Uživatelé systému PaySec si platí hlavně mezi sebou
Český online platební systém PaySec má za sebou tři měsíce provozu od oficiálního představení veřejnosti. I přes původní váhavé reakce internetových obchodníků měl již počet PaySec podporujících e-shopů překročit první stovku (v adresáři jich je ovšem o trochu méně). Nejvíce plateb však v současnosti probíhá mezi jednotlivými uživateli.
Největší množství plateb dělají nyní mezi sebou maminky, které si vzájemně prodávají oblečení a hračky na mimibazar.cz a obecně uživatelé internetových aukcí (hlavně „aukráci“). Mezi těmito skupinami uživatelů totiž panuje důvěra díky možnosti dát protistraně hodnocení po dokončení obchodu, a tak si platí předem,
uvedl pro Lupu Roman Truhlář, projektový manažer z ČSOB, která spolu s Poštovní spořitelnou systém PaySec provozuje.
Podle údajů ze začátku měsíce má PaySec již deset tisíc uživatelů a ti utratili už přes 15 milionů korun. Průměrná platba přes PaySec je v řádu stokoruny, i když už jsme viděli i jednotlivý nákup letenek za pár desítek tisíc,
doplnil Roman Truhlář.
Phishing je riziko, které není radno podceňovat
V posledních dnech se opět připomnělo téma zabezpečení internetových finančních transakcí i ochrana obětí phishingu, a to v souvislosti s posledními opatřeními, ke kterým sáhla Česká spořitelna. Právě její klienti a uživatelé internetového bankovnictví Servis 24 jsou pravděpodobně nejčastějšími českými terči phishingových útoků.
Pouhá cesta osvěty v oblasti počítačové bezpečnosti sama o sobě nestačí, nikdy nestačila a velmi pravděpodobně ani nikdy stačit nebude. Naopak útoky internetových podvodníků a metody sociálního inženýrství budou stále propracovanější. Českého prostředí se navíc přímo dotýká současný trend přizpůsobování se lokálním podmínkám, tj. například lokalizace útoků i do méně rozšířených jazyků včetně češtiny.
Češi už ve své e-mailové schránce nenarážejí jen na phishingové návnady v angličtině nebo na komické pokusy o lokalizaci do češtiny typu drahoušek zákazník
, ale objevují se již i takové exempláře, které pro řadu lidí určitě vypadají velmi důvěryhodně. Preventivní ochrana pro případné oběti phishingu je tedy na místě. Ochranou proti phishingu dnes disponují moderní webové prohlížeče i e-mailoví klienti, ale jistá ochranná opatření celkem logicky mají i provozovatelé online platebních systémů a internetového bankovnictví.
Servis 24 a PaySec: podobné zabezpečení, rozdílný přístup
V případě služeb Servis 24 nebo PaySec jde o víceméně podobný mechanismus: ověřování transakcí pomocí autorizačního kódu putujícího SMS zprávou na mobil klienta. Zadáním tohoto kódu z doručené SMS zprávy uživatel posvětí prováděnou transakci. Slabým místem v takovém systému ochrany může být proces změny telefonního čísla pro zasílání autorizačních SMS zpráv.
Česká spořitelna donedávna aplikovala tzv. časový zámek. Klient mohl z rozhraní internetového bankovnictví požádat o změnu čísla pro zasílání SMS zpráv, ovšem ke změně došlo až po 12 hodinách. Pokud se o změnu čísla pokoušel podvodník s údaji získanými např. při phishingovém útoku, klient a řádný majitel účtu měl 12 hodin, aby zareagoval na SMS zprávu informující o chystané změně a odrazil tak útok podvodníků pokoušejících se převzít kontrolu nad jeho účtem.
Později došlo k prodloužení tohoto časového zámku z 12 hodin na 24 hodin. Ale ani jeden celý den zřejmě nestačil a tak Česká spořitelna část svých online služeb vrátila zpět do doby kamenné. Nyní mohou uživatelé služby Servis 24 provést změnu telefonního čísla pro zasílání autorizačních kódů SMS zprávou jen na kamenné pobočce banky. Přes Internet už to nejde.
