Počítačová kriminalita a banky: Kdo vede?

Napadení vnitřních bankovních systémů zvenku není triviální. A zpravidla se nestává. Útočníci napadají banku buď zevnitř, nebo využívají její nejslabší článek - klienta. Jak se mohou banky a klienti bránit? Mají vůbec šanci?

V poslední době banky a jejich klienty trápí především phishing. Došel tak daleko, že útočníci používali i jména a domén tvářících se jako domény ČNB. Není proto divu, že v rámci doprovodného programu MasterCard Banky roku byla uspořádána konference „Počítačová kriminalita v bankovním sektoru“.


Foto z konference

Phishing - zpravidla snadno odhalitelný

Phishing, tedy zasílání podvodných zpráv, jejichž cílem je vylákat citlivé (zpravidla) bankovní údaje, patří k méně nebezpečným a zpravidla snadno odhalitelným. Základní pravidlo zní: Nereagujte na nevyžádané e-maily, které se tváří jako zaslané bankou.

I v případě, že se klient nechá zlákat (kupříkladu hrozbou neprovedené transakce, vidinou náhlé výhry nebo jen prostým varováním před podvodnými e-maily), nemá ještě zdaleka prohráno.

Cílové internetové stránky, na nichž je vyzván k zadání přístupových kódů k internetovému bankovnictví či identifikační čísla a PINy platebních karet, jsou velmi často snadno rozpoznatelné - i když ani to neplatí zdaleka vždy a chytří útočníci vždy uvedou nějaké vysvětlení, proč stránky nevypadají jako obvykle.

Při každém podezření na podvodný e-mail či nestandardní chování stránek internetového bankovnictví je dobré kontaktovat banku. Nedoporučuji ale využít kontaktní číslo uvedené na podezřelých stránkách, které v případě útoku může patřit podvodníkům.

Pharming - nebezpečnější verze phishingu

Pharming na rozdíl od phishingu využívá slabin na klientově počítači. Jeho cílem je (zjednodušeně) spustit v počítači oběti program, s nímž získá útočník nad počítačem kontrolu. Poté je již otázkou času, kdy si přečte vše potřebné např. při skenování úderů klávesnice (toto je důvod, proč banky nabízí též grafické klávesnice pro zadávání hesel... ovšem i pohyby myši lze sledovat).

DNS útoky - a klient je bezmocný

DNS, celým názvem „Domain Name System“, česky „Systém doménových jmen, slouží k překladu slovních adres (např. www.hypoindex.cz) na jejich číselné určení (např. 78.24.9.77). Systém DNS popsal na konferenci Pavel Tůma ze sdružení CZ.NIC, které spravuje česká doménová jména, a uvedl též, kde je systém zranitelný.

Obrázek: Zranitelnost DNS

Zdroj: Přednáška Pavla Tůmy ze sdružení CZ.NIC na konferenci „Počítačová kriminalita v bankovním sektoru“ pořádané v rámci doprovodného programu MasterCard Banky roku.

Podvrhne-li útočník falešné směrování DNS, má smůlu i klient, který má svůj počítač aktualizovaný a dobře zabezpečený. Při zadání obvyklé adresy do prohlížeče je mu načtena podvržená stránka a klient nemá šanci poznat, že není na stránkách banky. Tedy, pokud útočníci stránky zkopírují věrně.

Řešením, které se postupně bude aplikovat, je DNSSEC - systém doménových jmen chráněný ověřovacími certifikáty.

Zabezpečovací technika... vše má své mouchy

Nejslabším článkem internetového bankovnictví je klient. Proto mu banky dávají do ruky ověřovací nástroje, které jsou mnohem bezpečnější než pouhé uživatelské jméno a heslo. Ovšem žádný prostředek není zcela bezpečný.

Dlouhou dobu se považovalo za nejbezpečnější autentizovat (ověřit identitu) klienta pomocí certifikátu na čipové kartě. Ukazuje se ale, že ani to není zcela bezpečný prostředek. I s ní je možné zadat neoprávněnou transakci, která bude podepsána klientem a bude zadána z počítače, u něhož klient právě sedí. Tedy, pro zloděje dokonalé alibi.

Své nedostatky mají všechny prostředky zabezpečení - ať už se jedná o zasílané SMS zprávy, PIN kalkulátor či jiné. Vždy budou zloději o krůček napřed a vždy najdou způsob, jak se ke klientovým penězům dostat.

Není to tak černé, jak se to maluje

Malovat čerta na zeď (či v tomto případě na monitor) je důležité. Jen pod vidinou hrozby budou klienti obezřetní. A nejen klienti - i firmy začínají dbát na zabezpečení IT systémů až pod přímou hrozbou. O tom svědčí též závěry „Průzkumu stavu informační bezpečnosti“ Ernst & Young, které na konferenci prezentoval Pavol Oetter.

Velká publicita kolem nedávného phishingového útoku na klienty České spořitelny vedla k mnohem větší ostražitosti uživatelů internetu - nejen internetového bankovnictví ČS.

Navíc za každým internetovým bankovnictvím stojí vnitřní bankovní systémy, které hlídají, zda jsou transakce v pořádku. Jak fungují? To banky s ohledem na udržení si náskoku před zločinci nesdělují. Jsou ale schopny vyhodnotit chování klienta a varovat při nestandardních transakcích. Pokud tedy nikdy nepřevádíte peníze do Karibiku, zřejmě vás banka při prvním převodu bude kontaktovat.

Rizika v bankovnictví (ale i v jiných oborech) nejsou zdaleka jen na internetu. Podle posledních informací se stále častěji množí např. podvody s falešnými exekučními výměry. Není nutné proto propadat panice. Je ale dobré vědět, jaká rizika mohou klienty potkat - a počítat s nimi i v rámci preventivních opatření.

A kdo vede? Podvodníci jsou vždy o krok v předu. Ale banky jsou jim neustále v patách.