Internetové bankovnictví je častým cílem útoků "počítačových zločinců". Banky na tuto hrozbu reagují, ale dělají kompromisy mezi úrovní zabezpečení a pohodlím pro zákazníky. "Zanedbávají informovaní svých zákazníků a možná i šetří na nepravém místě," míní Luděk Hrdina z bezpečnostní společnosti Check Point.
HN: V čem podle vás dělají banky při zabezpečení internetbankingu největší chybu?
Problém ochrany internetového bankovnictví má dva aspekty - zabezpečení banky a zabezpečení uživatele. Obě strany sdílejí zodpovědnost za ochranu transakcí. Na straně banky jde především o adekvátní zabezpečení jejích serverů, aby z nich nemohly být zcizeny citlivé údaje nebo aby se nestaly hostitelem útoku, jako se to stalo ruské KS Bank v roce 2006.
Mnohem složitější je zabezpečení na straně uživatele. I zde však banky ještě nedávno dělaly neuvěřitelné chyby. Jedna z největších českých bank (Česká spořitelna - pozn. red.) umožňovala přihlášení a odeslání platby pouze pomocí uživatelského jména a hesla.
HN: Proč u nás žádná banka zatím nevyužívá technologie, které by zkontrolovaly při pokusu o připojení k bankovnímu webu úroveň zabezpečení uživatelova počítače?
Tyto technologie existují, používají je zejména velké firmy, aby zabránily nakažení své sítě viry z mobilních počítačů. V případě bank se zatím tento přístup neprosadil. Stojí za tím částečné podceňování bezpečnostních rizik ze strany bank, nedostatečná regulace ze strany oborových organizací i státu. Ale také snaha bank neobtěžovat klienta při každém vstupu do banky či provedení transakce "zbytečnými" ochrannými kroky. Může jít i o náklady, každá ochrana něco stojí.
HN: A co aplikace, které nabízejí ochranu zdarma?
Mezi bezplatnými bezpečnostními aplikacemi jsou obrovské rozdíly v kvalitě. Některé jsou špatné, jiné předčí ty placené a zároveň existují bezplatně šířené aplikace, které slibují odstranění virů nebo spyware, ale slouží právě k šíření těchto škodlivých programů.
Pro zabezpečení osobního počítače nestačí jen antivir, proti phishingu pomohou v první fázi antispywarové a antispamové nástroje, které by měli uživatelé využívat i z jiných důvodů, než je ochrana internetbankingu.
V další fázi nastupují speciální nástroje, které dokážou odhalit, že se uživatel nachází na nebezpečné stránce. Najdeme je hlavně jako doplňky webových prohlížečů. Záleží však nejen na schopnosti nástroje takovou stránku odhalit, ale i na tom, jestli uživatel na takové varování bude správně reagovat. Stále platí, že na žádnou bezpečnostní aplikaci, placenou nebo neplacenou, se nedá plně spolehnout. Technologie je jen jedna část ochrany, druhou tvoří uživatel svým chováním.
HN:Kdybyste měl doporučit jednu věc, kterou má uživatel udělat, aby chránil před útoky svůj internetbanking, co by to bylo?
Pokud by to měla být jen jedna věc, tak bych doporučil co nejvyšší míru nedůvěry vůči jakýmkoli žádostem o citlivé údaje. Hlavně přijde-li e-mailem. Vždy je lepší zavolat do banky a zeptat se, jestli opravdu takovou zprávu poslala.
HN: Jak běžné jsou phishingové a pharmingové útoky v Česku a ve světě?
Jsou stále častější a sofistikovanější na celém světě. Hlavním důvodem je úspěšnost útoků. Často to souvisí i s přehnanou sebedůvěrou uživatelů ve své schopnosti rozpoznat útok. Podle odborných studií je totiž o své schopnosti odhalit phishingový útok přesvědčeno 90 procent lidí. Ale 60 procent z nich se v kontrolním testu nechalo zmýlit. A útočníci se samozřejmě zaměřují na skupiny, kde mají statisticky největší úspěšnost.
