Bezpečnost bezhotovostního platebního styku

Bankovní institut vysoká škola Praha Katedra financí a ekonomie

Bezpečnost bezhotovostního platebního styku Diplomová práce

Autor:

Bc. Zdeněk Vafek Finance

Vedoucí práce:

Praha

Ing. Marcela Soldánová

2016

Prohlášení: Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Chebu dne 25. března 2016

Bc. Zdeněk Vafek

Poděkování: Děkuji vedoucí mé diplomové práce, paní Ing. Marcele Soldánové, za její vstřícný přístup, ochotu a cenné rady při vypracování této práce.

Anotace Tématem této diplomové práce je bezpečnost bezhotovostního platebního styku. Práce Vás seznámí s hrozbami v bezhotovostním platebním styku. Důležitou součástí práce je také analýza chování klientů bank. Závěrem jsou popsány možné inovace v zabezpečení elektronické komunikace s bankou nebo jinými institucemi.

Klíčová slova Platební karta, skimming, phishing, biometrie, platební styk, elektronické bankovnictví

Annotation The topic of this Master Thesis is the safety of non-cash payment system. The thesis will inform you about threats in non-cash system. An important part of this thesis is also an analysis the behavior of bank customers. Finally, are describes possible innovations in the security of the electronic communication with Banks or other institutions.

Key words Debit Card, Skimming, Phishing, Biometrics, Payments, Electronic Banking

Obsah Úvod ................................................................................................................................................ 7 Zvolené metody zpracování............................................................................................................. 9 1.

2.

3.

Platební styk .......................................................................................................................... 10 1.1.

Právní úprava platebního styku....................................................................................... 10

1.2.

Hotovostní a bezhotovostní platební styk ....................................................................... 14

1.2.1.

Platební styk za použití papírového nosiče.............................................................. 15

1.2.2.

Elektronický platební styk ....................................................................................... 16

1.2.3.

Další elektronické platební prostředky .................................................................... 28

1.2.4.

Srovnání vybraných aplikací Smart Banking .......................................................... 30

Hrozby v bezhotovostním platebním styku ........................................................................... 34 2.1.

Hrozby pro platební karty a jejich ochrana..................................................................... 35

2.2.

Hrozby pro internetové bankovnictví ............................................................................. 43

2.3.

Hrozby pro chytré telefony a Smart Banking ................................................................. 50

Zabezpečení elektronických komunikačních prostředků ...................................................... 57 3.1.

3.1.1.

Eset Mobile Security ............................................................................................... 62

3.1.2.

AVG ........................................................................................................................ 63

3.1.3.

Avast........................................................................................................................ 64

3.2. 4.

5.

Antivirové programy pro chytré telefony ....................................................................... 60

Vyhodnocení testu .......................................................................................................... 65

Analýza chování klientů ........................................................................................................ 66 4.1.

Popis ankety.................................................................................................................... 66

4.2.

Vyhodnocení dotazníku .................................................................................................. 67

4.3.

Souhrn ankety a potvrzení či vyvrácení hypotéz ............................................................ 72

Inovace v zabezpečení ........................................................................................................... 73 5

Závěr .............................................................................................................................................. 78 Seznam použité literatury .............................................................................................................. 80 Použité zkratky .............................................................................................................................. 88 Seznam obrázků............................................................................................................................. 89 Seznam tabulek.............................................................................................................................. 89 Seznam schémat ............................................................................................................................ 89 Seznam grafů ................................................................................................................................. 90 Seznam příloh ................................................................................................................................ 90 Přílohy ........................................................................................................................................... 91

6

Úvod Téma „Bezpečnost bezhotovostního platebního styku“ jsem si zvolil z důvodu všeobecného zájmu o bezpečnost a zabezpečení. V současné době jsou klienti bank, téměř každodenně konfrontováni s nějakou hrozbou. Ať už se jedná o kanály elektronického bankovnictví, používání debetních karet nebo podávání platebních příkazů v papírové formě. Platební styk ovlivňoval člověka již od dob, kdy ještě neexistovaly peníze, jak je známe dnes, ale obchody se prováděly barterovým systémem, jinak řečeno směnou zboží za zboží. Postupem času se začaly objevovat první předměty, které byly používány jako univerzální prostředek směny. Tyto předměty pak byly postupně nahrazovány mincemi a papírovými bankovkami. S vývojem nových technologií se pak platební styk začal čím dál více přesouvat do elektronické oblasti, a to dalo vzniknout elektronickému bankovnictví. Protože člověk je tvorem pohodlným, a chce získat co nejvíce peněz za co nejmenší práci, začal vymýšlet způsoby, jak se k penězům co nejsnáze dostat. V oblasti bankovek a mincí vzniklo padělatelství, čili nezákonná tvorba a uvádění peněz do oběhu a v elektronické oblasti se tyto činy zaměřily na platební karty a získávání citlivých údajů, kterými se uživatel přihlašuje do elektronického bankovnictví. Cílem této diplomové práce je poskytnutí informací o bezhotovostním platebním styku se zřetelem na rizika v této oblasti. Prostřednictvím ankety zjistit, jak klienti přistupují k bezpečnosti v této oblasti a predikovat její budoucnost. První kapitola této práce se zaměřuje na právní úpravu platebního styku a definici nástrojů, které jsou pro platební styk využívány. Jsou popsány jak nástroje pro provádění platebního styku za pomoci papírového nosiče, tak i nástroje pro elektronickou komunikaci a porovnány dvě mobilní aplikace pro ovládání běžného účtu. V druhé kapitole jsou popsány možnosti, jakými mohou být neoprávněně získávány citlivé údaje klientů bank. Jsou popsány techniky získávání a zneužívání dat jak z platebních karet, tak způsoby získávání přihlašovacích údajů do internetového a mobilního bankovnictví. Třetí kapitola je věnována současným způsobům zabezpečení elektronického platebního styku. V prvé řadě se jedná o zabezpečení přístupu do internetového bankovnictví a v druhé řadě 7

zabezpečení chytrých mobilních telefonů. Analýzou funkcionalit jednotlivých antivirových aplikací, budou zjištěny možnosti aplikací a formou komparace pak budou zhodnoceny výsledky a parametry jednotlivých zvolených antivirových řešení pro mobilní telefony a zjištěno, zda je nutné si do chytrého mobilního telefonu instalovat antivirové programy. Čtvrtá kapitola se věnuje anketnímu průzkumu, jehož cílem je zjištění, jak dnes klienti ovládají svůj běžný účet v bance a jak mají případně zabezpečeny prostředky elektronické komunikace, pomocí kterých svůj běžný účet ovládají. Výsledky ankety potvrdí nebo vyvrátí stanovené hypotézy. Anketa je zadána elektronickou formou na portálu Vyplňto.cz, Survio a formou papírovou. Obě formy ankety jsou anonymní a výběr respondentů je prováděn zcela náhodně. V páté kapitole se věnuji inovacím v zabezpečení, které mají za cíl zlepšení a zjednodušení ochrany citlivých údajů a snížení počtu tištěných papírů, které je dnes naprosto běžnou záležitostí při uzavírání jakýchkoli smluv. Vývoj technologií nasvědčuje tomu, že se biometrie stane dalším stupněm ochrany. Již dnes je totiž biometrie využívána k zjištění identity člověka nebo zjištění, zda je daná osoba oprávněna vstupovat do oblastí s omezeným přístupem.

8

Zvolené metody zpracování Při tvorbě mé diplomové práce jsem využil zejména tyto metody zpracování: •

Analýza

•

Deskripce

•

Komparace

•

Predikce

•

Syntéza

Metody analýzy a deskripce jsem požil v první kapitole, kdy jsem si kladl za cíl seznámit čtenáře s obecným přehledem týkajícím se platebního styku, zejména jeho právní úpravou a způsoby jeho provádění ať již za použití papírového nosiče tak také při využití elektronické cesty. Pomocí metody komparace jsem pak provedl srovnání dvou aplikací pro Smart Banking od vybraných bank. V druhé kapitole jsem taktéž použil metodu analýzy ke zjištění způsobů neoprávněného získávání citlivých údajů a metodu deskripce k popisu hrozeb, se kterými se čtenář může setkat při realizaci bezhotovostního platebního styku. Třetí kapitola je věnována současným způsobům zabezpečení elektronického platebního styku. Metodou deskripce jsou popsány způsoby ověřování identity klientů při přihlašování do internetového bankovnictví. A metodou komparace jsou porovnány tři náhodně vybrané antivirové programy pro chytré mobilní telefony. Ve čtvrté kapitole, kterou tvoří dotazníkový průzkum, jsem pomocí popisné statistiky ověřoval tři stanovené hypotézy. Pomocí metody syntézy jsem poté 167 získaných responzí spojil a vyhodnotil. Výsledné hodnoty, včetně ověření stanovených hypotéz jsem uvedl v podkapitole vyhodnocení dotazníku. Pátá kapitola, za použití metody predikce, pojednává o možných budoucích technologiích, kterých by se mohlo využít ke zlepšení, zjednodušení ochrany citlivých údajů a přístupů do omezených zón a ke snížení počtu tištěných papírů.

9

1.

Platební styk

Platební styk, je dnes v lidském životě brán jako samozřejmost. Lze jej pochopit jako prosté placení prostřednictvím platebních instrumentů bez hlubší znalosti jeho forem. Různé formy platebního styku se od sebe podstatně liší a vycházejí z různých právních norem. Na platební styk se můžeme dívat ze široka a několika směrů, a proto se pokusím obsáhnout co největší okruh, s ohledem na rozsah a zaměření této diplomové práce. Platební styk je v současnosti běžně využívaná forma plateb za zboží a služby. Je možné jej rozdělit na hotovostní a bezhotovostní. Hotovostní platební styk je prováděn s použitím mincí a bankovek a může jej provádět každý účastník finančního trhu a naopak bezhotovostní platební styk je záležitost čistě bankovní. Jako bezhotovostní platební styk lze označit takový platební styk, kdy nejsou použity mince a bankovky. Každá banka svým klientům na základě smluv zřizuje účty, na jejichž vrub či naopak v jejich prospěch, za pomoci nástrojů platebního styku, účtuje peněžní platby. Nástrojem platebního styku pak rozumíme instrument, na základě kterého jsou prováděny platební operace [1].

1.1. Právní úprava platebního styku V České republice vykonává dohled nad finančním trhem Česká národní banka, která je zároveň součástí Evropského systému centrálních bank [2] a protože je Česká republika také součástí Evropské unie, je nutné uvést některé zákony, vyhlášky a nařízení vydané nejen v České republice, ale i Evropskou unií. Zákon č. 284/2009 Sb., o platebním styku Tímto zákonem je upraven veškerý platební styk. Zákon vešel v platnost dne 4. července 2009 s účinností od 1. listopadu 2009. Z důvodu nutnosti přizpůsobení české legislativy té evropské, musely být vydány novely tohoto zákona. První novela byla vydána v podobě zákona č. 156/2010 Sb., dále zákona č. 139/2011 Sb., zákona č. 420/2011 Sb., a zákona č. 37/2012 Sb. V prosinci 2015 je v platnosti novela zákona č. 261/2014 Sb. s účinností od 1. prosince 2014. Tento zákon v aktuálním znění upravuje poskytování platebních služeb, vydávání elektronických peněz, 10

platební systémy a práva a povinnosti poskytovatelů a uživatelů platebních systémů. Dále také definuje správní delikty proti tomuto zákonu a sankce za tyto delikty [3]. Na základě požadavku na adaptaci českého právního řádu na nařízení Evropského parlamentu a Rady EU 2015/751 ze dne 29. dubna 2015 o mezibankovních poplatcích za karetní transakce a transpozice směrnice Evropského parlamentu a Rady 2014/92/EU1 ze dne 23. července 2014 o základním platebním účtu, zahájilo Ministerstvo financí 12. října 2015 mezirezortní připomínkové řízení k návrhu zákona, kterým se zákon 284/2009., o platebním styku mění. Předpokládaný termín nabytí účinnosti je 18. září 2016 [4]. V lednu 2016 vyzvalo Ministerstvo financí odbornou veřejnost k zaslání komentářů a připomínek ke stávajícímu znění zákona č. 284/2009 Sb., o platebním styku, ve znění pozdějších předpisů. Výzva byla podána v kontextu s přípravou transpozice druhé směrnice Evropského parlamentu a Rady č. 2015/2366/EU2, o platebních službách [5]. Zákon č. 21/1992 Sb., o bankách Aby mohl být platební styk mezi subjekty realizován, je nutná existence plátců a příjemců a zároveň i zprostředkovatelů platebního styku. Těmito zprostředkovateli jsou také banky. Zákon o bankách zapracovává příslušné předpisy Evropské unie, současně pokračuje v přímo použitelném předpisu Evropské unie a přizpůsobuje některé vztahy, které souvisejí se vznikem, podnikáním a zánikem bank se sídlem na území České republiky, a to včetně jejich působení mimo území České republiky, a potom také některé spojitosti závisející na působení zahraničních bank na území České republiky [6]. Zákon nabyl účinnosti dne 1. února 1992 a od té doby byl několikrát novelizován. V březnu 2016 jsou, s účinností od 1. ledna 2016, v platnosti novely zákona o bankách č. 135/2014 Sb. a 375/2015 Sb. Zákon č. 6/1993 Sb., o České národní bance Zákon o České národní bance je v platném znění novelizován novelou zákona č. 135/2014 Sb., s účinností od 22. července 2014. Zákon legislativně ošetřuje vznik a působení České národní banky. Vymezuje práva a povinnosti České národní banky, její cíl a činnosti. Určuje organizační 1 2

http://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32014L0092&from=CS http://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32015L2366&from=CS

11

strukturu, řídící orgány, vztah banky k ostatním orgánům a vládě. Dle čtvrté části zákona o České národní bance – emise bankovek a mincí, smí jen Česká národní banka má výhradní právo na emisi bankovek a mincí, spravuje zásobu bankovek a mincí, sjednává jejich výrobu a dohlíží na jejich likvidaci včetně likvidace prostředků umožňujících výrobu bankovek a mincí, tj. razící desky a štočky. Stanovuje hodnoty, rozměry, hmotnost, materiál, vzhled, platnost a další náležitosti potřebné k vydání bankovek a mincí do oběhu [2]. Důležitým faktem je, že Česká národní banka ze své funkce, nejen že vykonává emisní činnost, stabilizuje měnu, vede účty vládám, ale také provádí dohled nad celým bankovním systémem s licencí. Pro výkon platebních služeb, přiděluje také jednotlivým komerčním bankám kódy pro platební styk, známé jako kódy bank. Tyto kódy jsou zveřejněny v Číselníku kódů platebního styku v České republice [7]. Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Kybernetická bezpečnost státu je v současné době klíčová. Díky vzrůstajícímu využívání informačních technologií vzrůstá i riziko, že tyto technologie budou zneužívány nebo budou na tyto technologie vedeny útoky. Útoky na informační technologie mohou mít velký negativní vliv na činnost subjektů, které tyto technologie využívají a mohou vést i ke značným škodám. Dnes je na informačních systémech závislá celá řada základních služeb jako řízení dopravy, přenos energií, zdravotnictví, veřejná správa a podobně. Z důvodu neteritoriálnosti kybernetického prostoru je nutné se touto problematikou zabývat z globálního hlediska, s ohledem na mezinárodní společenství a s ohledem na závazky České republiky vůči státům Evropské unie a NATO3. Bezpečnost kybernetického prostoru je také důležitým kritériem pro investory a konkurenceschopnost dané země. Z tohoto důvodu byl 14. ledna 2014 rozeslán poslancům Poslanecké sněmovny Parlamentu České republiky návrh zákona o kybernetické bezpečnosti. Cílem návrhu zákona bylo zajištění bezpečné funkce informačních systémů, služeb a sítí pro elektronickou komunikaci. Úprava dále navrhovala minimální požadavky pro standardy zabezpečení kritické informační infrastruktury, zajištění vládnímu dohledovému pracovišti v reálném čase přehled o kybernetické bezpečnostní situaci a účinnější

3

North Atlantic Treaty Organization - Organizace Severoatlantické smlouvy

12

reakci na kybernetické bezpečnostní incidenty. Celkově bylo cílem návrhu zákona zvýšení bezpečnosti informačních a komunikačních systémů [8]. Zákon o kybernetické bezpečnosti byl, bez podstatných změn oproti návrhu, 29. srpna 2014 podepsán prezidentem republiky s účinností od 1. ledna 2015 a přinesl na pole informačních technologií řadu změn a novinek. Zákon upravuje práva a povinnosti osob, působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti [9]. Definuje například okruh povinných subjektů, upravuje bezpečnostní opatření, specifikuje bezpečnostní události a incidenty a reaktivní a ochranná opatření. Stanoví, kdo vykonává kontrolu v oblasti kybernetické bezpečnosti a specifikuje správní delikty za nedodržení tohoto zákona [10]. Vyhláška č. 169/2011 Sb., o stanovení pravidel tvorby čísla účtu Vyhláška, v souladu s předpisy Evropské unie, nastavuje pravidla pro tvorbu čísla účtu tak, aby byla v souladu s mezinárodním standardem obsaženým v normě ISO 13616 Financial Services – International Bank Account Number (dále jen IBAN). Každý účet musí být tvořen jedinečnou kombinací písmen, číslic nebo symbolů, aby ve spojení s kódem poskytovatele platebních služeb vznikla unikátní kombinace, na základě které by bylo možné jednoznačně identifikovat účastníky platebního styku. Číslo účtu je možné využívat ve dvou formátech: •

v národním formátu

•

v mezinárodním IBAN formátu

Číslo účtu v národním formátu tvoří maximálně 16 číselných znaků s tím, že je rozděleno na dvě části oddělené pomlčkou. Část čísla před pomlčkou může být tvořena až 6 číselnými znaky s tím, že pokud jimi jsou nuly, nemusí se do čísla účtu uvádět. Druhou část čísla účtu, za pomlčkou, tvoří minimálně dva a maximálně deset číselných znaků s tím, že alespoň dva z nich nesmějí být nulové a nuly následující za pomlčkou nemají význam a nemusí se uvádět. Obě části čísla účtu podléhají kontrole, jež se provádí pomocí algoritmu modulo 11[11].

13

1.2. Hotovostní a bezhotovostní platební styk Jak jsem již dříve uvedl, před vznikem platebního styku byly prováděny barterové obchody, při nichž například farmář měnil kozy se ševcem za boty. Když se člověk při svém vývoji naučil těžit a zpracovávat kovy, začaly vznikat první mince. Hotovostní platební styk byl tedy jen vyústěním nevýhod barterových obchodů. Hotovostní styk podléhá platné legislativě. Lze vyzdvihnout dva důležité zákony a to zákon č. 6/1993 Sb., o České národní bance, který umožňuje vydávání hotovostních peněz právě jen České národní bance a zákon číslo 254/2004 Sb., o omezení plateb v hotovosti v jeho aktuálním znění, který umožňuje provádět hotovostní platby pouze do výše 270.000 CZK. Hotovostnímu platebnímu styku se tato práce tématicky nevěnuje, nebudu jej tedy dále popisovat. Základními nástroji bezhotovostního platebního styku jsou příkaz k inkasu a příkaz k úhradě a jejich deriváty v podobě trvalého příkazu a hromadného příkazu. Tyto nástroje mohou být bance předávány v papírové nebo elektronické podobě nebo jiným vzájemně dohodnutým způsobem. V souladu s tématem práce, se budu dále věnovat pouze papírovému a elektronickému předávání nástrojů platebního styku. Aby bylo možné v kapitole dál pokračovat, je potřeba nastínit co je běžný účet, příkaz k úhradě a k inkasu. Běžný účet Běžný účet je základním produktem nabízeným bankou. Bez jeho existence by nebylo možné klientovi poskytovat služby platebního styku, úvěrovat klienta a poskytovat služby depozit a investic. Příkaz k úhradě Příkaz k úhradě je příkazem klienta své bance, aby na vrub účtu klienta, který příkaz vystavil, zaúčtovala platbu za účelem převedení této platby ve prospěch účtu třetí osoby. V současné době jde o nejpoužívanější nástroj platebního styku. Jeho formu a další náležitosti stanovuje vyhláška [12].

14

Mimo jiné musí obsahovat označení, že se jedná o příkaz k úhradě, bankovní spojení plátce a příjemce, částku v české měně, podpis nebo elektronický podpis [13]. Dále pak konstantní symbol, pokud tak stanový zvláštní předpis [14] nebo se jedná o platbu, která je státním příjmem4. Příkaz k inkasu Příkaz k inkasu je příkazem klienta své bance, aby účtovala na vrub účtu plátce a ve prospěch účtu klienta, jež příkaz vystavil. Příkaz k inkasu obsahuje stejné náležitosti jako příkaz k úhradě. Kromě inkas jednotlivých firem jako O2, ČEZ, RWE, které používají inkaso jako službu svým klientům, je asi nejznámější inkasní platbou sdružené inkasní platba obyvatelstva (dále jen SIPO) [15].

1.2.1. Platební styk za použití papírového nosiče Pro potřeby této diplomové práce rozumějme platebním stykem za použití papírového nosiče podávání platebních a inkasních příkazů bance na speciálních papírových formulářích banky. Do této skupiny sice patří také například poštovní poukázky, ale těmi se v této diplomové práci zabývat nebudu. Dále v této diplomové práci budu platební styk za použití papírového nosiče označovat jako papírový platební styk. Jedinou ochranou při provádění papírového platebního styku je podpis na formuláři. Podpis nejen, že platí jakou souhlas s údaji, které jsou na formuláři napsané, ale má i jednoznačně potvrdit identitu klienta vydávajícího příkaz. Aby mohl bankéř podpis na formuláři označit jako platný, musí jej nejdříve s něčím porovnat. Tím něčím je podpisový vzor. Podpisový vzor se vytváří ve chvíli, kdy si klient zřizuje účet u banky a ke každému jednomu účtu se přikládá zvlášť podpisový vzor. Může se tak stát, že klient bude mít dva účty a u každého účtu jiný podpisový vzor. Při zadávání příkazu si pak musí pamatovat podpisový vzor k účtu, na jehož vrub chce příkaz zadat. Podpisový vzor však nemusí být navázán pouze na účet, ale i na osobu. Pak lze hovořit o tak zvaném generálním podpisu a ten je možné využít k obsluze všech produktů [16].

4

Symboly jsou uvedeny Ministerstvem financí ve Finančním zpravodaji

15

Podpisový vzor se po svém vyhotovení převede do elektronické podoby a uloží k účtu, ke kterému byl zřízen. Výhodou elektronického zpracování podpisového vzoru je fakt, že klient již nemusí přinášet příkazy jen na svou pobočku, jak tomu bylo před zavedením digitalizace, ale může využít služeb kterékoliv nejbližší pobočky.

Schéma 1:Schéma pořizování podpisového vzoru a jeho uchovávání Zdroj: Bankovní podpisové vzory České spořitelny. ZRZAVÝ, Lukáš. Systém On Line [online]. 2002-05 [cit. 2015-03-03]. Dostupné z: http://www.systemonline.cz/clanky/bankovni-podpisove-vzory-ceske-sporitelny.htm, Vlastní úprava [17]

1.2.2. Elektronický platební styk Jak již bylo zmíněno, bezhotovostní styk lze provádět na základě papírových formulářů doručených bance, tak na základě přímé elektronické komunikace mezi klientem a bankou. Z tohoto důvodu je nutné zahrnout i platební karty, které svou podstatou určitě platí za bezhotovostní nástroj. Další kanály přímého elektronického kontaktu jsou mimo jiné internetové a mobilní bankovnictví, Homebanking a další.

16

V této podkapitole se budu věnovat konkrétně těmto pojmům: •

Platební karty

•

Phone Banking

•

GSM Banking

•

Homebanking

•

Internetové bankovnictví

•

Smart Banking

•

Využití technologií NFC a GPS

Platební karty Platební karta je vyrobena z PVC a její rozměry 85,5 x 54 x 0,76 jsou stanoveny normou ISO 3554. Materiál, z kterého se dnes platební karty vyrábějí, musí být odolný, netoxický a elastický. Na přední straně karty se nachází šestnáctimístné číslo karty, doba platnosti, jméno držitele, logo vydavatele, logo banky (u firemních karet ještě obsahují jméno společnosti) a ochranný hologram. Na zadní straně karty se nachází CVV/CVC5 kód pro ověřování transakcí bez přítomnosti karty, proužek určený pro podpis oprávněného držitele a magnetický proužek. Další ochranné prvky karet jsou viditelné pod UV světlem. Karty lze rozdělit na embosované a elektronická podle toho, zda jsou údaje o kartě vystouplé nebo je karta plochá. Embosované karty poskytují svému držiteli výhodu v provádění off-line6 transakcí pomocí imprinteru7. Elektronickou kartu je možné využít jen k elektronickým transakcím za využití bankomatu, online platebních terminálů nebo k platbám na internetu.

5

Card Verification Value/Card Verification Code – tří místný kód na zadní straně platební karty, sloužící k ověření pravosti transakce prováděné přes internet. 6 nejsou prováděny s autorizací platby v reálném čase 7 Manuální přístroj pro akceptaci platebních karet neelektronickou cestou, kdy dochází ke kopírování údajů z karty na speciální doklad. Tento způsob lze využít pouze u embosovaných platebních karet. Díky způsobu, jakým se kopírování provádí, se imprinteru označuje také jako „žehlička“ Imprinter používají obchodníci jako záložní řešení při výpadku online terminálů nebo ti obchodníci, kteří provádějí málo karetních transakcí a online terminál by nezaplatili

17

Obrázek 1: Imprinter Zdroj: Cornerstone Business Solution. [online]. 2013-11-12 http://cornerstonebusinessblog.com/merchant-services-central-il/ [18]

[cit.

