23.06.2017

Případ – útok hackerů na mobilní bankovnictví.

DOTAZ: vystrašil mě útok hackerů na programy, co jsou na ovládání účtů přes mobily. Raději to teď nepoužívám. Dají banky zase tenhle kanál do pořádku, abych jej mohl zase používat?

MALÉ PENÍZE: Odstup necelého jednoho týdne by nám mohl nejprve pomoci se oprostit od dojmů z amerických seriálů, kde vidíme ajťáka, co sedí před obrazovkou počítače a hravě se nabourává do systémů různých institucí, firem, tajných služeb a podobně. Tohle se možná stává  v nějakých zcela ojedinělých případech u velmi zdatných hackerů, v praxi se s tím však běžný člověk zatím nesetkává.

Nejinak je tomu u útoku na mobilní bankovnictví, ohledně něhož nyní vzplály vášně. Je třeba si říci, že mobilní bankovnictví nebylo u žádné banky narušeno. Totéž platí i o aplikacích, které si uživatel stahuje do svého mobilu. Tyto aplikace a ani příslušné systémy bank nebyly podle stávajících informací dotčeny. Z tohoto pohledu není třeba se ničeho obávat. Co se tedy stalo?

Začneme si událost ukazovat z jednoduššího pohledu a to jsou pokusy o podvod běžně označované jako phishing (česky se tomu někdy říká rhybaření). Jde o samostatně vytvořený email, který má vzhled stejný, jako je klasický marketingový vzhled komunikace nějaké velké banky či jiné instituce v některé zemi. Tento email obsahuje dotaz na ověření přístupového jména a hesla, případně jiné kombinace jako je číslo karty a PIN nebo její platnost a internetový kód (CVV2 nebo CVC2). Email příjemce po kliknutí na příslušný odkaz přesměruje na podvodnou internetovou stránku, jejíž název je podobný jako název dotyčné instituce, kde pachatelé očekávají, že oběti zde zadají příslušné důvěrné údaje. A pokud to někdo udělá, stačí už jen tato data zneužít – nejčastěji k platbám kartou.

Z tohoto příkladu je dobře vidět, že nedochází k narušení žádného bankovního systému a ani aplikace na vašem počítači. Zároveň je nutná spolupráce oběti – přesněji řečeno: její neopatrnost. Banky totiž důvěrné údaje nesmí od klienta vyžadovat; jsou na to v bankách příslušné postupy, aby se k citlivým datům nedostali zaměstnanci a nemohli je zneužít.

Analogicky proběhla i akce s mobilním bankovnictvím. Dostáváme se zde již na trochu vyšší úroveň, ale princip je stále stejný. Řekneme si nejprve něco o program typu trojský kůň. Jak sám název napovídá, nebudeme od takových programů , resp. virů čekat nic dobrého. Je to program který si uživatel nahraje do svého systému (počítače, tabletu, mobilu). Samozřejmě se program neukazuje jako virus a nehlásá o sobě: „koukejte, já jsem trojský kůň, nahrajte si mě!“ Virus se nahraje skrytý za jiným programem či jiným typem souboru, třeba videem. U nás, kde je v oblibě přeposílání všelijakých obrázků, vtipů, nelegální stahování filmů a kdo ví, co ještě, je pravděpodobnost stažení viru relativně vysoká.

Trojský kůň pak v klidu čeká ve vašem zařízení na svoji chvíli. Když přijde, je schopen zaznamenat vaše citlivá data a poslat je podvodníkům přímo do náruče. Ti je pak obratem zneužijí ve svůj prospěch.

Můžeme se setkat i dalšími názvy na obdobný virus jako je keylogger (zaznamenává, co píšete na klávesnici) , spyware (obecně slouží k odesílání dat z vašeho zařízení bez vašeho vědomí) nebo malware (znamená množinu škodlivého softwaru pracujícího bez vědomí uživatele a proti jeho vůli).

Nyní se stalo, že trojský kůň vypadal jako aplikace pro internetové bankovnictví. Je to opravdu stejný princip jako u phishingu jen s tím rozdílem, že nejde o email, ale již přímo o aplikaci, která se tváří jako skutečné mobilní bankovnictví. Kdo není opatrný, stáhne si takovou aplikaci do mobilu – ta předstírá, že je pravé mobilní bankovnictví a dokonce umí i pracovat s ověřovacími SMS.

Podle dostupných informací byly napadeny hlavně přístroje se systémy Android a Symbian. U přístrojů s iOS je to složitější, jelikož sem stáhnete jen software od vývojáře oficiálně uznaného Applem. Stoprocentní ochrana to ale také není.

Ochrana proti takovým pokusům o podvod je jednoduchá a stále stejná. Především by měl být uživatel přiměřeně opatrný. Software či jiné soubory by měl člověk stahovat jen legální a z důvěryhodných zdrojů – to v našich zeměpisných šířkách sice zní tak trochu jako pohádka, ale každý ať si zváží následky (a sám si je pak nese). Samozřejmě nesmíme zapomenout na pravidelně aktualizovaný antivirový software. Ten na mobilu nemá téměř nikdo, ale jak je vidět, doba mobilů bez antiviru pomalu končí.

Kdo chce, může si také pojistit platební kartu proti zneužití. A těm ostatním budiž zatím malou útěchou, že ztráty klientů jsou u nás z tohoto typu útoků doposud prakticky zanedbatelné.

Vložte svůj komentář