O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

Do nedávna to vypadalo, že vykradení účtu přes internetové bankovnictví je nepravděpodobné, a pokud už k němu došlo, byla to "chyba klienta, který si účet dobře nezabezpečil". Nedávné incidenty ale představily problematiku v pravém světle. Internetové bankovnictví v podání českých bank bezpečné není. Stejně tak není bezpečný zaručený elektronický podpis.

Přidat nový příspěvek

Diskuze na webu www.penize.cz se vždy věnují pouze tématu, k němuž se vztahují. Rozhodně nesuplují funkci Poradny. Máte-li proto jakýkoliv dotaz, obraťte se prosím přímo na naše odborníky, kteří vám rádi pomohou. Na dotazy vložené do Poradny standardně odpovídáme do čtyř pracovních dnů, obvykle se ale dočkáte reakce mnohem dříve. Pokud dotaz vložíte do diskuze, s velkou pravděpodobností na něj nikdo nezareaguje. Děkujeme za pochopení.

Příspěvek s nejvíce kladnými hlasy

29. 8. 2006 16:12

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.

Zobrazit celé vlákno

+47
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

28. 8. 2006 11:48, Autor původního příspěvku

Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.

Zobrazit celé vlákno

-34
+-
Reagovat na příspěvek

Další příspěvky v diskuzi (celkem 36 komentářů)

25. 8. 2006 23:57 | Pavel

Nemyslím, že by útočník musel mít zázemí u GSM operátora. Stačí když standartním postupem změní tečl. číslo kam se SMS zasílá. Stačí na to Váš podpis což také není nepřekonatelný problém.
+3
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

25. 8. 2006 15:37 | Bobo

Jen takový nápad. Když jste komunikoval s těmi bankami, které měly slabé zabezpečení, a tvrdili, že mají vše OK, tak by jste jim řekl, že v tom případě jim jistě nebude vadit, když dáte na internet podrobný návod na vykradení kont jejich zákazníků. Myslím, že by reagovali jinak :-))
0
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 15:18 | Rafter

Neslo by v ankete pridat polozku: Nebojim, mam E-Banku? :-)))
-6
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 15:16 | Rafter

Uz se to tu probiralo letos nekolikrat a nekteri tomu ani dnes stale neveri ;-) Ano certifikat je bezpecny, ale za prodpokladu, ze si nekdo nehraje s vasim PC.. Pro ty, co veri v bezpecne PC bych vzkazal: Probudte se!!! Ani Linux, ani Windows Vista nikomu nezaruci bezpecne PC, tvurci viru jsou vzdy o krok napred a vzdy se vam do PC muze nekdo podivat. Ani ctecka karet nic neresi, snad jen to ze certifikat neni pristupny po celou dobu, ale jen ve chvili kdy jej pripojite. Mate-li pristup k certifikatu vy (vase aplikace) ma k ni pristup i utocnik. Takze se dostavame k tomu, co vetsina uz davno vi.. momentalne jediny prijatelne bezpecny zpusob je kalkulacka a nebo jednorazove kody, nejlepe pres SIM toolkit. Obycejna SMS je sice pomerne bezpecna, ale take o rad min nez sifrovana. Ale tam by utocnik asi musel mit sveho cloveka u GSM operatora..
-1
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 14:58 | roman.k

Já si myslím, že autorizace pomocí jednorázových SMS je dobré řešení, ale samozřejmě za určitých podmínek. Sám u své banky nepoužívám elektronický podpis, ale autorizace platebních příkazů řeším prostřednictvím šifrovaných SMS přes GSM banking, což si myslím, že je dobrá varianta - nejenom, že autorizační kód jde úplně jinou cestou, než samotná transakce, ale navíc je potřeba ještě bankovní PIN, takže i když je někdo u mobilu, který je zapnutý, bez zvláštního PINu se stejně nedostane k tomu číslu. Navíc mi informace o veškerých platbách chodí na mobil. Zabezpečení je to myslím celkem dobré, ale klient nesmí mít možnost si změnit telefonní číslo, na které se zasílají informace a autorizační kódy sám přes webové rozhraní banky, protože pak toto zabezpečení ztrácí jakoukoliv účinnost - když už se někdo dostane k heslu do banky a sám by si mohl změnit telefonní číslo na zaslání autorizace a to samé i info o transakci, pak ztrácí toto zabezpečení jakýkoliv smysl.
-1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

25. 8. 2006 13:39 | honzour

FIO poučívá elektronický podpis s klíčem uloženým na disku. Je tedy v tomto smyslu stejně (ne)bezpečné jako byla Komerční banka. Tj. člověk, který ukládá svůj soukromý klíč na disk k virům a používá k přístupu na el. bankovnictví "nabořený" počítač je v ohrožení. (Což ale nepovažuji za chybu FIO.)
-1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

25. 8. 2006 12:51 | agradabla

Myslim, ze ucty Fio jsou bezpecne.
0
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 12:42

