Bezpečnosť elektronického bankovníctva

Pravidlá bezpečného používania elektronického bankovníctva

Rastúci trend využívania služieb internetového bankovníctva a väčšinou slabšia bezpečnostná uvedomelosť a dôverčivosť používateľov týchto služieb láka rôznych podvodníkov získať citlivé informácie a zneužiť ich vo vlastný prospech. Avšak poučený a dôsledný používateľ, dodržiavajúci základné pravidlá, sa dokáže vyhnúť atakom zo strany podvodníkov.

Sociálne inžinierstvo
Sociálne inžinierstvo je spôsob získavania citlivých informácií manipuláciou. Zneužíva dôverčivosť ľudí vydávaním sa za zástupcov známych existujúcich spoločností alebo inštitúcií. Metóda bežne využíva telefóny alebo internet.

Phishing
Phishing využíva prvky sociálneho inžinierstva. Metóda je charakteristická pokusmi podvodne získať citlivé informácie, ako sú identifikačné a autentifikačné údaje (PID, PIN, kódy z GRID karty) či detaily platobnej karty vydávaním sa za dôveryhodnú osobu alebo spoločnosť. Najčastejšie má podobu falošného oficiálneho e-mailu alebo telefonátu, prostredníctvom ktorého podvodník žiada údaje od používateľa. Cieľom je zneužiť tieto citlivé informácie v neprospech poškodeného. Príkladom môže byť vyžiadanie verifikácie identifikačných a autentifikačných údajov s odvolaním sa na zavedenie nových bezpečnostných opatrení, poškodenie databázy klientov, prípadne ponúkanie odmien za vyplnenie priloženého formulára a podobne.

Pharming
Pharming je založený na zmene položiek DNS (Domain Name System) napríklad prostredníctvom vírusu alebo modifikovaných súborov ponúknutých na stiahnutie na internete. To znamená, že ak aj používateľ dodržiava jednu zo všeobecných zásad a zadá názov internetovej adresy priamo do adresného riadka internetového prehliadača, internetová stránka, ktorú navštívi, nie je stránka pôvodná, ale falošná, vytvorená podvodníkmi, ktorí chcú získať dôverné údaje. Preto je dôležité oboznámiť sa a dodržiavať aj ostatné pravidlá bezpečného používania elektronického bankovníctva.

Všeobecné zásady

    • Pri práci s internetom nepoužívajte v operačnom systéme profil užívateľa s oprávneniami administrátora.
    • Vždy zadávajte internetovú adresu do adresného riadka internetového prehliadača ručne.
    • Nikdy nepristupujte k službe elektronické bankovníctvo z odkazov uvedených v akejkoľvek e-mailovej správe.
    • Neodpovedajte na e-mailové správy a telefonáty, vyzývajúce na uvedenie identifikačných a autentifikačných údajov, detailov platobnej karty a podobne.
    • Nereagujte na žiadne žiadosti o vyplnenie formulárov na internete alebo v e-mailovej správe, hlavne ak nabádajú na udanie bankového spojenia a ďalších citlivých informácií.
    • Buďte opatrní pri otváraní príloh e-mailovej správy hlavne, avšak nielen, od neznámeho odosielateľa, keďže môžu obsahovať vírus a iný škodlivý kód.
    • Pri autentifikácii GRID kartou nikdy nezadávajte naraz viac ako jeden kód. Ak stránka nabáda na zadanie viacerých kódov z GRID karty naraz, so stopercentnou istotou ide o podvrhnutú stránku.

Skôr ako sa pripojíte k elektronickému bankovníctvu

    • Na pripojenie k elektronickému bankovníctvu je nanajvýš nevhodné používať počítače, ktoré sú verejne prístupné ako napríklad v internetových kaviarňach, knižniciach a podobne.
    • Používajte výlučne bezpečný počítač, pri ktorom máte kontrolu nad tým, kto ho používa a ktoré programy sú na ňom nainštalované.