2015-02-28].

Dostupné

z:

V současnosti se vyrábějí platební karty označované jako hybridní. To znamená, že obsahují anténu pro bezkontaktní platby, čip pro použití v platebních terminálech a bankomatech, které umí s čipem pracovat a magnetickým páskem pro použití tam, kdy nelze použít předešlé metody. V Evropě je dnes jen málo platebních terminálů, které neumí používat čip, ale například v USA stále výhradně používán magnetický proužek. Phone Banking Telefonní bankovnictví je jedním z nejstarších způsobů elektronické komunikace využívané v bankách. Komunikace probíhá způsobem přímého telefonního spojení s živým operátorem nebo automatem, který je ovládán pomocí tónové volby z tlačítek telefonu. Telefonní centrum s operátory nemusí být součástí dané banky, ale banka si tuto službu kupuje jako outsourcing. Nezřídka je telefonní centrum fyzicky umístěno i mimo daný stát a je vícejazyčné.8 Po spojení telefonického hovoru je klient autentizován9 pomocí nějakého identifikátoru. Identifikátorem bývá převážně číselný údaj, který byl klientovi přidělen bankou ve chvíli, kdy si tuto službu sjednával a heslem, které si klient zvolil. Popřípadě bylo klientovi přiděleno i heslo v podobě číselné řady a klient pak sděluje pouze čísla na pozicích, které požaduje operátor. Tento proces se hojně využíval ve spojení s telefony, které ještě neměly tónovou volbu. Dnes se již téměř nevyužívá. 8

Z vlastní zkušenosti mohu posoudit, že telefonické centrum společnosti TOM TOM pro Českou republiku obsluhují operátoři polské národnosti mluvící alespoň trochu česky 9 Jednoznačně identifikován

18

GSM Banking Rozmach mobilních telefonů přinesl další možnosti rozšíření komunikace mezi bankou a klientem. Mobilní telefony umožnili posílání SMS10 s příkazy pro banku nebo naopak SMS zaslané bankou obsahovali informace o zůstatcích na účtech klienta. SMS se musely zadávat v předem určeném formátu (jednalo se o předem zakryptovanou11 SMS do které se jen připsaly údaje), jinak nebyly příkazy akceptovány. Celý systém se zjednodušil až s příchodem SIM Toolkit aplikací, které banky začaly na SIM12 kartu telefonu nahrávat samy. Aplikace stále fungovaly na principu odesílání SMS, ale kryptování již prováděla aplikace sama. Vstup do aplikace je možný jen po zadání B-PINu13 takže při ukradení SIM je aplikace stále chráněna. [19] Aplikace již byla vyvíjena tak zvaně „User Friedly“14 a klient se v grafickém menu aplikace pohyboval pomocí tlačítek na klávesnici telefonu. Následovalo první využití mobilního internetu ve formě WAP Bankingu za pomoci Java15 aplikací. Java aplikace se dají považovat za předchůdce dnešních bankovních aplikací pro chytré telefony.

Obrázek 2: GSM Banking Zdroj: Paegas: deset bank v jednom mobilu. In: IDnes.cz [online]. 2000-03-23. [cit. 2015-02-27]. Dostupné z: http://ekonomika.idnes.cz/paegas-deset-bank-v-jednom-mobilu-d4f-/ekonomika.aspx?c=A000323134803ekonomika_jjx [20]

10

Short Message Service - služba krátkých textových zpráv Zašifrovanou 12 Subscriber Identity Module - účastnická identifikační karta 13 Bankovní PIN 14 Uživatelsky přívětivá 15 Programovací jazyk. 11

19

Homebanking Při využívání Homebankingu si klient do svého počítače nainstaluje speciální aplikaci, která zajišťuje spojení mezi bankou a klientem. Při využívání této formy elektronického bankovnictví klient stahuje určitá data z databáze banky a sám je zpracovává ve svém počítači a následně data odesílá zpět do banky. Bezpečnost je zajištěna fyzickou ochranou přístupu ke klientovu počítači a pomocí hesel a šifrování [21]. Přístup do samotné aplikace může být podmíněn vlastnictvím čipové karty s certifikátem, kterou klient získá při aktivaci této služby. Jelikož samotná aplikace je instalovaná v počítači, není nutné stálé spojení s internetem Pro potvrzení transakce je používán podpisový certifikát. Data jsou kryptována a přenášena pomocí SSL16 spojení. Výhodou toho řešení může být napojení Homebankingu na různé účetní programy jako například účetní program Pohoda17. Hlavně proto je Homebanking využíván především firemní klientelou. Nevýhodou může být, že aplikaci je možné používat jen na počítači, kde je aplikace nainstalovaná (včetně přístupových certifikátů). [22] Homebanking byl hojně využíván v dobách vytáčeného připojení k internetu, právě kvůli možnosti nebýt stále připojen. Dnes, kdy jsou stálá připojení běžná a ceny nikterak vysoké, je Homebanking nahrazován internetovým bankovnictvím. V příloze 1. jsou přiloženy ukázky Homebankingu ČSOB. Internetové bankovnictví Na rozdíl od Homebankingu, internetové bankovnictví probíhá na aplikačním serveru banky. Tím odpadá povinnost instalace aplikací na klientské počítače a přibývá možnost připojit se z jakéhokoliv počítače, který je připojen k internetu. Způsoby zabezpečení přístupu do internetového bankovnictví si každá banka nastavuje sama. U některých bank se k autentizaci se využívá identifikačního čísla a hesla a třeba Komerční banka vyžaduje certifikát, který je klientovi vydán na pobočce. Klient jej pak může ponechat na přenosném médiu nebo jej nakopíruje do počítače. 16

Secure Socket Layer – vrstva bezpečných socketů. Zabezpečení webové stránky spočívá v použití certifikátu vydaného certifikační autoritou a komunikace probíhá šifrovaně přes protokol SSL. 17 http://www.ucetni-systemy.cz/

20

I zde probíhá komunikace mezi klientským počítačem a bankou, tudíž je nutné, aby veškerá komunikace byla také šifrovaná. Klient se přihlašuje přes webový prohlížeč do systému banky. Pokud je přístup do systému vyhodnocen jako oprávněný, klient pak může zadávat pokyny své bance. Komunikace, probíhající mezi počítačem klienta a bankou musí být taktéž šifrována. V současnosti je internetové bankovnictví řešeno tak, že jeho instalace a používání jsou velmi jednoduché. Klient může do bankovnictví přistupovat s pomocí různých prvků ochrany, jako jsou elektronické certifikáty, kontrolní SMS nebo tokeny. Nejčastěji využívanou technologií jsou právě kontrolní SMS, protože tento druh zabezpečení je velmi variabilní. Klientovi tak stačí, aby vlastnil mobilní telefon, na který si nechá kontrolní SMS zasílat v případě přihlašování nebo potvrzení zadávané transakce. Internetové bankovnictví dnes klientovi nabízí provádění tuzemských a zahraničních plateb, přehled o sjednaných službách, zůstatky úvěrových produktů, nastavení souhlasu s inkasem, zadávání trvalých plateb, automatických převodů mezi účty klienta dle zadaného zůstatku na účtu, zasílání informativních SMS o pohybu na účtu a další. Vybrané banky umožňují svým klientům platby pomocí internetového bankovnictví, při nákupu přes e-shop a potvrzení platby, jsou klienti přesměrováni do svého internetového bankovnictví a zde již naleznou předvyplněný platební příkaz, který pouze autorizují. Posléze jsou vrácení zpět do e-shopu, kde naleznou informaci o provedení platby. Klient si také může uložit šablony opakovaných, ale nepravidelných plateb. Šablony klientovi velmi urychlují a zjednodušují práci. Kromě šablon příkazů si mohou v internetovém bankovnictví uložit i šablonu příjemce s číslem účtu. Když pak chtějí danému příjemci zaslat platbu, stačí jednoduše příjemce jen vybrat. Některé sofistikovanější formy internetového bankovnictví některých bank klientovi poskytují i statistiky a grafy o příjmech a výdajích. Takové bankovnictví pak pomáhá klientovi efektivně a optimálně řídit jeho rozpočet. V poslední době se z internetového bankovnictví stává spíše komunikační kanál mezi klientem a bankou. Klientovi je tak umožněno nejen provádění změn, jako jsou změna adresy trvalého bydliště, korespondenční adresy nebo výše limitů pro platební karty, ale umožňují klientovi 21

například zřizování termínovaných vkladů, zakládání spořicích účtů, zadávání žádostí o kreditní karty nebo spotřebitelské úvěry a hypotéky. Klient si vše vyřídí kdykoliv online a nemusí chodit na pobočky v otvíracích hodinách. Internetové bankovnictví také umožňuje přímou komunikaci s bankou popřípadě s klientovým osobním bankéřem. Klient může ve svém bankovnictví nalézt výpisy a elektronické kopie smluv, které s bankou podepsal. Výpisy a smlouvy si může klient sám vytisknout dle potřeby.

Schéma 2: Funkcionalita internetového bankovnictví Zdroj: Vlastní zpracování

V následujícím grafu jsou zobrazeny údaje o počtu domácností vybavených osobním počítačem, připojením k internetu a počtem uživatelů internetového bankovnictví. V domácnostech jsou zahrnuty veškeré domácnosti, ať s dětmi nebo bezdětné a bez rozlišování věkových skupin. Graf je vytvořen na základě dostupných údajů Českého statistického úřadu za roky 1989 až 2013. Do grafu jsou zahrnuty i předběžná data za rok 2014. Údaje k použití internetového bankovnictví bylo možné zjistit pouze do roku 2010.

22

80% Domácnosti s vlastním osobním počítačem

70% 60%

72% 72% N/A

68% 67% N/A

N/A

67% 65%

59% 56% 34%

54% 50% 30%

N/A

0%

40% 32% 24%

10%

36% 27% 21%

20%

30% 19% 16%

30%

48% 42% 25%

40%

65% 62%

50%

Domácnosti s připojením k internetu Použití internetového bankovnictví

2005 2006 2007 2008 2009 2010 2011 2012 2013 2014

Graf 1: Domácnosti s počítačem, s přístupem k internetu a využití internetového bankovnictví Zdroj: Počítač a internet v českých domácnostech. Český statistický úřad [online]. [cit. 2015-10-05]. Dostupné z: https://www.czso.cz/documents/10180/20541931/3201814_0803.xlsx/35005a9a-3232-44c2-b6ee-f86014cd7c73?version=1.1. Vlastní zpracování. [23]

Z grafu vyplývá, že se stoupajícím množstvím počtu osobních počítačů v domácnostech a s rozvojem počtu připojení k internetu, stoupá i počet lidí, kteří využívají internetové bankovnictví. Zatímco v roce 2005 bylo připojeno k internetu 19% populace a internetové bankovnictví využívalo kolem 16% populace, v roce 2010 bylo k internetu připojeno již 56% populace a internetové bankovnictví využívalo 34% populace. Z grafu lze dále odvodit stoupají trend počtu domácností s osobním počítačem a připojením k internetu. Z předběžných údajů za rok 2014 vyplývá, že každá domácnost s osobním počítačem je připojena k internetu. Výhody používání internetového bankovnictví:

18 19

•

dostupnost 24/718 téměř po celé Zemi

•

klient získá zdarma přehled o zůstatcích a pohybech na svém účtu

•

možnost elektronicky podávat žádosti o další bankovní produkty

•

delší termíny pro podání platebních příkazů pro zpracování příkazu v den podání

•

internetové bankovnictví lze propojit s účetním programem19

•

zasílání zpráv klientům (bezpečnější než zasílání důvěrných zpráv emailem)

24 hodin denně, 7 dní v týdnu Import platebních příkazů a export výpisů z běžného účtu zpět do účetního programu

23

Nevýhody internetového bankovnictví: •

klienti vyžadují stále větší komfort a dostupnost

•

zvyšující se nároky na bezpečnost datových přenosů20

•

nedůvěra konzervativních klientů

Smart Banking První zmínky o Smart Bankingu lze nalézt v roce 2011. Aplikace byla vyvíjena hlavně z důvodu, že na malém displeji mobilního telefonu bylo obtížné zobrazovat a ovládat plnohodnotnou webovou stránku a tehdejší mobilní aplikace umožňovali klientům jen pasivní náhled na zůstatky jejich účtů. S rozmachem tak zvaných chytrých telefonů pak banky začaly svým klientům ještě více vstříc a začaly vytvářet speciální bankovní aplikace určené výhradně pro tato zařízení. Tyto aplikace dnes umožňují klientům jejich účty obsluhovat. Dnes tyto aplikace z pravidla nabízejí klientovi dvě části. V té první, bez nutnosti přihlašování, může klient nalézt třeba kurzovní lístek, kalkulátor pro konverzi měn nebo seznam poboček a bankomatů. V druhé části, která je již heslem chráněna, klient přistupuje ke svým účtům a dalším produktům. Dnes je Smart Banking druhým používaným komunikačním a distribučním kanálem mezi bankou a klientem. Je určen výhradně pro mobilní zařízení mající alespoň jeden z operačních systémů Android, iOS, Symbian nebo Windows Phone. Aplikaci si klient banky stáhne do svého telefonu buď přímo z webových stránek banky, nebo z obchodu určeného pro daný typ operačního systému21 . Po instalaci je potřeba provést aktivaci aplikace, to znamená, že klient musí zadat určité údaje, které získal od banky22 , aby došlo ke správnému spárování s bankovními službami, které klient využívá. Některé banky využívají pro bankovnictví jeden kanál a pak se uživatel do internetového a Smart bankovnictví přihlašuje jedním uživatelským jménem a obě formy bankovnictví se pak navzájem synchronizují. Například UniCredit Bank Czech Republic and Slovakia, a.s. využívá jednoho kanálu pro obě aplikace a pokud si klient v internetovém bankovnictví uloží šablony příkazů a čísla účtů příjemců, může je využívat i v aplikaci Smart Banking.

20

Obrana proti stále sofistikovanějším útokům Například z Google Play pro Android nebo AppStore pro Apple 22 Například uživatelské jméno a aktivační kód 21

24

Smart Banking tak klientovi nabízí téměř všechny služby jako internetové bankovnictví a stává se tak jeho plnohodnotnou náhradou a je možné, že jednoho dne se stane jedničkou v komunikaci mezi bankou a klientem. Již dnes totiž Smart Banking nabízí funkce, které internetové bankovnictví nikdy poskytovat nemůže. Mezi nejznámější a nejvyužívanější technologie můžeme zařadit třeba využití NFC23, GPS24 a elektronická peněženka. V srpnu 2014 oznámila slovenská Tatrabanka, že do svého Smart Bankingu zavedla dvě nové funkce. Nyní dokáže klient Tatrabanky pomocí mobilního telefonu s technologií NFC nejen vybírat peníze z bankomatu bez použití platební karty, ale přiložením platební karty k telefonu se přihlásí do internetového bankovnictví a okamžitě zjistí zůstatek na jeho běžném účtu. Pro výběr z bankomatu za použití mobilního telefonu si klient předem zvolí výši výběru a účet, z kterého chce částku vybírat. Na základě těchto údajů Smart Banking vygeneruje klientovi šestimístný kód, který klient jen zadá do bankomatu a ten mu okamžitě vydá požadovanou částku. Jednoznačnou výhodou tohoto řešení je obrana proti skimmingu, klient totiž ani nemusí mít kartu fyzicky u sebe. Může nastat situace, kdy bude třeba zaslat peníze někomu jinému (ztráta platební karty na dovolené), klient si tak nechá jen vygenerovat kód a ten předá potřebné osobě. Ta si již sama pomocí kódu peníze z bankomatu vybere. Pravděpodobnější ovšem bude, že klient potřebuje hotovost a ví, že během následujících 20 minut půjde kolem svého bankomatu. Za předpokladu, že u tohoto bankomatu nebude právě fronta, ušetří klient spoustu času. Už se nebude zdržovat vkládáním platební karty, zadáváním PINu a volením výše vybírané částky. Prostě jen na klávesnici zadá šestimístný kód a bankomat peníze vydá. Limit výběru by měl být jen do výše 200 EUR denně a vygenerovaný kód má platnost 20 minut, přičemž v aplikaci je možné v historii generovaných kódů, platnost kódu zrušit. Druhou novinkou, kterou Tatrabanka představila, je možnost rychlého zobrazení zůstatku na účtu a historii posledních plateb. Uživatel se již nemusí do aplikace přihlašovat, stačí, jen pokud přiloží kartu k mobilnímu telefonu a tím se autentifikuje. Samozřejmostí je, že mobilní telefon musí obsahovat čip umožňující komunikace pomocí NFC a připojení k mobilnímu internetu [24].

23 24

Near Field Communication - komunikace na blízkou vzdálenost Global Position System - globální poziční systém

25

Mezi výhody používání Smart Banking patří: •

rychlost a jednoduchost

•

zvyšování kvality v souladu s vývojem nových technologií

•

dostupnost účtu 24/7 téměř po celé Zemi

•

vysoká bezpečnost

•

přehledná historie pohybů na účtu

Jako nevýhody lze uvést: •

vlastnictví chytrého mobilního telefonu25

•

nutnost stálého zvyšování bezpečnosti

•

především konzervativní klienti mají nedůvěru v nové technologie

Využití NFC Technologie NFC byla prvně integrována do mobilního telefonu společnosti Samsung. Její první určení sloužilo ke kopírování dat z jednoho telefonu do druhého bez využití prostředníka v podobě počítače, nebo nutnosti využít technologii BlueTooth. V prvopočátku se tedy technologie NFC využívala k předávání fotek nebo poznámek. Později si výrobci mobilních telefonů uvědomili, že díky NFC mohou svým zákazníkům ulehčit přechod ze staršího mobilního telefonu na nový. Pomocí speciální aplikace, určené jek tomuto účelu, lze vybrat, která data si majitel nového telefonu přeje předat a pak k sobě jednoduše telefony přiložit. S rozmachem bezkontaktních platebních karet fungujících na podobném principu vyvstala otázka, proč by se k placení za zboží a služby nedal využít NFC čip, jenž je součástí téměř každého mobilního telefonu. V podstatě zatím existují dvě cesty, jak platby s NFC zkombinovat. Bohužel, jedna je velmi málo rozšířená a druhá ještě v plenkách. Ta málo rozšířená, je určena jen pro klienty „správných“ bank a „správných“ mobilních operátorů26, kromě toho je potřeba vlastnit mobilní telefon s NFC čipem a Secure elementem. Pokud telefon Secure element neobsahuje, je zapotřebí si u operátora

25

vyjma GSM Banking a aplikací běžících na platformě Java V březnu 2015 NFC platby podporuje pouze O2 ve spolupráci s Komerční bankou nebo GE Money Bank a TMobile provádí pilotní provoz s ČSOB. 26

26

vyměnit stávající SIM kartu za tu, která NFC platby podporuje, neboli obsahuje Secure element [25]. Druhá cesta je označována jako HCE27, což je v podstatě aplikace běžící na operačním systému Android, a umožňuje vynechání operátora jako prostředníka. Celý systém funguje jako elektronická peněženka, která bude platební kartu elektronicky emulovat28. Jako je HCE výsadou vydavatele platebních karet VISA, tak naopak MasterCard přišel s aplikací MasterCard Mobile. Což je v podstatě pouze elektronická peněženka, do které si je nutné nabít kredit. Ovšem i MasterCard se chce na HCE přiživit a tak pro rok 2015 ohlásil, že také přistoupí na tuto technologii a zavede ji i pro svou aplikaci MasterCard Mobile [26]. Zatím co například v Polsku a na Slovensku již bezkontaktní platby pomocí technologie HCE fungují. V České republice proběhl pilotní projekt zavedení plateb pomocí HCE teprve v roce 2015 a to ve spolupráci karetní asociace VISA a Komerční banky (dále jen KB). Dle vyjádření KB by mělo dojít k ostrému nasazení HCE v nejbližších měsících. Manažer pro inovace asociace VISA uvedl, jak bude systém v KB fungovat. Držitel platební karty si z Google Play stáhne aplikaci, přes kterou si zažádá o vydání platební karty do mobilního telefonu. Po jejím obdržení následuje aktivační proces, který má být jednoduchý a trvat pár minut. Platba pomocí HCE je založena na stejné technologii jakou platba bezkontaktní platební kartou, a tak bude možné využít stávajících bezkontaktních platebních terminálů [27]. HCE může taktéž využívat Secure element. Pakliže jej nebude využívat je potřeba jej nějak nahradit. Nahrazení spočívá ve využití TAN29 kódů. Podle pravidel dané banky je s aplikací dodáváno určité množství jednorázových TAN kódů. Každý TAN kód je po použití nahrazen jiným kódem. Nahrazování může probíhat online okamžitě nebo v dávkách v určitých intervalech. TAN kódy jsou v aplikaci ukládány kvůli možným problémům s jejich stahováním ze serveru poskytovatele TAN kódů, kterým je zpravidla banka držitele platební karty. Při provádění plateb nemusí být dostupný internet, a pokud nebude TAN kód k dispozici, není možnost platbu provést. V okamžiku platby jsou pomocí NFC předány platebnímu terminálu informace o transakci, které jsou předem zašifrovány právě využitím TAN kódu. Pomocí

27

Host Card Emulation - emulace platební karty Emulace = napodobení činnosti jednoho zařízení za pomoci jiného zařízení 29 Transaction Authentication Number - kód pro autentizaci transakce 28

27

zabezpečené linky se transakce postupně dostane až do banky držitele karty a ta pak TAN kód ověří. V případě pozitivního ověření karetní transakci autorizuje [28]. Jelikož technologie HCE běží na operačním systému Android, společnost Google zahrnula podporu HCE i do Androidu pro mobilní telefony od verze 4.4. KitKat [29]. Podporu HCE poskytuje i Apple se svojí službou Apple Pay v iOS od verze 8 a stejně tak přibyla podpora od Microsoftu ve Windows 10 pro mobilní telefony [30]. Využití GPS Dnes je většina mobilních telefonů vybavena GPS modulem, a to buď ve formě hardwaru čtoucího data ze satelitů, nebo jen ve formě algoritmu, který určuje přibližnou polohu z dat mobilních stanic BTS30. Tato skutečnost otevřela vývojářům aplikací další možnosti. Například jste v cizím městě a z nějakého důvodu potřebujete najít nejbližší pobočku nebo bankomat Vaší banky. Stačí jen zapnout aplikaci Smart Bankingu a ta Vám požadované informace sdělí a to včetně telefonního čísla na pobočku a jejích otvírací hodiny. Pokud to daná aplikace umí, může přenést GPS souřadnice hledaného objektu na aplikace navigace, a ta Vás již k danému místu dovede. Aplikace také může upozornit, pokud se nachází ve Vaší blízkosti nějaký bod zájmu. Kupříkladu některý prodejce může být členem věrnostního programu banky (klient může dostat slevu za platbu kartou dané banky) a aplikace Vás upozorní, že daný obchodník se nachází ve Vaší blízkosti.

1.2.3. Další elektronické platební prostředky Pod pojmem elektronický platební prostředek si můžeme představit každý instrument pro kontakt s bankou, který není na papírovém nosiči. Toto pojmenování nachází oporu v §15 dnes již zrušeného zákona 124/2002 Sb., zákona o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech (zákon o platebním styku) [31].

30

Base Transceiver Station - základnová převodní stanice

28

Mezi elektronické platební prostředky tak lze zařadit tak zvané elektronické peněženky31. Elektronická peněženka je opět aplikace nainstalovaná v chytrém mobilním telefonu a obsahuje elektronické kopie karet. Aplikace, jako Portmonka32, umožňuje majiteli mobilního telefonu, aby si v aplikaci uložil čárové kódy slevových a věrnostních karet. Když chce poté některou z nich využít, stačí si ji vybrat a na displeji telefonu se zobrazí čárový kód, který pak obsluha prodejce naskenuje pomocí čtečky čárových kódů. Samozřejmě existují i peněženky, pomocí kterých lze provádět platby. Je možné připomenout již výše zmíněnou peněženku MasterCard Mobile nebo třeba české Mobito33. Mobito je virtuální kreditová peněženka, kterou je možné používat s kteroukoliv bankou, ale pokud má klient účet u vybrané spolupracující banky34, přináší mu to další výhodu. Touto výhodou je skutečnost, že zadaná platba se klientovi okamžitě připisuje na vrub účtu a není tak potřeba, aby si svou peněženku nabíjel kredity. V době psaní této diplomové práce byla služba Mobito, k 1. prosinci 2015, po třech letech a třech měsících zrušena kvůli její nerentabilitě [32]. Jako uživatel této služby ji mohu označit jako dobrý nápad, nicméně díky malému rozšíření mezi lidmi a to včetně obchodníků, jako neužitečnou. Osobně jsem narazil jen na dva obchodníky, u kterých jsem mohl touto službou zaplatit a pokud jsem potřeboval peníze někomu poslat, provedl jsem to pomocí aplikace Smart Banking své banky. Je pravda, že peníze tak příjemci přijdou na účet, pokud se jedná o rozdílnou banku, až druhý den (zákonná lhůta je 48 hodin), ale to není nic závažného.

31

Název „elektronická peněženka“ je obecně používaný název pro elektronický platební prostředek a s tímto významem bude dál používán pro potřeby této práce. 32 http://www.mojeportmonka.cz/ 33 http://www.mobitoplatito.cz/ 34 UniCredit Bank, Česká spořitelna, Raiffeisenbank, GE Money Bank

29

Obrázek 3: Mobito Zdroj: Mobito jsou peníze v mobilu. Mobito.cz [online]. [cit. 2015-03-02]. Dostupné z: http://www.mobitoplatito.cz/vse-omobitu/mobito-penize-v-mobilu/ [33]

Kombinace služeb, jako je uchovávání čárových kódů bonusových a věrnostních karet, a možnost s elektronickou peněženkou platit, přináší klientovi obrovskou výhodu v tom, že má vše na jednom místě a přehledně uspořádané. Peněženky také dokáží uchovávat určité doklady, může se jednat nejen o výpis o provedených platbách, ale mohou to být jízdenky, rezervace, předplatné a počet služeb se s přibývajícím časem rozrůstá. Elektronické peněženky se do budoucna jeví jako jeden z hlavních prostředků využívaných pro bezhotovostní platební styk mezi klienty a obchodníky. Z tohoto důvodu se nejen banky, ale i karetní společnosti snaží tento trh pokrýt. Banky do svých aplikací pro Smart Banking zatím zpřístupňují pouze informace o platebních kartách, ale lze očekávat, že s postupem času, budou vytvářet komplexní řešení právě v podobě elektronických peněženek.

1.2.4. Srovnání vybraných aplikací Smart Banking Závěrem této kapitoly bych chtěl provést porovnání dvou Smart Banking aplikací. Výběr první aplikace pro porovnání jsem prováděl tak, že jsem na svůj telefon instaloval bankovní aplikace vydané vybranými bankami a ty poté porovnával podle nabízených služeb, grafické a uživatelské přívětivosti. Pro porovnání jsem si zvolil aplikaci banky Zuno Bank AG, organizační složka (dále jen Zuno) a jako druhou aplikaci od UniCredit Bank Czech Republic and Slovakia, a.s. (dále jen UCB), protože ji jako klient banky využívám.

30

Aplikace banky Zuno Z grafického pohledu a z množství funkcí, které aplikace nabízí, jí shledávám jako nadprůměrnou. Po přihlášení do aplikace klient hned na úvodní obrazovce vidí zůstatek na svých účtech, historii příchozích a odchozích plateb a graf historie finančních aktivit. Všechny údaje jsou přehledně uspořádané a vzájemně oddělené. V levém horním rohu aplikace se nachází tlačítko pro vyvolání kompletní nabídky, která obsahuje skupiny: •

produkty o debetní účty o spořicí účty o přehled termínovaných vkladů o detailní informace o transakcích a limitech debetních karet o detailní informace o klientových úvěrech

•

platby o zadání platby včetně převodu mezi účty klienta o zadání platby pomocí QR35 kódu, naskenování faktury nebo složenky36 o přehledy realizovaných, nerealizovaných a plánovaných plateb

•

nastavení o

limitů platebních karet pro výběry z bankomatů a platby po internetu

o dočasná blokace platební karty o aktivace a deaktivace zasílání notifikačních SMS o aktivace a deaktivace Push notifikací37 •

nástroje o přístup na blog a novinky banky o zprávy z banky o vyhledávání poboček a bankomatů o kalkulátor pro výpočet úvěrů a spoření

35

QR Code - Quick Response Code podle informací z aplikace pomocí fotoaparátu klient vyfotí fakturu nebo složenku a pomocí rozpoznávání textu je poté vytvořena platba 37 jedná se o notifikace, které se zobrazují jen na displeji telefonu 36

31

V aplikaci mě například nadchlo, že pokud si zobrazím položku účty, mohu si dále z nabídky vybrat, zda chci přejít na přehled transakcí nebo zda chci zadat platbu anebo zobrazit detaily o účtu. V detailech je potom vidět číslo účtu, účetní zůstatek, disponibilní zůstatek, rezervace platby38. Aplikace UCB Po grafické stránce hodnotím aplikaci jako průměrnou. V nabízených funkcích však za aplikací od Zuno silně zaostává. I zde klient po přihlášení vidí zůstatky na svých účtech a po kliknutí na vybraný účet se zobrazí příchozí a odchozí platby na daném účtu. Posunem obrazovky vlevo a vpravo je možné filtrovat mezi jen příchozími a jen odchozími platbami. Veškeré pohyby v aplikaci se provádí posunem obrazovky. Menu jako takové nabízí čtyři hlavní položky: •

úvěry o zobrazení zůstatku k doplacení o přehled uskutečněných splátek úvěru

•

přehled platebních karet - zobrazení transakcí provedených vybranou platební kartou

•

přehled účtů - přehled příchozích a odchozích plateb

•

termínované vklady - přehled o aktuálně zadaných termínovaných vkladech

Ve spodní části obrazovky telefonu se nachází logo UniCredit Bank a po kliknutí na něj se zobrazí nabídka, pomocí které je možné se přepínat mezi výše uvedenými položkami. V menu naopak přibylo tlačítko pro zadání jednorázových plateb, kde si klient vybere, zda se jedná o novou platbu nebo si může vybrat šablonu platby, pokud si ji předtím uložil pomocí internetového bankovnictví. Tato funkce je umožněna tím, že jak Smart Banking tak internetové bankovnictví je bankou provozováno na jednom komunikačním kanálu a je tak možné říci, že Smart Banking je jen hodně ořezanou verzí internetového bankovnictví. I aplikace UCB nabízí přehled provedených plateb39, neprovedených plateb a plateb budoucích. Co jsem však nepochopil, tak při hledání budoucích plateb mi filtr ukazuje maximální datum pro

38 39

Rezervace částky vzniká při použití debetní karty, než dojde k jejímu skutečnému zaúčtování na vrub účtu. Vyjma transakcí provedených platební kartou

32

provedení platby v budoucnosti, pouze datum aktuálního dne40. Takže vlastně není možné zobrazit platbu, která bude provedena třeba již třeba následující den na základě zadaného platebního příkazu. Teprve v listopadu 2015 byla přidána možnost zadání platby pomocí QR kódu. Jako přínosné shledávám že, aplikace umí nejen vytvořit platební příkaz z QR kódu, ale umí i QR kód vytvořit. Klient si vybere svůj účet, na který chce nechat peníze zaslat, uvede přesnou částku a popřípadě variabilní, konstantní nebo specifický symbol a aplikace z těchto údajů vytvoří kód, který je potom možné odeslat plátci nebo jej plátce může naskenovat svým telefonem. Resumé Velkou nevýhodou aplikace od UCB je fakt, že na rozdíl od aplikace Zuno, neposkytuje online žádosti. Například, pokud chci zadat termínovaný vklad, tak v Zuno aplikaci se odešle online požadavek přímo do banky, tak v případě UCB se vytvoří předdefinovaný email se žádostí o schůzku, který je bance odeslán z mobilního telefonu. Klient je pak kontaktován svým bankéřem a musí se dostavit na pobočku banky, přitom pomocí internetového bankovnictví je možné termínovaný vklad založit online41. Při porovnávání výše uvedených aplikací pro Smart Banking jsem dospěl k závěru, že ač obě aplikace plně umožňují obsluhu běžného účtu a zadávání jednorázových plateb, což by mělo k běžnému využívání stačit, musím konstatovat, že aplikace UCB má oproti aplikaci od Zuno ještě co dohánět. V příloze číslo 2. jsou přiloženy snímky testovaných aplikací. Jelikož UCB, jako první banka v České republice, spustila proces online refinancování hypotéčních úvěrů, kdy klient zasílá požadované dokumenty přímo úvěrovým specialistům a na pobočku pak přijde pouze podepsat smlouvu, je možné, že se dočkám i změn ve Smart Bankingu.

40 41

Poznámka autora: dle mého názoru je buď špatně označeno jako budoucí platby nebo je v aplikaci chyba Vlastní znalosti postupu

33

2.

