Hlavní obsah

Banky chtějí donutit lidi skoncovat s esemeskami

23. 10. 2019

Ilustrační foto.

Kdo má chytrý telefon a potvrzuje online platby esemeskou, je dnes docela snadnou obětí finančních podvodníků. Banky se budou snažit v nadcházejících měsících své klienty přesvědčit, aby místo SMS zprávy používali takzvané mobilní klíče. Další stupeň ověření identity zákazníka po nich chce evropská legislativa.

Článek

Platíte v internetovém bankovnictví třeba za školní obědy? Nebo platíte kartou v e-shopech? Pak jste zvyklí takové platby potvrzovat esemeskou, která vám přijde na mobil. V oblasti online plateb oslavila potvrzovací SMS nedávno 20 let. Zřejmě to však byly poslední kulatiny. Stále více se ukazuje, že bezpečnostní rizika začínají převažovat nad její hlavní výhodou – masovým rozšířením a snadnou dostupností.

Potvrzovací SMS je tak rozšířená, že není divu, že právě ona stojí za více než 80 procenty on-line krádeží z bankovních účtů. Využívá se totiž v takzvaném phishingu. Phishingové útoky mířící na tuzemské banky přicházejí několikrát do roka. „V minulosti představovala určitou bariéru velikost našeho trhu a hlavně náš mateřský jazyk. V posledních letech však bohužel pozorujeme jednak zvýšený zájem kybernetických zločinců i o zemi velikosti ČR, ale také po technické stránce zlepšování jejich schopností produkovat mnohem dokonalejší česky psané texty,“ informuje Miroslav Dvořák ze společnosti ESET, zaměřující se na IT bezpečnost.

Evropská směrnice PSD2 platná od letošního září už nepovažuje SMS za bezpečný důkaz, že online platbu (v internetovém nebo mobilním bankovnictví nebo kartou přes internet) zadal skutečně majitel účtu. Předpis nezakazuje její používání, ale vyžaduje další faktor ověření identity zákazníka.

Banky tak masivně zavádějí takzvané mobilní klíče, což jsou speciální mobilní aplikace vybavené vlastním antivirovým programem. „Vedle vyššího zabezpečení online plateb nabízí mobilní klíče uživatelům také vyšší komfort. Odpadá totiž složité přepisování dlouhých potvrzovacích kódů z SMS zprávy. Potvrzování platby v mobilním klíči probíhá biometricky tedy buď otiskem prstu, což dnes již umožňuje většina tzv. chytrých mobilních telefonů nebo scanem obličeje, což je biometrická funkcionalita dostupná na stále větším počtu mobilních telefonů,” říká bezpečnostní expert České spořitelny Lukáš Lorenc.

Některé tuzemské finanční ústavy jsou napřed a silné ověření identity zákazníka už zavedené mají. Nebo ho využívají pro transakce v internetovém bankovnictví a pro autorizaci on-line plateb kartou jej chystají.

„Metoda bezpečného ověření přes mobilní aplikaci u nás funguje již od roku 2017. Pro přístup do internetového bankovnictví a podepisování plateb tuto metodu používá něco přes 10 procent uživatelů. Aplikace pro ověřování on-line karetních transakcí bude k dispozici během podzimu,“ uvedla například mluvčí banky Creditas Lucie Brunclíková.

I jednička na trhu Česká spořitelna (ČS) svůj mobilní George klíč pilotovala od roku 2017, od letošního léta je v ostrém provozu. Klíč nyní využívá více než 230 tisíc zákazníků ČS, což je zhruba třetina ze 700 tisíc klientů, kteří „bankují“ výhradně v mobilu. Komerční banka klíč představila loni v říjnu.

Teď se banky budou snažit přesvědčit co nejvíc svých klientů, aby esemesky vyměnili za bezpečnější metodu potvrzení platby. Například UniCredit Bank se snaží své klienty motivovat finančně. Zatímco mobilní Smart klíč, který u nich funguje už více než pět let, je zdarma, potvrzovací esemesky jsou zpoplatněné. „V současné době téměř dvě třetiny našich klientů využívají Smart klíč. Předpokládáme, že díky penetraci chytrých telefonů bude zájem o potvrzovací SMS během následujících 2 let na minimu,“ konstatoval mluvčí Petr Plocek.

Raiffeisenbank by byla ráda, kdyby mobilní klíč, který právě testuje mezi zaměstnanci a na veřejnost ho pustí v prosinci, používala do dvou let většina klientů. „Věříme, že případné ukončení bezpečnostního prostředku využívajícího SMS se dotkne minimálního počtu klientů. Těm pak nabídneme tzv. hardwarový token, fyzickou kalkulačku sloužící ke generování přístupových kódů,“ upřesnila mluvčí Petra Kopecká.

Klienti spořitelny budou muset mobilním klíčem povinně potvrzovat platby v mobilní aplikaci a také platby kartou na internetu. „Naší finální ambicí je, aby do dvou let George klíč pro potvrzování online plateb ať už v PC nebo v mobilu používalo 80 % z našich zhruba 1,7 milionu klientů, kteří využívají naše digitální bankovnictví George,“ uvedl mluvčí ČS Filip Hrubý.

Dá se předpokládat, že vždy zůstane nějaká menší skupina lidí, kteří budou na esemeskách trvat. Spořitelna jejich počet ve svém „kmeni“ odhaduje na 300 tisíc lidí.

Ti, kdo se budou sveřepě nahrazení esemesek bránit, je budou moct používat dál. SMS zprávy zůstanou i jako záložní řešení pro případ výpadku mobilního klíče. Bude ale třeba je doplnit dalším kódem, například takzvaným e-PINem. „Nepovažujeme ho ale za klientsky komfortní, proto stále hledáme k mobilnímu klíči vhodnou alternativu,“ uvedl za ČSOB Patrik Madle.

Jak funguje phishing

Phishing (složenina ze slov password fishing – tedy jakési lovení hesel) je nejrozšířenějším digitálním podvodem. Funguje jednoduše. Útočníci připraví zcela věrohodně se tvářící e-mail, ve kterém vám například oznámí, že vaše banka aktualizuje systém internetového bankovnictví a v zájmu vaší bezpečnosti je nutné, abyste klikli na odkaz v mailu a zadali přihlašovací údaje do vašeho internetového bankovnictví. Stránka, na níž vede e-mailový odkaz, vypadá úplně stejně jako úvodní stránka vašeho internetového bankovnictví. Dokonce tam na vás bliká i banner z aktuální kampaně vaší banky. Kliknete tedy a zadáte přihlašovací údaje. Objeví se poděkování a vy máte pocit, že jste něco udělali pro zabezpečení svého účtu. Udělali jste však pravý opak a poskytli jste přihlašovací údaje podvodníkům, e-mail i stránka byly totiž falešné.

Mohli jste to poznat? Jen velmi těžko. Jedinou skutečně stoprocentní pojistkou, jak se ujistit, že jste na stránce své banky respektive jejího internetového bankovnictví, je zkontrolovat, zda na začátku adresního řádku vašeho internetového prohlížeče vidíte symbol šedého zámečku. Pokud ano, daná stránka má oficiální bezpečnostní certifikát a nejde o podvodnou stránku, vytvořenou internetovými útočníky.

Když mají útočníci přístup do vašeho internetového bankovnictví, vidí, kolik máte na účtu, odkud a kam putují vaše peníze. Zadávat platby však ještě nemohou. Nemají totiž přístup k potvrzovací SMS zprávě, které každé internetové bankovnictví vygeneruje pro potvrzení zadané platby.

Útočníci čekají, až se na vašem účtu nashromáždí dostatek finančních prostředků, obvykle v řádu desítek nebo stovek tisíc. Poté přistoupí ke druhé fázi phishingového útoku. V něm hrají klíčovou roli sociální sítě. Svůj profil na Facebooku má dnes více než 5 milionů Čechů, a tak není problém vytvořit falešný profil třeba vašeho kamaráda či příbuzného. Stačí k tomu screenshot jeho profilové fotky a vytvoření nového profilu. Vzápětí vám pak tento „přítel“ napíše na Facebook nebo přes Facebook Messenger zprávu zhruba následujícího znění: „Ahoj, moc se omlouvám, ale zadával jsem teď platbu ve svém internetbankingu na 120 tisíc a omylem mi tam skočilo tvé mobilní číslo. Za chvíli ti dorazí smska s potvrzovacím kódem na tvůj mobil. Byl bys tak hodný a poslal mi ho? Díky moc, Martin. P. S.: Kdy dáme to pivo?”

Jakkoli se to může zdát jako průhledný trik, ročně na něj podle bank naletí desítky Čechů, kteří svým falešným přátelům zašlou potvrzovací kód z SMS a tím útočníkům umožní autorizovat platbu ze svého vlastního internetového bankovnictví. Banky takovéto pochybení obvykle vyhodnotí jako „hrubou nedbalost na straně klienta, který nedostatečně zabezpečil přihlašovací údaje ke svému internetovému bankovnictví“ a reklamaci podvodné platby neuznají.

