Čtvrtek 9. prosince 2021, svátek má Vratislav
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 9. prosince 2021 Vratislav

Ověřovací SMS kód nahradíme všem George klíčem, říká expert České spořitelny

Od září v Česku nastartoval režim, aby online platby u obchodníků a na internetu byly bezpečnější. Proč se tak děje a jsou novinky na místě? Jaké hrozí útoky a proč je ověřovací sms kód zranitelný? Na to odpovídá bankovní expert Ondřej Pohanka, který je zodpovědný za přechod klientů České spořitelny na George klíč, což se dotkne více než milionu klientů.

Ondřej Pohanka | foto:  Petr Kozlík, MAFRA

Není silné ověřování zákazníka při online platbách pro lidi komplikace a výmysl Evropské unie?
My to nepovažujeme za nesmyslný výmysl ze strany Evropské unie, ale o racionální snahu nastavit nějaký standard pro placení na internetu a ochránit klienty před zneužitím jejich plateb v online prostoru. Podle mě je to správná cesta. Ostatně většina velkých bank nabízela klientům možnost využívat při online platbách silnější ověření už dlouho před tím, než příslušné nařízení Evropské unie vstoupilo v platnost. My jsme například spustili aplikaci George klíč v pilotním režimu již před dvěma lety a v příštím roce chceme klientům umožnit potvrzovat v George klíči také platby kartou v e-shopech.

Nový bezpečnostní režim přináší i další novinku. Až dosud jsme mohli u obchodníků platit kartou do částky 500 korun bez zadání PINu. Teď je to přísnější. Co se mění?
V případě placení kartou v obchodech došlo ke změnám, protože Evropská komise bankám a definovala podmínky autorizace transakce bez zadání PINu. Provozovatelům platebních terminálů uložila povinnost vyžadovat ověření platby PINem po pěti PINem neautorizovaných platbách, nebo pokud celkový objem neautorizovaných plateb překročí částku cca 3 700 korun. Toto opatření představuje účinnou ochranu klienta, kterému například kapsář, nebo obvykleji nějaký příbuzný odcizí kartu a začne s ní provádět platby do částky 500 korun, kde není PIN vyžadován.

Řada lidí už běžně platí i prostřednictvím mobilů. Říká se, že kyber zloději na mobily moc necílí, je to pravda? Nebo takové útoky existují?
Skutečně sofistikované útoky na mobilní telefony klientů jsou stále spíše vzácné. Nicméně v loňském roce čelily české banky zhruba třem takovým útokům, kdy byli útočníci schopni číst potvrzovací SMS v mobilech, na něž si jejich majitelé nevědomky stáhli zavirované aplikace.

Ondřej Pohanka

  • V České spořitelně pracuje od roku 2010.
  • Je odpovědný za přihlašování do digitálního bankovnictví George, rozvoj aplikace George klíče a řídí přechod klientů do George
  • Jako šéf strategického týmu stál za rozjezdem strategie Banka zdravých financí. 

Ondřej Pohanka

Jak takový útok probíhal a jaké škody útočníci napáchali?
Finanční škody po tomto útoku se pohybovaly v řádu milionů korun. Šlo o velmi propracovaný útok ze strany organizované kriminální skupiny, která operovala ze zahraničí. Útočníci dokázali skrze zavirovanou mobilní aplikaci infikovat stovky mobilních telefonů klientů napříč bankami. Podařilo se jim získat nejen autorizační kódy plateb z potvrzovacích SMS, ale dokázali to udělat tak, že klienti vůbec neviděli, že jim tyto SMS přišly. Útočníci zároveň skrze phishing získali přístupové údaje k internetovému bankovnictví desítek z těchto klientů. A pak už jen čekali, až se na bankovních účtech napadených lidí akumulovaly dostatečné finanční prostředky. V řádu dnů pak převedli jejich peníze na čerstvě založená konta v českých bankách, obratem peníze vybrali v hotovosti a opustili Českou republiku.

Jsou již Češi opatrnější? Umí rozpoznat, že se stávají terčem phishingového útoku?
Phishingové útoky probíhají ve vlnách a jsou prováděny organizovanými kriminálními skupinami. Jsou roky, kdy nezaznamenáme jediný útok na naše klienty, ale v některých letech se odehrály třeba i čtyři takovéto útoky. Vždy samozřejmě velmi úzce spolupracujeme s policií a neustále průběžně vzděláváme naše klienty, jak phishing rozeznat. Při posledním phishingovém útoku nás naši klienti začali sami okamžitě upozorňovat na podvodné e-maily s odkazem na falešný web. Dostali jsme od nich více než 100 takových upozornění. Osvěta tedy evidentně funguje, ostražitost lidí roste. Zároveň, ale stále existuje spousta lidí, kteří se nechají ošálit tak průhlednými e-maily, jaké zasílají různí nigerijští princové, v nichž žádají komickou češtinou o finanční podporu. Spoléhat, že bude jakákoli osvěta stoprocentně účinná zkrátka nelze.

Pokud někdo naletí na phishing, je to jeho chyba a za chyby se platí.
Máte pravdu, do jisté míry lze říci, že klient, který naletí na phishingový e-mail si za následnou finanční škodu může sám. Cílem bank i Evropské unie je ale spotřebitele a klienty chránit – nakonec stejné to je s povinností jezdit na kole po silnici s helmou nebo si při jízdě autem zapnout bezpečnostní pás. Proto banky začínají nabízet potvrzování plateb v internetovém bankovnictví skrze mobilní aplikace, které jsou výrazně bezpečnější.

Jak nenaletět na phishing

Dodržujte tři pravidla:

  1. Žádná banka po vás nikdy nebude chtít zaslání vašich přihlašovacích údajů do internetového bankovnictví nebo čísel karet ani vás nebude navádět na své přihlašovací stránky.
  2. Vždy, když vstoupíte na oficiální web banky, se ujistěte, že je v adresním řádku správná adresa a je uvozena symbolem visacího zámku.
  3. Nikdy nikomu nepřeposílejte autorizační sms kódy. Nikdy nikomu!

Pokud si nechcete tato pravidla pamatovat, začněte používat bezpečnostní aplikaci, pokud ji vaše banka nabízí.

Proč je George klíč při transakcích bezpečnější než klasická potvrzovací sms s kódem?
Hlavní rozdíl je, že máte aplikaci, která je na vašem zařízení a která zcela bezpečně komunikuje s bankou. Svůj PIN ťukáte jen do této aplikace, takže se vám nemůže stát, že ho prozradíte někomu jinému, o kom ani nevíte, že mu ho zrovna prozrazujete, jako se to děje při phishingu.

Fotogalerie

Co když mi mobil někdo ukradne a s ním i aplikaci pro přímý přístup do banky?
Na to se ptá řada klientů,mají z toho obavu. V tom je však velké nepochopení, jak útočníci pracují. Provést útok na konkrétní telefon konkrétního klienta vyžaduje akci jak z filmu Dannyho parťáci. Útočník by musel vědět, na koho přesně útočí, musel by nějak převzít telefon, jeho otisk prstu nebo nějak uhodnout PIN a vše provést v řádu minut, protože jinak si klient ztraceného mobilu všimne a metodu snadno zablokuje. Pravděpodobnost úspěchu je velmi malá a možnost prozrazení obrovská, takto útočníci nepracují. Naopak běžní phishingoví piráti jsou na aplikace jako George klíč krátcí – i kdyby klienta napálili tím, že se pokusí přihlásit do jejich podvržené stránky, nemají žádnou možnost převzít PIN klienta – k žádné jiné aplikaci nejde klientův PIN použít a tu svoji má klient ve své ruce.

George klíč dnes využívá téměř 230 tisíc vašich klientů. Prý chcete do dvou let dosáhnout toho, aby ho používali všichni digitální klienti, kterých je 1,6 milionu? Jak to chcete udělat?
Není vyloučeno, že v příštím roce spustíme minimálně u uživatelů našeho mobilního bankovnictví povinný přechod na George klíč, jako jsme to udělali v případě přechodu ze Servisu 24 do George, Tam se nám mimochodem podařilo převést 1,6 milionů klientů během půlroku. Věřím, že stejně úspěšní budeme i s přechodem na George klíč. Chceme klienty přesvědčit, že George klíč je jednodušší, rychlejší a bezpečnější způsob pro potvrzování plateb v internetovém bankovnictví a v blízké budoucnosti také při platbách kartou na internetu.

Klíče, které umožňují biometrické ověření, například otiskem prstu, ale vyžadují investici do chytrého mobilu. Každý takový mobil nemá. Co s tím?
Chytré telefony dnes používá více než 80 procent Čechů a to číslo neustále roste. Samozřejmě i mezi našimi klienty bude vždy malá skupina s klasickými tlačítkovými telefony. Na tlačítkový telefon ale aspoň nejde nahrát žádný malware, takže tam je SMS kód paradoxně bezpečnější než u chytrých telefonů, jakkoli i tam stále hrozí phishing.

