Úterý 16. října. Svátek má Havel.

Banky vs hackeři: hlavní slovo má klient

Banky Daniel Kuchta 06.03.2013 | 15:16 1 Komentář

Od začátku týdne jsou cílem hackerských skupin české weby. Včera přišly na řadu banky, a i když nešlo o prakticky nic nebezpečného, klientům tento „útok“ alespoň mohl připomenout, že využívání internetu v bankovních službách nemusí být vždy bez problémů. V horším případě pak hrozí i ztráta peněz. O něčem podobném se v Evropě v minulém roce přesvědčilo několik tisícovek lidí.

Včerejší útok na weby bank nepatřil mezi ty typy útoků, kdy by měly být v ohrožení peníze klientů na účtech. V případě tzv. DDoS útoku (Distributed Denial of Service – v doslovném překladu distribuované odmítnutí služby) jde o zahlcení napadených stránek, čímž dojde k jejich dočasné nedostupnosti pro běžné uživatele. DDoS útoky jsou ve světě poměrně běžné a většinou jsou dílem skupiny uživatelů (DoS útok může provést i jednotlivec, pokud na to má kapacity), kteří chtějí tímto aktem na něco upozornit, případně proti něčemu protestovat.

Proti čemu hackeři protestují v případě českých serverů není jasné, ale v případě bank (postiženo bylo několik bank, včetně ČNB) je následkem zkomplikování přístupu k internetovému bankovnictví a jeho služeb. Klienti tak museli využít služeb poboček, což je pro mnohé ztráta času, i když o peníze nakonec nepřišli. Větší problém to pak mohl být pro někoho, kdo chtěl využít služeb bank ze zahraničí, kde se na pobočky spoléhat nedá. Naštěstí trvaly problémy poměrně krátce, takže ke škodám vlastně nedošlo.

Horší už je, když se hackeři pokusí získat prostřednictvím internetového bankovnictví přístup k prostředkům klientů. I když se na první pohled může zdát, že banky jsou dnes proti podobným útokům zabezpečeny a využívají k tomu nejmodernější způsoby ochrany, nemusí to být pravda. Útočníci jsou stále šikovnější a využívají sofistikovanější metody a banky jsou chtě nechtě pozadu.

Eurograbber připravil klienty bank o miliony

Zní to možná neuvěřitelně, ale hackerům se minulý rok podařil poměrně husarský kousek, když z více než 30 000 účtů v několika zemích eurozóny ukradli přes 36 milionů eur.  Podařilo se jim napadnout jak počítače, tak i mobilní zařízení (s platformou Android a Blackberry) klientů a získali přístup k jejich účtům i přes dvojitou ochranu hesla a potvrzovací sms. Překvapivý je nejenom rozsah, ale také úspěšnost hackerů, kterým se poměrně dlouhou dobu dařilo své konání tajit.

Jedinou pozitivní zprávou pro klienty (zejména ty opatrné) prakticky jakékoli banky je skutečnost, že hackeři (zatím) stále potřebují k úspěšnému prolomení bezpečnostních prvků poměrně výraznou spolupráci příštích obětí. K tomu, aby člověk nenaletěl na podobný útok, není potřeba být IT specialistou, stačí opatrnost a selský rozum, který hackerům stěží přístup ke klientským účtům. Banky samotné pak na podobné útoky (něco podobného se stalo například České spořitelně) své klienty upozorňují, a zároveň klienty varují, že pokud bude prokázána spoluúčast klienta na odcizení jeho peněz, nemusí je dostat zpátky.

Zní to trochu divně, ale v případě Eurograbberu k spolupráci klientů s hackery skutečně došlo. I když samotní uživatelé si to pravděpodobně ani neuvědomili, umožnili svou neopatrností hackerům, aby získali přístup do jejich telefonu a následně do internetového bankovnictví. Jak již bylo řečeno, dotčeni byli klienti využívající mobilní zařízení s Androidem a Blacberry (neznamená to ale, že by byly ostatní platformy bezpečnější), kteří naletěli na „bezpečnostní update“, který měl vyvolat dojem, že klient zvyšuje zabezpečení svého internetového bankovnictví.

Vše probíhalo v několika krocích, prakticky od začátku ale bylo potřeby zmiňované spoluúčasti samotných klientů. Nejdříve došlo k infikování počítače kliknutím na nakažený link, nebo i prostým prohlížením webu. Po přihlášení do internetového bankovnictví pak byl klient přesměrován na stránku, která jej upozorňovala na zvýšení zabezpečení společně s instrukcemi, co má dělat, včetně uvedení systému telefonu a telefonního čísla. Tak se hackeři dostali i k informacím o telefonu klienta a z jejich serveru mu byly odeslány na telefon instrukce s linkem, který měl nainstalovat upgrade jeho zabezpečení. Po „zkompletování“ tohoto procesu byl počítač i telefon klienta infikován trojským koněm a hackeři mohli čekat na to, až se klient příště přihlásí do internetového bankovnictví a bude provádět pohyby na účtu.

