Není silné ověřování zákazníka při online platbách pro lidi komplikace a výmysl Evropské unie?
My to nepovažujeme za nesmyslný výmysl ze strany Evropské unie, ale o racionální snahu nastavit nějaký standard pro placení na internetu a ochránit klienty před zneužitím jejich plateb v online prostoru. Podle mě je to správná cesta. Ostatně většina velkých bank nabízela klientům možnost využívat při online platbách silnější ověření už dlouho před tím, než příslušné nařízení Evropské unie vstoupilo v platnost. My jsme například spustili aplikaci George klíč v pilotním režimu již před dvěma lety a v příštím roce chceme klientům umožnit potvrzovat v George klíči také platby kartou v e-shopech.
Nový bezpečnostní režim přináší i další novinku. Až dosud jsme mohli u obchodníků platit kartou do částky 500 korun bez zadání PINu. Teď je to přísnější. Co se mění?
V případě placení kartou v obchodech došlo ke změnám, protože Evropská komise bankám a definovala podmínky autorizace transakce bez zadání PINu. Provozovatelům platebních terminálů uložila povinnost vyžadovat ověření platby PINem po pěti PINem neautorizovaných platbách, nebo pokud celkový objem neautorizovaných plateb překročí částku cca 3 700 korun. Toto opatření představuje účinnou ochranu klienta, kterému například kapsář, nebo obvykleji nějaký příbuzný odcizí kartu a začne s ní provádět platby do částky 500 korun, kde není PIN vyžadován.
Řada lidí už běžně platí i prostřednictvím mobilů. Říká se, že kyber zloději na mobily moc necílí, je to pravda? Nebo takové útoky existují?
Skutečně sofistikované útoky na mobilní telefony klientů jsou stále spíše vzácné. Nicméně v loňském roce čelily české banky zhruba třem takovým útokům, kdy byli útočníci schopni číst potvrzovací SMS v mobilech, na něž si jejich majitelé nevědomky stáhli zavirované aplikace.
Ondřej Pohanka
 |
Jak takový útok probíhal a jaké škody útočníci napáchali?
Finanční škody po tomto útoku se pohybovaly v řádu milionů korun. Šlo o velmi propracovaný útok ze strany organizované kriminální skupiny, která operovala ze zahraničí. Útočníci dokázali skrze zavirovanou mobilní aplikaci infikovat stovky mobilních telefonů klientů napříč bankami. Podařilo se jim získat nejen autorizační kódy plateb z potvrzovacích SMS, ale dokázali to udělat tak, že klienti vůbec neviděli, že jim tyto SMS přišly. Útočníci zároveň skrze phishing získali přístupové údaje k internetovému bankovnictví desítek z těchto klientů. A pak už jen čekali, až se na bankovních účtech napadených lidí akumulovaly dostatečné finanční prostředky. V řádu dnů pak převedli jejich peníze na čerstvě založená konta v českých bankách, obratem peníze vybrali v hotovosti a opustili Českou republiku.
Jsou již Češi opatrnější? Umí rozpoznat, že se stávají terčem phishingového útoku?
Phishingové útoky probíhají ve vlnách a jsou prováděny organizovanými kriminálními skupinami. Jsou roky, kdy nezaznamenáme jediný útok na naše klienty, ale v některých letech se odehrály třeba i čtyři takovéto útoky. Vždy samozřejmě velmi úzce spolupracujeme s policií a neustále průběžně vzděláváme naše klienty, jak phishing rozeznat. Při posledním phishingovém útoku nás naši klienti začali sami okamžitě upozorňovat na podvodné e-maily s odkazem na falešný web. Dostali jsme od nich více než 100 takových upozornění. Osvěta tedy evidentně funguje, ostražitost lidí roste. Zároveň, ale stále existuje spousta lidí, kteří se nechají ošálit tak průhlednými e-maily, jaké zasílají různí nigerijští princové, v nichž žádají komickou češtinou o finanční podporu. Spoléhat, že bude jakákoli osvěta stoprocentně účinná zkrátka nelze.
Pokud někdo naletí na phishing, je to jeho chyba a za chyby se platí.
