Je internetbanking bezpečný?

V nedávném příspěvku jsme srovnávali smartbanking a internetbanking, ve kterém z pohledu bezpečnosti vyšel hůře internetbanking.

Hlavní důvod byl ten, že malware stažený při surfování zcela ovládne prohlížeč internetu, a dále pak, že je počítač často používán více osobami, které surfují pod privilegovanými účty, používají děravý SW a antivirus škodlivý kód nedetekuje.

Co mají útoky na uživatele internetbankingu společného?

Klient se zpravidla nakazí při běžném surfování po internetu a v některých případech dojde i k překonání dvoufaktorové autentizace.

Chcete říci, že ani dvoufaktorová autentizace už nezabrání neautorizované transakci?

Bohužel, trendem jsou teď jednoznačně MitB a MiTMo útoky a tam k bankovnímu převodu dochází přímo z vašeho počítače, prostřednictvím škodlivého kódu, který ho zcela ovládne.

To mě zajímá, jak takový útok probíhá?

Celkem jednoduše. Většina klientů se dvoufaktorově autentizuje buď pomocí čipové karty, nebo přepsáním mTAN (v podstatě jednorázové heslo, které vám přijde na mobil jako SMS a vy ho musíte přepsat do prohlížeče, pozn. redaktora). Útočník si v takovém případě počká, až se úspěšně dvoufaktorově autentizujete a teprve poté přímo z vašeho prohlížeče provede pomocí škodlivého kódu samotnou transakci.

Dobře, ale klient ještě musí transakci potvrdit ne?

To ano, ale nezapomínejte, že útočník může klientovi na obrazovce počítače, který ovládl prostřednictvím malwaru zobrazit v podstatě cokoliv. Jiná situace nastane, když banka posílá SMS, která kromě mTAN obsahuje i číslo účtu, částku, a měnu. Zde pak záleží na klientovi, zda si pozorně přečte, co je v SMS napsáno anebo mTAN jen bezmyšlenkovitě přepíše.

Na SMS se tedy nelze zcela spolehnout.

Je to tak, vzhledem k tomu, že stále více klientů používá smartphone, do kterého si instalují nejrůznější aplikace, není už mTAN tak bezpečný jako dřív, viz poslední útoky. (Jedná se o ZitMo, pozn. redaktora.)

Jaké řešení byste tedy doporučoval?

V podstatě stačí jakékoliv potvrzení transakce jiným kanálem, tzv. out-of-band. Zde se vychází z předpokladu, že se útočníkovi nepodaří kompromitovat oba kanály. Stačí použít jakékoliv zařízení pracující na principu challenge-response, které není spojeno se zařízením, na kterém je transakce zadávána. Může se jednat o aplikaci ve smartphonu nebo ještě lépe samostatný HW, do kterého uživatel nemůže nic instalovat, ale který má vstupní a výstupní rozhraní.

Jak jste ale sám řekl, klienti žádný další HW používat nechtějí…

Však by ho také klienti nemuseli používat pro potvrzení každé operace. Stačilo by, kdyby banky zavedly FDS, pak by např. pro provedení pasivní operace nebo aktivní operace nad známými účty byl druhý faktor vyžadován jen v případě, že by FDS vyhodnotil operaci jako podezřelou.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Je internetbanking bezpečný?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: