Ověřovací SMS kód nahradíme všem George klíčem, říká expert České spořitelny

aktualizováno 
Od září v Česku nastartoval režim, aby online platby u obchodníků a na internetu byly bezpečnější. Proč se tak děje a jsou novinky na místě? Jaké hrozí útoky a proč je ověřovací sms kód zranitelný? Na to odpovídá bankovní expert Ondřej Pohanka, který je zodpovědný za přechod klientů České spořitelny na George klíč, což se dotkne více než milionu klientů.

Není silné ověřování zákazníka při online platbách pro lidi komplikace a výmysl Evropské unie?
My to nepovažujeme za nesmyslný výmysl ze strany Evropské unie, ale o racionální snahu nastavit nějaký standard pro placení na internetu a ochránit klienty před zneužitím jejich plateb v online prostoru. Podle mě je to správná cesta. Ostatně většina velkých bank nabízela klientům možnost využívat při online platbách silnější ověření už dlouho před tím, než příslušné nařízení Evropské unie vstoupilo v platnost. My jsme například spustili aplikaci George klíč v pilotním režimu již před dvěma lety a v příštím roce chceme klientům umožnit potvrzovat v George klíči také platby kartou v e-shopech.

Nový bezpečnostní režim přináší i další novinku. Až dosud jsme mohli u obchodníků platit kartou do částky 500 korun bez zadání PINu. Teď je to přísnější. Co se mění?
V případě placení kartou v obchodech došlo ke změnám, protože Evropská komise bankám a definovala podmínky autorizace transakce bez zadání PINu. Provozovatelům platebních terminálů uložila povinnost vyžadovat ověření platby PINem po pěti PINem neautorizovaných platbách, nebo pokud celkový objem neautorizovaných plateb překročí částku cca 3 700 korun. Toto opatření představuje účinnou ochranu klienta, kterému například kapsář, nebo obvykleji nějaký příbuzný odcizí kartu a začne s ní provádět platby do částky 500 korun, kde není PIN vyžadován.

Řada lidí už běžně platí i prostřednictvím mobilů. Říká se, že kyber zloději na mobily moc necílí, je to pravda? Nebo takové útoky existují?
Skutečně sofistikované útoky na mobilní telefony klientů jsou stále spíše vzácné. Nicméně v loňském roce čelily české banky zhruba třem takovým útokům, kdy byli útočníci schopni číst potvrzovací SMS v mobilech, na něž si jejich majitelé nevědomky stáhli zavirované aplikace.

Ondřej Pohanka

  • V České spořitelně pracuje od roku 2010.
  • Je odpovědný za přihlašování do digitálního bankovnictví George, rozvoj aplikace George klíče a řídí přechod klientů do George
  • Jako šéf strategického týmu stál za rozjezdem strategie Banka zdravých financí. 

Ondřej Pohanka

Jak takový útok probíhal a jaké škody útočníci napáchali?
Finanční škody po tomto útoku se pohybovaly v řádu milionů korun. Šlo o velmi propracovaný útok ze strany organizované kriminální skupiny, která operovala ze zahraničí. Útočníci dokázali skrze zavirovanou mobilní aplikaci infikovat stovky mobilních telefonů klientů napříč bankami. Podařilo se jim získat nejen autorizační kódy plateb z potvrzovacích SMS, ale dokázali to udělat tak, že klienti vůbec neviděli, že jim tyto SMS přišly. Útočníci zároveň skrze phishing získali přístupové údaje k internetovému bankovnictví desítek z těchto klientů. A pak už jen čekali, až se na bankovních účtech napadených lidí akumulovaly dostatečné finanční prostředky. V řádu dnů pak převedli jejich peníze na čerstvě založená konta v českých bankách, obratem peníze vybrali v hotovosti a opustili Českou republiku.

Jsou již Češi opatrnější? Umí rozpoznat, že se stávají terčem phishingového útoku?
Phishingové útoky probíhají ve vlnách a jsou prováděny organizovanými kriminálními skupinami. Jsou roky, kdy nezaznamenáme jediný útok na naše klienty, ale v některých letech se odehrály třeba i čtyři takovéto útoky. Vždy samozřejmě velmi úzce spolupracujeme s policií a neustále průběžně vzděláváme naše klienty, jak phishing rozeznat. Při posledním phishingovém útoku nás naši klienti začali sami okamžitě upozorňovat na podvodné e-maily s odkazem na falešný web. Dostali jsme od nich více než 100 takových upozornění. Osvěta tedy evidentně funguje, ostražitost lidí roste. Zároveň, ale stále existuje spousta lidí, kteří se nechají ošálit tak průhlednými e-maily, jaké zasílají různí nigerijští princové, v nichž žádají komickou češtinou o finanční podporu. Spoléhat, že bude jakákoli osvěta stoprocentně účinná zkrátka nelze.

Pokud někdo naletí na phishing, je to jeho chyba a za chyby se platí.
Máte pravdu, do jisté míry lze říci, že klient, který naletí na phishingový e-mail si za následnou finanční škodu může sám. Cílem bank i Evropské unie je ale spotřebitele a klienty chránit – nakonec stejné to je s povinností jezdit na kole po silnici s helmou nebo si při jízdě autem zapnout bezpečnostní pás. Proto banky začínají nabízet potvrzování plateb v internetovém bankovnictví skrze mobilní aplikace, které jsou výrazně bezpečnější.

Jak nenaletět na phishing

Dodržujte tři pravidla:

  1. Žádná banka po vás nikdy nebude chtít zaslání vašich přihlašovacích údajů do internetového bankovnictví nebo čísel karet ani vás nebude navádět na své přihlašovací stránky.
  2. Vždy, když vstoupíte na oficiální web banky, se ujistěte, že je v adresním řádku správná adresa a je uvozena symbolem visacího zámku.
  3. Nikdy nikomu nepřeposílejte autorizační sms kódy. Nikdy nikomu!

Pokud si nechcete tato pravidla pamatovat, začněte používat bezpečnostní aplikaci, pokud ji vaše banka nabízí.

Proč je George klíč při transakcích bezpečnější než klasická potvrzovací sms s kódem?
Hlavní rozdíl je, že máte aplikaci, která je na vašem zařízení a která zcela bezpečně komunikuje s bankou. Svůj PIN ťukáte jen do této aplikace, takže se vám nemůže stát, že ho prozradíte někomu jinému, o kom ani nevíte, že mu ho zrovna prozrazujete, jako se to děje při phishingu.

Fotogalerie

Co když mi mobil někdo ukradne a s ním i aplikaci pro přímý přístup do banky?
Na to se ptá řada klientů,mají z toho obavu. V tom je však velké nepochopení, jak útočníci pracují. Provést útok na konkrétní telefon konkrétního klienta vyžaduje akci jak z filmu Dannyho parťáci. Útočník by musel vědět, na koho přesně útočí, musel by nějak převzít telefon, jeho otisk prstu nebo nějak uhodnout PIN a vše provést v řádu minut, protože jinak si klient ztraceného mobilu všimne a metodu snadno zablokuje. Pravděpodobnost úspěchu je velmi malá a možnost prozrazení obrovská, takto útočníci nepracují. Naopak běžní phishingoví piráti jsou na aplikace jako George klíč krátcí – i kdyby klienta napálili tím, že se pokusí přihlásit do jejich podvržené stránky, nemají žádnou možnost převzít PIN klienta – k žádné jiné aplikaci nejde klientův PIN použít a tu svoji má klient ve své ruce.

George klíč dnes využívá téměř 230 tisíc vašich klientů. Prý chcete do dvou let dosáhnout toho, aby ho používali všichni digitální klienti, kterých je 1,6 milionu? Jak to chcete udělat?
Není vyloučeno, že v příštím roce spustíme minimálně u uživatelů našeho mobilního bankovnictví povinný přechod na George klíč, jako jsme to udělali v případě přechodu ze Servisu 24 do George, Tam se nám mimochodem podařilo převést 1,6 milionů klientů během půlroku. Věřím, že stejně úspěšní budeme i s přechodem na George klíč. Chceme klienty přesvědčit, že George klíč je jednodušší, rychlejší a bezpečnější způsob pro potvrzování plateb v internetovém bankovnictví a v blízké budoucnosti také při platbách kartou na internetu.

Klíče, které umožňují biometrické ověření, například otiskem prstu, ale vyžadují investici do chytrého mobilu. Každý takový mobil nemá. Co s tím?
Chytré telefony dnes používá více než 80 procent Čechů a to číslo neustále roste. Samozřejmě i mezi našimi klienty bude vždy malá skupina s klasickými tlačítkovými telefony. Na tlačítkový telefon ale aspoň nejde nahrát žádný malware, takže tam je SMS kód paradoxně bezpečnější než u chytrých telefonů, jakkoli i tam stále hrozí phishing.

Na internetu se v diskusích objevují názory, že otisk prstu, jako ověřovací prvek, může být zranitelný, protože otisky zanecháváme všude. Jak to vnímáte, je to strašení, nebo možná realita?
To, že někdo v laboratorních podmínkách na nějakém telefonu prolomil sken otisku prstu, neznamená, že je to realistický scénář útoku na internetové bankovnictví. Tohle nevnímám ani jako strašení, to pouze plyne z neznalosti, jak funguje kyber zločin. Ten se zaměřuje na phishing a malware pro přeposílání SMS kódů.

Autor:

24. - 25. 5. proběhnou volby do Evropského parlamentu v České republice.
Celkem kandiduje 39 uskupení. S výběrem vám může pomoci volební kalkulačka.
Inventura hlasování zjistí, ke kterému současnému poslanci máte nejblíže.

  • Nejčtenější

Kvíz: Víte, kolik jsme vydělávali a kolik stál chleba v roce 1989?

Více než dvě třetiny Čechů jsou přesvědčeny, že se dnes mají lépe, než tomu bylo před 17. listopadem roku 1989. Ve...

Salát občas zbude, kachna nikdy. Jak a za kolik obědváme v práci

Obědová menu za poslední léta poznamenalo hodně trendů. Krabičky se zdravým jídlem, veganská a raw strava, menší porce,...

Tři způsoby, jak se pasivitou připravíte o peníze

Znalosti Čechů o financích a nakládání s penězi nevyznívají úplně lichotivě. Úroveň finanční gramotnosti u nás dosahuje...

Kvíz: Umíte brouzdat internetem bezpečně?

Na internetu trávíme čím dál více času. Řešíme zde pracovní věci, komunikujeme s přáteli, sdílíme fotky z dovolené či...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Z konopí umí získat léčivý kanabidiol. Teď ho chce zpřístupnit lidem

Jan Storch je vědec. Se svým týmem byl jedním z prvních, kdo vymysleli, jak z technického konopí průmyslově izolovat...

Premium

Konzumace jídla několikrát denně je klišé, tvrdí výživový poradce Fořt

Napsal více než dvacet knih o zdravém životním stylu a boji s obezitou. Petr Fořt tvrdí, že žádný obecně platný návod...

Premium

Jak skončila Vémolova pohádka o lvech. Végha přitom zatracoval

V rozlehlé O2 areně vypadal tak malý, když se v kleci bezvládně zhroutil k zemi. V tu chvíli se z Karlose Vémoly jindy...

Premium

Pes celý život čeká na to, až ho někdo sprdne, říká veterinář

Do své ordinace v centru Prahy dochází den co den už 22 let, aby znovu na nohy postavil čtyřnohé domácí mazlíčky. „I...

  • Další z rubriky

Žebříček 10 nejlepších bankovních běžných účtů. Pořadí se mění

Banky dál vylepšují běžné účty a snaží se neztratit své klienty. Ve spolupráci s analytiky Scott & Rose a odborným...

Karetní realita: PIN na šupině, kartu dala synovi, účet vysál kolega

Platit kartou Čechy baví. V digitálních platbách jsme dokonce na špici v Evropě. Používáme je doma i v cizině a platíme...

Zmapováno: které spořicí účty zhodnotí vklady střadatelů nejvíce

Úrokové sazby na spořicích účtech se u některých bank mírně zvedají. U nejlepších lze dosáhnout na úročení v rozpětí...

Vyzkoušeli jsme, jak funguje Trinity Bank. Počty klientů jí rostou

Od letošního února začala na bankovním trhu působit nejmladší, ryze česká Trinity Bank. Na startu oznámila, že chce...

Advantage Consulting, s.r.o.
ELEKTROMECHANIK

Advantage Consulting, s.r.o.
Olomoucký kraj
nabízený plat: 24 000 - 29 000 Kč

Najdete na iDNES.cz