Středa 21. listopadu. Svátek má Albert.

Počítačová kriminalita a banky: Kdo vede?

Napadení vnitřních bankovních systémů zvenku není triviální. A zpravidla se nestává. Útočníci napadají banku buď zevnitř, nebo využívají její nejslabší článek – klienta. Jak se mohou banky a klienti bránit? Mají vůbec šanci?

V poslední době banky a jejich klienty trápí především phishing. Došel tak daleko, že útočníci používali i jména a domén tvářících se jako domény ČNB. Není proto divu, že v rámci doprovodného programu MasterCard Banky roku byla uspořádána konference „Počítačová kriminalita v bankovním sektoru“.


Foto z konference

Phishing – zpravidla snadno odhalitelný

Phishing, tedy zasílání podvodných zpráv, jejichž cílem je vylákat citlivé (zpravidla) bankovní údaje, patří k méně nebezpečným a zpravidla snadno odhalitelným. Základní pravidlo zní: Nereagujte na nevyžádané e-maily, které se tváří jako zaslané bankou.

I v případě, že se klient nechá zlákat (kupříkladu hrozbou neprovedené transakce, vidinou náhlé výhry nebo jen prostým varováním před podvodnými e-maily), nemá ještě zdaleka prohráno.

Cílové internetové stránky, na nichž je vyzván k zadání přístupových kódů k internetovému bankovnictví či identifikační čísla a PINy platebních karet, jsou velmi často snadno rozpoznatelné – i když ani to neplatí zdaleka vždy a chytří útočníci vždy uvedou nějaké vysvětlení, proč stránky nevypadají jako obvykle.

Při každém podezření na podvodný e-mail či nestandardní chování stránek internetového bankovnictví je dobré kontaktovat banku. Nedoporučuji ale využít kontaktní číslo uvedené na podezřelých stránkách, které v případě útoku může patřit podvodníkům.

Pharming – nebezpečnější verze phishingu

Pharming na rozdíl od phishingu využívá slabin na klientově počítači. Jeho cílem je (zjednodušeně) spustit v počítači oběti program, s nímž získá útočník nad počítačem kontrolu. Poté je již otázkou času, kdy si přečte vše potřebné např. při skenování úderů klávesnice (toto je důvod, proč banky nabízí též grafické klávesnice pro zadávání hesel… ovšem i pohyby myši lze sledovat).

DNS útoky – a klient je bezmocný

DNS, celým názvem „Domain Name System“, česky „Systém doménových jmen, slouží k překladu slovních adres (např. www.hypoindex.cz) na jejich číselné určení (např. 78.24.9.77). Systém DNS popsal na konferenci Pavel Tůma ze sdružení CZ.NIC, které spravuje česká doménová jména, a uvedl též, kde je systém zranitelný.

Obrázek: Zranitelnost DNS


Zdroj:
Přednáška Pavla Tůmy ze sdružení CZ.NIC na konferenci „Počítačová kriminalita v bankovním sektoru“ pořádané v rámci doprovodného programu MasterCard Banky roku.

Podvrhne-li útočník falešné směrování DNS, má smůlu i klient, který má svůj počítač aktualizovaný a dobře zabezpečený. Při zadání obvyklé adresy do prohlížeče je mu načtena podvržená stránka a klient nemá šanci poznat, že není na stránkách banky. Tedy, pokud útočníci stránky zkopírují věrně.

Řešením, které se postupně bude aplikovat, je DNSSEC – systém doménových jmen chráněný ověřovacími certifikáty.

Zabezpečovací technika… vše má své mouchy

Nejslabším článkem internetového bankovnictví je klient. Proto mu banky dávají do ruky ověřovací nástroje, které jsou mnohem bezpečnější než pouhé uživatelské jméno a heslo. Ovšem žádný prostředek není zcela bezpečný.

Dlouhou dobu se považovalo za nejbezpečnější autentizovat (ověřit identitu) klienta pomocí certifikátu na čipové kartě. Ukazuje se ale, že ani to není zcela bezpečný prostředek. I s ní je možné zadat neoprávněnou transakci, která bude podepsána klientem a bude zadána z počítače, u něhož klient právě sedí. Tedy, pro zloděje dokonalé alibi.

Své nedostatky mají všechny prostředky zabezpečení – ať už se jedná o zasílané SMS zprávy, PIN kalkulátor či jiné. Vždy budou zloději o krůček napřed a vždy najdou způsob, jak se ke klientovým penězům dostat.

Není to tak černé, jak se to maluje

Malovat čerta na zeď (či v tomto případě na monitor) je důležité. Jen pod vidinou hrozby budou klienti obezřetní. A nejen klienti – i firmy začínají dbát na zabezpečení IT systémů až pod přímou hrozbou. O tom svědčí též závěry „Průzkumu stavu informační bezpečnosti“ Ernst & Young, které na konferenci prezentoval Pavol Oetter.

