Jana, spolumajiteľka stredne veľkej firmy, ostala nepríjemne zaskočená, keď na výpise z účtu uvidela odpočítanú platbu, ktorú nikdy neurobila. Pritom dodržala všetky obvyklé bezpečnostné zásady. Peniaze nikdy neposielala z verejných miest, napríklad z kaviarne. Transakcie robila vždy len z domu či z práce, kde bol všetok softvér pravidelne aktualizovaný. Počítač mala zaheslovaný a Grid kartu bezpečne uschovávala.
Keď jej napadlo, že sa stala obeťou hackera, obrátila sa na svoju banku. Prípad začala vyšetrovať aj polícia. Na svoje prekvapenie nakoniec zistila, že internetový zlodej sa skrýval priamo v jej firme. Išlo o administrátora siete.
Blízki zlodeji
Informatik postupoval prešibane. Nebadane, cez nainštalovaný softvér, sledoval, na akých weboch jeho šéfka surfuje. A cez špeciálny program, takzvaný key logger, ktorý dokáže zaznamenávať údaje z klávesnice, odchytával zadávané prístupové heslá a kódy. Po čase si tak dokázal vytvoriť kópiu Grid karty. Urobil však zásadnú chybu – internetovú transakciu vykonal z počítača vo firme.
Tento príbeh nie je ojedinelý. „Väčšina úspešných útokov na elektronické bankovníctvo pochádza z okolia klientov a nie z internetu, ako by sa mohlo zdať,“ hovorí vedúci odboru platieb a elektronického bankovníctva Slovenskej sporiteľne Michal Grajcar.
Často ide napríklad o členov rodiny, ktorí majú medzi sebou nezhody. Práve oni najľahšie prekonajú bariéry, ktoré majú používateľov internet bankingu chrániť. Pravda, M. Grajciar, rovnako ako iní ľudia z brandže, nechce hovoriť o konkrétnych príkladoch. Do povedomia verejnosti sa tak oveľa častejšie dostanú útoky ako pharming a phishing, ktoré sú cielené na väčší počet internetistov.
V prvom prípade sa útočník snaží prostredníctvom e-mailu vylákať od dôverčivého používateľa prístupové údaje k elektronickému účtu či informácie z kreditky. Pri druhom vytvorí stránku veľmi podobnú webu banky a tak skúša získať od neopatrných klientov ich heslá a kódy. Takéto pokusy sa nevyhli ani slovenským a českým používateľom. Skúsenosti s nimi majú napríklad Citibank a Slovenská sporiteľňa.
Najslabší článok
Práve pre neopatrné správanie klientov je Grid karta v očiach bankárov najslabší bezpečnostný nástroj na autorizáciu elektronických platieb. Viaceré banky sa mu preto vyhýbajú alebo jeho použitie obmedzujú. „Je to prežitok, neposkytuje klientom dostatočnú ochranu, len komplikuje používanie elektronického bankovníctva,“ myslí si Marek Michlík, PR manažér spoločnosti BRE Bank, ktorá na Slovensku prevádzkuje internetovú banku mBank.
Pred niekoľkými rokmi banka používala v Poľsku predchodcu Grid karty – súbor TAN kódov vytlačených na papieri, z ktorých každý po jednom použití stratil platnosť. No od roku 2004 môžu klienti vo všetkých krajinách autorizovať transakciu len jednorazovým kódom, ktorý dostanú na svoj mobil.
SMS autorizáciu v súčasnosti využívajú v rámci e-bankovníctva takmer všetky banky na Slovensku, nemá ju napríklad Poštová banka. Na mobil si totiž zákazníci dávajú zväčša veľký pozor. A SMS správa obvykle obsahuje aj základné údaje o bankovej operácii, takže klient si môže overiť správnosť zadaných informácií. Znižuje sa tak riziko, že omylom vloží zle údaje alebo že sa niekto dostane do internetovej komunikácie medzi neho a banku a údaje pozmení.
Neporovnateľná je tiež sila číselného kódu. Kým Grid karta obsahuje len niekoľko štvormiestnych kódov s neobmedzenou platnosťou, napríklad v SMS kľúči Slovenskej sporiteľne je unikátny desaťmiestny číselný rad platný vždy len päť minút, pripomína M. Grajcar. Ak by aj používateľ mobil stratil, nedá sa zneužiť.
Bezpečnejšie, ale...
