Chceme vaše prachy! Finanční hackeři jsou stále vynalézavější
Snad jen nostalgičtí pamětníci vzpomínají na dobu, kdy si dělníci i bankovní úředníci nosili z práce výplatu v papírovém sáčku. Dnes už se většina lidí se svými vydělanými penězi doma „nepomazlí“ a fyzicky je ani nevidí.
Stále více transakcí je totiž prováděno bezhotovostně, tedy skrze platbu kartou či bankovním převodem. A tedy i s potenciálním rizikem chyb, selhání či naletění podvodníkům.
Přestože zánik bankovek a mincí v Česku zatím není na pořadu dne, lidé si stále více zvykají nemít u sebe hotovost a platit i menší částky bezkontaktní kartou nebo zdigitalizovanou kartou v mobilním telefonu.
Zvyšující se bezhotovostní „přilnavost“ lidí k jejich financím dokládají i statistiky. Podle červnového průzkumu agentury SC&C pro Českou bankovní asociaci využívá elektronické bankovnictví ke správě svých financí již 95 procent obyvatel Česka, kteří mají přístup k internetu. Respondenti průzkumu rovněž prozradili, že do elektronického bankovnictví obvykle vstupují dvakrát až čtyřikrát týdně. Někteří vlastníci mobilní aplikace svůj účet kontrolují dokonce i několikrát denně.
Nejslabší článek
Takto intenzívní vztah klienta ke svému bankovnímu účtu, při jehož dalším prohlubování může dojít k oslabení ostražitosti a následnému podcenění nejrůznějších sofistikovaných léček, je vodou na mlýn podvodníkům a hackerům. Tuzemské banky o tom vědí své. Dělají, co mohou, ročně investují stovky miliónů korun do opatření, aby peníze svých klientů ochránily, přesto jejich snaha někdy nestačí.
„Málo institucí v Česku je zabezpečených proti zneužití tak, jak je tomu u velkých bank, včetně nás. Nejslabším článkem bezpečnosti je především uživatel. Téměř všechny útoky totiž přicházejí zvenčí a spoléhají na selhání lidského faktoru. Příkladem jsou takzvané fishingové a malwarové útoky,“ říká Filip Zeman, ředitel digitálního bankovnictví České spořitelny, u níž má svůj účet nejvíce drobných střadatelů v zemi.
Slabiny SMS
Finanční ústavy inovují a zdokonalují proti stále sofistikovanějším útokům na bankovní konta klientů ochranný štít. Schovat se pod něj však musí jejich klienti sami.
V praxi to pak vypadá například tak, že banky díky takzvaným mobilním klíčům nabízejí bezpečnější a pohodlnější náhradu přihlašovacích a ověřovacích SMS zpráv. Při samotné transakci proto neprobíhá potvrzení přihlášení nebo ověření odchozí platby přes SMS zprávy mobilního operátora, ale mobilní aplikace komunikuje přímo s bankou. Právě potvrzovací SMS zprávy se totiž v minulosti ukázaly jako nedostatečné z hlediska ochrany před virovými a malwarovými útoky.
Uveďme konkrétní příklad. V České republice se objevilo několik případů, kdy si klienti nevědomky nainstalovali infikovanou aplikaci z volně dostupného obchodu s těmito mobilními produkty. Bez jejich vědomí pak následně došlo k odcizení přihlašovacích údajů pro vzdálený přístup k jejich bankovnímu účtu. Přestože se vždy tyto malwarové útoky podařilo včas odhalit, ukázalo se, že SMS zprávy představují z hlediska zajištění bezpečnosti bankovních účtů velkou slabinu. Útočníci totiž měli přístup do SMS zpráv a ty jsou podle bankovních statistik nejčastějším druhým ověřovacím faktorem při placení na internetu.
Nová aplikace
Aby se počet těchto malwarových útoků podařilo eliminovat, přišla například Česká spořitelna s aplikací George klíč, která představuje jednodušší, rychlejší a bezpečnější způsob přihlašování do digitálního bankovnictví a potvrzování plateb.
Pro přístup do digitálního bankovnictví i autorizaci veškerých plateb stačí zadat klientem nastavený šestimístný PIN nebo využít biometrické údaje, jako jsou otisk prstu či sken obličeje. V průběhu příštího roku banka rovněž umožní skrze George klíč také autorizaci on-line plateb při nákupech kartou na internetu.
Od své aplikace má banka velké očekávání. „Naší ambicí je, aby ho v horizontu dvou let využívalo 80 procent uživatelů našeho digitálního bankovnictví,“ věří Filip Zeman.