QRecorder

Ještě zákeřnější než phishing jsou malwarové útoky přímo na mobilní telefony. Útočníci si obvykle vytipují volně dostupnou mobilní aplikaci, která je volně ke stažení v oficiálním aplikačním obchodě Google Play. Tu infikují malwarem, tedy škodlivým virem, který ovládne mobilní telefon oběti.

Loni tak například útočníci infikovali mobilní aplikaci QRecorder určenou k nahrávání telefonátů. V infikované verzi přibyla funkcionalita, která aplikaci umožňovala nepozorovaně číst SMS zprávy. Šlo o velmi propracovaný útok ze strany organizované kriminální skupiny, která operovala ze zahraničí. Útočníci dokázali skrze zavirovanou aplikaci QRecorder infikovat stovky mobilních telefonů klientů napříč bankami. Podařilo se jim získat nejen autorizační kódy plateb z potvrzovacích esemesek, ale dokázali to udělat tak, že klienti vůbec neviděli, že jim tyto zprávy přišly.

Útočníci zároveň skrze phishing získali přístupové údaje k internetovému bankovnictví desítek z těchto klientů. A pak už jen čekali, až se na bankovních účtech napadených lidí akumulovaly dostatečné finanční prostředky. V řádu dnů pak převedli jejich peníze na čerstvě založená konta v českých bankách, obratem peníze vybrali v hotovosti a opustili Českou republiku. Finanční škody klientů dosáhly několika milionů korun.

Někde si sice můžete nastavit takzvanou push notifikaci. Po zadání platby vám přijde zpráva, že byla zadána konkrétní transakce. Pokud ji zadal zloděj, dozvíte se to bezprostředně poté a můžete se spojit s bankou. Když řeknete, že jste tuto platbu neprovedli, banka vystavuje takzvaný incident a platbu zastaví (pokud už peníze neodešly). Pak vyšetřuje, co se stalo.

Tuto možnost nabízí více ústavů, mezi nimi třeba Equa bank. „Push notifikace informační – že proběhla platba kartou online – si může každý uživatel mobilní aplikace nastavit – defaultně jsou zapnuté. Push notifikace autorizační – aby byla platba kartou online schválena – máme pro platby kartou v mobilní aplikaci připravené. Zapneme je pravděpodobně na začátku příštího roku,“ říká mluvčí Markéta Dvořáčková.

Jak se bránit phishingu

I když e-mail vyzývá k okamžité akci, je dobré zachovat chladnou hlavu a zvážit, zda se nemůže jednat o phishing.

Pokud uživatel obdrží podezřelý e-mail, neměl by klikat na odkazy v něm. Mohou například vést na podvodnou stránku s přihlášením, která bude na první pohled velice podobná legitimní stránce banky.

V případě pochybností si je možné ověřit informace z e-mailu přímo v bance, ať už osobně na pobočce, nebo na oficiální infolince.

Základem ochrany je kombinace aktualizovaného operačního systému a bezpečnostní aplikace (antiviru).

Zdroj: ESET

Pokud ale používáte mobilní klíč a útočník zadá platbu ve vašem internetovém bankovnictví, nevygeneruje se již SMS zpráva. Na vašem mobilu se otevře aplikace mobilního klíče, ve které platbu potvrdíte.

Útočník, který sedí za počítačem na druhém konci světa, má smůlu – pochopitelně, pokud nemá váš telefon. Jenže zatímco zjistit vaše přihlašovací údaje skrze phishing lze relativně snadno skrze falešný e-mail, najít ve fyzickém světě majitele účtu a ukrást mu mobilní telefon je už pro útočníky pochopitelně zásadně neefektivní způsob útoku. Díky vlastnímu antivirovému programu jsou navíc mobilní klíče významně méně zranitelné vůči napadení.

Phishing určitě v nějaké formě přežije i nadále, ale podle odborníků se významně omezí množství případů, kdy zloději vylákají od klientů přihlašovací údaje do jejich banky. „Lze očekávat postupné snižování jeho intenzity. Bezpochyby se ale útočníci budou snažit hledat další a další způsoby, jak se dostat k cizím bankovním účtům,“ podotýká zástupce firmy ESET.

Doporučujeme

Další zprávy