Pátek 4. prosince 2020, svátek má Barbora
  • schránka
  • Přihlásit Můj účet
  • Pátek 4. prosince 2020 Barbora

Ověřovací SMS kód nahradíme všem George klíčem, říká expert České spořitelny

Od září v Česku nastartoval režim, aby online platby u obchodníků a na internetu byly bezpečnější. Proč se tak děje a jsou novinky na místě? Jaké hrozí útoky a proč je ověřovací sms kód zranitelný? Na to odpovídá bankovní expert Ondřej Pohanka, který je zodpovědný za přechod klientů České spořitelny na George klíč, což se dotkne více než milionu klientů.

Ondřej Pohanka | foto:  Petr Kozlík, MAFRA

Není silné ověřování zákazníka při online platbách pro lidi komplikace a výmysl Evropské unie?
My to nepovažujeme za nesmyslný výmysl ze strany Evropské unie, ale o racionální snahu nastavit nějaký standard pro placení na internetu a ochránit klienty před zneužitím jejich plateb v online prostoru. Podle mě je to správná cesta. Ostatně většina velkých bank nabízela klientům možnost využívat při online platbách silnější ověření už dlouho před tím, než příslušné nařízení Evropské unie vstoupilo v platnost. My jsme například spustili aplikaci George klíč v pilotním režimu již před dvěma lety a v příštím roce chceme klientům umožnit potvrzovat v George klíči také platby kartou v e-shopech.

Nový bezpečnostní režim přináší i další novinku. Až dosud jsme mohli u obchodníků platit kartou do částky 500 korun bez zadání PINu. Teď je to přísnější. Co se mění?
V případě placení kartou v obchodech došlo ke změnám, protože Evropská komise bankám a definovala podmínky autorizace transakce bez zadání PINu. Provozovatelům platebních terminálů uložila povinnost vyžadovat ověření platby PINem po pěti PINem neautorizovaných platbách, nebo pokud celkový objem neautorizovaných plateb překročí částku cca 3 700 korun. Toto opatření představuje účinnou ochranu klienta, kterému například kapsář, nebo obvykleji nějaký příbuzný odcizí kartu a začne s ní provádět platby do částky 500 korun, kde není PIN vyžadován.

Řada lidí už běžně platí i prostřednictvím mobilů. Říká se, že kyber zloději na mobily moc necílí, je to pravda? Nebo takové útoky existují?
Skutečně sofistikované útoky na mobilní telefony klientů jsou stále spíše vzácné. Nicméně v loňském roce čelily české banky zhruba třem takovým útokům, kdy byli útočníci schopni číst potvrzovací SMS v mobilech, na něž si jejich majitelé nevědomky stáhli zavirované aplikace.

Ondřej Pohanka

  • V České spořitelně pracuje od roku 2010.
  • Je odpovědný za přihlašování do digitálního bankovnictví George, rozvoj aplikace George klíče a řídí přechod klientů do George
  • Jako šéf strategického týmu stál za rozjezdem strategie Banka zdravých financí. 

Ondřej Pohanka

Jak takový útok probíhal a jaké škody útočníci napáchali?
Finanční škody po tomto útoku se pohybovaly v řádu milionů korun. Šlo o velmi propracovaný útok ze strany organizované kriminální skupiny, která operovala ze zahraničí. Útočníci dokázali skrze zavirovanou mobilní aplikaci infikovat stovky mobilních telefonů klientů napříč bankami. Podařilo se jim získat nejen autorizační kódy plateb z potvrzovacích SMS, ale dokázali to udělat tak, že klienti vůbec neviděli, že jim tyto SMS přišly. Útočníci zároveň skrze phishing získali přístupové údaje k internetovému bankovnictví desítek z těchto klientů. A pak už jen čekali, až se na bankovních účtech napadených lidí akumulovaly dostatečné finanční prostředky. V řádu dnů pak převedli jejich peníze na čerstvě založená konta v českých bankách, obratem peníze vybrali v hotovosti a opustili Českou republiku.

Jsou již Češi opatrnější? Umí rozpoznat, že se stávají terčem phishingového útoku?
Phishingové útoky probíhají ve vlnách a jsou prováděny organizovanými kriminálními skupinami. Jsou roky, kdy nezaznamenáme jediný útok na naše klienty, ale v některých letech se odehrály třeba i čtyři takovéto útoky. Vždy samozřejmě velmi úzce spolupracujeme s policií a neustále průběžně vzděláváme naše klienty, jak phishing rozeznat. Při posledním phishingovém útoku nás naši klienti začali sami okamžitě upozorňovat na podvodné e-maily s odkazem na falešný web. Dostali jsme od nich více než 100 takových upozornění. Osvěta tedy evidentně funguje, ostražitost lidí roste. Zároveň, ale stále existuje spousta lidí, kteří se nechají ošálit tak průhlednými e-maily, jaké zasílají různí nigerijští princové, v nichž žádají komickou češtinou o finanční podporu. Spoléhat, že bude jakákoli osvěta stoprocentně účinná zkrátka nelze.

