Zdroj: Shutterstock
„Pozor, vaše přihlašovací údaje mohou být v nebezpečí, proto od 1. prosince zrušíme možnost přihlášení přes SMS. Přihlašujte se přes mobilní aplikaci Smart Banka, díky které budou vaše přihlašovací údaje v bezpečí před phishingovými útoky, protože kombinace ID, hesla a kódu z SMS představuje za určitých okolností bezpečnostní riziko.“
Takové oznámení teď najdou klienti Moneta Money Bank na přihlašovací stránce do internetového bankovnictví. Míří na uživatele, kteří pro ověření stále používají jednorázový SMS kód. (Varovná zpráva se nicméně ukazuje i uživatelům, kteří už dávno přešli na potvrzování přes mobilní aplikaci.)
Motivovat klienty k přechodu na modernější a bezpečnější ověření v aplikaci se v posledních letech snaží i ostatní banky. Zatím žádná jim ale neoznámila, že možnost SMS kódů zcela zruší a kdo nepřejde na aplikaci, má smůlu. Oznámení Monety je první, které tak působí.
Co mají dělat klienti, kteří aplikaci nechtějí, nebo dokonce ani nemají takzvaný chytrý telefon? Typicky starší lidé s tlačítkovým mobilem? Zmíněná zpráva na přihlašovací stránce jim žádnou naději nedává. Podrobnosti k chystané změně zatím nenajdou ani ve smluvních podmínkách nebo jinde na webu Monety.
Web Peníze.cz zjistil, že výjimky přece jen zůstanou, bude k nim ale potřeba aktivita klienta. „Klientům, kteří doposud používají tlačítkový telefon, u kterých je riziko zneužití menší, umožníme SMS přihlášení do Internet Banky, tak jak byli zvyklí. Jen se budou muset spojit s naším zákaznickým centrem nebo stavit na pobočce a požadavek na zachování SMS autorizace osobně potvrdit,“ ujišťuje Jana Kobesová z tiskového oddělení Monety.
Oznámení na přihlašovací stránce. Klikněte pro zvětšení.
„Současně je naši operátoři a bankéři upozorní, aby si v případě budoucího přechodu na chytrý telefon aplikaci Smart Banka neprodleně stáhli a aktivovali si autorizaci biometrickými prvky či heslem. Navíc je důkladně seznámí se všemi bezpečnostními riziky, které používání SMS autorizace na chytrých telefonech skýtá,“ dodává Kobesová.
Složitější to mohou mít lidé, kteří smartphone mají, ale aplikaci z nějakého důvodu pro potvrzování nepoužívají. „U klientů využívajících chytré telefony alternativu nenabízíme. Aplikaci Smart Banka si může do telefonu každý snadno zdarma nainstalovat. Během pár minut získá bezpečný přístup ke svým financím, ať již přímo z mobilní aplikace, nebo prostřednictvím internetového bankovnictví,“ zdůrazňuje Kobesová bez bližších podrobností o tom, jestli a jak to bude banka kontrolovat.
Chystané „zrušení SMS“ se týká nejen samotného přihlášení, nebo i ověřování zadaných příkazů – typicky odchozí platby, změny limitů na kartě a podobně. „Jedinou SMS autorizaci provede nový klient v rámci zakládání účtu online, kde však následuje vícefázové ověření prostřednictví dokladů a selfie videa klienta nebo pomocí Bank ID,“ dodává Jana Kobesová.
Proč se Moneta rozhodla pro zpřísnění, když ještě v dubnu takový krok podle vyjádření pro Peníze.cz neplánovala? „V poslední době evidujeme výrazné zvýšení počtu útoků i variant podvodných schémat. Obvykle útočník klienta zmanipuluje a přesvědčí k instalaci aplikace (nejčastěji AnyDesk) do počítače či telefonu. Tato aplikace podvodníkům umožňuje číst SMS s autorizačními kódy a bez vědomí klienta se přihlásit k jeho internetovému bankovnictví. Pokud má klient Smart Banku, nic takového se nestane, protože je pro útočníka neviditelná. Nemůže tedy potvrdit notifikaci,“ vysvětluje banka.
