Přepnout na plnou verzi

Měšec.cz

Banky podceňují bezpečnost své domény. Nahrávají tak útočníkům

Možná jste už někdy dostali e-mail, který se tvářil jako od vaší banky. A byl falešný. Jenže banky to podvodníkům někdy až moc usnadňují. Nachytat se na lep je pak pro klienta jen otázkou času.

16. 5. 2017 0:00 Martin Pokorný
Vstoupit do diskuse 2 Přidat názor

E-mailová komunikace je již několik let zneužívána podvodníky k získání přístupů k bankovním účtům pomocí falešných e-mailů odesílaných jménem bank a finančních institucí. Své zkušenosti s tím mají finanční ústavy po celém světě, včetně České republiky.

Pokud jste denně na internetu, pravděpodobně jste se již setkali s falešnou výzvou k aktualizaci údajů v internetovém bankovnictví nebo u vaší platební karty. Samozřejmě bylo potřeba zadat přihlašovací login, heslo a v případě karty celé její číslo, adresu a CVC/CVV kód. Kdo to provedl, měl v následujících dnech o zábavu postaráno. Podívali jsme se na to, jak jednotlivé finanční ústavy chrání své domény před zneužitím.

Dá se ale ověřit, že doména banky, u které si chcete ověřit možný podvod, je v pořádku? A že nejde o další falešnou stránku?

Se zajímavým testem přišla společnost Mailkit. Je potřeba ale dodat, že Mailkit se věnuje hromadnému rozesílání e-mailů a SMS, takže její účel nebyl jen osvětový. Výsledky jsou však velmi zajímavé.

Jednička: HSBC Bank

Podle testu Mailkitu má zabezpečení e-mailů na nejvyšší úrovni pouze jediná banka, a to HSBC Bank, resp. její česká pobočka. Ta jako jediná implementovala kompletní ochranu domény hsbc.cz pomocí technologií SPF a DMARC. Tato doména se nepoužívá pro žádnou e-mailovou komunikaci, a tak banka zcela správně nastavila SPF záznam zakazující jakékoliv zprávy z této domény a DMARC pravidlo definující, že veškeré zprávy mají být zamítány, a díky reportingu o tom má kompletní přehled. HSBC Bank v ČR nabízí služby pouze korporátním klientům.

DMARC (Domain Message Authentication Reporting and Conformance) ověřuje doménu odesílatele.

SPF (Sender Policy Framework) je jedno z opatření, jak zvýšit důvěryhodnost e-mailové komunikace pomocí speciálních autorizačních DNS záznamů.

Dvojka: Citibank a ČSOB

Pomyslné druhé místo podle Mailkitu získali Citibank, ČSOB a Era/Poštovní spořitelna. Tyto banky mají korektně nastavené SPF záznamy, které jsou dostatečně restriktivní, a mají i DMARC záznam pro dohled. Zatím jsou však zřejmě ve fázi implementace DMARC a mají tak pouze dohledový záznam bez pravidla určujícího, jak naložit se zprávami, které neodpovídají bezpečnostním požadavkům.

Česká spořitelna a ING Bank musejí zabrat

Neudělený bronz by si odnesla Česká spořitelna za ochranu domény csas.cz a ING Bank za doménu ing.cz. Tento neudělený bronz však není za ochranu, ale za snahu. Jak csas.cz, tak ing.cz mají implementovány SPF záznamy i DMARC, ale bohužel obojí v podobě, která nemá příliš vysokou hodnotu.

Česká spořitelna má pro doménu csas.cz příliš široce pojatý SPF záznam, který autorizuje celou infrastrukturu společnosti Google, což otevírá obrovské množství cest, jak využít cloudové platformy Googlu k vydávání se za doménu csas.cz.

ING pak své SPF záznamy má s neutrálním pravidlem, tzn. de facto bez užitku. Obě domény pak pomocí DMARC reportů pouze monitorují rizika. Lze předpokládat, že v obou případech se jedná o součást implementačního procesu, a proto by si zasloužili bronz za snahu.

Jenže obě banky zapomněly na ochranu svých dalších domén, a tak Česká spořitelna u domény servis24.cz používané pro bankovnictví sice nastavila SPF záznamy a tentokrát restriktivně, ale DMARC pravidla zde zcela chybí. ING Bank pak zcela ignorovala zabezpečení domény ingbank.cz.

Brambory pro pět bank

Pomyslné bramborové ocenění je pak za validní a dostatečně restriktivní nastavení SPF záznamů. Bramboru by si vysloužilo pět bank:

České spořitelna a její domény servis24.cz, Air Bank za doménu airbank.cz, J&T Banka jtbank.cz, mBank mbank.cz, Stavební spořitelna České spořitelny za doménu csst.cz a Zuno zuno.cz. Tím vše končí a dál nastupují banky, které se podle Mailkitu na zabezpečení domény úplně vyflákly.

Nezabezpečené domény

A kdo jsou hříšníci, kteří usoudili, že je bezpečnost jejich klientů nebude zajímat?

