Nedávný průzkum mezi světovými bankami ukázal, že bankéři mají největší strach z nových metod podvodů, které souvisí s bankovními operacemi na internetu. Která metoda zabezpečení internetového bankovnictví je podle vašeho názoru v současné době nejbezpečnější? Bezpečnost závisí nejen na historické době, ale především na hrozbách, kterým má chráněná aplikace odolat. Spíše než o obecně nejbezpečnějším způsobu ochrany je proto výstižnější hovořit o způsobu ochrany, který nejlépe odolává určitému druhu útoků. Ty se mohou klient od klienta lišit. V poslední době bylo médii popularizováno několik případů klientů, kteří z nejrůznějších důvodů neudrželi svůj osobní počítač v takovém stavu „čistoty“, aby se jim tam neusídlil nějaký škodlivý kód – například takzvaný trojský kůň. V takových případech doporučuji orientovat se na takové metody zabezpečení, které se kromě osobního počítače klienta opírají ještě o nějaký další fyzický předmět (mobilní telefon, tzv. autentizační kalkulátor, čipová platební karta, atp.), který už škodlivý kód sídlící v osobním počítači nemůže zasáhnout a ovlivnit. Konkrétní popis způsobu použití zmíněných předmětů a rozbor výhod/nevýhod toho kterého způsobu by vydal na několikadílnou technickou přednášku. Základním vodítkem pro spotřebitele by mělo být, jestli k přístupu na účet potřebuje kromě svého osobního počítače ještě nějaké další elektronické zařízení (například mobilní telefon). Pokud ne, měl by se své banky zeptat, zda mu nemůže poskytnout jiný způsob přihlašování. Naprostá většina domů by toho měla být schopna. Dále je vhodné si všimnout, zda například na zmíněném mobilním telefonu klient vidí dostatečné podrobnosti o schvalovaných transakcích, atp. To proto, aby mohl skutečně nezávisle na počítači ověřit, zda do banky dorazila stejná data příkazu, jaká on zadal na klávesnici počítače. Obzvláště rafinovaný škodlivý kód totiž může data na cestě do banky změnit. Podotýkám, že nyní už hodnou chvíli pracujeme s presumpcí, že klientův počítač je napaden. Toto by ovšem měl být navýsost výjimečný stav. I při použití robustních přihlašovacích metod je dobré snažit se udržet svůj počítač v „čistotě“. Návody, jak toho dosáhnout, by měla být schopna poskytnou každá solidní banka. V souvislosti se zabezpečením internetového bankovnictví se často setkáváme s pojmem trojský kůň, můžete našim čtenářům vysvětlit, co to vlastně znamená a jak funguje? Trojský kůň je počítačový program (podobně jako textový editor, poštovní klient atp.), který je velmi specifický způsobem své činnosti. Jeho cílem totiž není uživateli počítače, na kterém běží, pomáhat, nýbrž škodit. Technika trojského koně je známa už delší dobu, s příchodem internetového bankovnictví se jí však naskytla spousta nových možností, jak konkrétně klientovi uškodit. Trojský kůň je například obvykle schopen odchytávat uživatelova hesla a odesílat je kamsi na počítač svého strůjce, v krajním případě může dokonce za běhu modifikovat data vyměňovaná mezi klientem a bankou (a „pod rukou“ klienta tak například změnit položky platebního příkazu). Je jasné, že něco takového si na svůj počítač nebude běžný klient instalovat dobrovolně. Trojský kůň se proto obvykle maskuje jako nějaká jiná, lákavá aplikace (hra, erotické video atp.), kterou si nic netušící klient rád nahraje a spustí. Odtud ostatně název trojský kůň. Dodejme, že trojský kůň není jediný druh škodlivého kódu. Spíš charakterizuje určitý způsob, jakým se daný kód dostane na počítač klienta. Obdobně se může projevovat například i takzvaný červ, který zase využívá nedostatečné zabezpečení nižších vrstev síťové komunikace. Klient pro průnik červa na svůj počítač nemusí často udělat nic víc, než mít nainstalovánu neaktuální verzi operačního systému. Jakmile se připojí na internet a červ si ho všimne, má už jeho počítač jen malou šanci uniknout. Mezi základní pravidla pro ochranu počítače před různými druhy škodlivého kódu patří důsledná aktualizace operačního systému a internetových aplikací, antivirový program a takzvaný osobní firewall (ten brání zejména útokům červů). V neposlední řadě se pak vyhneme všem na první pohled lákavým „bonbonkům“ z internetu. Následky nestojí za to. Může tento způsob ohrozit i zasílání hesla přes mobilní telefony? Do jaké míry jsou mobily tímto způsobem ohroženy? Škodlivý kód usídlený v počítači do činnosti mobilního telefonu přímo zasahovat nemůže. S rostoucím zájmem o stahování her a podobných aplikací do mobilních telefonů však lze odhadovat, že časem asi přijdou trojští koně, červi atp. upravené pro mobilní telefony. Pokud klient používá svůj mobilní telefon k přístupu do banky, pak by si měl tato lákadla raději odpustit. Před pár týdny byl na semináři České bankovní asociace představen systém čipové platební karty, která by nahradila mobilní telefony. Můžete nám k tomu říci něco více? Čipová platební karta je de facto miniaturní jednočipový počítač, který, ač nemá vlastní zobrazovací jednotku a klávesnici, má poměrně solidní výpočetní potenciál. Karetní společnosti ve spolupráci s komerčními subjekty typu bank se proto rozhodly nabídnout tuto kapacitu k dalšímu užitečnému využití. Tím právě může být přihlašování klientů do systémů internetového bankovnictví. Výhodami platební karty, na rozdíl třeba od mobilního telefonu, jsou velmi striktní pravidla pro přidávání dalších aplikací na čip karty. Lze proto předpokládat, že čipová platební karta bude nájezdům škodlivých programů typu trojský kůň odolávat zdaleka nejlépe. Její nevýhodou je ovšem již zmíněná absence zobrazovací jednotky a klávesnice, takže pro komunikaci s aplikací na čipu karty bude nutné používat jisté „berličky“. Ty mají v současné době vizuální podobu jednoduchého kalkulátoru, do kterého se karta zasune a který po zadání PIN umožní kartu požádat o přihlašovací kód či o autorizační kód pro nějakou platební transakci. Výsledek je pak zobrazen na displeji této „kalkulačky“. Existují i zařízení spojená s počítačem, která mají výhodu v tom, že klient nemusí například ručně opisovat detaily platebního příkazu do oné kalkulačky. Nevýhodou ovšem je stoupající riziko, že takto se ke kartě přiblíží i potenciální škodlivý kód uhnízděný v počítači klienta. Jsou známy teoretické metody, jak se tomu bránit, avšak před jejich nasazením v praxi budou muset ještě poněkud dozrát. Lze odhadovat, že čipové platební karty budou na poli bankovní bezpečnosti výrazněji konkurovat mobilním telefonům za zhruba 5 let. - autor: Petra Zachari, SOS -