Žebříčky Přehledy

Peníze v bance musí být v bezpečí. Dnes je to výzva pro nejmodernější technologie
21.3.2016  |  Zdeněk Bubák

Byly doby, kdy se otázka bezpečnosti peněz v bance točila kolem trezorů, tlustých zdí a ochrany peněz při jejich převozu. Tehdy jsme znali peníze především v podobě bankovek a jejich svazků. Dnes už mají peníze z velké části podobu elektronických záznamů na hard discích bankovních serverů, které jsou v podstatě přístupné odkudkoliv. Aby se na ně nedostaly nepověřené osoby nebo rovnou zloději, musejí si banky, ale i jejich klienti, vytvářet softwarovou a procedurální ochranu proti napadení jejich účtů.

Finparáda.cz považuje bezpečnost dat v bankovnictví za tak důležitou, že při udělování nově vyhlašované Ceny Finparády za rok 2015 vybrala řešení, které s kyberbezpečností v bankovnictví úzce souvisí.

Trusteer Rapport získal Cenu Finparády.cz za rok 2015



Cenu Finparády.cz za rok 2015 získala Komerční banka a její specializovaný bezpečnostní software Trusteer Rapport.

Cena Finparády 2015 Cena Finparády.cz je novou speciální kategorií, která je letos poprvé vyhlašovaná současně s ostatními kategoriemi soutěže „Finparáda.cz - Finanční produkt roku 2015“. Toto ocenění jde nad limit konkrétních finančních produktů a jeho cílem je poukázat na výjimečné výsledky, inovátorské postupy nebo zajímavé počiny na bankovním a finančním trhu za daný rok.

Jak je bezpečnost dat v bankách, ale i jejich ochrana na cestě ke klientovi a zpět do banky, důležitá, nám dojde při zjištění faktu, kdo se na kyberútoky vůči bankám specializuje. Již to nejsou zapálení introvertní studenti, ale specializované gangy, které si takto chtějí vydělat velké peníze. Jsou organizovaní, mají technické a know-how zázemí a nemají žádné zábrany.

Kyberútoky jsou velký byznys. Roční zisk z jediné kampaně je až 34 milionů dolarů



Týmy disponují špičkovou výbavou a nechávají se najímat na útoky. Jsou to v podstatě profesionální žoldáci. V komerční sféře se stal kyberzločin v podstatě samostatným průmyslovým odvětvím. Jak ukazují výsledky pravidelné studie Cisco Annual Security Report, jediná kampaň založená na exploit kitu Angler mohla ročně přinést až 34 milionů dolarů. Útočníci stále častěji sahají k legálním zdrojům, které využívají pro své útoky. Současná geopolitická situace navíc nahrává k tomu, aby se tito novodobí korzáři dali do služeb teroristických skupin či diktátorských režimů, varuje Cisco Annual Security Report

Kybernetická válka se profesionalizuje, výsledky studie odhalují, že kyberzločinci si stále častěji budují legální a robustní IT infrastrukturu, kterou pak využívají k vlastním kyberútokům. Efektivnost jejich útoků tak roste souběžně s tím, jak se jejich metody stávají sofistikovanější. Dříve používané metody obrany i bezpečnostní strategie jsou proti pokročilým typům prakticky neúčinné.


Počet útoků na klienty bank roste meziročně o desítky procent



Podle expertů ČSOB a Ery roste počet útoků na uživatele elektronického bankovnictví v posledních letech meziročně o desítky procent. Rozhodně se tedy nevyplatí internetové nebezpečí podceňovat.

Nejčastěji na nás hackeři útočí pomocí podvodných e-mailů a škodlivých virů. Odborně se těmto útokům říká phishing a malware. Cílem útočníků je dostat se prostřednictvím podvodných e-mailů a virů k přístupovým údajům do vašeho internetového bankovnictví a ovládnout váš chytrý telefon, kam si necháváte posílat SMS kódy nutné pro potvrzení plateb.

Jak probíhají současné útoky na klienty bank?



Podrobný popis aktuálně používaných technik při útocích na bankovní účty klientů nám poskytl Miroslav Čermák, odborník na bezpečnost bankovních dat, autor knihy „Řízení informačních rizik v praxi“ a provozovatel odborného portálu cleverandsmart.cz.

„V poslední době jsme mohli zaznamenat opět několik zpráv zmiňujících útoky na klienty bank i na banky samotné. V obou případech byly použity techniky sociálního inženýrství a rovněž bylo zneužito i známých zranitelností v systému," říká Miroslav Čermák.