Pokud někdo naletí na phishing, je to jeho chyba a za chyby se platí.
Máte pravdu, do jisté míry lze říci, že klient, který naletí na phishingový e-mail si za následnou finanční škodu může sám. Cílem bank i Evropské unie je ale spotřebitele a klienty chránit – nakonec stejné to je s povinností jezdit na kole po silnici s helmou nebo si při jízdě autem zapnout bezpečnostní pás. Proto banky začínají nabízet potvrzování plateb v internetovém bankovnictví skrze mobilní aplikace, které jsou výrazně bezpečnější.

Jak nenaletět na phishing

Dodržujte tři pravidla:

  1. Žádná banka po vás nikdy nebude chtít zaslání vašich přihlašovacích údajů do internetového bankovnictví nebo čísel karet ani vás nebude navádět na své přihlašovací stránky.
  2. Vždy, když vstoupíte na oficiální web banky, se ujistěte, že je v adresním řádku správná adresa a je uvozena symbolem visacího zámku.
  3. Nikdy nikomu nepřeposílejte autorizační sms kódy. Nikdy nikomu!

Pokud si nechcete tato pravidla pamatovat, začněte používat bezpečnostní aplikaci, pokud ji vaše banka nabízí.

Proč je George klíč při transakcích bezpečnější než klasická potvrzovací sms s kódem?
Hlavní rozdíl je, že máte aplikaci, která je na vašem zařízení a která zcela bezpečně komunikuje s bankou. Svůj PIN ťukáte jen do této aplikace, takže se vám nemůže stát, že ho prozradíte někomu jinému, o kom ani nevíte, že mu ho zrovna prozrazujete, jako se to děje při phishingu.

Fotogalerie

Co když mi mobil někdo ukradne a s ním i aplikaci pro přímý přístup do banky?
Na to se ptá řada klientů,mají z toho obavu. V tom je však velké nepochopení, jak útočníci pracují. Provést útok na konkrétní telefon konkrétního klienta vyžaduje akci jak z filmu Dannyho parťáci. Útočník by musel vědět, na koho přesně útočí, musel by nějak převzít telefon, jeho otisk prstu nebo nějak uhodnout PIN a vše provést v řádu minut, protože jinak si klient ztraceného mobilu všimne a metodu snadno zablokuje. Pravděpodobnost úspěchu je velmi malá a možnost prozrazení obrovská, takto útočníci nepracují. Naopak běžní phishingoví piráti jsou na aplikace jako George klíč krátcí – i kdyby klienta napálili tím, že se pokusí přihlásit do jejich podvržené stránky, nemají žádnou možnost převzít PIN klienta – k žádné jiné aplikaci nejde klientův PIN použít a tu svoji má klient ve své ruce.

George klíč dnes využívá téměř 230 tisíc vašich klientů. Prý chcete do dvou let dosáhnout toho, aby ho používali všichni digitální klienti, kterých je 1,6 milionu? Jak to chcete udělat?
Není vyloučeno, že v příštím roce spustíme minimálně u uživatelů našeho mobilního bankovnictví povinný přechod na George klíč, jako jsme to udělali v případě přechodu ze Servisu 24 do George, Tam se nám mimochodem podařilo převést 1,6 milionů klientů během půlroku. Věřím, že stejně úspěšní budeme i s přechodem na George klíč. Chceme klienty přesvědčit, že George klíč je jednodušší, rychlejší a bezpečnější způsob pro potvrzování plateb v internetovém bankovnictví a v blízké budoucnosti také při platbách kartou na internetu.

Klíče, které umožňují biometrické ověření, například otiskem prstu, ale vyžadují investici do chytrého mobilu. Každý takový mobil nemá. Co s tím?
Chytré telefony dnes používá více než 80 procent Čechů a to číslo neustále roste. Samozřejmě i mezi našimi klienty bude vždy malá skupina s klasickými tlačítkovými telefony. Na tlačítkový telefon ale aspoň nejde nahrát žádný malware, takže tam je SMS kód paradoxně bezpečnější než u chytrých telefonů, jakkoli i tam stále hrozí phishing.

Na internetu se v diskusích objevují názory, že otisk prstu, jako ověřovací prvek, může být zranitelný, protože otisky zanecháváme všude. Jak to vnímáte, je to strašení, nebo možná realita?
To, že někdo v laboratorních podmínkách na nějakém telefonu prolomil sken otisku prstu, neznamená, že je to realistický scénář útoku na internetové bankovnictví. Tohle nevnímám ani jako strašení, to pouze plyne z neznalosti, jak funguje kyber zločin. Ten se zaměřuje na phishing a malware pro přeposílání SMS kódů.

Autor:
  • Nejčtenější

Mám důchodový věk, co s penzijním spořením? Zdanění výnosů se lze vyhnout

Premium Pokud máte penzijní spoření, můžete si v důchodu vybrat, zda zvolíte měsíční rentu, nebo jednorázovou výplatu. Co je...

Někdo ji udal a paradoxně tím odstartoval její podnikání. Je za to vděčná

Hana Nováčková bez práce nedokáže vydržet. A nikdy se nevzdává. Kvůli zdravotním problémům musela opustit práci, kterou...

Minimální mzda vzroste na 15 200 korun. Co růst ovlivní a kdo vydělá

Minimální měsíční mzda, za kterou podle odhadů pracuje v Česku kolem 150 tisíc zaměstnanců, v roce 2021 vzroste o 600...

Výnosy padají, žebříček nejlepších spořicích účtů se značně proměnil

Češi jsou konzervativní, část svých úspor neváhají držet na spořicích účtech, i když kvůli koronavirové krizi na nich...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Aby měla na zubní rovnátka pro dceru, musela vybrat stavební spoření

Stavební spoření založí většina lidí kvůli potřebě bydlení. Nejeden klient spořitelny peníze ale použije na zcela jiný...

Jaro jsme zpackali, řídila to parta ambiciózních analytiků, bilancuje Balík

Premium Česko jarní vlnu epidemie koronaviru nezvládlo, lockdown byl zbytečně tvrdý a jeho následky pocítí lidé teprve v...

Drsná svědectví z českých „callcentráků“: trestání baseballkou, celý den bez WC

Premium Ponižování, výsměch i fyzické tresty. To vše zažili lidé v některých call centrech. Jedni vzpomínají na minimální čas...

TEST televizorů: Nevyznáte se v široké nabídce? Pomůže vám náš velký přehled

Premium Od 3 190 do 62 990 korun. Všechny zobrazovací technologie, všechny televizní operační systémy a jedenáct vybraných...

  • Další z rubriky

Účet nejlépe zadarmo, a aby byl chytrý. Sedm tipů, podle čeho vybírat banku

Do které banky pro účet? Špatné rozhodnutí vás může přijít na desítky korun měsíčně. Takže stovky za rok: to je večeře...

Zmapovali jsme pět nejlepších účtů pro živnostníky a podnikatele

V době epidemie, kdy řada živnostníků a drobných podnikatelů počítá každou korunu, je užitečné poohlédnout se po...

Banka v mobilu funguje už devět let. Co Češi nejčastěji využívají

Mít banku v chytrém mobilu je dnes pro řadu Čechů samozřejmostí. Mobilní bankovnictví totiž umožňuje mít peníze v bance...

Žebříček nejlepších spořicích účtů se totálně proměnil, sazby padají

Kvůli koronavirové pandemii lze očekávat silnou recesi. Česká národní banka proto v březnu dvakrát snížila základní...

Jaká je smrtnost? Kde hrozí nákaza covidem? Nové důkazy vědců nepotěší

Jaké jsou vědecké důkazy o účinnosti roušek a respirátorů? V jaké situaci je největší riziko nákazy? Kolik procent...

Svůj nový vztah jsem radši šla ohlásit řediteli, říká zamilovaná Witowská

Premium Její život se letos pořádně otočil. Možná ještě víc, než když předloni bravurně zvládla prezidentskou debatu. Aby měla...

Bahamské úřady zveřejnily příčinu smrti Seana Conneryho

Bahamské úřady zveřejnily oficiální pitevní zprávu k úmrtí herce Seana Conneryho. První a nejdéle sloužící James Bond...

Fronty u kadeřníků, obchody počítají zákazníky. Velké rozvolnění začalo

Sledujeme online Po více než měsíci se ve čtvrtek opět otevřely obchody, restaurace a provozovny služeb. Obchodníci se na něj dlouhodobě...

Před 40 lety měla nehodu Marika Gombitová, papaláš ji nazval mrzákem

Noc z 30. listopadu na 1. prosince 1980 byla na jihu Moravy nevlídná. Foukal silný vítr a hustě sněžilo. Po posledním...