Na ptačí chřipku čekáme, první útok na banku v češtině už máme za sebou.

Do dějin českého bankovnictví se pátek 3. března 2006 zapíše jako den, kdy došlo k prvnímu velkému internetovému útoku na českou banku. Zdání, že je to možné jen v USA nebo ve vyspělých zemích, se zhroutilo jako domeček z karet. Po šéfovi Světové banky Paulu Wolfowitzovi nás tak mezi vyspělé země zařadili také internetoví zločinci. Asi usoudili, že už je u nás koncentrace majetku taková, že se vyplatí zkusit něco z něj ukrást.

Možná proto se cílem stala Citibank, kde převažují movitější klienti. Při loupeživém nájezdu se totiž dá nakrást tím víc a hlavně rychleji, čím vyšší jsou zůstatky na účtech. Útok byl prý neúspěšný, ale nebyl špatně připraven. Jeho popis i možnost obrany najdete v článku Citi pod palbou.

Útočník se pomocí mailu, rozeslaného jménem CitibankOnline, a podvržené přihlašovací stránky pokusil z klientů banky vylákat jejich kódy pro vstup do internetového bankovnictví, a tím i přístup k jejich účtům. Text mailu nevypadal příliš důvěryhodně a nebyl rozeslán jen klientům banky, ale plošně na velké množství adres. Citibank má relativně malý počet klientů a tak šance, že příjemce mailu bude mít v tomto finančním ústavu také účet, byla dost malá. Velcí klienti bývají navíc obezřetnější a nedají se tak snadno nachytat. Stejný útok proti České spořitelně, která má víc a menších klientů, by byl s velkou pravděpodobností úspěšnější.

SOCIÁLNÍ ÚTOK - tak se říká nájezdu mířícímu na nejslabší článek bezpečnosti, na lidi. Ekonomem oslovené banky tvrdí, že větší problémy v této oblasti zatím nezaznamenaly. Jen několik klientů ČSOB ohlásilo obdržení podvodného mailu se žádostí vyplnění údajů z platební karty. Podvržená adresa odesilatele se je snažila přesvědčit, že odesilatelem je společnost VISA.

Cílem dalšího útoku mohou být klienti libovolné banky. Tvrdí-li některá, že jí se to stát nemůže, pak nemluví pravdu. Buď vědomě, v horším případě z neznalosti. Vylákání údajů jde totiž mimo ni, takže mu nemůže přímo zabránit. Může ale omezit úspěšnost i důsledky takového útoku. Měla by své klienty seznamovat s pravidly bezpečného chování, ale i s riziky svých produktů. A také všechny varovat, dojde-li už k útoku. Okamžitě.

Důsledky získání přístupových kódů útočníkem závisejí i na způsobu zabezpečení aplikace. Je-li zadání těchto údajů jediným obranným valem, jejich vyzrazení znamená katastrofu. Pokud je pro přístup do systému nebo alespoň klíčové operace (např. odeslání peněz z účtu) požadováno jednorázové heslo z bezpečnostní kalkulačky nebo potvrzení kódem, odeslaným bankou uživateli jiným kanálem (mobil nebo alespoň mail), pak jsou útočníkovy možnosti mnohem menší.

Při komunikaci s klienty však tyto instituce zásady bezpečnosti někdy nedodržují. Česká spořitelna a ČSOB nám potvrdily, že banky neposílají nezabezpečeným mailem osobní data ani údaje o účtech a kartách. Ale například Komerční banka tímto způsobem posílá výzvu k aktualizaci osobního certifikátu, obsahující odkaz na webové stránky s průvodcem. Když takhle školí uživatele, koledují si o stejný útok, jako byl ten na Citibank. Možná by se podobné slabiny našly i jinde (pokud o nich víte, dejte nám vědět).

PŘIJDE DALŠÍ, ÚSPĚŠNĚJŠÍ ÚDER? Hodně záleží na tom, zda se budeme tvářit, že se vlastně nic nestalo, nebo budeme bojovat. Je nutné přijmout opatření, která sníží potenciálním útočníkům šanci na úspěch a zvýší riziko jejich odhalení. A veřejně o tom informovat, aby je přešla chuť. Pozornost se bude muset věnovat i bezpečnosti bankovních produktů. Bankám se do toho asi nebude chtít. Znamená to přiznání slabin a výšší náklady. Je to však třeba udělat.

V případě Citibank však možná můžete pomoci i vy. Maily rozesílané útočníkem obsahují informace, které by mohly pomoci při vyšetřování. Pokud jste mail dostali, tyto informace nám, prosím, pošlete. Návod, jak to udělat, najdete na serveru www.ekonom.cz pod odkazem Útok na Citibank. Najdete tam i postup, jak se pokusit mail obnovit, pokud jste ho už smazali. Informujte o této iniciativě i své známé.
Související