Čím viac ľudí využíva internet banking, tým je pre podvodníkov lákavejšie získať ich prístupové heslá a vybieliť im účet. Nedávno sa o tom presvedčila 130338>Slovenská sporiteľňa. Emailové schránky zaplavili falošné správy z banky, ktoré klientom oznamovali, že im banka zablokovala prístup do internet bankingu a ak ho chcú odblokovať, mali by navštíviť stránku uvedenú v emaili.
Navštívená stránka vyzerala takmer na nerozoznanie rovnako ako stránka Slovenskej sporiteľne. Klienti tu mali zadať svoje prístupové heslá či čísla kreditných kariet.
Podľa hovorcu Slovenskej sporiteľne Štefana Frimmera väčšina klientov zareagovala správne a ihneď vytušila, že ide o podvod. Server Živé.sk však zistil, že minimálne deväť ľudí pravdivo vyplnilo na stránke svoje údaje. Sporiteľňa tvrdí, že nikto z klientov o svoje peniaze neprišiel.
Škody? Žiadne
Všetky oslovené banky sa zhodujú v odpovedi na otázku, či už niekto z ich klientov prišiel vďaka podobnému podvodu o svoje peniaze. „Žiaden náš klient neprišiel týmto spôsobom o svoje peniaze,“ tvrdí hovorca Tatra banky Boris Gandel. Práve Tatra banka pritom najčastejšie zo všetkých bánk varuje klientov pred rôznymi útokmi. Nedávno mala aj reklamnú kampaň, ktorá propagovala jej nový bezpečnostný prvok a upozorňovala na potenciálne riziká v internet bankingu.
Je pritom pravdepodobné, že aj keby sa niekomu podarilo kohokoľvek okradnúť cez internet, banky by sa to snažili tajiť, aby neodradili ostatných klientov od používania elektronického bankovníctva. Rovnako by okradnutému klientovi pravdepodobne vrátili všetky peniaze, aj keby si bol sám na vine, len aby sa o tom nezačalo písať v médiach.
Obrániť sa proti falošným emailom z banky je pomerne jednoduché. „Bankové inštitúcie nikdy nežiadajú klientov o vyplnenie údajov cez email, internet banking slúži výhradne na osobnú správu a prácu s účtom,“ tvrdí vedúci vírusového laboratória ESET Juraj Malcho. Ak niekto dostane takýto email, môže si byť istý, že ide o podvod. Preto netreba na neho reagovať.
Podobné pokusy o okradnutie sa nazývajú phishing. Toto slovo vzniklo spojením slov password a fishing, čo znamená rybárčenie hesiel. Podvodník jednoducho hodí návnadu v podobe falošného emailu a čaká, až sa obeť nachytá a zaberie na jeho návnadu.
Trójsky kôň
Nebezpečnejším spôsobom získavania hesiel je pharming. Hackeri najprv vytvoria program, ktorý sa vo forme vírusu dostane do počítača. Následne, keď niekto vyťuká v prehliadači stránku internet bankingu, tento skrytý program ho presmeruje na inú stránku, ktorá je identická s pôvodnou stránkou banky. Na rozdiel od nej sa správa neštandardne. Klienta väčšinou vyzve, aby zadal viacero pozícii z GRID karty, alebo aby zadal číslo kreditnej karty aj s dátumom platnosti a overovacím kódom na druhej strane.
Útočníci sa tak chcú dostať k údajom, ktoré môžu použiť na vybielenie účtu. Napríklad ak získajú všetky údaje, ktoré sú napísané na kreditnej karte, môžu ju použiť v akomkoľvek internetovom obchode. Rovnako ak získajú dostatočne veľa údajov z GRID karty, zväčší sa ich šanca, že keď budú chcieť z účtu obete previesť peniaze, budú mať k dispozícii správny kód. Používateľ internet bankingu by preto nemal reagovať na žiadne takéto výzvy.
