Webové stránky K5
Články zobrazeny celkem: 1257163x  
Nabídka
Úvod
Přehled
K5
Masakr
Tipy
Odkazy
Vyhledávání

Reklama

Internetové bankovnictví Tisk E-mail
Hodnocení čtenářů: / 4
SlabéVynikající 
Napsal K5   
Tuesday, 20. November 2007
Není žádným tajemstvím, že občanské sdružení, jehož jsem členem, má účet u eBanky a plně využívá možností internetového bankovnictví. Rovněž asi nikoho nepřekvapí, že eBanka není jediný peněžní ústav, který umožňuje přistupovat klientům k účtům on-line a provádět na nich všechny myslitelné operace. Jenomže protože o peníze jde až na prvním místě, je potřeba se na internetového bankovnictví podívat právě z hlediska, jak o peníze nepřijít.

Malá odbočka na úvod: v roce 1994 si nás jakožto možné partnery - instalátory softwaru pozvala jedna nejmenovaná KB na prezentaci, kde jsem poprvé v životě slyšel slovní spojení přímé bankovnictví - bohužel, po dvou hodinách strávených posloucháním manažerského newspeaku, jsem z prezentace odcházel, aniž bych tušil, o co se vlastně jedná. Tehdy jsem to připisoval všemu možnému (příliš mladý kapitalismus, příliš zakořeněné staré myšlení a podobně - to byla totiž tou dobou hodně frekventovaná slovní spojení, jakožto dozvuky pádu totalitního režimu) a především jsem viděl chybu na mé straně přijímače. Po čase, kdy jsem se s přímým bankovnictvím seznámil tváří v tvář, jsem pochopil, že přednášející byl obyčejný pablb, který sám pořádně nevěděl o co jde. Protože kdyby věděl, nečinilo by mu potíže ze sebe vypotit větu: klienti nebudou muset chodit do banky s papírovými platebními příkazy, budou posílat jejich elektronický ekvivalent z počítače po modemu do serveru banky a samozřejmě si budou moci stahovat výpisy z účtů modemem v textové podobě. Konec odbočky.

K tomu jen tolik, že Internet byl v té době hudba budoucnosti a v bance běžela obyčejná BBS s šifrováním RSA. Už tehdy mi bylo jasné, že na vybílení účtu stačí zlodějovi ukrást z počítače certifikát a TSR špionem odchytit dvě hesla. Na počítači byl MS DOS, takže to technicky nepředstavovalo téměř žádný problém (zlodějovi by stačilo, aby se dvakrát dostal k počítači). Jakožto potencionálně velmi nebezpečné a velmi nezralé jsem tedy přímé bankovnictví zavrhl a spokojil se s vkladní knížkou na jméno a heslo. Sice ne na dlouho, ale to už je z jiné pohádky. Vraťme se k přímému bankovnictví přes Internet.

On-line přístup k bankovnímu účtu, který je chráněn pouze jménem a heslem (byť sebelépe šifrovaným), je velmi dobře zneužitelný a jako takový tedy velmi nebezpečný a nežádoucí. Phishing je specifická forma zlodějiny, kdy útočník vyláká z oběti jméno a heslo a pak jí vybílí účet. Konec konců, zloděj nemusí spoléhat na důvěřivost oběti, o zcizení údajů se postará například škodlivý software, takzvaný spyware, který se do počítače dostane ať už přičiněním oběti (nebo jejích potomků) nebo bezpečnostní dírou v internetovém prohlížeči. Je potřeba si uvědomit, že jméno, heslo i jakýkoli certifikát se dá v počítači zjistit nebo odchytit (a zloděj je při tom třebas v Pákistánu).

A teď se zamyslete nad tím, jakým způsobem je přístupný váš účet. Jo, vy máte máte takovou čipovou kartu, která se musí nejdřív zastrčit do počítače, aby se dalo dostat na účet. A co brání záškodnickému softwaru poslat vaše peníze do Pákistánu v době, kdy máte tuto kartičku v počítači zasunutou? Nic! Nic, co by se nedalo obejít, vždyť jsou to jenom jedničky a nuly.

E-Banka má jako jednu z možností přístupu k účtu takzvaný kalkulátor. Chcete-li něco s účtem provést, musíte si nejdřív na kalkulátoru spočítat číselný kód, kterým operaci autorizujete. Dokud někdo nezlomí šifru nebo z banky nevynese šifrovací algoritmus, podle které se číselný kód počítá, je to naprosto bezpečný způsob nakládání s účtem. A i po té, co by případně došlo k vyzrazení šifry (jako že nedojde), musí narušitel nejprve vymámit z oběti potřebné údaje, než jí může vybílit účet.

Nicméně jediné opravdu 100% správné řešení, je mít mezi účtem a klientem zpětnou vazbu. Klient požaduje operaci, banka mu pošle jinou cestou kód, kterým pak klient operaci potvrdí. U zmíněné "jiné cesty" je velmi důležité, aby informace připutovala opravdu jinudy - jinou technologií, například jako SMS zpráva (nejlépe šifrovaná). Je nulová šance, aby se narušitel naboural jak do internetového spojení a do sítě mobilního operátora současně.

Neméně důležité je, aby spolu s potvrzovacím kódem přišla i informace, o jakou operaci se jedná (částka, měna, účet, VS a SS). A to z toho důvodu, že do spojení mezi počítačem klienta a serverem banky se může vloudit zloděj. Ten pak v okamžiku, kdy klient zadává platbu, pozmění parametry platby podle svých nekalých úmyslů, nic netušící klient takovou platbu s klidným svědomím potvrdí a... pošle své peníze do Pákistánu! Pokud mu ale přijde SMS, ve které je kterýkoli z údajů jinak, příkaz prostě nepotvrdí a zloděj ostrouhá. A právě takovouto autorizaci nabízí eBanka.

Velkým zklamáním pro mě je, že jediná reálná konkurence eBanky, totiž mBank, takovouto autorizaci ve svých propagačních materiálech nezmiňuje a tedy jí pravděpodobně ani nenabízí. Že takovouto autorizaci nenabízejí ani ostatní "kamenné" banky je sice ostudné, ale naprosto pochopitelné vzhledem k jejich zkostnatělosti a zoufale pomalým reakcím na nové trendy. mBanka vstoupila do ČR na podzim léta páně 2007 jakožto ambiciózní projekt virtuální banky (nikam nemusíte chodit, všechno řídíte na dálku). Vzhledem k tomu, že nabízí nulové poplatky i u operací, u kterých si jiné banky strhávají třeba i 39 korun, reálně jsem zvažoval, že mBanku zkusím.

PS: cítím potřebu se omluvit Pákistánu, že jsem si ho tu bral pořád do huby, ale zatím veškeré na mě páchané pokusy o nabourání bankovních účtů přicházely z IP adres v Pákistánu. Tragikomické na tom je, že nemám účet přístupný přes internetové bankovnictví ani u CitiBank (viz První phishing v Česku, terčem byla CitiBank), ani u České Spořitelny (viz Klienti Spořitelny: Pozor na podvodný e-mail) ani u Komerční banky (viz Peníze zmizely z účtů KB a ČS), na které byl phishing zacílen.

 
< Předch.   Další >

Google

Reklama

Nahlédněte
Futurama
BSG
MAME
SORD M5
VMware
Total Commander
ALIX a m0n0wall
Cisco PIX
Nejnovější
Nejčtenější
Viz též
   Úvod arrow Futurama
Powered by Joomla!