No vedeniu Tatra banky sa aj ochrana SMS autorizáciou máli. Do dvoch rokov ju chce zrušiť a spolu s ňou aj Grid karty, ktoré prestala vydávať v polovici minulého roka. Rovnako ako kartu SecureID, ktorá generuje číselný kód na autorizáciu platieb.
Nahradí ich čítačkou kariet, ktorá vytvára jednorazové číselné kódy až po vložení platobnej karty a zadaní jej PIN kódu. Tú budú musieť zákazníci používať pri každom prihlásení do internet bankingu a pri všetkých platbách z účtu, ktoré presiahnu denný limit tritisíc eur (dobrovoľne si klient môže nastaviť aj nižší limit).
Pri platbách treba zadávať do čítačky aj číslo účtu a sumu, čo môže vyzerať nekomfortne. Navyše, ak klient platobnú kartu stratí, nebude mať vôbec prístup do internetového bankovníctva a nemôže tak urobiť elektronicky žiadnu transakciu. Musí počkať na vydanie novej karty.
Na internete vyvolalo toto oznámenie živú diskusiu. Niektorí zákazníci v nej dokonca tvrdili, že keď banka úplne zruší doterajšie formy autorizácie, prejdú ku konkurencii.
Odlevu zákazníkov sa však Tatra banka nebojí. „S podobnými reakciami sme sa stretli, keď sme pred niekoľkými rokmi zavádzali Grid kartu,“ hovorí riaditeľka odboru elektronických distribučných kanálov Tatra banky Monika Macsai. Podľa nej si zákazníci na nový bezpečnostný predmet bez problémov zvyknú, keď si ho sami vyskúšajú. A podotýka, že v budúcnosti začnú autorizáciu pomocou karty a čítačky používať aj konkurenti.
Každý po svojom
Názor vedenia Tatra banky prinajmenšom niektorí rivali nezdieľajú. „Takýmto krokom nám skôr klientov prihrajú, my to určite zavádzať nebudeme,“ hovorí M. Michlík. Podľa neho si internetová banka vystačí aj s esemeskami. Ak by v budúcnosti chcela zaviesť vyšší stupeň ochrany, zvažovať bude skôr odobrenie transakcií cez mobil digitálnym podpisom. V najbližších dvoch rokoch by však k zmene dôjsť nemalo.
Pravda, väčšina bánk má zavedený aj vyšší stupeň ochrany, ako sú SMS či Grid karty. Napríklad UniCredit Bank používa elektronický token, čo je malé zariadenie v podobe kalkulačky. To po zadaní PIN kódu vygeneruje kód s obmedzenou platnosťou. Práve toto považuje banka za najbezpečnejší spôsob autentifikácie a autorizácie operácií v e-bankingu. Jeho používanie klientom odporúča, no neprikazuje.
Rovnaký postoj má aj Slovenská sporiteľňa. Tá má už dávnejšie plnohodnotnú alternatívu v podobe takzvaného elektronického osobného kľúča (EOK). Ide o malé zariadenie veľkosti kalkulačky, ktoré má v sebe integrovaný čip s algoritmom potrebným na vytváranie kódov.
Nie je tak viazané na platobnú kartu. Implementácia nového autorizačného nástroja do systému banky by však stála milióny eur, ďalšie peniaze by stála distribúcia nových predmetov do pobočiek, ich úschovy a doručenia klientom.
Navyše, v začiatkoch e-bankovníctva v 90. rokoch nedávala Slovenská sporiteľňa zákazníkom inú možnosť, ako používať EOK. No to ich od e-bankingu odrádzalo. Internetové bankovníctvo tak používali iba podnikatelia a technicky zdatní používatelia. „Biznis sa nehýbal. Mali sme síce pentagón, ale ľudia to nechceli,“ hovorí M. Grajcar. Po zavedení Grid kariet získala banka za mesiac toľko nových používateľov ako predtým za dva roky. Ich nútenú výmenu považuje za kontraproduktívnu, pretože by mohla narušiť dôveru klientov v banku.
Slovenská sporiteľňa chce zákazníkov motivovať, aby prestali Grid karty používať a prešli na SMS autorizáciu, inak. Tento rok plánuje znížiť denný limit na operácie v e-bankingu pomocou Grid kariet zo siedmich na tisíc eur denne, pričom limit na autorizáciu pomocou SMS kľúča ponechá na 170-tisíc eur. Popri tom bude klientov presviedčať o výhodnosti a bezpečnosti SMS autorizácie marketingovou kampaňou.
Foto - Milan David
