Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.

O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu
Do nedávna to vypadalo, že vykradení účtu přes internetové bankovnictví je nepravděpodobné, a pokud už k němu došlo, byla to "chyba klienta, který si účet dobře nezabezpečil". Nedávné incidenty ale představily problematiku v pravém světle. Internetové bankovnictví v podání českých bank bezpečné není. Stejně tak není bezpečný zaručený elektronický podpis.

Problémy s vykradenými bankovními účty přes internetová bankovnictví se v žádném případě neobjevily před několika dny, jak by se mohlo zdát v souvislosti s incidentem v Komerční bance. Jedná se o problém, který zde byl již mnoho let. Banky se ale  tvářily, že jich se tento problém netýká, protože mají své internetové bankovnictví zabezpečeno podle mezinárodních standardů a používají SSL nebo určitou délku šifrovacího klíče. Jenže internetové bankovnictví není v žádném případě pouze otázka počítačů, počítačových technologií a způsobu šifrování. Internetové bankovnictví je především služba banky, a tak bylo a je nutné se na něj dívat.

Před několika lety jsem nalezl a otestoval způsob, jak je možné "vykrást" internetové bankovnictví několika bank v České republice.  Při svém působení na Burze cenných papírů Praha jsem se naučil, že finanční sektor je velmi citlivý na poplašné zprávy. Proto jsem o svých zjištěních nejdříve informoval pracovníky bank, u kterých jsem slabinu nalezl. Doufal jsem, že mne přesvědčí o tom, jak mají mnou popisovaná rizika ošetřena. Věřil jsem, že banky mají pojistku, která zajistí, aby nemohlo dojít k vykrádání účtů nebo budou mít zájem objevené slabiny odstranit. Velmi jsem se mýlil. Zástupci bank se mi snažili vysvětlit, že se mýlím,  vše mají v pořádku a způsoby vykradení účtů, které jsem jim popisoval jsou spíš z oblasti sci-fi.


Na vykradení účtů profesionálem se nečekalo dlouho

Přečtěte si víc

Jiří Nápravník působil jako soudní znalec v oborech výpočetní technika a počítačová kriminalita. V letech 2003-04 se podílel na úspěšném vyšetření několika případů, kdy došlo k vykradení bankovních účtů prostřednictvím internetového bankovnictví. Více se o autorovi dnešního článku dočtete zde. 

Před rokem jsme vám s ním nabídli on-line rozhovor:
Jiří Nápravník: internetbanking nepoužívám I.
Jiří Nápravník: internetbanking nepoužívám II.

V průběhu let 2003 – 2006 se skutečně začaly objevovat případy napadených účtů a reakce bank byly víc než zarážející. Neobjevovala se žádná vstřícnost ke klientům, žádná snaha rychle a jasně odhalit příčinu a pachatele provedeného podvodu. Klienti se svými reklamacemi v bankách neuspěli, viz např. článek Vykradli vám účet? Banka pošle k soudu vás. Policie ovšem následně ve svých vyšetřováních zjistila, že se pachatelé do počítačů poškozených klientů dostali bez jejich přispění a přesto, že je měli zabezpečené podle doporučení bank.

Od roku 2003 do jara 2006 se vždy jednalo o jednotlivé případy a hlavně podvodníci byli vždy z České republiky. To mohlo vzbuzovat dojem, že vykrádání bankovních účtů přes internetové bankovnictví je pouze okrajový problém a v případě vyšetřování Policie pachatele odhalí a dopadne.

Tato pohoda skončila uprostřed letošních prázdnin, kdy po předchozí přípravě zaútočil profesionál (profesionálové) na několik bankovních účtů v Komerční bance (profil, názory) a České spořitelně (profil, názory). V tomto případě se již nejednalo o účet  jednoho klienta, kterého banka odbude argumentem, že si špatně hlídal svůj PIN nebo digitální certifikát nebo jinou podobně znějící pohádkou. V případě deseti vykradených účtů již šlo o vážný problém, který banka musela řešit.
Komerční banka probém vyřešila opět po svém. Dne 14. srpna 2006 vydala tiskovou zprávu s informací o tom, že od následujícího dne bude výrazným způsobem měnit způsob potvrzování  bankovních transakcí zadávaných prostřednictvím internetového bankovnictví. Od 15. srpna je tak ke stávajícímu digitálnímu certifikátu a heslu je ještě přidáno jednorázové heslo zasílané formou SMS na předem zaregistrovaný mobilní telefon.

Rozhovory na Peníze.CZ
Které osobnosti (nejen) finančního světa jste už vyzpovídali? Podívejte se na Rozhovory Penize.CZ

Máte-li tip na zajímavou osobnost, která by neměla v našem seriálu rozhovorů chybět, nebo téma, kterého by se měl rozhovor týkat, pište nám své náměty sem.


Elektronický podpis je zneužitelný

Jednorázové heslo zasílané na předem zaregistrované číslo mobilního telefonu klienta je velmi spolehlivý způsob zabezpečení aplikace a ověření identity klienta. Jenže v takové aplikaci již je jaksi navíc digitální certifikát. Jinými slovy  Komerční banka svojí úpravou internetového bankovnictví nepřímo označila elektronický podpis, včetně elektronického podpisu určeného pro komunikaci se státní správou, za málo bezpečný.

