(Vyšlo v MF Dnes 29.08.2006)

Adrenalinové přepadávání dostavníků s hotovými penězi někteří lupiči mění za pohodlnější způsob: namísto fyzicky náročného, rizikového a někdy neefektivního vykradení auta s balíky peněz se postmoderní bankovní lupič raději učí programovat. Peníze si stahuje z internetových účtů třeba ze svého počítače doma v obývacím pokoji.

3. března v 7:51 jsou e-mailové schránky v České republice zaplaveny zprávou předstírající, že pochází od Citibank. Je to klasický příklad takzvaného phishingu. Útočník nastraží návnadu na uživatele dostatečně nepozorného na to, aby klikl na odkaz v e-mailu a nevšiml si, že místo adresy czechrepublic2.online.citibank.cz se dostal na stránku citi-online.czechrepubliconline.com. Ta byla den předtím registrována na jméno Travis Godfrey. Pokud je mi známo, žádný důvěřivec se nechytil. Útočník, který napadl účty v Komerční bance, byl možná úspěšný díky tomu, že se nespoléhal na to, že důvěřivý klient klikne na podezřelý odkaz v e-mailové zprávě, ale podařilo se mu proniknout do počítače oběti a zmocnit se jeho virtuální identity, to znamená uživatelského jména, hesla a bezpečnostního certifikátu. Potom již mohl s napadeným účtem libovolně disponovat.

Jak se vlastně může hacker dostat do počítače své vyhlédnuté oběti?

• Spustí takzvaného trojského koně v e-mailu, maskovaného jako obrázek nebo prezentace, díky němu pak nasadí do vzdáleného počítače “průzkumníka”, který sleduje jeho majitele, lépe řečeno jeho pohyb po počítači a internetu.
• Instaluje trojského koně pomocí upravené webové stránky se stejným výsledkem jako v předchozím případě.
• Pronikne do počítače pomocí chyby v síťovém softwaru nebo chybného nastavení zabezpečení - například bezdrátového připojení k internetu.

Může se počítačový laik vůbec bezpečně chránit před takovým ohrožením? Rizika lze minimalizovat, pokud se nebude spoléhat na nejjednodušší typ zabezpečení internetového účtu. To znamená, že místo hesel a certifikátů uložených přímo v počítači použije kódovací kalkulačku, tedy hardwarové zařízení fyzicky oddělené od počítače. Jednorázová hesla zasílaná SMS zprávou (dodatečná ochrana, kterou doplnila Komerční banka po napadení účtů svých klientů) se mi jeví jako prostředek sice zvyšující ochranu, nicméně stále nedostatečný. Protože po autorizaci pomocí SMS je možné zadat libovolný počet příkazů k úhradě. eBanka, která využívá SMS zpráv jako levné náhrady kódovací kalkulačky, generuje SMS zprávu pro každý jednotlivý platební příkaz.

Bankovní lupič už nemusí vytáhnout paty z domu, aby si přivlastnil cizí peníze. Stačí mu několik kliknutí na internetu.

— Šimon Formánek 18.05.07 03:16

Archiv MF Dnes (vyžaduje přihlášení):
http://mfdnes.newtonit.cz/default.asp?cache=721370