Hoci na Slovensku ešte banky takýto útok nezaznamenali, v Českej republike už Česká spořitelna čelila aj takémuto útoku. Rovnako ako v prípade Slovenskej sporiteľne mu predchádzal phishingový útok.
Komunikácia s bankou cez internet musí prechádzať cez zabezpečené stránky. Od klasickej nezabezpečenej stránky ich možno rozoznať tak, že na začiatku riadku, kde sa zadáva internetová adresa, je namiesto klasického http napísane https. V pravom dolnom rohu prehliadača sa navyše zobrazí zámok. Po kliknutí na tento zámok sa zobrazí bezpečnostný certifikát spolu s údajmi o tom, kto ho vydal a komu ho vydal. Firefox navyše všetky šifrované stránky odlišuje aj tým, že riadok, do ktorého sa zadáva internetová adresa, zafarbí na žlto.
Veľa kódov
Pomôcť proti zneužitiu internetového prístupu môže aj úroveň zabezpečenia. Najmenej bezpečným je, ak je účet chránený len prihlasovacím menom a heslom, ktoré sa nemenia. Preto banky požadujú aj ďalší bezpečnostný prvok. Najčastejšie je ním GRID karta. Ide o kartičku, v ktorej sú v tabuľke usporiadané čísla. Pri prihlásení do internet bankingu alebo pri potvrdení transakcie banka klienta vyzve, aby zadal konkrétnu pozíciu z GRID karty. Každý zákazník má kartu s inými číselnými kombináciami. Ak by útočník aj videl, aký kód klient zadal do počítača, nabudúce by musel zadať iný kód.
Banky okrem GRID karty využívajú aj rôzne šifrátory. Ide o zariadenie, ktoré generuje kódy, ktoré klient následne zadáva do počítača. Keďže šifrátor vypíše vždy iný kód, útočník nemá šancu ho uhádnuť. Väčšina bánk používa šifrátor ako doplňujúce zabezpečenie, za ktoré si musí klient priplatiť. Iba Tatra banka nahrádza 111662>vlastným šifrátorom, ktorý nazýva Card and Reader, GRID karty. Klient vloží do šifrátora svoju platobnú kartu, zadá PIN a následne sa môže prihlásiť do internet bankingu a realizovať transakcie.
Lepším zabezpečením ako GRID karta je aj používanie sms kódov. Pri každej operácii klient musí zadať kód, ktorý mu banka pošle na jeho mobilný telefón. Tento spôsob zabezpečenia 124072>používa internetová banka mBank.
Kaviareň radšej nie
Najbezpečnejšie je, ak si každý používateľ internet bankingu zvolí najvyššiu úroveň bezpečnosti, ak banka ponúka viacero úrovní. Potvrdzovať kódom z GRID karty alebo zo šifrátora by sa mala každý transakcia. Niektoré banky umožňujú nastaviť prístup tak, že sa kód zadá iba pri prihlásení do internet bankingu a pri posielaní peňazí ho už netreba zadávať, respektíve že pomocou jedného kódu môže klient poslať peniaze na viacero účtov. V takom prípade sa zvyšuje šanca, že ak útočník získa pár údajov z GRID karty, bude pri pokuse o krádež úspešný.
Pomôcť proti zneužitiu účtu môžu aj sms správy, ktoré banka klientovi posiela pri každom pohybe na účte. Kto má aktivovanú túto službu, sa okamžite dozvie, že z jeho účtu odišli peniaze. Pri krádeži si tak môže dať ihneď zablokovať účet alebo aspoň prístupové heslá.
Banky zároveň klientov upozorňujú, aby na prístup k internet bankingu nevyužívali verejne prístupné počítače napríklad v internetových kaviarňach. Pri počítačoch, ktoré používa viacero ľudí, existuje vyššia šanca, že niekto na ne umiestni sledovací program, ktorý má zistiť prístupové heslá.
Foto - Flickr.com
