Internetové bankovnictví - díl II - Rozhovor s Davidem Lorencem, ředitelem internetového bankovnictví ČS

V rámci pokračování našeho seriálu o internetovém bankovnictví jsme si pro Vás připravili rozhovor s ředitelem internetového bankovnictví České spořitelny, panem Davidem Lorencem. Otázky se týkají hlavně bezpečnosti internetového bankovnictví a problému phisingu.

Není to zas tak dávno, co se objevil phisingový útok na ČS. Zaznamenali jste nějaké problémy s tím spojené, např. že lidem z účtů zmizeli peníze po kliknutí a přihlášení se přes podvržený odkaz?

V souvislosti s phishingem jsme nezaznamenali žádné případy zneužití finančních prostředků klientů přes internetové bankovnictví. Jiná situace byla u platebních karet, kdy se podvodníkům několikrát podařilo prostřednictvím e-mailu z klientů vylákat citlivé údaje (číslo karty, expiraci, PIN a CVV/CVC kód), a pak kartu zneužít. S reklamacemi takových transakcí jsme klientům samozřejmě pomohli.

Jak se ČS brání před phisingovými útoky

Dohledat autora podvodného e-mailu je velice obtížné, protože e-mail může přijít prakticky odkudkoli. Nejlepší obranou proti phishingu jsou informovaní klienti, kteří na phishing vůbec nezareagují a podvodníkům tak nedají šanci. Průběžně uveřejňujeme informace jak postupovat, když se klienti s podvodným e-mailem setkají. V souvislosti s phishingem jsme také přestali odesílat e-maily, které by obsahovaly jakékoli aktivní prolinky, zpřísnili jsme způsob nastavení telefonního čísla pro autorizační SMS zprávy, aj. Podvodné e-maily postupujeme do antiphishingových a antispamových databází, z kterých čerpají výrobci softwarů, majitelé freemailů, internetoví provideři atd.

Může se klient nějak bránit v případě, že mu někdo pronikne do správy účtu a kupříkladu převede peníze jinam?

Díky pokročilé bezpečnosti založené na dvoufaktorové autentizaci (klient něco zná, heslo, a něco musí mít, např. mobilní telefon, na který mu chodí autorizační SMS) ke zneužití prostředků nedochází. Jiná situace je u přihlášení na účet, ke kterému stačí jen znalost hesla a identifikačního číslo. Obecně platí, že pokud má klient podezření na neoprávněný přístup na účet nebo že na podvodný e-mail zareagoval a zadal své přihlašovací údaje, měl by nejprve co nejrychleji zablokovat přístup do svého internetového bankovnictví. Blokaci provede v jakékoli pobočce České spořitelny nebo prostřednictvím non-stop telefonní linky. „Nouzově“ lze internetové bankovnictví zablokovat i tak, že uživatel zadá třikrát chybně přihlašovací heslo. Další postup je na individuálním posouzení každého případu.

Co dělat když mi přijde phising do mé e-mailové schránky?

Pravidlem číslo jedna je na takové e-maily nereagovat a v žádném případě nezadávat přihlašovací údaje do internetových stránek, na které se klient dostane prostřednictvím aktivního prolinku v těle e-mailu.

David Lorenc

Jak je zabezpečen přístup na internetové bankovnictví? Lze využívat i jiné prostředky zabezpečení než přihlašovací číslo a heslo?

Klient se do aplikace přihlásí prostřednictvím klientského čísla a hesla, které dostane poštou několik dní po zřízení služby přímého bankovnictví. Heslo v zásilce si pak klient změní na své vlastní heslo. K prvnímu přihlášení a k provádění dalších transakcí (např. pro telefonické odblokování služby) klient potřebuje, spolu s klientským číslem a heslem, ještě tzv. bezpečnostní kód, který obdrží pouze v pobočce. Aktivní transakce (převody peněz, nastavení trvalých příkazů a souhlasů s inkasem aj.) klient potvrzuje tzv. autorizačním kódem, který mu přijde prostřednictvím SMS na jeho mobilní telefon. Autorizační kód je jedinečný – nelze ho znovu použít a jeho platnost je časově omezená. Dále máme doplňkové části bezpečnostní stavebnice, jako je grafická klávesnice (klient nezadává své bezpečností údaje přes klasickou klávesnici, ale znaky vybírá na klávesnici elektronické; eliminuje se tedy riziko, že by někdo dešifroval heslo klienta podle úhozů na klávesnici), možnost zablokování účtu, možnost kdykoli a jakkoli často měnit heslo, možnost měnit bezpečnostní kód, transakční limity. Pokud chce mít klient maximální zabezpečení, doporučujeme pořízení čipové karty s elektronickým podpisem.

Jak jsou na tom z hlediska bezpečnosti jiné banky?

Bezpečnost všech významných bank je v zásadě srovnatelná.

Plánujete do budoucna nějaké výrazné změny v zabezpečení přístupu?

Internet se vyvíjí velmi rychle kupředu a my na to musíme reagovat i novými formami zabezpečení. V horizontu dvou až tří let představíme nové bezpečnostní metody.

Doporučil by jste zákazníkům optimální způsob jak se bránit a nepřijít o své peníze?

Typ zabezpečení by měl vždy odpovídat výši prostředků, které má klient na účtu. Pro soukromé osoby je naprosto dostačující používat autorizačních SMS, u právnických osob s vysokými zůstatky můžeme doporučit elektronický podpis na čipové kartě.