Aktuální smluvní podmínky – s poslední aktualizací od letošního dubna – zatím s možností SMS dál počítají. Banka však ujišťuje, že nejpozději dva měsíce před datem změny – tak, jak je potřeba podle zákona – zveřejní jejich upravenou podobu od prosince. Klienti, kteří se změnou nesouhlasí, pak mohou podle zákona snadno zrušit účet bez případných sankcí (takovou možnost však u Monety mají i standardně, pokud využívají účet Tom nebo Tom Plus, který je bez poplatků a dalších závazků).
Kvůli evropské směrnici PSD2 musely banky nejpozději od roku 2021 zavést takzvané silné ověření, založené na dvou různých faktorech. Změny se týkají jak přihlašování do internetového bankovnictví a zadávání příkazů, tak potvrzování online plateb kartou (typicky v e-shopu). Samotný jednorázový kód formou SMS už podle výkladu Evropského orgánu pro bankovnictví nestačí. Banky preferují elektronické ověřovací aplikace, protože splňují požadavky na silnější ověření a mohou být uživatelsky příjemnější. Navíc jim tím odpadají náklady na posílání potvrzujících SMS.
Zatím nejpřísnější postup zvolily Raiffeisenbank, UniCredit Bank a Česká spořitelna:
Raiffeisenbank už od září 2020 zavedla motivační poplatek: lidé, kteří pro ověření v internetovém bankovnictví používají SMS, si připlácejí 19 Kč jako měsíční paušál. Od loňského července pak lidem, kteří platí online kartou a nevyužívají aplikaci, přestaly chodit SMS kódy na mobilní telefon – místo nich si vyzvednou 3D Secure kód v elektronickém bankovnictví.
UniCredit Bank účtuje speciální poplatek jak za úvodní nastavení „starého“ ověření, tak 1,50 Kč za každou SMS zprávu.
Česká spořitelna, největší banka podle počtu klientů, od letošního 23. července zavedla poplatek 2,50 Kč za každou potvrzující SMS pro přihlášení do internetového bankovnictví, pro autorizaci platebních příkazů nebo ověření online plateb kartou. Výjimku dostali klienti od 70 let věku.
Klienti ČSOB bez aplikace musí od letošního 20. června potvrzovat příkazy nejen jednorázovým SMS kódem, ale i stálým heslem k ČSOB Identitě.
Přijde e-mail, SMS, zpráva na Facebooku. Píše banka, doručovací služba nebo i finanční správa. Něco se vám děje na účtu. Někdo chce poslat peníze. Něco jste vyhráli. Honem se přihlaste, klikněte. To je jen zlomek z fíglů, které používají podvodníci, co usilují o přístup k vašemu účtu nebo platební kartě. Posbírali jsme jich mnohem víc. Podívejte se do galerie.
Petr Kučera
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
12. 9. 2022 5:52, PepaJa
Proti lidské blbosti žádná aplikace neochrání. Telefon nemůže být chytrý za lidi. Útočník tak místo tajného přečtení SMS jen zavolá a řekne: "Poslal jsem vám do aplikace oznámení, prosím potvrďte mi ho." A dost lidí to radostně udělá.
Pokud jde o mne, kvůli tomuto blbnutí s aplikacemi teď tahám s sebou jinak nepotřebné zařízení. Kromě normálního telefonu ještě velkou špatně ovladatelnou obludu, které umí akorát tak chytře (rychle) spotřebovat baterku a to ji zapínám vlastně jen kvůli bance. Nedávno jsem si zrovna u Monety řekl, že zkusím místo z PC poslat peníze z aplikace. Bylo to příšerně zdlouhavé a nepohodlné. Než jsem provedl jednu platbu, měl bych jich na počítače tak 5 ale spíš víc.
Příspěvek s nejvíce zápornými hlasy
14. 9. 2022 7:33, L..
Citace - MildaRO / 13.09.2022 20:52
Není. Pokud někdo přesměruje SMS z toho čísla k sobě (což v nezabezpečitelné mobilní síti rozhodně není nemožné), tak vám účet vykrade, i když bude vaše hipster Nokie ležet vypnutá v trezoru v bance.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (9 komentářů) příspěvků.