Na internetu se v diskusích objevují názory, že otisk prstu, jako ověřovací prvek, může být zranitelný, protože otisky zanecháváme všude. Jak to vnímáte, je to strašení, nebo možná realita?
To, že někdo v laboratorních podmínkách na nějakém telefonu prolomil sken otisku prstu, neznamená, že je to realistický scénář útoku na internetové bankovnictví. Tohle nevnímám ani jako strašení, to pouze plyne z neznalosti, jak funguje kyber zločin. Ten se zaměřuje na phishing a malware pro přeposílání SMS kódů.

Autor:
  • Nejčtenější

Nápad se zrodil při vytahování slunečníku. Dnes je vyhledávaný profík

Po studiu na vysoké škole začal Ondřej Diviš pracovat jako trenér ve fitness centrech. Zjistil ale, že mnoho lidí chce...

Přidávají těm, co umí něco navíc. Kolik berou „ajťáci“ i další profese

Výroba a IT jsou obory, které takzvaně jedou. Tolik volných pozic jinde nenajdeme. Ne všude je však stejně zaplatí. Ve...

S penzí klesne příjem v průměru o 17 tisíc korun, spočítali experti

S odchodem do penze klesá razantně příjem. Podle odborných propočtů v průměru o 17 tisíc korun. Kdo nemá na důchod...

Výpověď těhotné je neplatná, řekl soud. Jak chrání zákon budoucí matky

Ukončit pracovní poměr ve zkušební době je podle zákoníku práce možné kdykoli a z jakýchkoli důvodů. Nejvyšší soud ale...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Jak ovlivňovat? Netlačit, ale postrčit, říká teorie s Nobelovou cenou

„Protřepat, ale nemíchat”, říká James Bond, když si objednává své Vodka Martini. V jeho případě jde z velké části o...

TEST: Hodinky místo mobilu děti pohlídají i zabaví

Premium Co umějí chytré hodinky se SIM kartou pro děti? Nahradí mobil. Dá se na ně dovolat a většinou i sledovat jejich polohu...

Opatření bojkotuje stále více lidí, cítí se podvedeni, říká psycholog

Premium Doba covidová je už dlouhá. Zatímco při první vlně epidemie byli lidé v Česku většinou ukázkově disciplinovaní, nyní je...

Velké dilema třetí dávky: míchat, či nemíchat vakcíny?

Premium Posilující dávka očkování naráží na možnost volby. Řada Čechů řeší, kterou vakcínou si nechat svoji imunitu proti...

  • Další z rubriky

Češi se nemíní vzdát hotovosti, naše platební zvyklosti se však mění

Češi jsou otevřeni inovacím. Oproti loňskému roku narostl počet lidí, kteří využívají „chytré“ způsoby placení....

TOP 5 nejlepších běžných účtů: jedničkou je MONETA, překvapila ČS

Žebříček nejlepších běžných bankovních účtů určených občanům se radikálně změnil. Bankovní účty se nyní výrazně liší v...

KOMENTÁŘ: Co čeká platební karty?

Placení už podle všeho nebude jen bezkontaktní, ale pravděpodobně i „bezkaretní“. Tedy alespoň bez fyzické podoby...

Neplatíte i za účet zdarma? Zkontrolujte si výpis poplatků a máte jasno

Už třetí rok mají banky povinnost zasílat svým klientům výpis bankovních poplatků, měl by vám dorazit nejpozději do...

Žilková: Byla jsem těhotná s Menzelem, potrat byl pro mě rozvodem s Bohem

Veronika Žilková překvapila informací o tom, že kdysi čekala dítě s Jiřím Menzelem. O nevěře manžela, vztahu s...

Moje tetování nad rozkrokem vyznívá vulgárně, stěžovala si paní

Nebylo tak úplně promyšleno, kvůli přemíře alkoholu vlastně nebylo ani zamýšleno. Tetování vyznívá explicitně sexuálně,...

Psychopati za volantem: pozor na dodávky, elektromobily a bouráky dvou značek

Beránci ve škodovkách a predátoři v bavorácích? Výběr auta o vás může prozradit víc, než byste možná chtěli. Ať už se...

Měli jsme zůstat točit v Sydney, říká Chris Hemsworth o práci v Praze

Australský herec Chris Hemsworth (38) v Praze natáčí pokračování akčního filmu Vyproštěn. V české metropoli by měl štáb...

Syna jsem viděl, když mu byly tři. Pak až v jeho padesáti, říká Ladislav Frej

Premium „Po představení neusnu. Je půl třetí ráno, sedím v kuchyni, chroustám piškoty bez lepku, piju mlíko a mudruju, co jsem...