Kto si myslí, že vykrádanie bankových účtov cez internet sa deje iba ďaleko v zahraničí a aj to len v zle vymyslených sci-fi filmoch, mal by sa oboznámiť s letnými udalosťami v českej Komerčnej banke.
Hneď niekoľkým klientom zmizli z účtov väčšie sumy a to práve prostredníctvom elektronického bankovníctva. Banka pritom používala šifrované spojenie a elektronický podpis. Pár dní nato už zaviedla dodatočné overovanie cez SMS kód.
„Elektronický podpis používame naďalej a považujeme ho za bezpečný, len pre klienta nemusí byť vždy najpohodlnejší, tak mu dávame inú možnosť autentifikácie,“ vysvetľuje vo vyjadrení Komerčnej banky šéf jej priameho bankovníctva Mojmír Prokop. Hovorí o tom, že aj najlepšie zabezpečený systém môže rýchlo zlyhať prílišnou nedbanlivosťou.
Podľa údajov slovenských bánk sa aktívni používatelia internet bankingu a ďalších spôsobov elektronického bankovníctva už rátajú na státisíce. A hoci bezpečnosť transakcií je aj naďalej prvoradá, v stále rastúcej konkurencii treba myslieť aj na pohodlie klienta.
Ak bude preňho internet banking príliš komplikovaný, môže sa stať, že odíde inam, obzvlášť ak je preňho komunikácia cez internet dôležitá. Na druhej strane príliš jednoduché internetové bankovníctvo nemusí byť bezpečné. Komu sa bude prístup na účet zdať priľahký, ten si skôr dá pozor na využívanie internet bankingu.
A tak sa kvôli väčšiemu pohodliu postupne nahradzujú napríklad kedysi rozšírené generátory jednorazových hesiel – takzvané kalkulačky či tokeny – SMS kódmi. Tie prichádzajú priamo na telefón klienta.
Viacero kanálov
Kde je hranica medzi pohodlným a nebezpečným? Každý ju vidí troška inak, ale spoločné pravidlá sa dajú nájsť. V prvom rade je na overenie prístupu vhodné využiť najmenej dva nezávislé komunikačné kanály.
Prístupové meno či číslo a heslo má mať klient v pamäti – banky rozhodne neodporúčajú si tieto údaje zaznamenávať niekde, kde by sa k nim mohla dostať iná osoba.
Okrem nich sa rozširuje využívanie dodatočného overenia, často cez už spomínaný SMS kód na mobil klienta. Pred pár rokmi s ním prišla Tatra banka, v najbližšom čase s jeho zavedením ráta napríklad Slovenská sporiteľňa či OTP Banka.
Asi najrozšírenejšou možnosťou je využitie grid karty, akejsi šachovnice s množstvom náhodných kódov. Po prihlásení si program vypýta kód z jedného z políčok karty. VÚB využíva takzvané osobné otázky, napríklad na obľúbené miesto či meno.
Otázky majú na rozdiel od náhodne generovaného hesla jednu slabinu: kto si „pre istotu“ poznačí svoje prístupové meno a heslo, väčšinou si k nim pripíše i odpovede na otázky, aby nezabudol. Hlavne ak internet či phone banking využíva zriedka. Dodatočná úroveň ochrany tak nemusí byť pre bezpečnosť prínosná.
Radšej nie na verejnosti
Rozšírenie mobilných telefónov si bankári pochvaľujú ako jeden z významných zdrojov posilnenia elektronického bankovníctva. Nielen kvôli jednoduchým a relatívne bezpečným SMS kódom. Špeciálne pre mobily fungujú aj aplikácie GSM a WAP bankingu, no tie na Slovensku využíva málo klientov, rádovo tisícky.
Väčšina sa drží internetu a kto ho nemá, stále mu ostáva klasické telefonické bankovníctvo. No aj pri ňom je vhodné dodržiavať základné pravidlá bezpečnosti: napríklad nevybavovať si transakcie na verejnosti. Meno a heslo totiž môže počuť nielen operátor, ale aj náhodní okolidúci. Preto niektoré telefónne linky okrem mena a hesla vyžadujú aj zadanie PIN kódu cez tlačidlá telefónu.
Alternatívou sú opäť osobné otázky, väčšinou náhodne vybrané z viacerých možností. Aj pri odpočutí odpovedí je teda problém dostať sa k cudziemu účtu, pretože otázky budú pravdepodobne iné. Nevýhodou v tomto prípade je, ak ich klient zabudne – musí požiadať osobne o zmenu dát či vygenerovanie nových identifikačných údajov, čo je spoplatnená operácia.
Ako na heslo
Rovnako je dôležité zvážiť heslo, ktoré si klient pri prihlásení nastaví. Banky zvyčajne vygenerujú dlhý kľúč, ktorý treba zadať pri prvom prihlásení. No hneď ho odporúčajú zmeniť. Heslo je najčastejšie zneužívaný spôsob, ako preniknúť na cudzí účet či do cudzieho počítača.
Bezpečnostní odborníci, rovnako ako počítačoví kriminálnici, ovládajú najčastejšie heslá: mená manželov či manželiek, detí, dátumy ich narodenia, prípadne rodné čísla. Všetko údaje, ktoré sa dajú zistiť relatívne jednoducho.
Bankové aplikácie sa proti hádaniu hesiel bránia – niektoré umožnia zadať nesprávne heslo len trikrát a potom odoprú na niekoľko hodín prístup. Túto možnosť využíva napríklad ING Bank. I tak je však vhodné sťažiť možným zlodejom život.
Bezpečnostný odborník Michal Gardian radí vytvoriť heslo z ľahko zapamätateľnej vety, ktorá obsahuje osobné údaje. Napríklad z vety „Janka sa narodila 1. októbra 1990“ sa stane ťažko uhádnuteľné „Jsn1o90“.
„Takéto heslo navyše obsahuje všetky komplikácie – kombinuje veľké a malé písmená s číslami,“ vysvetľuje M. Gardian. A dodáva, že čím dlhšie heslo bude, tým zložitejšie sa dá uhádnuť.
Niektoré banky priamo vyžadujú, aby heslo obsahovalo aspoň jedno veľké a jedno malé písmeno a jedno číslo. Navyše radia dodržať jedinečnosť hesla, nepoužívať rovnaké heslo ako napríklad na prístup k pracovnému počítaču či elektronickej pošte. Keďže za bezpečnosť uloženia pracovných či poštových hesiel banka nezodpovedá, mohol by ich prípadný únik znamenať uľahčenie prístupu k účtu klienta.
Nedôveruj a preveruj
Aj najlepšie heslo je nanič, ak si ho klient nechráni. Anonymitu internetu a dôveru ľudí zneužívajú podvodníci na takzvaný phishing, zisťovanie prístupových údajov cez falošné e-maily či internetové stránky.
Slovenskí klienti sa tiež mohli stretnúť s e-mailami, pochádzajúcimi akoby od austrálskej banky Suncorp či americkej Citibank. Tieto maily žiadali zadanie prístupových dát, údajne kvôli kontrole.
Jednou z techník je aj telefonické zisťovanie dát. Podvodník sa predstaví ako pracovník banky, povie, že rieši nejaké technické problémy a potrebuje prihlasovacie údaje od klienta. Na to majú banky jednoduchú odpoveď. Od klienta nikdy aktívne nepýtajú jeho dáta pre internet banking.
Na podvodné praktiky upozorňuje napríklad Tatra banka, ktorá má na prihlasovacej stránke svojho internetového bankovníctva aj príklady, ako podvodné stránky vyzerajú. Podľa jej názoru je hlavným dôvodom útokov to, že má v internet bankingu najviac klientov. Je teda najpravdepodobnejšie, že od niekoho údaje podvodníci vylákajú.
Presný počet aktívnych klientov elektronického bankovníctva Tatra banka tají, TRENDU poskytla len ich podiel na celkovom počte klientov. Ten by mal dosahovať takmer 40 percent, čo zhruba dvojnásobne prevyšuje priemer iných bánk. Tie uvádzajú podiel aktívnych klientov zhruba na úrovni 15 až 20 percent.
Podvodné stránky okrem mena a hesla zisťujú kódy z grid karty. Natália Major, šéfka oddelenia priameho bankovníctva Tatra banky, preto upozorňuje, že banka nikdy nežiada viac ako jeden kód z tejto karty.
Hoci široká dostupnosť internetu zvádza, pri využívaní elektronického bankovníctva mimo domova si treba dávať pozor. Predovšetkým v internetových kaviarňach a na iných verejne dostupných počítačoch.
Heslá sa nemusia priam odpozorovať cez plece, na to stačí drobný program zvaný keylogger. Zaznamenáva všetky stlačené klávesy a vie teda prečítať, kedy sa klient prihlásil na stránku svojej banky a aké identifikačné údaje zadal. O prítomnosti keyloggeru nemusí vedieť ani majiteľ internetovej kaviarne, program sa nainštaluje aj sám, ak si predchádzajúci zákazník prezeral rizikové stránky.
To sa, samozrejme, môže stať i neopatrnému používateľovi doma, treba preto používať základné zabezpečenie domáceho počítača: firewall, antivírusový program a program na odstraňovanie takzvaného spywaru – špiónskych programov, medzi ktoré patria aj keyloggery.
Upozornenia pomôžu
Aj pri najväčšej opatrnosti sa môže stať, že sa k účtu dostane neoprávnený používateľ. Najnepríjemnejšie je na to určite prísť až pri výpise z účtu. Podozrivé pohyby na účte sa dajú vysledovať veľmi ľahko, ak banka umožňuje zasielať denné výpisy e-mailom či cez SMS.
No účinnejšie môže byť dozvedieť sa okamžite o tom, že sa niekto práve na internet banking prihlásil. Takéto SMS notifikácie začala posielať Tatra banka či VÚB, podobnú službu pripravujú i ďalšie banky.
Možnosti zabezpečenia neustále rastú, s rozširovaním čipových platobných kariet napríklad niektoré banky zvažujú možnosť využiť ich aj na autentifikáciu klientov pre elektronické bankovníctvo. Čítačka platobných kariet pripojená k počítaču by napríklad umožnila využiť elektronický podpis, uložený v čipe.
Podobným spôsobom sa dá využiť aj čítačka odtlačkov prstov. Práve pre potrebu dodatočného vybavenia sa však tieto možnosti zvažujú len pre časť klientov. Napríklad pre veľké firmy v rámci homebankingu.
ILUSTRAČNÉ FOTO – PROFIMEDIA.CZ