Jakmile se pak klient přihlásil, došlo k iniciování trojského koně. Autorizační SMS od banky pak kromě klienta putovala také hackerům, kteří ji využili pro poslání peněz na vlastní účet, aniž by o tom klient věděl.

Opatrnost na prvním místě

Z uvedeného vyplývá, že klienti samotní selhali na vícero frontách a je hodně nepravděpodobné, že by jim banky v takovém případě vrátila jejich prostředky. Prvním problémem byl nedostatečně zabezpečen počítač, který neodhalil trojského koně, druhým pak klikání na linky, které přicházejí klientům z neověřených zdrojů. Banky samotné upozorňují, že podobným způsobem s klienty nekomunikují a že na podobné maily a sms nemají reagovat. Hackerům samozřejmě v kombinaci s hloupostí klientů pomohlo apelování na zvyšování bezpečnosti, na které hodně lidí slyší a rovněž stále větší rozšíření moderních smartphonů, do nichž, na rozdíl od starších typů mobilů, již není problém dostat virus (zejména, když tomu samotní uživatelé pomohou).

Na otázku, jak by banky v podobném případě reagovaly, a jestli by klientům vrátily jejich peníze, jsem dostal prakticky ve všech případech diplomatickou odpověď, že každý případ je hodnocen individuálně a banky se snaží vycházet klientům maximálně vstříc. Je pravdou, že u nás se podobný hromadný případ zatím nestal, takže konkrétní kroky bank se hodnotit nedají.

Odborníci každopádně doporučují maximální zabezpečení počítače, resp. přihlašovat se do internetové aplikace banky pouze z těch počítačů, které klienti znají. Před i po přihlášení zavřít prohlížeč, a i samotné heslo pro přihlášení je dobré si nastavit co nejsložitější (pokud to jde, zabezpečit si potvrzovací sms také přihlašování do IB). Riziko pak snižují autorizační klíče, většinou formou zmiňovaných jednorázových sms s omezenou časovou platností které zaručí, že i v případě přihlášení do internetového bankovnictví se hackerovi nepodaří provádět žádné platby. Banky využívají šifrované, i nešifrované sms, a i když jsou ty první bezpečnější (využívá je Raiffesenbank), pokud klient neudělá vyslovenou chybu, pak je vše v pořádku i v druhém případě. Problémem dnešní doby, který využili hackeři v případě Eurograbber, je možnost připojení na internet prostřednictvím chytrého telefonu, na který se může dostat trojský kůň. Dvojité zabezpečení pak ztrácí smysl a riziko se zvyšuje. I zde banky upozorňují, aby klienti využívali pro příjem sms telefony, na které si nestahují neznámé aplikace.  

Způsob autorizace formou sms dnes nabízejí prakticky všechny banky, kromě Sberbank, která nabízí pouze elektronický klíč, tzv. hardwarový RSA token. Podobné zařízení nezávislé na mobilním telefonu dávají na výběr také Raiffeisenbank, UniCredit Bank, LBBW Bank (ve formě platební nebo autorizační karty s čipem a speciální čtečkou) Citibank, ČSOB (čipová karta), i J&T Banka.  

Samostatné elektronické klíče, resp. hardwarové tokeny jsou dnes považovány za nejúčinnější způsob ochrany, i když i zde se objevují hlasy, že jejich samotné zabezpečení je pro klienty velkou neznámou a také jsou jim často vyčítány omezené možnosti nastavení a uživatelského komfortu. Nakonec si ale každý klient banky musí uvědomit, že čím menší komfort, resp. složitější ochrana, tím je pravděpodobnost úspěšného útoku menší a bezpečnost vyšší.

Jeden komentář: “Banky vs hackeři: hlavní slovo má klient”

  1. Anon napsal:

    Do budoucna bude na více než 100% napadeno několik dalších webových stránek, které podporují nadnárodní korporace (Microsoft, Apple a různé společnosti, které outsoursují pracovní sílu.) Proto se rozhodlo o dočasné spolupráci skupin anonymouse a pyratzek (nová skupina)
    Nejedná se o nelegální formu protestu Ddos je systémový protokol, který používá každý počítač. Takže si za to můžeme všichni sami. (každý požadavek na server posílá tento systémový protokol. )

Napsat komentář

Vaše emailová adresa nebude zveřejněna.

This site uses Akismet to reduce spam. Learn how your comment data is processed.