Bezpečné internetové bankovnictví
Internetové bankovnictví umožňuje provádět bankovní operace z jakéhokoli počítače připojeného na internet 24 hodin denně, 7 dní v týdnu. Internetové bankovnictví dnes nabízí téměř tytéž funkce jako obvyklá bankovní pobočka. K typickým funkcím internetového bankovnictví patří zadávání příkazů k úhradě, souhlasu s inkasem, sledování pohybu na účtech, ale také investování do různých finančních produktů. Význam internetového bankovnictví neustále roste, už dnes zadávají klienti kolem 80 % transakcí elektronicky.
Aby bylo internetové bankovnictví bezpečné, platí pro něj, podobně jako pro další komunikaci na internetu, několik základních pravidel.
Bezpečnost internetového bankovnictví obecně
První bariérou proti zneužití je způsob, jakým se do internetbankingu přihlašujete. Jako základní prostředek přihlášení se většinou používá klientské ID (číslo) a heslo. Také při autorizaci pokynů bance, tzn. potvrzení platebních příkazů, zřízení trvalých příkazů, změnách v nastavení internetového bankovnictví, se používají různé způsoby zabezpečení. Další nabízenou metodou je také autorizace kódem z TAN (tabulka autorizačních čísel) nebo autorizace jednorázovým kódem zaslaným bankou klientovi v zabezpečené SMS. Některé banky nabízejí klientům také možnost autorizovat transakci do určitého limitu pouhým heslem. Naprosto kompletní zabezpečení pak poskytuje čipová karta s klientským certifikátem – prostřednictvím čtečky připojené k počítači tak lze jednoznačně rozpoznat uživatele.
K dispozici jsou i doplňkové části bezpečnostní stavebnice, jako je grafická klávesnice, možnost zablokování účtu, možnost kdykoli a jakkoli často měnit heslo, případně zasílání informací o transakcích přijatých bankou. K bezpečnosti internetového bankovnictví přispívá i fakt, že výše prostředků, které lze denně převést prostřednictvím internetu, je omezená určitým maximálním limitem, a pro vyšší částky je potřeba např. provést autorizaci klientským certifikátem.
Přestože všechna tato bezpečností opatření se důmyslně překrývají a jsou na první pohled neprolomitelná, zůstává tu rizikový faktor, a tím je sám uživatel. Na uživateli je, aby dodržoval bezpečnostní doporučení daná bankou – to je zejména ochrana bezpečnostních údajů, ochrana účtu a dodržování bezpečnostních pravidel. Přihlašovací údaje zásadně nikomu nesdělujte, ani rodinným příslušníkům. Další klíčovou zásadou je používat jen počítače, které známe. Rozhodně se nedoporučuje obsluhovat své finance z veřejně dostupného počítače (ve škole nebo internetové kavárně), kde se střídají neznámí uživatelé. Takové počítače mohou obsahovat škodlivé programy, které umožní zkopírovat vaše přihlašovací jména a hesla.
K celkovému bezpečí patří i maximální ochrana osobního počítače používaného pro internetové bankovnictví. To znamená udržování aktuálních bezpečnostních oprav u operačního systému, zapnutí antivirové kontroly (včetně pravidelně aktualizovaných souborů) a v neposlední řadě i aktivování a správné nastavení brány firewall v operačním systému.
Bezpečně se přihlásit
Pokud se několikrát po sobě (obvykle třikrát) spletete při zadání klientského čísla nebo hesla, přístup ke službě se vám automaticky zablokuje. To není šikana nepozorných uživatelů, ale další bezpečnostní opatření, které brání tomu, aby někdo neoprávněný nemohl zkoušet odhadnout správné heslo tak dlouho, až se mu to nakonec povede.
Přihlašovací SMS zpráva je dalším doplňkovým prvkem bezpečnosti internetového bankovnictví. Klient se do internetového bankovnictví nahlásí jen s pomocí klientského čísla a hesla nebo navíc může použít i přihlašovací SMS. Po zadání klientského čísla a hesla obdržíte na vaše telefonní číslo zprávu s dalším (a pouze pro toto přihlášení vytvořeným) heslem. Do aplikace internetbankingu se dostanete až po jeho zadání. Hlavní výhodou přihlašovací SMS je to, že obsahuje jednorázový kód, jehož platnost je navíc časově omezena. Tento způsob přihlašování je tak bezpečný i na počítačích, které využívá více lidí, např. ve škole či v internetové kavárně.
