Hlavní navigace

Komerční banka: Vykradení účtů potvrzeno!

24. 8. 2006
Doba čtení: 7 minut

Sdílet

Internetové bankovnictví Komerční banky bylo napadeno organizovanou skupinou útočníků. Vážná situace vyústila ve spěšné posílení zabezpečení banky. Slabinou se stalo zabezpečení pomocí certifikátu. Obdobný způsob ale využívá i řada dalších bank... Jsou ohroženy?

Komerční banka včera poprvé oficiálně potvrdila, že prostřednictvím jejího internetového bankovnictví Mojebanka.cz došlo k odčerpání peněz neoprávněnou osobou. Komerční banka zaznamenala 10 případů klientů, u kterých se objevily pokusy o zneužití jejich osobních počítačů, uvádí Marie Petrovová, tisková mluvčí Komerční banky, v tiskové zprávě. Je otázkou, zda je počet konečný…

Jak k napadení účtů došlo

Nad způsobem, jakým ke zneužití účtů došlo, zatím visí otazník. Policie odmítla z důvodu pokračujícího vyšetřování komentovat vyšetřovací verze i výši škody, k níž mělo dojít. Pravděpodobnou variantou však zůstává, že se útočníci dostali ke klientskému certifikátu a heslu, čímž získali přístup k účtu. Peníze následně převedli na účet tzv. „bílého koně“, osoby, která vyzvedla hotovost a zaslala ji na účty v zahraničí – pravděpodobně ve Velké Británii, v Belgii a na Ukrajině.

Jistá není ani výše celkové škody. Podle serveru iDnes.cz například jedna rodinná pekárna přišla tímto způsobem téměř o 1 mil. Kč. Banka je se všemi dotčenými klienty v kontaktu a neoprávněně odčerpané prostředky klientům již plně nahradila, dodává Marie Petrovová.

Rychlé řešení

Komerční banka zareagovala velmi rychle. Jak jsme vás informovali v článku Jiřího Nápravníka Bylo internetové bankovnictví KB nebezpečné?“, banka vydala informaci o posílení zabezpečení SMS zprávou zasílanou na mobilní telefon den předem. Ani přechodné obdobní nebylo nijak dlouhé – pouhých 10 dní – a končí tento pátek.

Přidání dalšího autorizačního prvku, kterým se ověřují aktivní bankovní operace, jednoznačně zvýší bezpečnost. Rychlost jeho zavedení sice přinesla drobné komplikace (částečná nedostupnost přetíženého serveru), ale vesměs je také přínosná. Útočníci, o nichž se předpokládá, že tvoří organizovanou skupinu, se nebudou moci snadno přizpůsobit a sníží se tak rozsah škod.

Jsou ostatní banky „v bezpečí“?

Podle informací z ostatních bank nabízejících přístup k účtu přes internet nedošlo u žádné k úspěšnému pokusu o vykradení účtu.

Z principu není nic úplně neprůstřelné. Je pravdou, že elektronické bankovnictví je obecně na velmi dobré bezpečnostní úrovni, ale i zde se mohou objevit nebezpečné díry, uvedl Petr Krčmář, šéfredaktor technologického serveru Root.cz, a dodává: Technicky vzato je možné, aby někdo získal neoprávněný přístup bez vědomí uživatele. Procesy uvnitř banky by měly zajistit, aby neoprávněné transakce nemohl provádět žádný zaměstnanec. Může ovšem dojít k pochybení ze strany uživatele, který obvykle nemá o otázce bezpečnosti nejmenší ponětí. Pokud na takového uživatele narazíte, není složité jej oklamat a vyloudit z něj citlivé údaje potřebné k převzetí kontroly nad jeho účtem.

Bezpečnost internetového bankovnictví není závislá pouze na způsobu autentifikace (ověření totožnosti) klienta a autorizace (ověření platnosti) platby, byť toto bývají nejslabší články. Nejslabší vesměs nikoli z důvodu technických nedostatků, ale protože do této části zabezpečení vstupují klienti banky – mnohdy laičtí uživatelé výpočetní techniky, mnohdy rekrutovaní z řad lidí, kteří byli od přepážek bank „vyhnáni“ vysokými poplatky.

Pokud se útočník dostane na účet klienta, nemá zpravidla ještě vyhráno. Musí obvykle ještě získat způsob, jak platbu za klienta autorizuje. V tomto bodě došlo k posílení zabezpečení u Komerční banky (SMS zpráva) a v tomto bodě mají možnost nechat si slabinu klienti České spořitelny.

Klient internetového bankovnictví České spořitelny má možnost nastavit si limit, do něhož nemusí využívat „vyšší zabezpečovací prostředky“ (SMS zprávu, PIN kalkulátor nebo certifikát na čipové kartě) až do výše 20 tis. Kč. Pokud by útočník získal přihlašovací údaje k účtu, mohl by denně odčerpávat pohodlně částku až do nastaveného limitu. Pro zvýšení bezpečnosti lze tedy všem uživatelům Servis 24 – Internetbanking doporučit snížení limitu na 0 Kč a využívání např. SMS zpráv, které jsou zasílány zdarma a snižují pravděpodobnost vykradení účtu.

Jaké způsoby zabezpečení využívají české banky? Kde jsou slabiny jednotlivých způsobů zabezpečení? Čtěte v dnešním článku Petra Krčmáře na serveru Root.cz.

A co k tomu říkají banky?

Obdobný způsob zabezpečení – certifikátem – nabízí celá řada dalších bank. Některé z nich ho mají jako jednu z alternativ, pro některé je ale jediným řešením. Klienti Citibank, Volksbank a WSPK na výběr nemají. Jejich jedinou možností je certifikát.

Citibank používá jiný druh zabezpečení svého internetového bankovnictví, není tudíž na místě srovnávat nás systém se systémem Komerční banky. Systém, který využívá Citibank, je založen na světových standardech a v loňském roce jsme za něj obdrželi cenu „Nejlepší internetová banka pro občany, firmy a instituce v ČR v roce 2005“ udělovanou časopisem Globál Finance, sdělila Andrea Machálková, tisková mluvčí Citibank, a doplnila: Citibank mimo jiné využívá ojedinělý bezpečnostní systém, registrující jakékoliv pokyny k neobvyklým transakcím na klientských účtech. Dojde-li k takovému zjištění, je klient okamžitě kontaktován operátorem a transakce je před realizaci ověřena.

Naše banka průběžně monitoruje případy zneužití internetového bankovnictví, k nimž na trhu dochází. V současné době nemáme zprávy o případech, kdy by stejně jako u KB bylo internetové bankovnictví zneužito, uvedl na dotaz Měšce Oldřich Kračmer, tiskový mluvčí banky Volksbank, a dodal: IT Volksbank ve spolupráci s dodavatelem internetbankingu nyní zkoumá jednak možnosti zneužití a jednak způsoby, jak podobným případům zamezit. V případě, že výsledkem této analýzy bude doporučení zavedení nového systému zabezpečení, Volksbank jej zavede.

Osoba odpovědná za bezpečnost internetového bankovnictví WSPK je na dovolené, proto jsme vyjádření banky neobdrželi.

Klienti BAWAG Bank jsou v současné době sice ještě „závislí“ pouze na klientském certifikátu, nicméně za pár dní, od září, přechází na zabezpečení s čipovou kartou.

Certifikát můžete využívat i v dalších bankách: eBanka, GE Money Bank, Raiffeisenbank a Živnostenská banka – lze ho však nahradit jinými způsoby.

Za celou svou dosavadní historii eBanka nezaznamenala úspěšný pokus o proniknutí do systému. eBanka používá takový systém zabezpečení a vnitřní kontroly, aby v maximální možné míře vyloučila veškerá rizika, uvedla Pavla Paseková, tisková mluvčí eBanky, a doplnila: Není možné, aby bez certifikačních prostředků kdokoliv pronikl do systému. V případě jakéhokoliv podezření banka klientovi jeho certifikační prostředky obmění.

Přes mobilní telefon lze sledovat pohyby na účtu, což je dalším způsobem zabezpečení. Součástí SMS zprávy je i telefonní číslo, na které může klient v případě neoprávněné transakce zavolat a platbu ihned zrušit, případně nechat Internet Banku zablokovat, dodala k zabezpečení internetového bankovnictví GE Money Bank tisková mluvčí Eva Chaloupková.

Raiffeisenbank od roku 2001, kdy nabízí služby internetového bankovnictví, nezaznamenala žádný případ zneužití účtu přes přímé bankovnictví, uvedl k otázce bezpečnosti Tomáš Kofroň, tiskový mluvčí Raiffeisenbank.

Ivo Polišenský, tiskový mluvčí Živnostenské banky, uvedl: Způsob zabezpečení aplikací internetového bankovnictví v Živnostenské bance prochází průběžnou kontrolou a pravidelně také podrobným procesním i technickým auditem, na jehož základě zabezpečení internetového bankovnictví zdokonalujeme. Pokud z případu v KB vyplynou nějaká obecná technická či procesní doporučení v zabezpečení internetových aplikací, budeme se o takové závěry zajímat. V současné době zásadnější změny v zabezpečení internetového bankovnictví neplánujeme.

Specifickou formu zabezpečení má Česká spořitelna, jak jsem uvedl výše. V souvislosti s případem v Komerční bance na náš dotaz ohledně zabezpečení odpověděla Helena Matuszná České spořitelny: V současné době k základní formě zabezpečení (klientské číslo a heslo) využívají klienti ČS i doplňkové prvky především v podobě sms zpráv a e-mailů. Jako vyšší prvek zabezpečení ČS již delší dobu nabízí i klientské certifikáty (digitální podpis). Plánujeme další doplnění bezpečnostních prvků. Bližší podrobnosti však banka sdělí až na pondělní tiskové konferenci.

Přestože ČSOB a Poštovní spořitelna nabízejí též certifikáty, jsou uloženy na čipové kartě. Žádný z certifikátů vydávaných ČSOB není uložen v souboru v počítači, uvedla v této souvislosti Kateřina Bednářová, tisková mluvčí ČSOB.

Vysoký standard zabezpečení panuje též v HVB Bank. Naše internetové bankovnictví disponuje tím, co považujeme za prakticky nejvyšší možný bezpečnostní standard a jinou možnost autentizace, třeba se sníženým bezpečnostním standardem, na rozdíl od konkurence neumožňujeme, sdělila Petra Kopecká, tisková mluvčí HVB Bank.

dan_z_prijmu

Závěrem

Banky pečlivě sledují situaci. Ty, které vsadily již dříve na bezpečnější způsoby autentizace klienta a autorizace plateb, mají dnes vyhráno. Jedno je ale jisté – zatímco před několika lety bylo zabezpečení pomocí certifikátů považováno za velmi bezpečné, dnes případ Komerční banky ukázal, že tomu tak není. A lze předpokládat, že s rozvojem informačních technologií zastarají i další způsoby zabezpečení…

Zloději budou vždy napřed, s tím asi nelze nic udělat. O to důležitější je co nejvíce jim ztížit cestu k účtu vhodnou volbou zabezpečovacích prostředků a dodržováním základních pravidel práce s hesly a klíči. Co však považuji za nejdůležitější, je, jak se k vykradení účtů postavila Komerční banka – přijala zodpovědnost a škodu klientům uhradila.

Jaký prostředek potvrzení transakce přes internet využíváte nejčastěji?

Byl pro vás článek přínosný?

Autor článku

Šefredaktor odbormných komutních webů Poradci-sobě.cz a Realiťáci-sobě.cz. Šéf obsahu EMA data.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).