Podle informací bank celý český bankovní sektor evidoval v roce 2014 meziroční nárůst pokusů o prolomení zabezpečení bankovních účtů klientů v řádu desítek procent.
Kromě podvodných e-mailů se v Česku objevily i pokusy o podvod prostřednictvím komunikace na sociálních sítích.
| Phishing |
|---|
| Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů,úřadů státní správy nebo od IT administrátorů. |
Škodlivý software (malware), který si uživatel stáhne například otevřením škodlivé přílohy e-mailu, se snaží obejít i standardně používanou dvoufaktorovou autentizaci ovládnutím nejen počítače, ale i jeho chytrého telefonu.
Ne vždy je však na vině sofistikovanost podvodného e-mailu, ale lehkovážnost uživatele či dokonce jeho ignorace základních bezpečnostních pravidel. „Je třeba zvýšit vědomí odpovědnosti klientů za případné nedodržení bezpečnostních pravidel. Banky v každém jednotlivém případě posuzují, nakolik ke zcizení prostředků došlo vinou či zanedbáním na straně klienta. Pokud se taková skutečnost prokáže, nemůže klient do budoucna počítat s tím, že mu takto vzniklá ztráta bude kompenzována,“ varoval Jan Matoušek, náměstek výkonného ředitele České bankovní asociace.
O bezpečnosti plateb na internetu jsme hovořili s Michalem Bejčkem, který je vedoucím katedry informatiky VŠMIEP (Vysoké školy manažerské informatiky, ekonomiky a práva):
Mnozí podvodníci zkouší nakupující na internetu přesměrovat na falešné platební brány, na nichž pak člověk nevědomky zadá veškeré údaje ke své platební kartě. Jak poznat, že jde o reálnou platební bránu či podvod?
Obecně toto poznat nelze, protože pokud se jedná o e-shop, kde jste dosud neplatili kartou, nevíte, kam vás platba nasměruje. Může to být i vám naprosto neznámá banka nebo poskytovatel. Obecně by ale platební brána měla určitě být zabezpečená, tedy její adresa by měla začínat “https:/ /“ a její certifikát by měl být typu Extended Validation Certificate (EV). U něj je ověření identity subjektu spolehlivé.
Běžný bezpečnostní certifikát je důkazem identity serveru (doménového jména), EV navíc ověřuje identitu provozovatele serveru (firmy). U běžných prohlížečů (Internet Explorer, Firefox či Chrome) se název firmy zobrazuje v adresním řádku. Některé platební brány nabízí další prvky zabezpečení jako například SMS potvrzení platby. Nejlepší je, pokud e-shop nabízí možnost platby přímo přes vaši banku. V tomto případě při platbě dochází k přesměrování přímo na portál banky a lze si tak opět podle certifikátu snadno ověřit, kam se přihlašujete. Většina bank u nás tuto službu nabízí, ale ne všechny e-shopy ji podporují. Dobrou možností platby je i služba Paypal.
Jde technicky odposlechnout platbu na oficiální platební bráně?
Záleží na tom, kde bude útočník naslouchat. Útok man-in-the-middle lze provést i na počítači uživatele, tam je největší slabina zabezpečení. Pokud bude uživatel přistupovat někam z napadeného počítače, nelze garantovat vůbec nic. Napadení komunikace po cestě k platební bráně je prakticky vyloučené. Problém může být i mezi e-shopem a bránou, ale to je také vysoce nepravděpodobné.
Který z počítačových virů z poslední doby nejvíce ohrozil platební brány? (pokud vůbec?)
Spíše se objevují viry přicházející e-mailem, které po aktivaci uživatelem zašifrují disk nebo zablokují počítač a požadují zaplacení za dešifrování nebo odblokování, tedy takzvaný ransomware (ransom = anglicky výkupné, pozn. red.). Nebo se stále vyskytují různé phishingové útoky, kde je cílem získat od uživatelů údaje o platebních kartách nebo přístupy do internetového bankovnictví.
Nevím o viru, který by cíleně napadal konkrétní platební bránu. Autoři virů spoléhají spíše na to, že uživatel dobrovolně poskytne údaje nutné pro platbu. Nebo propůjčí svůj mobilní telefon na SMS autorizaci pro platbu někoho jiného. Tady se lze bránit používáním antiviru a ignorováním všech e-mailů nebo služeb, které nabízí nevyžádaný spustitelný obsah (například spustitelný program v zip archivu) nebo požadují informace například o přístupových údajích do internetového bankovnictví.
| Jak útočník napadne kromě PC i mobil |
|---|
| Malware, který si klient stáhne například otevřením škodlivé přílohy e-mailu, se snaží obejít i standardně používanou dvoufaktorovou autentizaci ovládnutím nejen počítače, ale i chytrého telefonu. V první fázi umožní vir hackerům odcizení přihlašovacích údajů do internetového bankovnictví. Ve fázi druhé nasměruje útočník uživatele na webové stránky, které na první pohled vypadají jako oficiální stránka banky či internetového bankovnictví. Na podvržené stránce je uživatel vyzván k vyplnění formuláře včetně mobilního čísla a typu telefonu. Útočník následně na uvedený telefon pošle SMS zprávu s odkazem na údajně antivirovou aplikaci, která ovšem po instalaci způsobuje zadržování a přeposílání SMS zpráv potřebných pro potvrzování plateb hackerovi. |
Role bezpečnostních certifikátů/antivirových programů je tedy stěžejní…
Certifikáty jsou nezbytně nutné pro identifikaci subjektu, se kterým uživatel komunikuje. A pokud se nejedná o Extended Validation Certificate (EV), je garantováno pouze to, že spojení je šifrované a identita serveru, ale ne konkrétní firmy. Jednoduchý certifikát lze totiž získat zdarma a prakticky bez ověření. Antivirus je samozřejmě dobrý základ ochrany počítače.
Na e-shopech se začínají také objevovat takzvaná platební tlačítka, která přesměrovávají rovnou na stránky bank. Obchodníci se tak snaží ušetřit si problémy s napojením na platební brány: pro ně je to levné řešení a zároveň i důkaz klientovi, že obchodník data o kartě nevidí. Hrozí riziko zneužití těchto tlačítek podvodnými e-shopy?
Umístění platebního tlačítka je jednoduché řešení a jako všechno, i tohle lze podvrhnout. Opět bych ale v této situaci spoléhal na EV certifikáty. Pokud tlačítko přesměruje uživatele na portál konkrétní banky, může si identitu stránky, kam údaje zadává, snadno z certifikátu ověřit. E-shop může využívat i služeb některého z agregátorů plateb, ale i tam lze snadno ověřit identitu, počet agregátorů není velký. V ČR jsou aktuálně Agmo, GoPay a PayU.
Role 3D secure a programů, které „inteligentně“ vyhodnocují nákupní chování klienta a případně blokují provedení platby…
3-D Secure je zabezpečený protokol založený na XML, který zahrnuje obchodníka a jeho banku, banku uživatele a infrastrukturu a definuje, jak mezi těmito subjekty probíhá komunikace. Garantuje, že se údaje o kartě nedostanou do nepovolaných rukou. Vyhodnocování nákupního chování je otázka bank a ty nezveřejňují, jakým způsobem provádí kontrolu plateb, ale systém celkem funguje.
Je docela pravděpodobné, že pokud v krátkém časovém rozmezí zaplatíte kartou na více různých místech na světě, někdo z banky vám zavolá a bude chtít transakci ověřit.
Air Bank: Pozor na podvodný e-mail s žádostí o aktualizaci údajů