Bezpečný počítač by mal obsahovať tieto bezpečnostné prvky:
    • Legálne nadobudnutý software – používajte výlučne legálne nadobudnutý software. Práve jeho legálnosť vám umožní získavať bezpečnostné aktualizácie a záplaty na skryté chyby v jeho kóde. Nelegálne, tzv. „cracknuté“ verzie softwaru môžu obsahovať rôzne škodlivé kódy umožňujúce sledovať obvyklé činnosti užívateľa alebo zbierať o ňom informácie.
    • Automatická aktualizácia operačného systému - na zamedzenie zneužitia prípadných chýb v operačnom systéme je dôležité mať zapnuté automatické aktualizácie operačného systému. Ak operačný systém neumožňuje automatické aktulizácie, odporúčame sťahovať a inštalovať bezpečnostné záplaty manuálne z oficiálnych stránok producenta softwaru.
    • Antivírusová ochrana - na ochranu pred škodlivým kódom je nevyhnutné mať nainštalovaný antivírusový softvér, ktorý vykonáva pravidelné kontroly a je pravidelne aktualizovaný.
    • Antispyware a antiadware programy - na zabránenie nepovoleného zbierania informácií z počítača, sledovania internetových činností a zvyklostí používateľa sa používajú tieto ochranné programy, ktoré by mali byť taktiež pravidelne aktualizované a vykonávať pravidelné kontroly. Spyware nie je vírus, keďže len zaznamenáva, čo robíte a nemení spôsob, akým pracuje váš počítač. Z tohto dôvodu nie je antivírusový software na 100 % účinný pri identifikácií a odstraňovaní spyware.
    • Osobný firewall - slúži na zabezpečenie kontroly toku dát medzi počítačom a internetom, a preto taktiež patrí k základným ochranným programom, ktoré sú nevyhnutné pre bezpečnú prácu s internetom.
    • Aktualizácia programov, ktoré pristupujú na internet, a to hlavne internetový prehliadač, ale aj komunikačné programy (ICQ, Skype a pod.), prípadne programy na prehrávanie videa a hudby.

Pripojenie k elektronickému bankovníctvu

    • Najvhodnejší spôsob, ako sa k elektronickému bankovníctvu pripojiť, je ručne zadať adresu www.sberbank.sk do adresného riadku internetového prehliadača a tam kliknúť na odkaz elektronické bankovníctvo, prípadne zadať namiesto mennej adresy elektronického bankovníctva priamo adresu číselnú (https://195.91.45.96/ebweb/do/start).
    • Overte si, či je stránka elektronického bankovníctva, ktorá sa vám otvorila, šifrovaná (začiatok adresy začína https, nie http) a zabezpečená certifikátom. Dvojitým kliknutím na ikonu zámku v pravom dolnom rohu internetového prehliadača možno overiť informácie o SSL certifikáte, ktorý potvrdzuje autenticitu stránky a zabezpečuje šifrovanie komunikácie.
    • Pri autentifikácii GRID kartou nikdy nezadávajte naraz viac ako jeden kód. Ak by ste boli na stránke vyzvaný na zadanie viacerých kódov naraz alebo po zadaní postupne dvoch nesprávnych kódov nebude prístup zablokovaný, zaručene ide o stránku podvrhnutú. V tomto prípade nepokračujte v práci s elektronickým bankovníctvom a kontaktujte call centrum Sberbank Slovensko 0850 123 123 alebo ebanking@sberbank.sk.
    • Pre bezpečné ukončenie práce s elektronickým bankovníctvom sa odhláste a zatvorte okno internetového prehliadača.

Príklad phishingovej stránky

Stránka vyžaduje zadanie viacerých pozícií z GRID karty, chýba šifrovanie, t.j. nezačína na https, ale na http a nie je zobrazená ikona zámku . Adresa v adresnom riadku je podobná originálnej adrese elektronického bankovníctva, avšak nie je totožná. (v uvedenom príklade http: //iba.luba.eu/ebweb/do/start a nie https: //ibs.sberbank.sk/ebweb/do/start).