Problémy s vykradenými bankovními účty přes internetová bankovnictví se v žádném případě neobjevily před několika dny, jak by se mohlo zdát v souvislosti s incidentem v Komerční bance. Jedná se o problém, který zde byl již mnoho let. Banky se ale tvářily, že jich se tento problém netýká, protože mají své internetové bankovnictví zabezpečeno podle mezinárodních standardů a používají SSL nebo určitou délku šifrovacího klíče. Jenže internetové bankovnictví není v žádném případě pouze otázka počítačů, počítačových technologií a způsobu šifrování. Internetové bankovnictví je především služba banky, a tak bylo a je nutné se na něj dívat.
Před několika lety jsem nalezl a otestoval způsob, jak je možné "vykrást" internetové bankovnictví několika bank v České republice. Při svém působení na Burze cenných papírů Praha jsem se naučil, že finanční sektor je velmi citlivý na poplašné zprávy. Proto jsem o svých zjištěních nejdříve informoval pracovníky bank, u kterých jsem slabinu nalezl. Doufal jsem, že mne přesvědčí o tom, jak mají mnou popisovaná rizika ošetřena. Věřil jsem, že banky mají pojistku, která zajistí, aby nemohlo dojít k vykrádání účtů nebo budou mít zájem objevené slabiny odstranit. Velmi jsem se mýlil. Zástupci bank se mi snažili vysvětlit, že se mýlím, vše mají v pořádku a způsoby vykradení účtů, které jsem jim popisoval jsou spíš z oblasti sci-fi.
Na vykradení účtů profesionálem se nečekalo dlouho
V průběhu let 2003 – 2006 se skutečně začaly objevovat případy napadených účtů a reakce bank byly víc než zarážející. Neobjevovala se žádná vstřícnost ke klientům, žádná snaha rychle a jasně odhalit příčinu a pachatele provedeného podvodu. Klienti se svými reklamacemi v bankách neuspěli, viz např. článek Vykradli vám účet? Banka pošle k soudu vás. Policie ovšem následně ve svých vyšetřováních zjistila, že se pachatelé do počítačů poškozených klientů dostali bez jejich přispění a přesto, že je měli zabezpečené podle doporučení bank.
Od roku 2003 do jara 2006 se vždy jednalo o jednotlivé případy a hlavně podvodníci byli vždy z České republiky. To mohlo vzbuzovat dojem, že vykrádání bankovních účtů přes internetové bankovnictví je pouze okrajový problém a v případě vyšetřování Policie pachatele odhalí a dopadne.
Tato pohoda skončila uprostřed letošních prázdnin, kdy po předchozí přípravě zaútočil profesionál (profesionálové) na několik bankovních účtů v Komerční bance (profil, názory) a České spořitelně (profil, názory). V tomto případě se již nejednalo o účet jednoho klienta, kterého banka odbude argumentem, že si špatně hlídal svůj PIN nebo digitální certifikát nebo jinou podobně znějící pohádkou. V případě deseti vykradených účtů již šlo o vážný problém, který banka musela řešit.
Komerční banka probém vyřešila opět po svém. Dne 14. srpna 2006 vydala tiskovou zprávu s informací o tom, že od následujícího dne bude výrazným způsobem měnit způsob potvrzování bankovních transakcí zadávaných prostřednictvím internetového bankovnictví. Od 15. srpna je tak ke stávajícímu digitálnímu certifikátu a heslu je ještě přidáno jednorázové heslo zasílané formou SMS na předem zaregistrovaný mobilní telefon.
Rozhovory na Peníze.CZ |
Které osobnosti (nejen) finančního světa jste už vyzpovídali? Podívejte se na Rozhovory Penize.CZ
Máte-li tip na zajímavou osobnost, která by neměla v našem seriálu rozhovorů chybět, nebo téma, kterého by se měl rozhovor týkat, pište nám své náměty sem. |
Elektronický podpis je zneužitelný
Jednorázové heslo zasílané na předem zaregistrované číslo mobilního telefonu klienta je velmi spolehlivý způsob zabezpečení aplikace a ověření identity klienta. Jenže v takové aplikaci již je jaksi navíc digitální certifikát. Jinými slovy Komerční banka svojí úpravou internetového bankovnictví nepřímo označila elektronický podpis, včetně elektronického podpisu určeného pro komunikaci se státní správou, za málo bezpečný.
Identifikace klientů a zabezpečení jednotlivých transakcí v internetovém bankovnictví Komerční banky a některých dalších bank - GE Money Bank (profil, názory), Živnostenská banka (profil, názory), Raiffeisenbank (profil, názory), bylo a je založeno na stejném principu, na stejných technologií jako zaručený elektronický podpis určený pro komunikaci se státní správou (fin. úřady, katastr nemovitostí, atd.). Jednoduše a stručně řečeno to znamená, že pokud je možné zneužít elektronický podpis v internetovém bankovnictví, tak je stejným způsobem možné zneužít zaručený elektronický podpis určený pro komunikaci se státní správou.
Komerční banka tím, že doplnila své internetové bankovnictví o zasílání jednorázového hesla na mobilní telefon, to potvrdila. Chápu, že říkat o zaručeném elektronickém podpisu, že je málo bezpečný, je podobně kacířský názor jako říci v roce 2002, že je možné vykrást bankovní účet přes internetové bankovnictví a banka nerozezná korektní operaci od té provedené podvodníkem. Jenže v tomto případě nepoukázal na slabiny v elektronickém podpisu nějaký "chlápek z Českomoravské vysočiny", ale velká banka, a to je v očích mnoha lidí stále rozdíl.
Začne se již konečně něco dít?
Nedávné případy, kdy došlo k vykradení většího množství bankovních účtů najednou, budou snad konečně dostatečným podnětem k zamyšlení pro pracovníky, kteří jsou zodpovědní za předcházení mimořádným událostem v bankovní sféře.
Vykrádání bankovních účtů, alespoň přes internetové bankovnictví, by mělo být alespoň na nějaký čas vyřešeno. Jenže technika se posouvá kupředu a kupředu se současně posouvají i možnosti a schopnosti útočníků. V mnoha zemích již byly zaznamenány případy, kdy spolupracují "klasičtí" podvodníci a lidé z počítačového podsvětí. Je pouze otázkou času, kdy takové formy podvodů dorazí i do České republiky. Je také otázkou, zda pracovníci, kteří poznali, že jejich bance někdo vykradl 10 účtů až v okamžiku, kdy si přišli klienti stěžovat, budou připraveni rychle a rázně reagovat na útoky, které budou kombinací klasické a počítačové kriminality.
Reakce Komerční banky na tento článek (přidáno 6. 9. 2006) |
Představitelé Komerční banky nám zaslali svou reakci na článek Jiřího Nápravníka. Najdete ji na tomto místě.
|
Co si o současných incidentech myslíte? Bojíte se, že vám někdo vykrade účet on-line? Jste spokojeni s přístupem bank?
Diskuze
Příspěvek s nejvíce kladnými hlasy
29. 8. 2006 16:12
Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.
Zobrazit celé vláknoSkrýt celé vlákno
Příspěvek s nejvíce zápornými hlasy
28. 8. 2006 11:48, Autor původního příspěvku
Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (36 komentářů) příspěvků.