Máte pravdu, do jisté míry lze říci, že klient, který naletí na phishingový e-mail si za následnou finanční škodu může sám. Cílem bank i Evropské unie je ale spotřebitele a klienty chránit – nakonec stejné to je s povinností jezdit na kole po silnici s helmou nebo si při jízdě autem zapnout bezpečnostní pás. Proto banky začínají nabízet potvrzování plateb v internetovém bankovnictví skrze mobilní aplikace, které jsou výrazně bezpečnější.
Jak nenaletět na phishingDodržujte tři pravidla:
Pokud si nechcete tato pravidla pamatovat, začněte používat bezpečnostní aplikaci, pokud ji vaše banka nabízí. |
Proč je George klíč při transakcích bezpečnější než klasická potvrzovací sms s kódem?
Hlavní rozdíl je, že máte aplikaci, která je na vašem zařízení a která zcela bezpečně komunikuje s bankou. Svůj PIN ťukáte jen do této aplikace, takže se vám nemůže stát, že ho prozradíte někomu jinému, o kom ani nevíte, že mu ho zrovna prozrazujete, jako se to děje při phishingu.
Co když mi mobil někdo ukradne a s ním i aplikaci pro přímý přístup do banky?
Na to se ptá řada klientů,mají z toho obavu. V tom je však velké nepochopení, jak útočníci pracují. Provést útok na konkrétní telefon konkrétního klienta vyžaduje akci jak z filmu Dannyho parťáci. Útočník by musel vědět, na koho přesně útočí, musel by nějak převzít telefon, jeho otisk prstu nebo nějak uhodnout PIN a vše provést v řádu minut, protože jinak si klient ztraceného mobilu všimne a metodu snadno zablokuje. Pravděpodobnost úspěchu je velmi malá a možnost prozrazení obrovská, takto útočníci nepracují. Naopak běžní phishingoví piráti jsou na aplikace jako George klíč krátcí – i kdyby klienta napálili tím, že se pokusí přihlásit do jejich podvržené stránky, nemají žádnou možnost převzít PIN klienta – k žádné jiné aplikaci nejde klientův PIN použít a tu svoji má klient ve své ruce.
George klíč dnes využívá téměř 230 tisíc vašich klientů. Prý chcete do dvou let dosáhnout toho, aby ho používali všichni digitální klienti, kterých je 1,6 milionu? Jak to chcete udělat?
Není vyloučeno, že v příštím roce spustíme minimálně u uživatelů našeho mobilního bankovnictví povinný přechod na George klíč, jako jsme to udělali v případě přechodu ze Servisu 24 do George, Tam se nám mimochodem podařilo převést 1,6 milionů klientů během půlroku. Věřím, že stejně úspěšní budeme i s přechodem na George klíč. Chceme klienty přesvědčit, že George klíč je jednodušší, rychlejší a bezpečnější způsob pro potvrzování plateb v internetovém bankovnictví a v blízké budoucnosti také při platbách kartou na internetu.
Klíče, které umožňují biometrické ověření, například otiskem prstu, ale vyžadují investici do chytrého mobilu. Každý takový mobil nemá. Co s tím?
Chytré telefony dnes používá více než 80 procent Čechů a to číslo neustále roste. Samozřejmě i mezi našimi klienty bude vždy malá skupina s klasickými tlačítkovými telefony. Na tlačítkový telefon ale aspoň nejde nahrát žádný malware, takže tam je SMS kód paradoxně bezpečnější než u chytrých telefonů, jakkoli i tam stále hrozí phishing.
Na internetu se v diskusích objevují názory, že otisk prstu, jako ověřovací prvek, může být zranitelný, protože otisky zanecháváme všude. Jak to vnímáte, je to strašení, nebo možná realita?
To, že někdo v laboratorních podmínkách na nějakém telefonu prolomil sken otisku prstu, neznamená, že je to realistický scénář útoku na internetové bankovnictví. Tohle nevnímám ani jako strašení, to pouze plyne z neznalosti, jak funguje kyber zločin. Ten se zaměřuje na phishing a malware pro přeposílání SMS kódů.