Útočníci získávají bílé koně



V případě, kdy je útok veden na klienty bank, tak útočník musí nejprve získat nějakého bílého koně resp. více bílých koní, kteří mu umožní peníze z banky vyvést. Ty získává např. prostřednictvím na první pohled seriózních nabídek práce umístěných na pracovních portálech.

V těch se útočník vydává za zástupce nějaké zahraniční společnosti, která hledá na českém trhu někoho, kdo má znalost bankovních produktů a měl by zájem je testovat, a nabízí slušné platové ohodnocení. Po uchazeči je požadováno vyplnění dotazníku, je s ním veden pohovor po telefonu a mnohdy je s ním uzavřena i smlouva.

Ve stejné době jiný člen organizované skupiny rozesílá e-mail s přílohou obsahující škodlivý kód. Zde je třeba zmínit, že rada typu, že by klient neměl otevírat a spouštět přílohu v nevyžádaném e-mailu, je sice dobrá, ale je třeba si uvědomit, že takový e-mail může přijít i od známého, který byl rovněž napaden. Naštěstí tomu tak ale v drtivé většině případů není a nebylo.

„E-maily chodily z naprosto nesmyslných adres a obsahovaly i chyby. Někdo dokonce říká, že ty chyby jsou tam schválně, protože když si klient těchto chyb nevšimne, tak si pak nejspíš nevšimne ani nestandardního chování internetového bankovnictví. V okamžiku, kdy příjemce e-mailu na přílohu klikne, tak se spustí a z internetu stáhne další kód a instrukce,“ doplňuje Čermák.


Žebříčky a přehledy:
Přehled celé nabídky bankovních účtů - zde
Žebříček s nejlepšími osobními účty podle odborníků - zde

Škodlivý kód se usídlí v prohlížeči



Následně dochází k začlenění škodlivého kódu v prohlížeči klienta do stránek internetového bankovnictví, což klient nepozná. „Na tomto místě je třeba zdůraznit, že k začlenění kódu do stránek internetového bankovnictví dochází jen a pouze v počítači klienta banky a v bankovním systému se žádný škodlivý kód nenachází,“ upozorňuje Čermák. Tím zdůrazňuje, že samotné banky bez toho, aniž by se do ochrany svých dat zapojili i jejich klienti, nemohou na 100 % bezpečnost garantovat.

Škodlivý kód na napadeném počítači odchytává přihlašovací údaje k nejrůznějším službám jako je e-mail, sociální sítě, platební brány a samozřejmě i internetové bankovnictví. Pokud je škodlivým kódem bankovní malware, tak dochází i k odchytávání zůstatků na účtech a na proběhlých transakcích. Tímto způsobem si útočník vytváří databázi potenciálních obětí.

Výzva k instalaci aplikace vypadá jako by byla od banky



Na napadeném počítači se poté, co se klient přihlásí do internetového bankovnictví, zobrazí výzva k instalaci bezpečnostní aplikace pro generování jednorázových kódů za účelem zvýšení bezpečnosti. Klient pak tuto výzvu považuje za výzvu pocházející od banky, protože se zobrazuje na jejích stránkách, na které přistupuje přes https a jsou opatřené platným certifikátem.

Pozor také na zneužití Adobe Flash Playeru



K napadení klienta však nemusí dojít jen tím, že spustí přílohu e-mailu, ale může k němu dojít i přes web. V takovém případě útočník zneužívá zranitelnosti v aplikaci Adobe Flash Player, kdy nejprve napadne nějaký web a začlení do něj flashovou animaci, hru, reklamu a uživatel se tak může nakazit již při pouhé návštěvě této stránky.

„Mnohdy ani útočník nemusí zneužívat nějaké zranitelnosti na webu, ale může napadnout reklamní systém a flashový banner tam umístit. Ten se pak návštěvníkům webu zobrazuje jako jakákoliv jiná reklama. Takový útok ale není naštěstí tak častý, nicméně je mnohem nebezpečnější, protože jedinou obranou je odinstalovat Adobe Flash Player nebo ho minimálně zakázat, což silně doporučuji,“ nabádá Čermák.

Vetřelecká aplikace posílá hesla klieta útočníkovi



V okamžiku, kdy si klient bezpečnostní aplikaci nainstaluje, tak ta začne krást jednorázová hesla do internetového bankovnictví a posílat je útočníkovi, který tak může dokončit transakci za klienta, ať už ze svého počítače nebo z počítače klienta, který může rovněž ovládat na dálku.