Velká publicita kolem nedávného phishingového útoku na klienty České spořitelny vedla k mnohem větší ostražitosti uživatelů internetu – nejen internetového bankovnictví ČS.

Navíc za každým internetovým bankovnictvím stojí vnitřní bankovní systémy, které hlídají, zda jsou transakce v pořádku. Jak fungují? To banky s ohledem na udržení si náskoku před zločinci nesdělují. Jsou ale schopny vyhodnotit chování klienta a varovat při nestandardních transakcích. Pokud tedy nikdy nepřevádíte peníze do Karibiku, zřejmě vás banka při prvním převodu bude kontaktovat.

Rizika v bankovnictví (ale i v jiných oborech) nejsou zdaleka jen na internetu. Podle posledních informací se stále častěji množí např. podvody s falešnými exekučními výměry. Není nutné proto propadat panice. Je ale dobré vědět, jaká rizika mohou klienty potkat – a počítat s nimi i v rámci preventivních opatření.

A kdo vede? Podvodníci jsou vždy o krok v předu. Ale banky jsou jim neustále v patách.

Bojíte se o peníze v bance?

Nahrávání ... Nahrávání ...

7 komentářů: “Počítačová kriminalita a banky: Kdo vede?”

  1. xyz napsal:

    Tak není pravda, že v případě DNS útoku klient nemá šanci něco zjistit. Existují programy, které zobrazí kam připojení fyzicky směřuje, tudíž se aspoň dozví, že je „něco špatně“. Dá se předpokládat, že na stránky třeba ČSOB se nebudu připojovat na server v Nigérii.

  2. mipe napsal:

    Autor, odhaduji tak max. 25 let, nemá o problematice ani páru a montuje dohromady kusy přednášky bez hlavy a paty. Holt chudák dostal za úkol něco sesmolit a tak smolil. Jestli tenhle spravuje něčí účet, tak potěš pánbů toho chudáka.

    • Petr Zajíc napsal:

      Autor věk 30 let, spoluautor studie o bezpečnosti internetového bankovnictví v ČR (červen 2006) a autor dvou studií internetového bankovnictví v ČR (tuším 2002 a 2003), v roce 2002 autorem testů internetového bankovnictví všech tehdy působících bank v ČR, zároveň autorem desítek článků týkajících se bezpečnosti, zabezpečení a dalších aspektů internetového bankovnictví. O problematiku internetového bankovnictví a jeho zabezpečení se zajímá od roku 2001.

      Co konkrétně se vám na článku nezdá či nelíbí? Děkuji.

  3. Zabezpečovací technika... vše má své mouchy napsal:

    Pokud chci udělat jakoukoliv transakci, banka po mě vyžaduje ověření pomocí SMS klíče. Tááák a teď se ukažte jak mi vypumpujete účet lamy

    • Michal Kára napsal:

      Jednoduse – bud ukradnout mobil, pokud nejsou SMSky sifrovane a chranene PINem jako u eBanky. Nebo v odesilanem prikazu pozmenit ucet prijemce a hrat na to, ze si zmeneneho cisla v SMS nevsimnete 😉

    • Petr Zajíc napsal:

      V takovém případě pravděpodobně půjde o cílený útok na váš účet, stejně jako např. při zabezpečení čipovou kartou nelze účty „vybrat“ hromadně. Záleží také na způsobu, jakým SMS klíčem jste zabezpečen.

      Univerzální způsob: Zloděj, který chce váš účet napadnout, zcizí (zpravidla za asistence zkušených kapsářů) váš mobilní telefon. I v případě, že využíváte šifrované SMS zprávy prostřednictvím SIM Toolkit, může kód prolomit – je to jen nákladnější a nevyplatí se to dělat pro pár tisíc (proto cílený útok s vytipovaným účtem).

      Některé banky zašlou SMS kód, který platí po určitou dobu a po jeho vložení lze zadávat více transakcí. Pak stačí napadnout počítač a počkat si na správný okamžik – tedy, kdy budete dělat vlastní transakci.

      Některé banky umožňují změnit telefonní číslo, na které se má SMS zpráva zasílat, přes internet. V takovém případě může útočník změnit telefon na svůj. (Banky zpravidla nastavují v takovém případě časovou prodlevu před uskutečněním změny čísla.)

      U všech útoků platí, že čím lepší zabezpečení, tím náročnější je jeho prolomení. A čím náročnější je jeho prolomení, tím větší kořist musí na účtu být, aby se zlodějům námaha a komplikace vyplatily.

      • Petr Zajíc napsal:

        Ještě doplnění: Jak píše p. Kára, lze také změnit příkaz před odesláním do banky. Pokud si nevšimnete jiných údajů, které dojdou společně se SMS kódem k ověření, sám falešnou transakci potvrdíte.

        Některé způsoby, jak může pachatel změnit údaje odesílané do banky, jsou popsané v článku.

Napsat komentář

Vaše emailová adresa nebude zveřejněna.

This site uses Akismet to reduce spam. Learn how your comment data is processed.