Už vám někdy dorazil e-mail, v němž vás kdosi žádal o úpravu přístupových údajů k vašemu účtu? Pokud ano, narazili jste pravděpodobně na jeden z mnoha podvodů, kterými se různé osoby snaží proniknout v vašemu účtu.
Útoky ze všech směrů
K tomu, aby se útočníci dostali na váš internetový účet, potřebují většinou získat vaše přístupové kódy. Nástrojů, které jim v tom pomáhají, mají přehršel. Od těch méně viditelných, až po ty skryté. Zde můžete zjistit, co pro bezpečnost můžete udělat.
Na uživatele internetu číhají různé nástrahy. Vedle různých skrytých prográmků a zařízení, které se snaží odchytit vaše přístupová data přímo z klávesnice počítače, jsou to i systémy více na očích. Mezi ně patří podvržené stránky, které se tváří jako regulérní přihlašovací stránka vašeho obchodníka. Narazit také můžete na již zmíněné podvodné e-maily, které více či méně skrytě chtějí, abyste s jejich odesláním zaslali i citlivé údaje o svém účtu.
Vladimír Brož, Territory Manager bezpečnostní společnosti McAfee pro Česko a Slovensko vidí největší riziko v chování samotného uživatele. „Mnoho lidí má tendenci lehkomyslně zacházet se svými přístupovými hesly, certifikáty a ostatními ověřovacími prvky. Na vlastní peněženku jsme se naučili si dávat pozor, vkladní knížky bývají pečlivě uschovány, ale s on-line přístupem k účtu mnozí zacházejí velice nezodpovědně.“ Každý by měl tak, jak chrání svou peněženku, přistupovat i k modernímu způsobu správy svých peněz.
Mezi vaše návyky by tak mělo patřit vypnutí prohlížeče po jeho využití k přístupu k vašemu účtu. Nikdy nenechte automatický systém pro ukládání přístupových hesel, aby si uložil vámi zadané přístupové údaje k vašemu účtu. Certifikát by měl být na přenosném médiu, které je ideálně zabezpečené přístupovým kódem.
Braňte se
Víte, jaké druhy softwarového vybavení byste měli využívat, abyste se mohli na internetu pohybovat v relativním bezpečí?
|
Peníze v bankách nevydělávají. Zhodnoťte je ve fondech. |
„Další nezbytnou součástí bezpečnostního štítu je pravidelně aktualizovaný antivirový program a chybět by neměl ani osobní firewall, který zabrání nekontrolované komunikaci mezi internetem a vaším počítačem,“ pokračuje specialista z Logica CMG.
„Připojit se k internetu bez firewallu je totéž, jako byste řídili auto, aniž byste uzavřeli pojistku a doufali, že právě vy nebudete mít nehodu,“ doplňuje Vladimír Brož, který doporučuje jako další doplněk software pro vyhledávání a odstraňování tzv. spyware neboli špiónských programů. To je druh software, který může způsobit, že z počítače bez kontroly odejdou důležité údaje, které mohou mimo jiné vést k ovládnutí systému případným útočníkem.
Podle Filip Hajníka by se nemělo zapomínat ani na nastavení úrovně bezpečnosti internetového prohlížeče – čím vyšší úroveň, tím lépe.
Veřejné počítače jsou nejrizikovější
Možná tušíte, jaká rizika čekají na uživatele, který se ke svému online účtu bude připojovat prostřednictvím veřejného počítače, jaké jsou například v internetových kavárnách. Právě u takových systémů je třeba být nejvýše ostražitý.
Bezpečnostní specialisté se shodují, že základním a největším rizikem je, že u takových systémů není jasné, jakým způsobem je takový počítač zabezpečen a monitorován.
„Uživatel nemá žádnou kontrolu, kdo u počítače seděl před ním a co si tam nainstaloval za programy. Programy sledující a zaznamenávající vaše údery na klávesnici jsou obecně známé a lehce se může stát, že někdo snadno zjistí vaše heslo“ varuje Filip Hajník.
„Útočník také může od vedlejšího počítače monitorovat stanici, u které zrovna zadáváte obchodní příkazy, a na pozadí bez vašeho vědomí si zadávat vlastní převody,“ popisuje jiný druh nebezpečí specialista s LogicaCMG.
Hodně zaleží také na druhu zabezpečení používané služby, který banky nabízejí. Cokoliv je lepší než přístup přes stálé jméno či identifikační číslo a heslo.
„Pokud tato služba bude používat další zabezpečovací prvky, jako osobní certifikát, generátory jednorázových hesel a podobně, tak už se dostávám na podstatně nižší míru rizika. A pak už je pouze na mě jestli toto riziko podstoupím a finanční transakce je pro mě natolik důležitá, že k ní použiji takového počítače,“ potvrzuje Vladimír Brož.
„Je nezbytně nutné používat minimálně dvoufaktorovou autentizaci – tedy kombinovat něco co znám (heslo, PIN) s něčím co vlastním (PIN kalkulátor, čipová karta). Z čistě technologického hlediska nabízejí elektronické klíče vyšší úroveň bezpečnosti než PIN kalkulátor – jsou založeny na asymetrické kryptografii (tzv. digitální certifikáty) na rozdíl od PIN kalkulátorů, které jsou typicky založeny na symetrické kryptografii,“ tvrdí.
 |
Kdo se stal vítězem letošního testu internetového bankovnictví a kdo úplně propadl? Jak banky zvýšily bezpečnost svých aplikací? |
Budoucnost je v biometrii
Zabezpečení komunikace a autentizace se neustále rozvíjí. Tak, jako běžná hesla nahradily digitální certifikáty či PIN kalkulátory, budou i tyto systémy nahrazeny či doplněny o další.
„V blízké budoucnosti lze očekávat boom autentizačních technologií založených na biometrii,“ uvádí Hajník. Biometrie nabízí ještě vyšší úroveň bezpečnosti než současné technologie – tzv. třífaktorovou autentizaci. Kombinuje totiž něco co znám (heslo, PIN) a něco co vlastním (čipová karta) s něčím co jsem (digitální otisk prstu, geometrie ruky, obličeje, obrázek duhovky atd.).
„Nejslibněji vypadá technologie digitálních otisků prstů, kde se cena zařízení pomalu dostala na úroveň, která nebrání použití v koncových zařízeních. Již dnes si lze pořídit notebook, PDA či myš se snímačem otisků prstů. Dokonce již v roce 2006 bude digitální otisk prstu součástí našich cestovních dokladů,“ uzavírá svou předpověď Filip Hajník.
Jak jsou na tom online brokeři?
Všechny společnosti mají aplikace chráněny jménem a heslem, které je buď vygenerováno společností, nebo si jej můžete zadat při registraci sami. Aplikace samozřejmě umožňují heslo změnit, většinou to klientům vysloveně doporučují. Hesla pro elektronickou komunikaci jsou ukládána v zašifrované podobě a online servery, na kterých běží aplikace, jsou také zabezpečeny 128 bitovým šifrováním, založeným na privátních a veřejných certifikátech.
Stránky by měly kromě kontroly přihlašovacích údajů vykonávat také kontrolu IP adresy, odkud se klient přihlašuje. Důležitou vlastností je neukládání informací do vyrovnávací paměti, v některých případech (Fio) je však nutné tuto volbu nastavovat ručně. Aplikace také umožňují v případě několikaminutové nečinnosti automatické odhlášení (výjimkou byl systém PFG Forex společnosti Colosseum, v tomto případě však nebezpečí zmírňuje fakt, že v uvedeném programu není možné posílat prostředky na jiný účet), které dodatečně zvyšuje bezpečnost.
Jedinou společností, která nabízí kromě hesla něco navíc, je společnost Patria, které kromě hesla a jména vydává klientům certifikát, který si investor musí nainstalovat do svého prohlížeče. Tento certifikát je pak vyžadován při každé realizaci obchodních aktivit (nákup a prodej CP, pokyn k výběru peněz apod.)