  1. Českomoravská stavební spořitelna
  2. Equa bank
  3. Fio banka
  4. Hypoteční banka
  5. ING Bank za doménu ingbank.cz
  6. Komerční banka
  7. Modrá pyramida stavební spořitelna
  8. MONETA Money Bank
  9. PPF Banka
  10. Raiffeisenbank
  11. Sberbank
  12. Stavební spořitelna České spořitelny za doménu burinka.cz
  13. UniCredit Bank
  14. Wüstenrot

Výše uvedený výčet 14 bank ukazuje všechny banky, které mají své domény zcela nezabezpečené.

Kompletní výsledky testu provedeného 20. 4. 2017

Banka Doména SPF DMARC
Air Bank airbank.cz Správně Chybí
Česká spořitelna csas.cz Nedostatečné Monitoring
Česká spořitelna servis24.cz Správně Chybí
Českomoravská stavební spořitelna cmss.cz Chybí Chybí
Československá obchodní banka csob.cz Správně Monitoring
Citibank citibank.cz Správně Monitoring
Equa bank equabank.cz Neplatné Chybí
Equa bank equabanking.cz Chybí Chybí
Fio banka fio.cz Upozornění Chybí
HSBC Bank hsbc.cz Správně Správně
Hypoteční banka hypotekapowebu.cz Chybí Chybí
Hypoteční banka hypotecnibanka.cz Chybí Chybí
ING Bank ing.cz Nedostatečné Monitoring
ING Bank ingbank.cz Chybí Chybí
J&T banka jtbank.cz Správně Chybí
Komerční banka kb.cz Chybí Chybí
Komerční banka mojebanka.cz Chybí Chybí
mBank mbank.cz Správně Chybí
Modra Pyramida vsskb.cz Chybí Chybí
MONETA Money Bank moneta.cz Nedostatečné Chybí
Poštovní spořitelna erasvet.cz Správně Monitoring
PPF banka ppfbanka.cz Chybí Chybí
Raiffeisenbank rb.cz Chybí Chybí
Sberbank sberbankcz.cz Chybí Chybí
Stavební spořitelna České spořitelny csst.cz Správně Chybí
Stavební spořitelna České spořitelny burinka.cz Chybí Chybí
Unicredit bank unicreditbank.cz Chybí Chybí
Wüstenrot wuestenrot.cz Chybí Chybí
Zuno zuno.cz Správně Chybí

Dokonalé není nic

DMARC samozřejmě není univerzální řešení všech problémů se spamem bez jediné chybičky. Ve skutečnosti vůbec neřeší, jestli dopis obsahuje neřádstvo, nebo užitečné informace. Zabývá se jen tím, zda se dá alespoň trochu věřit, že jej odeslal ten, kdo je uveden v hlavičce  From.

A není bez chyby. Problémy mu působí především různé varianty předávání dopisů, jako jsou poštovní konference či automatické přeposílání příchozí korespondence na uživatelův účet u jiné poštovní služby. Jejich analýza a návrh protiopatření se připravuje, zatím se nachází ve stavu pracovního návrhu (draft-ietf-dmarc-interoperability). Rozhodně se jedná o živý standard, na jehož budoucnost je dnes pohlíženo dost optimisticky, píše Pavel Satrapa z Ústavu nových technologií a aplikované informatiky na Technické univerzitě v Liberci v článku na serveru Root.cz.

S trochou nadsázky to s odstupem času vypadá, že standard SPF řeší zhruba stejné množství problémů, jako sám vytváří. Velcí e-mailoví hráči ho však vzali za svůj, a tak zbytku správců nezbývá než se přizpůsobit. Máte-li v plánu SPF zavést pro svoji doménu, začněte nejdříve průzkumem, kudy uživatelé e-mailových schránek odesílají svou poštu, a případně nápravou špatného stavu. Stále totiž existuje nemalé procento lidí, kteří odesílají poštu pochybnými cestami začínajícími obvykle u SMTP serveru internetového poskytovatele. Situace se ale pomalu zlepšuje, i velcí freemailoví poskytovatelé nabízejí autentizované předávání pošty k tomu určenou službou Submission (TCP/587), rozebírá problematiku druhého zabezpečení Ondřej Caletka z CESNETu v článku na serveru Root.cz.

Nezbývá tak než spoléhat se na zdravý rozum a kromě zabezpečení ze strany bank neklikat na podezřelé soubory a nevkládat přihlašovací hesla a údaje do formulářů, o nichž nejste skálopevně přesvědčeni, že patří právě „vaší“ bance.

Martin Pokorný

Martin Pokorný

Autor se věnuje finančnímu poradensví v praxi a publikační činnosti na téma finanční gramotnosti.

Vstoupit do diskuse 2 Přidat názor
Titulní strana Přepnout na plnou verzi

Při poskytování služeb nám pomáhají cookies. Používáním webu s tím vyjadřujete souhlas.