Bezpečně převádět peníze
K tomu, aby zadaná transakce nebyla zneužita, přispívají další bezpečnostní prvky, a sice autorizace jednotlivých transakcí. V praxi to znamená, že každý převod peněz, každé zadání trvalého příkazu k úhradě a další aktivní transakce (tedy transakce s vašimi penězi) musíte autorizovat.
To lze provést buď pomocí tzv. autorizační SMS zprávy, kterou vám internetbankingová aplikace zašle na váš mobilní telefon po vyplnění elektronického formuláře na obrazovce, anebo pomocí vašeho klientského certifikátu uloženého na čipové kartě. U některých produktů vás také na to, že zadaný převod proběhl, upozorní informační SMS nebo e-mail zpravující vás o změně stavu peněz na účtu.
Vyšší typy zabezpečení
Vysoký standard zabezpečení představuje klientský certifikát na čipové kartě. V čipové kartě je bezpečně uložen tajný osobní klíč klienta a každá zpráva od klienta bance je tímto klíčem přímo v kartě podepsána (tedy doplněna o unikátní kód, který je odvozen z obsahu zprávy a tajného klíče). Tajný osobní klíč klienta nelze z karty nijak získat ani uhodnout, proto bez této karty není možné elektronický podpis klienta padělat. Banka přijme zprávu od klienta jen po ověření elektronického podpisu podle certifikátu, který klientovi ke kartě vydala.
Doplňková bezpečnostní opatření
Již při samotném přihlášení nabízejí vybrané banky možnost napsat své heslo místo na běžné klávesnici na tzv. elektronické (grafické) klávesnici. Klávesnici v tom případě vidíte na obrazovce počítače a jednotlivé znaky vybíráte myší. Tím se zabezpečíte proti speciálním pirátským programům, které dokážou sledovat, jaké znaky „zadáváte“ na klávesnici při přihlašování do internetového bankovnictví.
Osvědčeným opatřením je stanovení denních limitů pro maximální výši peněžní transakce zadané přes internetové bankovnictví. To omezí maximální výši škody při případném zneužití klientova účtu. Uživatel má možnost upravit si denní limity podle vlastní potřeby (maximální denní limit může být např. 200 tisíc Kč).
Dalším prvkem bezpečnosti, je automatické odhlášení uživatele internetového bankovnictví po určité době bez jakékoli aktivity. Tím se zabrání zneužití, pokud se zapomenete z bankovních stránek odhlásit. Samozřejmostí je, že banky podrobně archivují veškerou komunikaci s jednotlivými uživateli internetového bankovnictví.
Ochrana osobního počítače
Na počítači by tedy rozhodně neměl chybět aktualizovaný a legálně získaný operační systém (MS Windows, OS X, Linux) a dobrý antivirový program, ovšem pozor – jeho virová databáze musí být pravidelně aktualizována (jen tak má program údaje o nejnovějších virech a poskytuje plnohodnotnou ochranu). Dále je třeba mít zapnutou bránu firewall, která kontroluje, aby komunikace mezi počítači probíhala podle určitých pravidel (může např. povolit komunikaci jen mezi předem nastavenými webovými adresami). Podstatnou složkou je také antispyware, tedy ochranný program, který kontroluje všechna data přicházející do počítače, vyhledává škodlivý software a znemožňuje přístup čemukoli, co by počítač mohlo ohrozit. Dnes není problém si uvedené antivirové programy stáhnout, dispozici je i několik českých produktů, které jsou pro domácí použití zdarma.
Obezřetně je nutné se chovat také k přílohám v e-mailu, zejména pokud nevíme, co obsahují, a jsou od neznámého odesílatele. Zásadně neodpovídejte na podezřelé e-maily, i když vám v nich slibují finanční odměnu nebo naopak vyhrožují zablokováním účtu, pokud neodpovíte. Nedoporučuje se otevírat při práci na internetu odkazy na neznámé stránky (např. s erotickým obsahem nebo s nabídkou programů ke stažení). Nikdy neotevírejte odkazy uvedené v nevyžádaných e‑mailech. Při prohlížení neznámých serverů může dojít k zavirování počítače. Nikdy také nenahrávejte programy ze zdrojů, které nemáte prověřeny. Součástí takových programů mohou být také viry nebo jiné škodlivé kódy.
