Nejen klienty České spořitelny zaplavily v poslední době podvodné emaily, které se z nich snažily vytáhnout přístupová jména a hesla k účtům. Je to jediná hrozba, které musí dnes čelit?
Zdaleka ne a už vůbec ne ta nejnebezpečnější. Mnohem horší než tento tzv. phishing jsou viry zvané trojské koně. Ty se uloží do vašeho počítače a mohou slídit po citlivých osobních datech, jako třeba po přístupových údajích k bankovnímu účtu.
Jak to dělají?
Existuje například trojský kůň Infostealer Bankos. Pokud se dostane do vašeho počítače, začne sledovat, do internetbankingu kterých bank chodíte. Až to zjistí, připojí se k serveru, kde má uloženy šablony a podívá se, jestli tam má šablonu pro vaši banku. Tu tam určitě mít bude. My jsme ho v Česku viděli mnohokrát a pozorovali jsme, jak si stahuje šablony pro různé české banky. Na začátku to byl anonymní kód, který nejde cíleně po vás, dostal se do spousty počítačů.
Kdy začne být nebezpečný?
V okamžiku, kdy zjistí, kterou banku navštěvujete. Změní se pomocí šablony tak, aby data vykrádal tím správným způsobem. Zná formuláře. Ví, které políčko co znamená. A informace o vašem bankovním účtu odešle na úložiště, z kterého si je útočníci vybírají. Nastal tedy útok adresný. To jsou nové parametry trojských koňů, tak dříve nefungovaly.
Jak se proti tomu dá bránit?
Uživatelé by si měli na domácím počítači nastavit vlastní účet s vlastním přihlašovacím jménem a heslem. Neměl by pracovat jako administrátor. Heslo by mělo mít nejméně osm znaků dlouhé se speciálními znaky, číslicemi a bez významu. Také by hesla neměla být napsána v nějakém textovém souboru, navíc třeba uloženém na ploše. Uživatelé by měli používat dobrý bezpečnostní program. Pokud se ale nechovají bezpečně, takový program jim moc nepomůže. Pokud budou mít prázdné heslo, tak se k nim útočník dostane a antivirový program prostě vypne.
Jsou ještě další zásady bezpečného používání internetbankingu?
Například vypnout icq, skype a ukončit stahování souborů, otevřít nový prohlížeč, zkontrolovat, jestli má všechny aktualizace, a smazat dočasné internetové soubory. Pokud toto nebudu respektovat, tak je to stejné, jako když budu jezdit 150 km/h po Praze. Na nějaké křižovatce nakonec nabourám. Náklady na zabezpečení nemusí být zas tak velké. Za "kalkulačku", která generuje jednorázové heslo pro potvrzení transakce, a bezpečnostní program zaplatím 3500 korun a ročně pak dalších 1500 korun. To je částka, kterou rodina klidně nechá v neděli v supermarketu.
Jaké údaje se z počítačů nejvíce kradou?
Hackeři se specializují podle toho, jaká je poptávka na černém trhu. Postupně ztrácejí na přitažlivosti kreditní karty, které dlouho vedly, a narůstá obliba bankovních účtů. Za přístupová data k bankovnímu účtu z EU či USA se platí třeba až 1000 dolarů. Za účty a kartami je na třetím místě v oblíbenosti krádež identity. Aby se někdo mohl třeba pomocí ukradených údajů dostat přes hranice.
Proč o tom není nikde slyšet?
Protože oběť nechce vypadat jako hlupák a banka až do momentu, než se vše dostane na veřejnost, tak nechce vypadat taky. Dokud se to neděje v masovém měřítku, tak o tom pravděpodobně neuslyšíte.
Bude takových případů přibývat?
Určitě. Před pěti měsíci jsme říkali pozor, tady to začíná zavánět phishingem. Banky říkaly: „Ano, pár lidí jsme tu měli, ale bylo to uděláno dosti nedbale a nevyplatí se s tím něco dělat.“
Co může udělat banka pro bezpečnost?
Jakkoli to vypadá, že banka nemůže dělat skoro nic, tak může. Pokud chce někdo učinit phishing proti bance, musí vyrobit podobnou stránku, jako má napadená banka. Bude si registrovat domény, které jsou podobné doméně banky. Lze kontrolovat registrace takových stránek. Také by banka neměla ustupovat tlaku uživatelů na snížení bezpečnosti. Lidé si na bankách vynucovali, aby nemuseli mít čtečky, aby neměly certifikát na čipové kartě, ale ve formě souboru. Nebo se podívejme, jak banky zacházely s „kalkulačkami“. Česká spořitelna je zavedla jako jedna z prvních a zrušila je. "Kalkulačka" je přitom nejlepší způsob, jak zabezpečit přihlášení do internetového bankovnictví.
Proč je banky nepoužívají?
Lidé za ně museli platit. Tlak tak vytvářeli i uživatelé internetbankingu, kteří si neuvědomují základní a jednoduchou pravdu: peníze do slamníku dávat nebudeme, budeme je mít v bankách a musíme se rozhodnout, jestli do těch bank budeme chodit, nebo zvolíme internetbanking. Tak za to pohodlí musíme zaplatit tím, že budeme používat kalkulačku či čtečku, že si koupíme slušný bezpečností program, budeme se chovat zodpovědně.
Jak se chráníte při používání internetového bankovnictví? Podělte se o zkušenosti.
Sdílejte článek, než ho smažem