Zablokovat můžete i desítky účtů
Zablokovat můžete klidně i desítky účtů, a to poměrně jednoduchým způsobem - na stránce https://www.ing.cz/ InterBank/login.do. Uživatel je zde dotázán celkem na tři údaje – klientské číslo (PID), které dostane při založení účtu a má jej napsáno na každém výpisu z účtu, na PIN, který taktéž obdrží a na heslo, které si uživatel změní při aktivaci ING Oranžového konta.
Útočníkovi, který by chtěl zablokovat něčí účet, plně postačí tipnout si jakékoli klientské číslo, zadat nějaké číslo jako PIN a pak zadat vymyšlené (třeba jednomístné) heslo. To, že PIN tvoří čtyři číslice, sdělí útočníkovi systém sám, a to tehdy, zadá-li PIN v nesprávné formátu.
Česká burza v prosinci po dlouhé době investorům dokázala, že růst cen akcií nemůže být nekonečný. Jak?
Účetní, grafici, to jsou profese, které je možné vykonávat i z domu. Jaké výhody to má pro všechny strany?
Chcete si užít různých zvukových i světelných efektů? Máte chuť bouchat, odpalovat, rámusit? V tom případě dávejte bedlivý pozor!
Tímto způsobem může útočník zablokovat libovolné množství účtů, navíc mu nic nebrání si na blokování účtů vytvořit program a nebo účty blokovat opakovaně. Blokace účtu je provedena vždy na dobu 24 hodin od třetího neplatného pokusu o přihlášení. Zablokováno je vždy pouze přímé bankovnictví (tj. přístup přes internet a telefon).
Hlavní nebezpečí přitom spočívá v tom, že klientská čísla u ING Bank jsou pouze tří až šestimístná (tří a čtyřmístná čísla se vydávala v letech 2001 a 2002) a společnost je navíc uvádí na každém výpisu z účtu, který posílá běžnou poštou. Pokud by tedy někdo chtěl cíleně blokovat váš účet (přesněji přístup k němu prostřednictvím internetového a telefonního bankovnictví), postačí mu dostat se k vašemu výpisu z účtu (například ukrást ze schránky obálku s logem ING Bank, ve které výpis z účtu přijde) a pak už mu nemůže vůbec nic zabránit v tom, aby vám blokoval přístup k vašemu účtu prostřednictvím přímého bankovnictví třeba každý den.
Blokovat účty lze i po telefonu
Na bezplatné lince ING Bank 800 159 159 stačí v automatickém systému stisknout dvojku pro stávající klienty a poté jedničku pro ING Oranžové konto. Nyní jste nejprve dotázání na zadání klientského čísla (PID) a následně na zadání PINu. Pokud třikrát zadáte špatně PIN, jste přepojeni na operátora. Účet daného klienta je však v tu dobu zablokován na 24 hodin.
S účtem daného klienta je pak, stejně jako po zablokování přes internet, možné manipulovat pouze přímo na pobočce ING Bank a nebo písemnou formou (tedy poštou) na k tomu určených formulářích (ty si můžete nechat zaslat i v elektronické podobě a doma vytisknout).
 |
Jak správně používat platební kartu? |
ING Bank o problému již delší dobu věděla
Tiskovou mluvčí ING Bank jsme na tuto závažnou chybu upozornili již na konci listopadu loňského roku. Od té doby se však vůbec nic nezměnilo a stále je možné poměrně jednoduše kdykoliv zablokovat přímý přístup k účtům na 24 hodin v podstatě neomezenému množství klientů a nebo si z výpisu z účtu zjistit klientské číslo konkrétního klienta a tomu pak blokovat účet.
Pokud jste se tedy v minulosti setkali s tím, že jste se nemohli přihlásit k internetovému bankovnictví kvůli zablokovanému uživatelskému účtu, může se vám to stát i v budoucnosti. Zamezit přístup k vašemu účtu na dálku vám navíc může kdokoliv - třeba i omylem. Stačí, když zadá místo čtyřmístného klientského čísla dvoumístné a nebo se uklepne, třikrát zadá svoje PIN a svoje heslo a váš účet je zablokován.
Jak uvedla tisková mluvčí ING Bank:
„ING Vámi uvedenou skutečnost nepovažuje za chybu! To, že autorizace je po třech (nebo jiném podobném počtu) pokusech zablokována, je standardní procedurou u všech bank, pojišťoven a dalších subjektů, požadující přísnou kontrolu ke vstupu na účet klienta.“ To je sice nepochybně pravda, ale to, že klientské číslo je volně posíláno poštou, je neuvěřitelně krátké a patrně každé tří nebo čtyřmístné klientské číslo je přiřazeno existujícímu klientovi (pěti nebo šestimístná hesla jsou vydávána až v posledních letech), rozhodně standardní procedurou není. A ačkoliv tisková mluvčí tvrdí, že na výpisech již klientské číslo uváděno není, byl nám na infolince banky potvrzen opak.
Jak je to u ostatních bank
Autorizace pomocí klientského čísla a hesla je u našich bank poměrně běžná. Provedení a jeho bezpečnost proti výše popsanému způsobu útoku se však u ostatních bank radikálně liší.
 |
Peníze jen tam, kde neztrácejí hodnotu |
Pokud u těchto bank dojde k zablokování přístupu k účtu pomocí přímého bankovnictví, je klient nucen dostavit se osobně na pobočku. Pravděpodobnost, že však někdo cizí váš účet zablokuje je ve srovnání s ING Bank mizivá. „Uživatel internetbankingu se identifikuje kromě hesla také 10-ti místným klientským číslem, které je generováno na základě speciálního algoritmu a tudíž je málo pravděpodobné, že libovolně zadané klientské číslo se bude shodovat se skutečným klientským číslem našeho klienta,“ uvedla tisková mluvčí České spořitelny. Pavel Hejzlar, tiskový mluvčí ČSOB k tomu dodává: „Je třeba podotknout, že tento systém funguje od léta 2000 a zatím jsme se nesetkali s tím, že by někomu byly tímto způsobem blokovány služby ELB.“
Zcela jinak má řešenou autorizaci klientů u internetového bankovnictví třeba eBanka či Komerční banka, u kterých nelze tímto způsobem účet u internetového bankovnictví zablokovat. „V případě internetového bankovnictví nemůže při neznalosti certifikátu dojít k zablokování účtu klienta,“ uvedla tisková mluvčí Komerční banky. Ta totiž vyžaduje, aby klient měl u sebe autentifikační certifikát (soubor s elektronickým klíčem). Klienti eBanky zase používají mobilní elektronický klíč či osobní elektronický klíč. „Riziko cíleného zablokování minimalizujeme vysokou hranicí neúspěšných pokusů, nad kterou se mohou dostat pouze takzvaní útoční roboti, proti nimž je tato ochrana právě zavedena,“ uvedla tisková mluvčí eBanky.
Peníze na účtech nejsou ohroženy
Je důležité zdůraznit, že tato chyba v přímém bankovnictví ING Bank nijak neohrožuje úspory klientů na účtech. Útočník se v žádném případě díky této chybě nemůže dostat k údajům o zablokovaném účtu a už vůbec nemůže s penězi na účtu nijak manipulovat. Chyba může pouze vést k nepříjemnému ztížení přístupu k nim. ING Bank je totiž primárně orientovaná na přímé bankovnictví, a pokud klientovi k účtu někdo zablokuje přístup, nezbývá než zajít osobně na pobočku, kterých je poskrovnu, a nebo komunikovat s bankou na dálku písemně, což je ovšem zdlouhavé a nepohodlné.
V případě ostatních bank platí totéž – zablokování přístupu pomocí internetbankingu či telefonního bankovnictví nijak neomezuje možnost nakládat s účtem jinými prostředky, platit platebními či kreditními kartami a ani to neomezuje provádění naplánovaných plateb. Stejně tak platí, že případný útočník se nemůže tímto útokem nijak dostat k údajům o vašem účtu a už vůbec nemůže s penězi na účtu nijak manipulovat.
Trestuhodná nedbalost
Jen stěží si lze vysvětlit, proč banka tuto chybu dosud neodstranila. Postačilo by přitom málo, například rozšíření zadávaných údajů o rodné číslo a nebo rovnou přechod na systém klientských čísel podobný tomu u ostatních bank. To, že bylo klientské číslo doposud posíláno poštou spolu s každým výpisem z účtu a že jeho délka byla a patrně i zůstane takto neuvěřitelně krátká, nelze označit jinak než jako trestuhodnou nedbalost.
Co si myslíte o popsané chybě v internetbankingu ING Bank? Napište nám, těšíme se na vaše názory a zkušenosti.
