, názory). V tomto případě se již nejednalo o účet  jednoho klienta, kterého banka odbude argumentem, že si špatně hlídal svůj PIN nebo digitální certifikát nebo jinou podobně znějící pohádkou. V případě deseti vykradených účtů již šlo o vážný problém, který banka musela řešit.
Komerční banka probém vyřešila opět po svém. Dne 14. srpna 2006 vydala tiskovou zprávu s informací o tom, že od následujícího dne bude výrazným způsobem měnit způsob potvrzování  bankovních transakcí zadávaných prostřednictvím internetového bankovnictví. Od 15. srpna je tak ke stávajícímu digitálnímu certifikátu a heslu je ještě přidáno jednorázové heslo zasílané formou SMS na předem zaregistrovaný mobilní telefon.

Rozhovory na Peníze.CZ
Které osobnosti (nejen) finančního světa jste už vyzpovídali? Podívejte se na Rozhovory Penize.CZ

Máte-li tip na zajímavou osobnost, která by neměla v našem seriálu rozhovorů chybět, nebo téma, kterého by se měl rozhovor týkat, pište nám své náměty sem.


Elektronický podpis je zneužitelný

Jednorázové heslo zasílané na předem zaregistrované číslo mobilního telefonu klienta je velmi spolehlivý způsob zabezpečení aplikace a ověření identity klienta. Jenže v takové aplikaci již je jaksi navíc digitální certifikát. Jinými slovy  Komerční banka svojí úpravou internetového bankovnictví nepřímo označila elektronický podpis, včetně elektronického podpisu určeného pro komunikaci se státní správou, za málo bezpečný.

Identifikace klientů a zabezpečení jednotlivých transakcí v internetovém bankovnictví  Komerční banky a některých dalších bank - GE Money Bank (profil, názory), Živnostenská banka (profil, názory), Raiffeisenbank (profil, názory), bylo a je založeno na stejném principu, na stejných technologií jako zaručený elektronický podpis určený pro komunikaci se státní správou (fin. úřady, katastr nemovitostí, atd.).  Jednoduše a stručně řečeno to znamená, že pokud je možné zneužít elektronický podpis v internetovém bankovnictví, tak je stejným způsobem možné zneužít zaručený elektronický podpis určený pro komunikaci se státní správou.

Komerční banka tím, že doplnila své internetové bankovnictví o zasílání jednorázového hesla na mobilní telefon, to potvrdila. Chápu, že říkat o zaručeném elektronickém podpisu, že je málo bezpečný, je podobně kacířský názor jako říci v roce 2002, že je možné vykrást bankovní účet přes internetové bankovnictví a banka nerozezná korektní operaci od té provedené podvodníkem. Jenže v tomto případě nepoukázal na slabiny v elektronickém podpisu nějaký "chlápek z Českomoravské vysočiny", ale velká banka, a to je v očích mnoha lidí stále rozdíl.


Začne se již konečně něco dít?

Nedávné případy, kdy došlo k vykradení většího množství bankovních účtů najednou, budou snad konečně dostatečným podnětem k zamyšlení pro pracovníky, kteří jsou zodpovědní za předcházení mimořádným událostem v bankovní sféře.

Vykrádání bankovních účtů, alespoň přes internetové bankovnictví, by mělo být alespoň na nějaký čas vyřešeno. Jenže technika se posouvá kupředu a kupředu se současně posouvají i možnosti a schopnosti útočníků. V mnoha zemích již byly zaznamenány případy, kdy spolupracují "klasičtí" podvodníci a lidé z počítačového podsvětí.  Je pouze otázkou času, kdy takové formy podvodů dorazí i do České republiky. Je také otázkou, zda pracovníci, kteří poznali, že jejich bance někdo vykradl 10  účtů až v okamžiku, kdy si přišli klienti stěžovat, budou připraveni rychle a rázně reagovat na útoky, které budou kombinací klasické a počítačové kriminality.

Reakce Komerční banky na tento článek (přidáno 6. 9. 2006)

Představitelé Komerční banky nám zaslali svou reakci na článek Jiřího Nápravníka. Najdete ji na tomto místě.

Co si o současných incidentech myslíte? Bojíte se, že vám někdo vykrade účet on-line? Jste spokojeni s přístupem bank?

Držíte se udržitelnosti?

Držíte se udržitelnosti?

Generali Česká pořádá soutěž SME EnterPRIZE, která oceňuje udržitelné podnikání. Přihlásit se můžete do 5. dubna.

Sdílejte článek, než ho smažem

Líbil se vám článek?

-12
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 36 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

29. 8. 2006 16:12

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.

Zobrazit celé vlákno

+47
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

28. 8. 2006 11:48, Autor původního příspěvku

Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.

Zobrazit celé vlákno

-34
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (36 komentářů) příspěvků.

Nejlevnější aplikace na trhu. Zpracujte si daňové přiznání pro fyzické osoby v roce 2024 v jednoduché online aplikaci. Pro naše čtenáře exkluzivní sleva 10 %.

DníHodinMinutVteřin
Slevový kód: PENIZE1O
Vyplnit přiznání

Pokud chcete řešit daně po staru, máme pro vás chytré formuláře.

A tohle už jste četli?

Vykradli vám účet? Banka pošle k soudu vás

4. 5. 2006 | Dana Chytilová | 2 komentáře

Vykradli vám účet? Banka pošle k soudu vás

Vykradli vám účet prostřednictvím přímého bankovnictví? Podejte trestní oznámení na neznámého pachatele. Vězte ale, že i kdyby jej následně policie našla, zjistila, že rozhodně nemá... celý článek

Česká spořitelna: rušíme bezpečnější Servis 24

10. 1. 2006 | Dana Chytilová | 5 komentářů

Česká spořitelna: rušíme bezpečnější Servis 24

Česká spořitelna zřejmě nepovažuje vyšší bezpečnost přímého bankovnictví za důležitou. Přestala totiž prodávat jednu z nejméně zneužitelných forem, a to autentizační kalkulátory, a... celý článek

Servis 24 České spořitelny má bezpečnostní chybu

6. 9. 2005 | Jiří Šedivý | 1 komentář

Servis 24 České spořitelny má bezpečnostní chybu

Česká spořitelna před časem zavedla nový bezpečnostní prvek. Zjistili jsme, že kvůli chybě v aplikaci je prakticky bezcenný. Ohroženy jsou i další funkce služby Servis 24. Spořitelna... celý článek

Jiří Nápravník: internetbanking nepoužívám II.

30. 6. 2005 | Jiří Šedivý

Jiří Nápravník: internetbanking nepoužívám II.

Přečtěte si dokončení rozhovoru s Jiřím Nápravníkem. Dnes např. o tom, proč elektronický podpis není 100% bezpečný, proč se peníze na podporu internetu vyhazují oknem, zda má význam... celý článek

Měla by banka hradit internetbankingové škody?

20. 5. 2005 | Jiří Nápravník

Měla by banka hradit internetbankingové škody?

Obsluha bankovního účtu pomocí počítače či telefonu je rychlá, pohodlná a výhodná pro klienta i banku. Není už ale 100% bezpečná. To ale nejsou ani platební karty, za ty ovšem banky... celý článek

Partners Financial Services