Aniž bychom chtěli hodnotit, jestli tento přístup je správný nebo špatný, je to docela zajímavý kontrast s tím, jak ke změně telefonního čísla pro zasílání autorizačních kódů přistupuje a přistupoval PaySec.
Už při jeho spouštění jsme upozorňovali na potenciální slabé místo v zabezpečení. Okamžitá změna telefonního čísla byla možná jen na základě znalosti uživatelského jména a hesla a správné odpovědi na kontrolní otázku. Tu lze ovšem u masových phishingových útoků z důvěřivých uživatelů vylákat stejně snadno jako právě ono uživatelské jméno a heslo. U adresného útoku na účet konkrétní osoby není zase takový problém zjistit si například příjmení matky za svobodna.
Změna čísla je sice od začátku podmíněna zadáním (opsáním) autorizačního kódu z odeslané SMS zprávy, ovšem ta putuje pouze na nové telefonní číslo. Tím je sice ověřeno, že došlo k zadání správného nového čísla, ovšem není to ověření identity uživatele. Zde by bylo mnohem vhodnější, kdyby ověřovací kód putoval v jednom kroku také na původní číslo. Tak tomu ale není a několik prvních týdnů po startu služby PaySec na původní číslo nepřišlo ani oznámení o provedené změně. Útočníkovi stačilo získat uživatelské jméno, heslo a odpověď na kontrolní otázku a mohl vesele převzít kontrolu nad účtem napáleného uživatele.
PaySec zareagoval, zavedl časový zámek
Na základě ohlasů však PaySec nastavení procedury změny čísla vylepšil. Byla to jedna z prvních změn, které jsme provedli na základě reakcí uživatelů systému PaySec, protože se chceme řídit jejich přáními a názory. Změna mobilního telefonu je dodatečně zabezpečena informační SMS na staré číslo a možností stornování změny telefonu přes rozhraní PaySec nebo uživatelskou podporu na Lince PaySec. Je tomu tak již od června,
uvedl pro Lupu Tomáš Stegura, projektový manažer z ČSOB.
Takže jak je to nyní? Postup pro změnu čísla je stejný jako popisujeme výše, ovšem nově na původní číslo přijde oznámení o provedené změně. Vzhledem ke své stručnosti nemusí být informační SMS pro každého hned úplně srozumitelná.
To e-mail putující na adresu zadanou při zřizování konta PaySec je už jasnější. Jako možný problém se však jeví čas na reakci k odvrácení útoku, který by případná oběť podvodníků měla. Na stornování prostřednictvím zákaznické linky nebo webového rozhraní má oprávněný vlastník účtu pouhou hodinu.
Pokud není změna stornována do šedesáti minut, dojde bez potřeby aktivního potvrzení z původního čísla ke změně telefonního čísla pro zasílání autorizačních SMS kódů. České spořitelně se zřejmě i několikanásobně delší časový zámek jevil u její služby nedostačující. Uvidíme, jak na tom bude PaySec, resp. ČSOB po prvních vážnějších problémech s phishingem, pokud tedy nějaké přijdou.
Vyšší zabezpečení vs. uživatelské pohodlí
Nechceme tím říci, že by PaySec měl zavést stejné opatření jako Servis 24. Problémem vždy bývá najít správný poměr mezi dostatečným zabezpečením a uživatelským komfortem. Online platební systém, u kterého ke změně nastavení musíte osobně navštívit kamennou pobočku, už není zase tak moc online.
Na druhou stranu PaySec už podobný systém volí v případě uživatelů, kteří chtějí některé platební limity zrušit (maximální celková suma vybíjení i nabíjení za jeden rok) a jiné navýšit (maximální zůstatek na kontě). Takoví klienti se musí dostavit k ověření totožnosti na obchodní místa Poštovní spořitelny, tedy například poštu.
Je otázkou, jestli by se provozovatelé internetového bankovnictví a platebních systémů měli nechat dotlačit k částečnému návratu zpět k offline službám, tak jako Česká spořitelna. Pro začátek by ale v případě platebního systému PaySec stačilo zauvažovat o prodloužení časového zámku nebo o ověřování změny čísla i přes autorizační kód putující na původní číslo.