Identifikace klientů a zabezpečení jednotlivých transakcí v internetovém bankovnictví  Komerční banky a některých dalších bank - GE Money Bank (profil, názory), Živnostenská banka (profil, názory), Raiffeisenbank (profil, názory), bylo a je založeno na stejném principu, na stejných technologií jako zaručený elektronický podpis určený pro komunikaci se státní správou (fin. úřady, katastr nemovitostí, atd.).  Jednoduše a stručně řečeno to znamená, že pokud je možné zneužít elektronický podpis v internetovém bankovnictví, tak je stejným způsobem možné zneužít zaručený elektronický podpis určený pro komunikaci se státní správou.

Komerční banka tím, že doplnila své internetové bankovnictví o zasílání jednorázového hesla na mobilní telefon, to potvrdila. Chápu, že říkat o zaručeném elektronickém podpisu, že je málo bezpečný, je podobně kacířský názor jako říci v roce 2002, že je možné vykrást bankovní účet přes internetové bankovnictví a banka nerozezná korektní operaci od té provedené podvodníkem. Jenže v tomto případě nepoukázal na slabiny v elektronickém podpisu nějaký "chlápek z Českomoravské vysočiny", ale velká banka, a to je v očích mnoha lidí stále rozdíl.


Začne se již konečně něco dít?

Nedávné případy, kdy došlo k vykradení většího množství bankovních účtů najednou, budou snad konečně dostatečným podnětem k zamyšlení pro pracovníky, kteří jsou zodpovědní za předcházení mimořádným událostem v bankovní sféře.

Vykrádání bankovních účtů, alespoň přes internetové bankovnictví, by mělo být alespoň na nějaký čas vyřešeno. Jenže technika se posouvá kupředu a kupředu se současně posouvají i možnosti a schopnosti útočníků. V mnoha zemích již byly zaznamenány případy, kdy spolupracují "klasičtí" podvodníci a lidé z počítačového podsvětí.  Je pouze otázkou času, kdy takové formy podvodů dorazí i do České republiky. Je také otázkou, zda pracovníci, kteří poznali, že jejich bance někdo vykradl 10  účtů až v okamžiku, kdy si přišli klienti stěžovat, budou připraveni rychle a rázně reagovat na útoky, které budou kombinací klasické a počítačové kriminality.

Reakce Komerční banky na tento článek (přidáno 6. 9. 2006)

Představitelé Komerční banky nám zaslali svou reakci na článek Jiřího Nápravníka. Najdete ji na tomto místě.

Co si o současných incidentech myslíte? Bojíte se, že vám někdo vykrade účet on-line? Jste spokojeni s přístupem bank?

  • RSS
  • Kindle
  • Poslat e-mailem
  • Vytisknout

Líbil se vám článek?

-15
Ano
Ne

Diskuze

Příspěvek s nejvíce kladnými hlasy

29. 8. 2006 16:12

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.

Reagovat

 

+47
Líbí
Nelíbí

Zobrazit komentovanou zprávu (ddo 28. 08. 2006 22:05)

Příspěvek s nejvíce zápornými hlasy

28. 8. 2006 11:48, Autor původního příspěvku

Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.

Reagovat

 

-34
Líbí
Nelíbí

Zobrazit komentovanou zprávu (Matematik 28. 08. 2006 10:30)

Další příspěvky v diskuzi (36 komentářů)

30. 8. 2006 | 10:41 | K. Jandák

Již několik let využívám internetové bankovnictví u ČSOB, kde je používána autorizační SMSka s 9 místným kódem. Tento kód je platný pouze několik minut a přijde jen na mobil vlastníka účtu, takže je prakticky vyloučeno, aby...více

29. 8. 2006 | 16:12

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci. více

29. 8. 2006 | 9:43 | honzour

...samozřejmě předpokládám, že aspoň trochu normální klient po provedení aktivní operace čipovou kartu ze čtečky vytáhne. více

29. 8. 2006 | 9:40 | honzour

"Pokud jde o čipovou kartu připojenou k počítači, tak zapomeňte na bezpečnost. Situace je stejná jako, když máte certifikát jako soubor na disku...."
Nikoli. Z čipové karty nemůžete soukromý klíč softwarovými prostředky...
více

28. 8. 2006 | 22:05 | ddo

Za SMS se musí platit operátorovi. Není levnější papír s dostatkem jednorázových hesel? více

Naposledy navštívené

Články

Produkty a instituce

Kalkulačky

Poradna

Finanční subjekty

Nabídky práce

Obchodní rejstřík

Osoby v obchodním rejstříku

Části obce

Městské části

Obce

Okresy

Témata

Pevná úroková sazba (fixní), Akcíz, Underperformance, výsluhy, dohoda o provedení práce, finanční správa, invalidita, andrej babiš, evropské volby, totalitní systém, lékařská posudková služba, Wood’s CEE Long Short Equity, jistota, celiakie, ztráty, hledání práce, absolvování, Agentura pro sociální začleňování

5E33362, 5AB8475, 2SZ4144, 5E33364, 5E33363

Přihlášení

Jméno

Nemáte registraci? Zaregistrujte se zde!

Všechny materiály © 2000 - 2016 Peníze.CZ a dodavatelé. Všechna práva vyhrazena.

ISSN 1213-2217. Doslovné ani částečné přebírání materiálů není povoleno bez uvedení zdroje a předchozího písemného svolení.
Peníze.CZ vydává společnost Partners media, s.r.o.
Člen SPIR - Sdružení pro internetovou reklamu. Člen SVIT - Sdružení vydavatelů internetových titulů při UVDT.

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK