Internetové bankovnictví: jsou vaše peníze v bezpečí?

Internetové bankovnictví: jsou vaše peníze v bezpečí?
V souvislosti s případy vykradených účtů začaly banky na svoje klienty apelovat, že žádný elektronický produkt není úplně bez rizika a že vzájemná spolupráce je nezbytná. Jak se tedy v rámci internetového bankovnictví chovat bezpečně? Jaké druhy zabezpečení banky nabízejí? Jaké jsou hlavní způsoby podvodů a jak se proti nim chránit?

Podle výsledků loňského výzkumu Ministerstva informatiky (psali jsme o něm v článku Kamarádit s počítačem se vyplácí, a to doslova) počítač, internet a e-mail zatím používá "jen" polovina české populace v produktivním věku. Zájem o internetové bankovnictví (IB) každým rokem přesto poměrně dramaticky stoupá. Roste nejen počet uživatelů IB (loni ho využívalo téměř 2 milióny klientů), ale také počet provedených transakcí.

Např. ČSOB Internet-banking v současnosti užívá přes 490 tisíc klientů a jejich počet meziročně vzrostl o 39 %. Počet transakcí se letos ve srovnání s rokem 2005 zvýšil o 52 % v ČSOB a u Poštovní spořitelny dokonce o 400 %. Nespornými výhodami elektronického bankovnictví je, že se ke svému účtu dostanete téměř odkudkoli a v jakoukoli dobu, máte přehled o aktuálním pohybu na kontě a neméně důležitá je i úspora peněz za poplatky (více např. v článku Ušetřete na bankovních poplatcích: zrušte papírový výpis).

Ovšem v souvislosti s nedávným případem útoku na účty klientů Komerční banky a České spořitelny (více informací najdete v článku O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu) se mezi bankami i veřejností rozpoutala diskuze o bezpečnosti českého internetového bankovnictví.


Internetové bankovnictví v roce 2001 a dnes

Před pěti lety, kdy na českém trhu začalo fungovat internetové bankovnictví, měly banky tendenci svoje klienty ubezpečovat o jeho 100% bezpečnosti. Oháněly se evropskými a světovými standardy a skutečnost, že klient svým chováním také nese určitou část zodpovědnosti za bezpečnost prováděných transakcí, příliš nepropagovaly. Razila se teorie, že bezpečnost IB sice musí být vysoká, ale nesmí klienta omezovat.

Ani samotní klienti bezpečnost příliš "neřešili", spoléhali se, že banka vše obstará za ně. Dnes je situace jiná. Banky mají větší zájem na tom, aby byl klient o rizicích informován. Také samotní uživatelé IB jsou ochotní se ve prospěch bezpečnosti určitého pohodlí vzdát. Obecně totiž platí, že s rostoucí bezpečností pro uživatele klesá pohodlnost.

Jaké způsoby zabezpečení existují?

Aby internetové bankovnictví fungovalo bezpečně, je třeba ošetřit několik oblastí - identifikaci banky, identifikaci klienta, zabezpečení přenosu dat a v neposlední řadě také bezpečnost klientského počítače (té se budeme podrobněji věnovat v odstavci Co může pro bezpečnost udělat uživatel IB?).

Identita banky je ověřována tzv. SSL certifikátem, který bance vydává nezávislá instituce (nejčastěji VeriSign). Klient tak má jistotu, že stránky, jejichž prostřednictvím komunikuje s bankou, patří skutečně jí. Přenos citlivých dat je ve všech bankách řešen SSL šifrováním (obvykle ikona žlutého visacího zámku na stavové liště) na vysoké úrovni a lze jej považovat za dostatečně bezpečný.

Identifikace klienta, někdy je používán také termín autentizace, může být zajištěna několika způsoby (viz níže). Nejde o nic jiného, než o ověření totožnosti osoby, která vstupuje do informačního systému. Autentizace obvykle uživateli IB umožní pouze pasivní operace (např. zjištění zůstatku na účtu) a pokud chce provést nějakou aktivní operaci (např. platební příkaz) musí ji navíc potvrdit (tzv. autorizovat) zadáním dalších údajů.

Banky často řeší ochranu IB také nastavením maximálních limitů pro transakce, např. ČSOB má v rámci IB limit 300 000 Kč pro denní a 500 000 Kč pro týdenní transakce. Tyto limity lze samozřejmě snížit a pokud obvykle přes internet manipulujete s částkami v řádu max. desetitisíců korun, lze snížení určitě doporučit.

Jak na úvěry aneb život na splátky, které vás nepoloží
Na dluh žije čím dál tím víc českých domácností. Úvěry nepochybně mají svoje klady, dovolují nám pořídit si zboží či služby, na které je naše peněženka krátká. Pokud ale jejich kouzlu bezhlavě podlehneme, mohou nás zavést až na samé finanční dno. Následující série článků vám poradí, jak proplout úvěrovým mořem bez úhony a co dělat v případě, pokud už se snad vaše finanční loď potápí. Spoustu užitečných článků, rad a informací týkajících se úvěrových produktů a zadluženosti naleznete v našem novém seriálu Jak na úvěry aneb život na splátky, které vás nepoloží.


Uživatelské jméno (číslo) a heslo

Obecně nejběžnějším a nejznámějším způsobem autentizace je uživatelské jméno či číslo a heslo. Podle loňského výzkumu agentury NMS pro ČSOB tento způsob využívá téměř 80 % všech uživatelů IB. K potvrzení identity tedy uživateli internetového bankovnictví stačí znát tyto dva údaje. Což je pro uživatele IB sice poměrně nenáročná, ale ne příliš bezpečná metoda. Zjistí-li tyto údaje cizí osoba, získá neomezený přístup k vašemu účtu, banka nemá šanci poznat, že se nejedná o "správného" uživatele. I v případě, že jméno a heslo pečlivě střežíte, může být váš účet napaden. Existují totiž programy, které umí tzv. odečítat z klávesnice a šikovný hacker si údaje dokáže snadno zjistit.


SMS klíč

Proto banky chrání provádění aktivních transakcí dalším ověřením, a to tzv. SMS klíčem. Což je jednorázové heslo pro konkrétní operaci, které vám banka zašle na mobilní telefon. Transakce je provedena až poté, co tento potvrzovací kód opíšete do systému IB. Některé banky tento způsob autorizace používají až od určité výše částky, jiné vždy (v současnosti se jedná o eBanku, ČSOB, Komerční banku a od října 2006 i Českou spořitelnu). Vyšší míru zabezpečení také poskytují banky, které autorizaci SMS klíčem požadují pro každou aktivní transakci, nejenom pro jednorázově pro první zadávanou operaci.


Autorizační kalkulátor

Autorizační kalkulačka je drobné elektronické zařízení, které dokáže generovat jednorázová hesla pro potvrzení operací. Kalkulačka tedy funguje na podobném principu jako SMS klíč.  Kalkulačka je přenosná a je chráněna čtyřmístným heslem. Po zadání hesla a stisknutí příslušného tlačítka vygeneruje šestimístný kód, který klient aplikuje pro vstup do internetbankingu. Pro každou aktivní transakci musí být vygenerováno nové číslo.


Elektronický podpis

Pro komunikaci s použitím elektronického podpisu je nutný tzv. certifikát vydávaný autorizovanou certifikační autoritou, jeho vystavení vám zprostředkuje banka. Vedle komerčních certifikátů existují také tzv. kvalifikované certifikáty, které  zároveň slouží  ke komunikaci se státní správou či zdravotní pojišťovnou (více o elektronické komunikaci s úřady se dočtete v článku Mailovat na úřad? Podle zákona možné, v praxi zatím scifi). Osobní certifikát má podobu souboru a může být uložen na přenosném médiu (na disketě, USB flash disku, CD nebo čipové kartě). Certifikát by v žádném případě neměl být uložen na harddisku volně přístupného PC, protože odtud může zkopírován. V případě umístění certifikátu na čipovou kartu, které je považována za zatím nejbezpečnější, je nutné nainstalovat na počítač uživatele ovladač čtecího zařízení.

Jaké jsou hlavní způsoby podvodů v internetovém bankovnictví?

Podvody lze obecně rozdělit do pěti kategorií:
  • "dobrovolné" zaslání přihlašovacích údajů – pod tuto metodu spadá tzv. phishing (phishingu jsme se podrobně věnovali v článku Rybičky, rybičky, rybáři jedou) a pharming (jde o jakýsi "vylepšený" phishing, kdy se prohlížeč přesměruje na falešnou stránku i při ručním zadání)
  • "odchycení" přihlašovacích údajů od uživatele podvodem – trojské koně, spyware, spam
  • "od třetích stran" - získání hesel, PINů a dalších dat např. o platební kartě od subjektů, kde byly použity k úhradě (např. z obchodu)
  • "nabourání" do systému, tzv. hacking
  • "rafinované útoky" - násilné donucení, odposlechy atd.


Co může pro bezpečnost udělat uživatel internetovém bankovnictví?

Shrňme si ta nejpodstatnější doporučení. Důležitým prvkem internetového bankovnictví je také počítač. Tabu by měly být volně přístupné počítače, např. v internetových kavárnách. Pro kontakt s bankou používejte nejlépe soukromý počítač (případně pracovní), jehož systém je pravidelně aktualizován, má aktualizovaný antivirový a anti-spyware program a je chráněn firewallem. Nestahujte z internetu neznámé soubory a vyhněte se stránkám s podezřelým obsahem. Pozor i na nedůvěryhodné e-maily, nespouštějte přílohy zpráv od neznámých odesílatelů.

Opatrujte svoje přístupové informace (hesla, kódy apod.). Volte "silná" hesla v maximální možné délce. Nepoužívejte data narození, po sobě jdoucí číslice apod. Hesla si nikam nepište a je-li to možné, měňte je. Nezadávejte citlivé údaje na stránky odkazované v jakémkoli e-mailu (banky se touto formou nikdy neptají), na stránky internetového bankovnictví vstupujte výhradně přes oficiální web banky, nikoli "prolinkem" z e-mailu. Sledujte bezpečnost stránky (symbol visacího zámku), pozor na falešné certifikáty – čtěte je, neodklepávejte automaticky. Po ukončení práce se z aplikace korektně odhlaste, zavřete okno používaného prohlížeče.

Pokud se vám cokoli nebude zdát, kontaktujte příslušnou technickou podporu banky. Pravidelně kontrolujte pohyby na svých účtech, případně si nastavte zasílání zpráv o pohybech na účtu.  Zvolte si dostatečně bezpečnou metodu IB, u které je nutná autorizace aktivních transakcí. Obvykle za lepší zabezpečení něco zaplatíte, ale míru rizika tak významně snížíte.

Jaký způsob zabezpečení internetového bankovnictví využíváte? Co si myslíte o nedávné kauze vykradených účtů u KB a ČS? Domníváte se, že České republice hrozí útoky hackerů?

Držíte se udržitelnosti?

Držíte se udržitelnosti?

Generali Česká pořádá soutěž SME EnterPRIZE, která oceňuje udržitelné podnikání. Přihlásit se můžete do 5. dubna.

Sdílejte článek, než ho smažem

Líbil se vám článek?

-3
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 12 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

22. 9. 2006 12:07, Jirka

Tento tah jsem taky nepochopil. Smlouvu, na níž je číslo dosud používané jako bezpečnostní kód, jsem si alespoň vyzvedl na pobočce. Nový bezpečnostní kód si 99,9% lidí uloží ke smlouvě. Takže o zvýšení bezpečnosti bych v tomto případě velmi pochyboval. Jinak se ovšem nejedná o login, jak píšete, ale o náhražku za číslo smlouvy, které se používá pouze při změnách v konfiguraci, jako např. změna čísla mobilu pro zaslání ověřovací SMS. Pro přihlášení do aplikace by se mělo používat dál klientské číslo a heslo, jako dosud. Alespoň doufám, že toto jsem pochopil správně.

Zobrazit celé vlákno

+72
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

22. 9. 2006 9:20, ČSOBák

Pozn.

Pro klienty využívající u Internetbankingu přihlášení přes identifikační číslo a heslo bude možnost zvolit autorizaci přes SMS klíč i pro přihlašování do služeb Internetbankingu. Tím pak odpadá i zmiňované nebezpečí "okoukání" přihlašovacích údajů nadálku.





-3
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (12 komentářů) příspěvků.

Nejlevnější aplikace na trhu. Zpracujte si daňové přiznání pro fyzické osoby v roce 2024 v jednoduché online aplikaci. Pro naše čtenáře exkluzivní sleva 10 %.

DníHodinMinutVteřin
Slevový kód: PENIZE1O
Vyplnit přiznání

Pokud chcete řešit daně po staru, máme pro vás chytré formuláře.

A tohle už jste četli?

O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

25. 8. 2006 | Jiří Nápravník

O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

Do nedávna to vypadalo, že vykradení účtu přes internetové bankovnictví je nepravděpodobné, a pokud už k němu došlo, byla to "chyba klienta, který si účet dobře nezabezpečil". Nedávné... celý článek

Můžeme žít bez bankovního účtu? Zřejmě nikoliv.

1. 8. 2006 | Patrik Nacher

Můžeme žít bez bankovního účtu? Zřejmě nikoliv.

Přemýšleli jste někdy nad tím, zda by vám bez bankovního účtu nebylo lépe? Někteří možná i došli k tomu, že by bylo. Je to ovšem v dnešní době vůbec možné? Po důkladném zvážení se zdá,... celý článek

Jiří Nápravník: internetbanking nepoužívám II.

30. 6. 2005 | Jiří Šedivý

Jiří Nápravník: internetbanking nepoužívám II.

Přečtěte si dokončení rozhovoru s Jiřím Nápravníkem. Dnes např. o tom, proč elektronický podpis není 100% bezpečný, proč se peníze na podporu internetu vyhazují oknem, zda má význam... celý článek

Měla by banka hradit internetbankingové škody?

20. 5. 2005 | Jiří Nápravník

Měla by banka hradit internetbankingové škody?

Obsluha bankovního účtu pomocí počítače či telefonu je rychlá, pohodlná a výhodná pro klienta i banku. Není už ale 100% bezpečná. To ale nejsou ani platební karty, za ty ovšem banky... celý článek

Internetbanking ve světle sazebníků

19. 5. 2005 | Petr Vykoukal

Internetbanking ve světle sazebníků

Důležitým parametrem jakékoliv bankovní služby je její cena. Z našeho testu vyplývá několik zajímavých věcí. Například banky často vnímané jako drahé jsou schopny nabídnout srovnatelnou,... celý článek

Partners Financial Services