Na skutečnost, že je škodlivý kód začleňován na počítači klienta do stránek internetového bankovnictví některé banky zareagovaly, a začaly vložení kódu do svých stránek kontrolovat. Například pomocí aplikace Trusteer Pinpoint, která do stránek internetového bankovnictví vloží kontrolní kód, jenž jí umožňuje ověřit, zda do stránek nebyl na počítači klienta začleněn kód útočníka vyzývající k zadání údajů k platební kartě nebo vyzývající ke stažení bezpečnostní aplikace do mobilního telefonu se systémem Google Android.

Útočníci si však poměrně brzy všimli, že pokud do stránek banky na počítači klienta začlení svůj škodlivý kód, tak banka tuto skutečnost velice rychle zjistí a transakci realizovanou z napadeného počítače neprovede.

Z tohoto důvodu začali útočníci výzvu k instalaci bezpečnostní aplikace zobrazovat i na jiných stránkách, kde se uživatel přihlašuje a kde uživateli výzva k instalaci bezpečnostní aplikace rovněž nepřijde jako divná. Obzvlášť, když všude slyší, jak se firmy snaží bezpečnost zvyšovat.

Nyní byla opět řada na bankách, aby na tuto změnu zareagovaly. Takovou odpovědí bylo doporučení bank k využití aplikace Trusteer Rapport. Komerční banka jí zakoupila od dodavatelské firmy, kterou je IBM. Klient Komerční banky si tak může tento specializovaný software zdarma stáhnout přímo z internetového bankovnictví KB, na které je systém vázán, a využívat ho.

Výsledky systému Trusteer Rapport využívaného klienty Komerční banky



První výsledky specializovaného bezpečnostního softwaru Trusteer Rapport, určeného pro klienty Komerční banky, překonaly očekávání. O více než 90 % se snížil počet přihlášení do internetového bankovnictví ze zavirovaných počítačů. Speciální software IBM Trusteer Rapport, který zvyšuje ochranu klientského počítače a minimalizuje riziko zneužití přihlašovacích údajů do internetového bankovnictví, si od 4. března 2015, tj. od dne zahájení provozu systému, bezplatně stáhly desetitisíce klientů Komerční banky.

„Bezpečnostní program Trusteer Rapport od společnosti IBM je při odhalování potenciálních kybernetických útoků na naše klienty mimořádně úspěšný. Podařilo se nám již ve více než 200 případech předejít možnému napadení našich klientů přes jejich osobní počítač infikovaný internetovým podvodníkem,“ uvedl Mojmír Prokop, manažer Distribučních kanálů a Customer Intelligence. Jak dále zdůraznil, nejzranitelnějším článkem řetězce je dnes klient sám a jeho osobní zařízení – počítač, chytrý mobilní telefon, či tablet. „Proto jsme se klientům v ochraně jejich počítačů rozhodli aktivně pomáhat,“ řekl Prokop.

Bezpečnostní řešení IBM na ochranu počítače klienta funguje na operačních systémech Windows a Mac OS. Klienti Komerční banky si ho mohou instalovat, zcela zdarma a bez jakýchkoli podmínek, ze zabezpečeného prostředí internetového bankovnictví MojeBanka. Stačí, aby se standardním způsobem přihlásili a program si bezpečně stáhli.

Trusteer Raport je jen součástí rozsáhlejšího celku ochrany klientů Komerční banky. Další řešení nejsou z bezpečnostních důvodů směrem k veřejnosti komunikovaná a slouží k ochraně všech klientů banky přihlašujících se do přímých kanálů a odesílajících transakce. Pokud dojde k podezření na ohrožení klienta Komerční banky, je klient obratem kontaktován technickým centrem banky a jsou mu doporučeny postupy pro nápravu tohoto stavu a sdělena prevence možných ohrožení a škod. Jedním z těchto doporučení je instalace softwaru Trusteer Rapport na ohrožený počítač.

Klienti banky by se při práci s počítačem, ze kterého se přihlašují do prostředí internetového bankovnictví, měli chovat maximálně obezřetně. Zejména se doporučuje používat výhradně legální software, pravidelně aktualizovat operační systém i další programy (např. internetový prohlížeč, čtečku PDF dokumentů) a používat antivirové programy pravidelně je aktualizovat. Na místě je zejména obezřetnost při otevírání e-mailů i SMS, které se tváří, že jsou odeslány z banky klienta či jiného, na první pohled, důvěryhodného zdroje.

Česká spořitelna na zvýšená rizika reagovala také



Česká spořitelna představila na konci roku 2015, zhruba tři čtvrtě roku po spuštění Trusteer Raportu Komerční bankou, nové zabezpečení internetového bankovnictví, jak pro občany, tak pro podnikatele (SERVIS 24 Internetbanking a BUSINESS 24 Internetbaning). Jedná se o nástroj, který lépe rozpozná škodlivý kód a identifikuje podvodné stránky nebo pokusy o odcizení přihlašovacích údajů klienta.

Nový systém zabezpečení internetového bankovnictví od České spořitelny je založený na produktech společnosti F5. Jedná se o nadnárodní americkou společnost, která působí v mnoha zemích světa, své pobočky má jak v Evropě, Americe, Asii atd. Tato společnost se zabývá doručováním aplikací a dlouhodobě spolupracuje se společnostmi, jako je např. Microsoft, IBM, Oracle nebo HP.

Trusteer Rapport na rozdíl od řešení F5, které primárně slouží pouze k pasivní detekci hrozeb, umožňuje i situaci aktivně řešit – blokovat útoky a vyléčit ohrožený počítač klienta. Česká spořitelna žádné takové proaktivní řešení pro klienty podle nám dostupných informací zatím nenabízí. Ta své řešení pravděpodobně používá primárně k detekci ohrožených klientů za účelem sběru případných důkazů použitelných při řešení škody s klientem.

Útoky přes sociální sítě - fungují bez přímého napadení počítače



I přes výše uvedená opatření je možné na klienty bank vést útok aniž by došlo k napadení jejich počítačů. Nejčastěji se můžeme setkat s takovým útokem, kdy útočník zcizí něčí přihlašovací údaje na Facebook a pak se jeho jménem obrátí na někoho z přátel přes Facebook s žádostí o finanční pomoc.

V komunikaci uvede odkaz na falešnou platební bránu, kterou má pod kontrolou, takže tím získá přihlašovací údaje oběti do internetového bankovnictví a pak z ní ještě vyláká jednorázový kód uvedený v SMS.

Rok 2016 začal ve znamení nové nabídky pojištění proti kybernetickému riziku



Proti útokům na sociálních sítích může banka své klienty chránit pomocí systému, který vyhodnocuje odkud, kdy a jaká transakce byla zadána. Proto také začaly banky v roce 2016 nabízet svým klientům zcela nové pojištění proti kybernetickému riziku. Které banky, pojišťovny toto pojištění nabízejí a v jakém rozsahu, vám přineseme v samostatném článku.

Rady klientům pro snížení rizika vykradení účtu



Bezpečnostní zásady

Chraňte svůj počítač i chytrý telefon, používejte antivirové programy a pravidelně je aktualizujte.

Instalujte aplikace, certifikáty nebo aktualizace do chytrého telefonu výhradně z oficiálních certifikovaných zdrojů (Apple Store, Google Play, Windows Store).

Nesdělujte citlivé informace (číslo karty, přihlašovací údaje do elektronického bankovnictví, potvrzovací SMS kódy) třetím osobám.

Do internetového bankovnictví se přihlašujte zásadně z oficiálních webových stránek své banky, nevstupujte do internetového bankovnictví přes odkazy generované internetovými vyhledávači. Vždy si zkontrolujte, že stránka, odkud se do internetového bankovnictví přihlašujete, má bezpečnostní certifikát (zámeček a zelené podbarvení v adresním řádku).

Používejte silná hesla a pravidelně je měňte.

Nereagujte na nedůvěryhodné e-maily – nespouštějte žádné přílohy, ani neklikejte na odkazy.

Doufáme, že i Cena Finparády roku 2015 pomůže medializovat téma bezpečnosti přístupu k bankovním datům, vzbudit u klientů bank zájem o toto téma, zvýšit obezřetnost čtenářů Finparády.cz a zabránit tak alespoň části útoků na bankovní účty.






Související články:
Komerční banka spustila v aplikaci KB Klíč novou funkci MůjPodpis

Jaké produkty lze u jednotlivých bank sjednat a spravovat on-line?

Komerční banka nasazuje do multibankingu další tři banky, z toho poprvé i jednu zahraniční

Klienti Komerční banky mohou nově nahlížet na své účty u pěti dalších bank

Komerční banka nám exkluzivně představila digitální novinky na rok 2018


Zpět


© 2023 Scott & Rose, spol. s r.o.