Myslím, že autor je silný skeptik. Nicméně - 100% bezpečí nás čeká až v hrobě. On je problém spíše v tom, že lidé nepoužívají hlavu a podstupují zbytečná rizika. Kdo z Vás nezažil ve svém okolí lidi, kteří nosí PIN k platební kartě, když už ne přímo s kartou, tak v peněžence? Kdo z Vás si nevšiml, že někteří jedinci před výběrem z bankomatu cosi hledají v mobilu ? Kdo z Vás má antivirový program a stále ho aktualizuje.... Vím, že většina velkých bank nemá příliš skvěle zabezpečené internetové bankovnictví, ale zlepšuje se to. A třeba eBanka má zabezpečení na dobré úrovni - ovšem ani dobře zabezpečený účet není odolný v případě, že klíč k němu někomu půjčím a ještě mu sdělím svá hesla. Za to však těžko může banka. Lidé by měli při zřizování účtu požadovat informace - a zachovat se podle nich. Zdena
0
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 10:42 | honzour

Jestli tomu dobře rozumím, k útoku došlo tak, že někdo si nechal zavirovat počítač (Windows) útočník si zkopíroval jeho soukromý klíč od certifikátu, odposloucháváním klávesnice i všechna potřebná hesla a pak už jen vybíral peníze.
To ale přece neznamená, že elektronický podpis je nebezpečný! Ani to, že banka dělá neco špatně.
To znamená jenom, že zavirované Windows nejsou dobrým úložištěm soukromých klíčů ani internetovým kioskem. Řešením je například používat jako uložiště soukromého klíče čipovou kartu (odkud nejde klíč softwarově exportovat) nebo aspoň disk nezaviovaného OS, třeba Linuxu nebo dobře zabezpečených Windows a tento OS používat i jako internetový terminál.
+2
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 10:24 | Michal Kára

A proc ne? Ty utoky nejspis nebyly cilene, ale pachatele "pustlili do sveta" sniffery a pak sbirali informace od nich. Kdyz sniffer sehnal certifikat a PIN pro KB, tak se podivali clovekovi na ucet. Az meli dost lidi s dostatecne vysokymi ucty, tak provedli utok. IMHO tech ziskanych pristupovych udaju bylo asi o dost vic, nez deset.
Naopak takove pekarstvi asi nemelo zvlast dobre zabezpeceny pocitac (proc vyhazovat penize za odbornika, kdyz to zvladne Pepa Vodvedle), tak se nelze co divit, ze se stali obeti.
-2
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

25. 8. 2006 9:29 | lhajek

Nic není stoprocentní tak jako i elektronický podpis ..... ale ono existuje několik technických řešení s tím, že jak už to bývá to nejlepší je také nejdražší a tak se šetří. Obávám se ale, že o tom co se použije více rozhodují manažeři, kteří umí tak akorát naťukat pár řádek ve wordu a jejich rozhodnutí podle toho také vypadá. A další velký problém je přebujelá administrativa ... hromady vyhlášek .... předpisů ... a zákonů přez které se nedá pružně reagovat na nové způsoby podvodů. A tak nějaký rychlý a spíše dočasný způsob autorazace např. onou SMS u KB může být myslně vysvětlován jako nedokonalost elektronického podpisu. Ledacos o této oblasti vím ikdyž mě přímo neživí, ale elektronickému podpisu věřím stále a považuji ho v současné době za stále vysoce bezpečný .... stále lepší než když někdo vyžaduje můj podpis na kusu papíru .... někomu dokonce stačí ten podpis vidět přez fax a to byste se pak divili co dokáže scaner a jednoduchý editor na obrázky ......
+1
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 9:22 | Eric

Zkuste vybrat deset slamníků bez rizika kulky v hlavě....Jo, jo, zlatý slamníček. Chrochty, chrocht...
+2
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 9:10 | Jirka H.

Souhlasím. Taky si myslím, že bez spolupráce s někým uvnitř banky to nejde. Přijde mi divné, že si organizovaná skupina podvodníků zcela "náhodou" vybere malé pekařství v Dobřanech na Plzeňsku a vybere mu peníze z účtu.
+1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

25. 8. 2006 9:10 | kerensky

Podle mě tato aféra konečně poukázala na skutečnost, že banky za internetbanking odpovídají (KB ztracené peníze rychle zaplatila...). Takže už neplatí to, s čím asi počítala ČS - ti nejdřív zrušili nejbezpečnější formu přístupu k účtu a současně začali internebanking nabízet jako rohlíky v krámě (typické pro společnost, kterou ovládli hoši z marketingu). Teď najednou vyplulo na povrch, že systém vůbec není bezpečný a chystají nové bezpečnostní opatření - pcha!
Nezbývá než dodat, že moje svrbění v koleně, když mi v ČS nabízepli internetbanking, opětně vyšlo. Internetbanking nemám, i když by občas bylo pohodlnější ho mít. Těším se, že teď konečně ČS nabídne bezpečný, pojištěný a garantovaný produkt, který budou moci využívat i lidé jako já. Obvzvláště když ho mám v balíku služeb zadarmo :-).
-1
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 8:20 | Starmen

Tak trosku se mi zda, ze autor postavil konstrukci tvrzeni na lichem predpokladu. Ne ze bych s clankem jako takovym nesouhlasil, ale autor se snazi navodit dojem, ze elektronicky podpis jako takovy je nebezpecny. Vse ma svou miru (ne)bezpecnosti. Ani el. podpis neni 100%. Ale protoze KB zacina se zasilanim SMS jeste neznamena, ze KB uznala, ze je el. podpis jako takovy nebezpecny. Pouze tim uznala, ze CELKOVY proces prace s internetbankingem neni dostatecne zabezpecen. Zadanim kodu z SMS zpravy se pouze ujisti, ze danou transakci provadi opravdu dany clovek (resp. clovek, ktery v te chvili ma telefon a el. podpis :-) ). O bezpecnosti el. podpisu jako takoveho to primo nic nerika. Dane podvody se mohli opravdu odehrat napadenim PC kde byl ulozen certifikat nebo nejakym bezpecnostnim problemem v aplikaci internetoveho bankovnictvi. Princip el. podpisu jako takovy jeste prolomen nebyl pokud je mi znamo (pri dostatecne dlouhem sifrovani).
Tot muj nazor.
0
+-
Reagovat | Citovat | Nahlásit

25. 8. 2006 7:18 | pat&mat

... s autorem clanku mohu souhlasit, ale myslim, ze opomnel jeden, dalsi, dulezity faktor a samozrejme ten lidsky, ale ne na strane majitele uctu, ale na strane banky. Muzeme rici, ze je obecne platne, ze ve volne chvili se zamestnanci bank bavi tim, ze projizdeji ucty svych klientu. Navzajem si sdeluji, kde jaka celebrita prisla k penezum a jake by to bylo, kdyby i oni dostali jednorazove 250.000Kc. No proste vi potom, jake cislo maji " vytukat" aby videli opravdu tucne konto. Ted kdyz si k teto zabave vezmu neskonalou touhu po bohatstvi az chamtivosti nekterych z nas, tak je otzakou casu, kdy se zacne nekdo kdo, ma moznost, zabyvat myslenkou, jak dostat penize z mista "A" do mista "B". Zna system, vi kde jsou slabiny, ktere jsou opet znamene, ale z prirozene lidske lenosti je neresi, radeji pracovni cas venuje zabave (psani SMS, preposilani emailu se zabavnym obsahem, internet, hry ..) a pak je zde najednou cesta ... takze muj nazor je, (coz se nebude libit bankam), pokud doslo jiz nekolikrat ke kradezi penez z uctu, povetsinu v tom mel prsty nekdo jiny nez klient, ale znaly pomeru a prostredi ...
+1
+-
Reagovat | Citovat | Nahlásit

Ušetřete s Peníze.cz

Naši čtenáři s námi ušetřili už  12 239 891 Kč. Podívejte se na poslední poptávky a vyzkoušejte nás také. Vše je zcela zdarma.

Spočítejte si

Výpočet RPSN

Rozšířená verze kalkulačky

Další kalkulačky

Články na Heroine.cz

„Chceme vidět svět ve všech barvách,“ říkají vydavatelé knižních reportáží Absyntu

„Chceme vidět svět ve všech barvách,“ říkají vydavatelé knižních reportáží Absyntu

Vracím se dnes večer z Angoly, která právě jen těsně ubránila život svého prezidenta i...více

Udělají vás psychedelika lepším rodičem? Mikrodávkují matky i manažeři

Udělají vás psychedelika lepším rodičem? Mikrodávkují matky i manažeři

Britské mámy sahají po překvapivém prostředku, jak si ulevit. Je mikrodávkování psychedelik...více

Vít Samek Na vlastní otvor 2. Vyšetření karpálního tunelu

Vít Samek Na vlastní otvor 2. Vyšetření karpálního tunelu

Dneska se podíváme na otravnou diagnózu, kterou si mohou uhnat jak kancelářské krysy,...více

Přihlášení k newsletteru

Změny, novinky a aktuality ze světa osobních financí přehledně ve vaší schránce – čtěte náš pravidelný newsletter.

Informace ke zpracování osobních údajů

Souboj osobností

Kdo je vám sympatičtější? Hlasujte v našem souboji osobností a zvolte si svého oblíbence (případně menší zlo). Stačí kliknout na fotografii.

Ladislav Jakl

bývalý tajemník prezidenta

Tomio Okamura

senátor a podnikatel

Ladislav Jakl
ÚSPĚŠNOST
33,33 %

z 6 duelů
×
Tomio Okamura
ÚSPĚŠNOST
62,50 %

z 8 duelů

Chci jiný souboj
Souhrnné výsledky duelů

Partners Financial Services

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK

Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.