Obluk: Banky pod palbou

S Karlem Oblukem, který působí ve společnosti AVG Technologies jako vědecký ředitel, jsme hovořili na téma bezpečnosti přímého bankovnictví.

Jaké prostředky z přímého bankovnictví jsou dnes nejčastěji používány pro spojení s bankou?
Telefon a internetové bankovnictví jasně převažují co do počtu uživatelů, byť některé banky nabízejí i specializované aplikace pro přímé bankovnictví. Zejména ve firemní sféře pak různé účetní systémy dokáží přímo komunikovat s bankami prostřednictvím standardizovaných rozhraní. Z hlediska běžných koncových uživatelů jsou však tyto metody zejména v České republice v naprosté menšině.

Který z prostředků přímého bankovnictví je nejčastěji vystaven útokům?
V současnosti zcela jistě vedou útoky proti internetovému bankovnictví před napadáním různých variant telefonní komunikace s bankou. To je dáno především tím, že útok proti internetovým aplikacím je ve srovnání s telefony jednodušší a univerzálnější. Samozřejmě však velice závisí na typu internetového bankovnictví a způsobu jeho zabezpečení.

O jaké typy útoků se jedná nejčastěji?
Nejčastější je zcizení informací o platební kartě, případně zcizení přihlašovacího jména a hesla. Velmi rozšířená je i metoda, při které virus na napadeném počítači modifikuje webové stránky banky tak, že oklame uživatele a vyláká z něj citlivá osobní data, která potom útočník zneužije pro další útoky a krádeže.

Jak obtížné je vypátrat podvodníky útočící na bankovní účty prostřednictvím útoků na prostředky přímého bankovnictví, resp. jaká je úspěšnost boje s tímto typem kriminality?
Úspěšnost těchto útočníků je velmi vysoká a úspěšnost policie v boji s tímto typem kriminality naopak velmi nízká. To je dáno především globálním charakterem útoků, kdy útočníci velmi často zneužívají servery a infrastrukturu napříč kontinenty. Velmi často se tak setkáváme například s útoky namířenými proti zákazníkům brazilských bank, které využívají servery ve Spojených státech pro útok, zcizená data jsou ukládána na servery třeba v České republice a přitom útočník samotný může pocházet z Číny nebo některé jiné asijské země. Odhalení takovýchto zločineckých gangů je tak velmi složité jak z hlediska technického, tak i legislativního a úspěchy v této oblasti jsou, opět bohužel, velmi ojedinělé.

Jsou prostředky přímého bankovnictví českých bankovních domů dostatečně zabezpečeny proti těmto útokům?
 Jsem velmi rád, že v tomto případě mohu konstatovat, že úroveň zebezpečení internetových aplikací českých bankovních domů je v naprosté většině případů na velmi vysoké úrovni. Kombinace čipových karet, autentizace pomocí telefonu a podobné systémy zajišťují poměrně vysokou míru bezpečnosti.

Upozorňují banky na tyto zásady bezpečnosti své klienty dostatečným způsobem?
 Zaměřím- li se opět jen na české bankovní instituce, myslím, že dělají pro zabezpečení opravdu hodně – a osvěta s tím samozřejmě souvisí. Globální pohled už tak optimistický není, banky v některých zemích nechtějí své klienty příliš „strašit” a osvěta mezi jejich klienty tak určitě není na úrovni, o kterou se snažíme mimo jiné i my přímo mezi uživateli našich produktů

Jak si na tom stojí české bankovní domy s tímto zabezpečením ve srovnání se zahraničím (můžete vybrat případně jeden konkrétní trh)?
Jak jsem uvedl výše, domnívám se, že české bankovní instituce nabízejí ve srovnání s jinými trhy velmi dobrou úroveň zabezpečení. Zejména třeba ze srovnání s typickým internetovým bankovnictvím ve Spojených státech vycházejí české banky velmi dobře.

Jaké vidíte budoucí trendy v přímém bankovnictví?
 Podle mého názoru již nyní české banky nabízeji velmi dobré zabezpečení, myslím, že zejména světové banky budou muset přejít na používání autentizačních systémů obdobných těm, které znají naši uživatelé. Pochopitelně přesun k mobilním zařízením přinese své specifické problémy, očekávám, že se objeví útoky zaměřené přímo na mobilní přístup k online bankovnictví.
 
Mohou v budoucnu ovlivnit sociální sítě přímé bankovnictví a mít dopady i na bezpečnost?
Sociální sítě mají dopady na bezpečnost již teď, a to velmi významný. Jejich prostřednictvím se šíří velké množství škodlivého kódu a tento trend bude jednoznačně pokračovat. Hlavním důvodem není nějaký zásadní technologický problém v sociálních sítích, slabým článkem je především uživatel. V prostředí sociální sítě se cítí „mezi svými“ a mnohem snáze důvěřuje všem informacím a odkazům. Mnohem snáze se tak stává obětí útoků sociálního inženýrství.
 
Jaké nové typy útoků lze očekávat v budoucnosti?
Očekávám další posilování trendu zneužívání sociálních sítí a především pak rozšíření pozornosti útočníků směrem k mobilním zařízením. Dnešní chytré telefony mají stejné výpočetní schopnosti, jako měly stolní počítače před několika málo lety. Jejich připojení na Internet je pak často mnohem lepší. Již nyní existují programy schopné odposlechnout číslo kreditní karty zadané do telefonu a poslat je v textové podobě útočníkovi, aniž by to uživatel zaznamenal. Obávám se, že situace v tomto směru bude spíše horší, než lepší – vždyť jde o peníze, a nikoliv malé.

Děkuji za rozhovor, Jan Šimek, Finance.cz