FinExpert.e15.cz

Další pokus zneužití banky přes internet

Neznámý podvodník se opět snažil využít špatně zabezpečeného počítače klienta banky a naštěstí neuspěl. Problém je však hlubší.
Další pokus zneužití banky přes internet

Omlouváme se čtenářům za včerejší výpadek článku, byl způsobený technickou závadou.

Ještě si většina z nás pamatuje situaci, kdy v srpnu 2006 Komerční banka potvrdila, že její klienti se stali terčem cíleného útoku podvodníků ve snaze zneužít přístup do banky přes jejich internetové bankovnictví. Nešlo o selhání banky, ale spíše o nezabezpečený počítač, kterým se útočník dostal do internetového bankovnictví klienta. Jen o dva měsíce později jsme byli svědky hromadného phishingového e-mailu, který se snažil vylákat přihlašovací údaje od klientů České spořitelny. A snaha podvodníků se opakuje, tentokrát u Raiffeisenbank.

Podvržený web škody nezpůsobil

V úterý 6. března 2007 ve večerních hodinách zjistil klient Raiffeisenbank nestandardní přihlašovací rozhraní do internetového bankovnictví Raiffeisenbank. Web mu připadal podezřelý, tak raději ihned kontaktoval telefonického bankéře Raiffeisenbank. To bylo velké štěstí a banka situaci hned převzala. K žádnému zneužití účtu díky včasnému zásahu proto nedošlo. Banka přesto upozorňuje na obezřetnost při přihlašování do internetového bankovnictví. (Oficiální tiskovou zprávu jsme zveřejnili ve středu 7. března 2007.)

Podvodná stránka internetového bankovnictví Raiffeisenbank

Klepněte pro větší obrázek

Oficiální stránka internetového bankovnictví Raiffeisenbank

Klepněte pro větší obrázek

Redakce našeho serveru bohužel nemá k dispozici původní webovou adresu, na které podvodná aplikace běžela. Je však pravděpodobné, že již při prvním pohledu na adresu v prohlížeči by bylo možné zjistit, že nejde o oficiální web Raiffeisenbank.

Podvodníci moc česky neumějí

Podle Maria Drosce, člena představenstva banky, jde zatím o první případ pokusu o zneužití internetbankingu. Při přihlášení do internetového bankovnictví se klientovi zobrazilo podvodné rozhraní, které jej neobvyklým způsobem vyzvalo k zadání hesla a cesty k podpisovému certifikátu. Klient naštěstí zareagoval jediným správným způsobem, na tuto stránku nijak nereagoval a ihned kontaktoval banku. Falešná stránka se projevila mimo jiné tím, že je uveden nepravdivý text o zdokonalování bezpečnosti, navíc se zkomoleným slovem „uveďte“. Na přihlašovací stránce rovněž chybí upozornění na obranu vůči tzv. phishingu.

Máme věrohodné indicie, že postižený klient Raiffeisenbank byl na podvodnou stránku přesměrovaný prostřednictvím viru, který měl ve svém počítači. Ten mohl získal jako "bonus" při stahování filmů či jiných datových souborů. A to je zásadní věc při posuzování bezpečnosti internetového bankovnictví. Nechceme ukázat prstem na banku nebo klienta a označit některého z nich jako viníka. Problém je hlubší.

Kdo ví, co je zabezpečený počítač

Jsem přesvědčen, že mnoho diskutujících pod tímto článkem začne opět poukazovat na jedinečnost zabezpečení internetového bankovnictví, které nabízí "stará dobrá" eBanka (mimochodem, nyní patří do skupiny Raiffeisenbank a i u eBanky se můžete setkat s podpisovým certifikátem). Věřte, že i jiné banky mají velmi dobře zabezpečené internetové bankovnictví :-) Sám používám dva elektronické klíče konkurenčních bank. Vše je otázkou priorit, zda zvolit uživatelský komfort, nebo maximální bezpečnost. Nechci se pouštět do diskuze se čtenáři našeho webu o zabezpečení internetového bankovnictví (potažmo se čtenáři Živě.cz), ale nepochybně je zajímavá diskuze na téma zabezpečeného počítače. Pojem "vhodně zabezpečený počítač" najdete v obchodních podmínkách internetového bankovnictví našich bank běžně, ale už se zde nedefinuje, jak takovýto počítač vypadá, resp. jakým software má být vybaven.

Na jedné straně se banky snaží vyvíjet online aplikace pro pohodlnější využívání bankovních a finančních služeb, na straně druhé se setkáváme s problémem vhodného zabezpečení a s tím spojené autentizace oprávněného klienta. Kde najít střední cestu? Odpověď není snadná.

Co znamená kvalitně zabezpečený počítač? Stačí mít nainstalovaný antivirový program? Nebo je potřeba i firewall? A stačí jen zapnout firewall standardně dodávaný ve Windows XP? A je nutné mít programy od definovaných výrobců, anebo si mohu zvolit vlastní kombinace? Na to odpověď u bank nenajdeme. Smutné je, že ani v počítačových kurzech pro začátečníky se s probíráním zabezpečení počítače pro využívání internetového bankovnictví nesetkáte. A pokud ano, klobouk dolů před školitelem (zkušenosti mám však opačné). Jak má tedy "běžný" uživatel počítače rozpoznat, zda je jeho počítač správně zabezpečený? Budu velmi potěšen, když mi své názory na vhodně zabezpečený počítač napíšete v diskuzi.

Někdo by mohl namítnout, že pravidelným čtením serverů FinExpert.cz a Živě.cz nebudou mít klienti internetového bankovnictví potíže :-), ale to se týká jen vymezené internetové komunity uživatelů. Ostatní klienti bank nadále budou stahovat filmy prostřednictvím sdílených serverů a navštěvovat pochybné internetové stránky, aby potom byl překvapeni, že si stáhli i trojského koně, protože považují instalaci volného antivirového programu za maximum, co pro zabezpečení počítače mohli udělat. Upřímně si však myslím, že sebelepší zabezpečení počítače je na nic, pokud je problém tzv. mezi monitorem a klávesnicí.

Pomůže jedině osvěta

Zmíněný pokus o zneužití systému přímého bankovnictví se týkal pouze internetového bankovnictví, a to jen metody podpisového certifikátu. Ostatních služeb včetně homebankingových aplikací Gemini a MultiCash se tento pokus o útok nedotkl. Dlužno dodat, že od roku 2001, kdy Raiffeisenbank zavedla internetové bankovnictví, nedošlo ani k jednomu zneužití účtu přes tento kanál.

Snah o podvodné získání klientských údajů však bude nadále přibývat. I já v poslední době dostávám do regulérní e-mailové pošty (tzn. ne jako spam) denně okolo tří e-mailů, které se tváří, že jsou poslány společností moneybookers nebo PayPal. Pouze neustálá osvěta, která bude poukazovat na tato nebezpečí v kombinaci se selským rozumem může výrazně pomoci k tomu, aby se podvodníci neradovali z naivity českých zákazníků bank a našli si raději legální obor obživy.

Další článek


 

celkem 21 komentářů

Nejnovější komentáře

Re:SMS
izza
9. 3. 2007, 16:40
Re:Virus pri stahovani filmu nebo datoveho souboru
m0rph
9. 3. 2007, 14:01
Re:Virus pri stahovani filmu nebo datoveho souboru
Dalibor Z. Chvátal
9. 3. 2007, 13:48
Re:Virus pri stahovani filmu nebo datoveho souboru
Mike
9. 3. 2007, 13:10
Re:SMS
theKing
9. 3. 2007, 13:03

Další články

Spouštíme nový FinExpert!

Spouštíme nový FinExpert!

Několik posledních měsíců jsme intenzivně pracovali na nové verzi webu FinExpert.cz.

5.  4.  2017  |  Ondráčková Kamila

Sociální pojištění pro OSVČ v roce 2017

Sociální pojištění pro OSVČ v roce 2017

Zálohy živnostníků na sociální pojištění v roce 2017 porostou. Výše zálohy se vypočítává dle zisku v předchozím období. (aktualizováno)

4.  4.  2017  |  Gola Petr  |  9

Velká mapa malého podnikání: kde je konkurence, kde jsou příležitosti?

Velká mapa malého podnikání: kde je konkurence, kde jsou příležitosti?

4.  4.  2017  |  Pospíšil Aleš
Aplikace Záchranka pomáhá už rok. Nic nestojí, ale může být k nezaplacení

Aplikace Záchranka pomáhá už rok. Nic nestojí, ale může být k nezaplacení

3.  4.  2017  |  Pospíšil Aleš  |  1
V Praze je blaze. Z evropských regionů je v HDP na hlavu na 6. místě

V Praze je blaze. Z evropských regionů je v HDP na hlavu na 6. místě

3.  4.  2017  |  Pospíšil Aleš  |  1

Mzdová kalkulačka

Student
Držitel průkazu ZTP/P
Invalidita 1. nebo 2. stupně
Invalidita 3. stupně
Penze / rodičovská dovolená