Internetové bankovnictví v Česku běžně používá řada klientů bank, tedy aspoň těch, které mají klientelu internetově zdatnou. U ČSOB/Ery Poštovní spořitelny ho navíc pravidelně používá 65 % těch, kteří ho mají aktivované (což je zhruba milion klientů). Smartbanking, tedy bankovnictví na chytrém telefonu, u ČSOB používá na 160 tisíc klientů a meziročně roste jejich počet o desítky procent. Není divu, že právě lidé používající online/smart bankovnictví, či platby online obecně, jsou velmi častým cílem útoků.
Česká bankovní asociace udává, že každý pátý bankovní klient se setkal s útokem na svá důvěrná data. Na druhou stranu, jen čtvrtina lidí ví, co je to skimming.
Nejslabší článek je člověk
Podle průzkumu ČSOB z dubna tohoto roku je nadále nejslabším článkem bezpečného online nakupování i financí hlavně sám uživatel.
Není se čemu divit, pokud skoro 16 % lidí heslo do internetového bankovnictví používá i pro přístup do jiných aplikací a 13 % lidí do internetového bankovnictví vstupuje tak, že si ho najde přes vyhledávače (34 % má adresu v oblíbených, 23 % si adresu pamatuje a 31 % jde na web banky a odtud do bankovnictví).
Paradoxní je i to, že z průzkumu ČSOB vyplynulo, že 30 % dotázaných věří internetovému bankovnictví, ale nikoliv smartbankingu. Na druhou stranu, pokud pouze 41 % z nich instaluje aplikace z ověřených zdrojů, tak se tomu nelze moc divit. Pouze 51 % také používá pro ochranu telefonu vstupní PIN nebo heslo a plná třetina si telefon vůbec nechrání (a jako důvod uvádí, že je to zbytečně zdržuje).
Jedním z aktuálně častých způsobů útoku na bankovní účty je sociální inženýrství prostřednictvím hacknutých účtů na sociálních sítích. Útočník požádá přátele o nutnou pomoc v podobě půjčení malé částky, pošle jim odkaz na „internetové bankovnictví“ či „platební bránu“, trikem je přesvědčí k potvrzení SMS kódu a vzápětí je okrade i o několik tisíc korun.
Užitečné návyky
Na druhou stranu, některé věci klienti bank (nebo alespoň ČSOB) dělají správně. Třeba 90 % si kontroluje změny na účtu alespoň jednou měsíčně, byť by neuškodilo to dělat častěji. Ale pouze 45 % dotázaných si nechává posílat SMS zprávy o změnách na účtu.
Více než 75 % z dotazovaných si pamatuje PIN ke kartě (ale to také znamená, že zbylá část ho má někde zapsaný). Horší už je to se zakrýváním klávesnice na bankomatu při zadávání PIN, dělá to pouze 59 % dotázaných. 84 % dotázaných má unikátní heslo pro internetové bankovnictví.
Běžné uživatele bankovnictví sice asi nikdo nenaučí, jak ověřit, že k platební bráně či online bankovnictví musí přistupovat jenom přes https a ještě s platným a správným certifikátem, ale mělo by to patřit také mezi základní bezpečnostní návyky. Většina phishingů a sběru přístupových údajů https nepoužívá, pokud už ano, tak doména i certifikát určitě nepatří bance.
Pro online bankovnictví, pokud ho používáte, je dost podstatné pamatovat buď na SMS klíč, nebo ještě lépe na autentizační/ověřovací aplikaci (příjem SMS může v telefonu být přesměrován do podvodné aplikace) tak, aby každé přihlášení, ale také každá transakce vyžadovala autorizaci přes speciální aplikaci. Svěřit se online bankovnictví, které vyžaduje pouze přihlašovací údaje, je věc z minulého století.
Online platby jsou běžným momentem, kdy můžete přijít o peníze. Vedle klasických phishingových útoků vedoucích k získání údajů z platební karty můžete narazit i na organizované skupiny provozující podvodné e-shopy. Lidé na zcela neznámých webech ochotně zadají kompletní údaje z karty, včetně CVC kódu. Ne bez rizika je i svěření karty do rukou číšníka či prodejce u off-line plateb.
Nebezpečnější návyky
Možným rizikem je i to, že třetina lidí využívá pro online správu svých financí pracovní počítače, nikoliv výhradně vlastní počítač. Podobně rizikové je i využití nějakého veřejně přístupného počítače či nezabezpečené komunikace na veřejné WiFi. Ale popravdě, kolik z lidí má dostatečně zabezpečený vlastní počítač?
Nebezpečné je a může být i to, že pouze třetina dotázaných by smazala e-maily od neznámého adresáta. Přitom právě přes e-maily dnes probíhá nejen většina phishingu, ale také se tudy masově šíří bankovní trojské koně, malware i ransomware
Mezi nebezpečné věci může ale patřit i půjčování platební karty někomu blízkému. Stačí, aby ji použil nevhodným způsobem, případně se nechal nachytat na něco, na co vy sami byste nenaletěli
36 % lidí nemá vůbec aktivovanou službu 3D Secure a pouze 18 % lidí zásadně používá 3D Secure. Tady nezapomeňme, že 3D Secure musí používat i e-shop/služba, kde nakupujete.
Chodit na internetové bankovnictví přes vyhledávač může být osudné. Banka, která se vám objeví na prvním místě ve vyhledávači, totiž vůbec nemusí být ta pravá. Stačí cílená kampaň s využitím SEO a na první místa se dostane podvodná stránka, která se za banku bude vydávat. Stejně jako u phishingu v e-mailech, i tady ale bude vypadat stejně jako ta pravá.
Online hrozby ohrožující vaše finance
Není toho málo, co může ohrozit vaše finance v okamžiku, kdy máte internetové bankovnictví nebo smartbanking. Sociální inženýrství, phishing, viry i trojské koně jsou těmi nejvíce využívanými nástroji.
Nástrojů, kterými se tyto metody daří využívat, je také mnoho. Vedle roky známého nasazení e-mailu pro masivní spamovací kampaně je dnes novou hrozbou prostředí sociálních sítí a hacknuté účty. V e-mailu se dnes používají hlavně falešné faktury, výzvy exekutorů či uložené balíčky, kdy útok většinou vede k napadení počítače malwarem nebo k získání údajů umožňujících zneužít online bankovnictví nebo platební karty.
Útočníci vytvářejí velmi věrně vypadající kopie stránek bank, ale i platebních bran. V mobilním prostředí navíc těží z toho, že kompletní adresa je málokdy viditelná, ale i z toho, že uživatelé málokdy na počítačích kontrolují adresní řádek.
Napadeny ale mohou být i mobilní telefony a útočníci mohou vytvořit i falešné aplikace internetového bankovnictví. V zásadě ale může stačit i pouhé svolení, aby aplikace mohla číst příchozí SMS – pokud online platby schvalujete právě pomocí SMS kódu.
ČLÁNKY DO MAILU