Phishing a pharming
Slovem phishing označujeme podvodné e-mailové zprávy, které mají vzbudit dojem, že byly odeslány z e-mailové adresy vaší banky. Zpráva může být psána špatnou češtinou nebo je v angličtině, obsahuje link, tedy propojení na údajné stránky banky, a vyzývá k potvrzení osobních bankovních údajů. Phishingová zpráva může vypadat jako informace o neprovedení platby, výzva k aktualizaci bezpečnostních údajů, či dokonce jako výzkum klientské spokojenosti. Cílem podvodného e-mailu může být získání přihlašovacích údajů k internetovému bankovnictví, PIN kódů platebních karet nebo dalších bezpečnostních údajů a jejich následné zneužití. Podobně se mohou podvodníci snažit získat přístupové údaje k elektronickým peněženkám pro obchodování na internetu (PayPal, eBay, Paysec). Podle jedné z teorií vzniklo slovo phishing jako zkratka výrazů „password harvesting fishing“ – tedy doslovně přeloženo „sběr hesel rybařením“. Postup podvodníků totiž opravdu připomíná rybaření – rozešlou e-maily na mnoho náhodných adres (jako rybáři hodí sítě do vody) a čekají, kdo se nachytá.
RadaCo dělat, pokud vám takový podezřelý e-mail přijde? Na zprávu v žádném případě nereagujte, smažte ji a na link neklikejte. V případě, že se tak stalo, hrozí, že poskytnete citlivé údaje útočníkům k dalšímu zneužití. Pokud jste podvodný e-mail obdrželi, vaše banka jistě bude ráda, pokud jí o tom dáte vědět a podezřelý e-mail jí přepošlete. Pokud jste zareagovali a vyplnili požadované údaje, doporučuje se ihned kontaktovat klientské centrum vaší banky a požádat o zablokování služby a vygenerování nových přihlašovacích údajů. Pokud byste se z jakéhokoli důvodu nemohli své bance dovolat, přístup do většiny systémů internetového bankovnictví lze zablokovat opakovaným zadáním chybného hesla. |
Pharming využívá speciální počítačové programy, které uživatele při přihlášení do internetového bankovnictví přesměrují na stránky, jež sice vypadají jako stránky jeho banky, ale ve skutečnosti jsou pouze jejich napodobeninou. Zde pak klienta požádají o zadání všech přihlašovacích hesel a kódů. Pokud tak klient učiní, mohou se neoprávnění uživatelé přihlásit do internetbankingu pod jeho jménem, a pokud klient nemá nastaveno další zabezpečení (např. potvrzování transakcí pomocí autorizační SMS nebo klientský certifikát), mohou mu nepozorovaně převést peníze z jeho účtu.
Jak takové podezřelé stránky poznat? Na první pohled tím, že internetbanking se chová nestandardně. Může požadovat po klientech údaje, které běžně k přihlášení nepotřebují. Pokud se tak stane, odhlaste se z aplikace a operaci ihned ukončete. Následně kontaktujte klientské centrum vaší banky. Na možné zneužití může upozorňovat také adresní řádek (tam, kde zadáváte webovou adresu). Pokud neobsahuje obvyklou webovou adresu vaší banky, je to známka, že může jít o podvodnou webovou stránku. Vyplatí se také sledovat certifikát zabezpečení vaší banky.
Zásady, jak čelit podobným podvodům, jsou v podstatě jednoduché. Zásadně nikomu na internetu nesdělovat své přihlašovací údaje k internetbankingu nebo PIN kódy platebních karet. Používejte ke své e-mailové schránce ochranu proti spamu. Tuto ochranu může zajistit poskytovatel e-mailové schránky. Většina podvodných e-mailů je správnou funkcí antispamové ochrany rozeznána a takové e-maily jsou blokovány. Zásadně neodpovídejte na žádný e-mail, který takové údaje požaduje, ani když se tváří a vypadá, jako že je psán vaší bankou. To platí i v případě, pokud je tato stránka vyvedena v barvách vaší banky. Žádná banka po svých klientech posílání takovýchto citlivých údajů po internetu nepožaduje! Ani klientům pomocí e-mailu nerozesílá např. nové přihlašovací údaje a běžně se také v informačních e-mailech nepoužívají aktivní odkazy (linky) na jiné webové stránky. Podobně se při přihlašování do aplikace internetového bankovnictví doporučuje vypisovat vždy adresu do webového prohlížeče ručně a nevyplňovat při přihlašování jiné údaje než obvykle.