Hrozby v bezhotovostním platebním styku

V předešlé kapitole jsem uvedl, že k provádění bezhotovostního platebního styku jsou využívány nejen papírové nosiče, ale i elektronické komunikační prostředky. Mezi takovéto prostředky lze zařadit i platební karty a proto se v této kapitole budu věnovat nejen hrozbám pro internetové a mobilní bankovnictví, ale i hrozbám pro platební karty a zmíním i hrozbu pro papírový platební styk. V případě elektronického bankovnictví (myšleno jak internetové, tak Smart Banking) jde útočníkovi primárně o získání citlivých údajů klienta, které slouží k přihlášení do elektronického bankovnictví, u platebních karet se útočník snaží získat údaje z platební karty, tak v případě papírového platebního styku jde o falšování podpisu klienta, protože jak již bylo dříve zmíněno, podpis klienta je to jediné, čím klient potvrdí svou identitu a zároveň udělí souhlas bance s vykonáním příkazu. Proto je také podpis tím jediným ochranným prvkem papírové komunikace s bankou. Ovšem, není obtížné takový podpis naučit a poté zfalšovat. Papírový platební styk S vývojem technologií se útočník ani nemusí takový podpis učit sám. Dnes je možné naprogramovat do robota nějaký rukopis a robot podepisuje za oběť. Jistá firma sídlící na Manhattanu tuto službu nabízí již od 199 dolarů [34]. Kde je tedy problém, aby si útočník takového robota sám obstaral a nechal si podepisovat příkazy k úhradě, šeky či smlouvy? Aby se tomuto dalo zabránit, je potřeba, aby podpis na podpisovém vzoru byl co nejhůře napodobitelný, a klient se pokud možno na podpisový vzor podepsal jiným podpisem než tím, který využívá v denním životě nebo jej má zobrazen na občanském průkazu. Například tím, že jako podpisový vzor bude využívat celé jméno a ne jen příjmení, jak bývá zvykem. Do podpisového vzoru je také možné ke jménu připojit heslo, banka pak zkoumá nejen podpis, ale i obsahovou a grafickou stránku hesla. Klient by také neměl podpisový vzor nikomu ukazovat, a to ani příbuzným nebo rodinným příslušníkům, a všeobecně by se měl snažit, aby jej používal jen v soukromý a jen pro potřeby banky. Jelikož po podání příkazu nebo vůbec po jakémkoliv papírovém styku s bankou, klientovi zůstávají kopie smluv a příkazů, je nutné i tyto kopie uchovávat v soukromý, protože i na kopiích je možné podpis nalézt. Rozhodně není doporučeno takové kopie jednoduše vyhodit do

34

odpadkového koše42. Další doporučení zní, nepodepisovat si platební kartu stejným podpisem jako je podpisový vzor. V případě krádeže platební karty má pachatel tento vzor k dispozici. Podpis na kartě kontroluje pouze obchodník, bance je tudíž jedno, jaký podpis je na kartě. Toto řečení je spíše bankami doporučováno [35].

2.1. Hrozby pro platební karty a jejich ochrana Pomocí platebních karet je možné platit za služby a zboží ať už ve fyzické prodejně nebo na internetu. Každá platební karta je připojena alespoň k jednomu43 běžnému účtu klienta. Stejně jako všechny prostředky využívané k platebnímu styku (mince, bankovky, šeky, známky, kolky), tak i platební karty jsou zneužívány pachateli trestných činů. Těmito pachateli mohou být nejen oprávnění držitelé platebních karet, ale mnohem častěji se jedná o nějakou třetí osobou. Třetí osoby pak

platební karty získávají neoprávněně buď krádeží, nebo neodevzdáním nalezené

karty, která byla ztracena jejím držitelem. Zločinec ovšem nepotřebuje platební kartu získat fyzicky. Stačí, aby z platební karty získal údaje uložené v magnetickém proužku nebo údaje, které jsou potřebné pro provádění plateb na internetu. K získání dat z magnetického proužku se používá metoda zvaná skimming a data pro transakce na internetu lze získat pomocí sociálního inženýrství, například pomocí podvodných emailů. Na některých podvodech s kartami se pak podílejí i nepoctiví obchodníci například dodatečnou změnou účtované hodnoty. Aby byla zachována důvěra v platební karty, vydavatelé karet (banky) se snaží stále více platební karty zabezpečovat. Nejmarkantnější posun v zabezpečení platebních karet nastal přechodem z použití magnetického proužku na integrovaný čip. Ruku v ruce se zvyšováním zabezpečení proti neoprávněné manipulaci s kartami se zvyšuje také úroveň technologií, s kterou jsou karty zneužívány. Z tohoto faktu vyplývá, že na světě neexistuje platební systém s dokonalou ochranou. Dále detailněji popíši vybrané způsoby zneužití platebních karet.

42

viz podkapitola Trashing Poznámka autora: Např. UniCredit Bank, a.s. nabízí připojení debetní karty zároveň k účtu v CZK a jednomu cizoměnovému účtu. 43

35

Padělání platebních karet Platební karty lze zneužívat různými způsoby, které se postupem času mění v závislosti na vývoji znalostí a technické vybavenosti pachatelů trestných činů. Zjištění, zda platební karta je nebo není padělaná či pozměněná, nebývá znalecky obtížné, protože takto pozměněné karty bývají podezřelé již na první pohled i bez specializovaných znalostí. Stačí, aby příjemce měl alespoň základní znalosti o ochranných prvcích platebních karet a inkriminovanou kartu alespoň chvíli k dispozici. Jedním ze způsobů falšování platebních karet spočívá v použití tak zvaného „bílého plastu“, kdy se jedná pouze o kus plastu vyříznutého ve velikosti standardní platební karty. Tento kus plastu neobsahuje žádné ochranné prvky a ani elektronické údaje a na její povrch jsou nalepeny údaje z častokráte ukradené embosované platební karty. [36] Je třeba také zmínit způsob, kdy se plastová karta nahřeje, stávající údaje vyhladí a do takto vyhlazeného plastu se vytlačí údaje ukradené. Takto upravené platební karty lze použít jen při platbách pomocí imprinteru za přímé spolupráce s nepoctivým obchodníkem. Protože takto upravené karty neobsahují elektronické informace, není možné je zneužít v bankomatu. Skimming Dalším možným způsobem zneužití platební karty je kopírování údajů z magnetického proužku platební karty bez vědomí oprávněného držitele. Díky této činnosti, označované jako skimming, pachatel získá údaje z magnetického proužku platební karty a ty poté využije k vytvoření falešné platební karty. V současnosti se jedná o nejrozšířenější způsob, kterým jsou data z platebních karet kradena. Proces krádeže dat má dvě fáze. V první fázi dochází ke kopírování dat z magnetického proužku platební karty. Samotné kopírování se provádí pomocí malých čteček, které může mít pachatel schované v ruce (při platbě v restauraci, kdy pachatel kartu odnáší z dohledu držitele, aby provedl platbu na platebním terminálu) nebo je možné čtečku namontovat například na vstupní dveře umožňující přístup k bankomatu. Někdy jsou skimmovací zařízení montována na bankomat a to přímo na vstupní otvor pro kartu. Z tohoto důvodu se na tyto vstupní otvory začaly přidávat zelené adaptéry, které by měly zabránit instalaci skimmovacího zařízení. Některé bankomaty používají při obraně proti skimmingu trhavého pohybu karty při jejím vkládání a vydávání.

36

Ve druhé fázi útočník za pomoci počítače takto získaná data překopíruje z paměti skimmovacího zařízení na „prázdné“ platební karty (opět mohou být ukradené nebo ztracené) nebo na „bílý plast“. Aby mohl pachatel takto upravenou kartu použít, musí buď provádět transakce u obchodníků, kteří stále umožňují provádět platby pomocí dat na magnetickém proužku, a tudíž se k ověření držitele karty používá podpis uvedený na zadní straně karty anebo musí znát PIN, kterým je karta chráněna. K zjištění PINu lze využít metodu odpozorování, kdy se pachatel může vydávat za člověka stojícího ve frontě k bankomatu a přes rameno oběti sleduje, jaký PIN oběť zadává. Sofistikovanější metodou je umístění miniaturní kamery nad klávesnici bankomatu zároveň se skimmovacím zařízením nebo instalace falešné klávesnice. Ta je pak umístěna jako nadstavba na pravou klávesnici bankomatu, takže oběť zadává PIN do falešné klávesnice a ten se zároveň propisuje i do pravé klávesnice, tudíž oběť nic nepozná [36].

Obrázek 4: Kryt s falešnou čtečkou Zdroj: Zpravodaj ÚVT MU: Útoky na platební systémy [online]. 2007, XVIII(1) [cit. 2015-08-05]. ISSN 1212-0901. Dostupné z: http://ics.muni.cz/bulletin/articles/562.html [37]

37

300

276

250 184

200 150

150 94

100 50

21

69

85 52

50

19

34

0 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Graf 2: Počet nahlášených případů skimmingu v letech 2005 až 2015 Zdroj: Skimming 2015. PČR [online]. 2016 [cit. 2016-03-18]. Dostupné z: http://www.policie.cz/clanek/skimming-2013.aspx. Vlastní zpracování [38]

Card Trapping Jde o zařízení, které se, podobně jako skimmovací zařízení, instaluje na vstupní otvor pro platební kartu. Na rozdíl od skimmingu ale nejsou čtena data z magnetického proužku karty, ale karta je zachycena tak, že se vůbec nedostane do bankomatu. Klient, který se takto nechal nachytat, si myslí, že bankomat jeho platební kartu zadržel a odchází na nejbližší pobočku. Okamžitě po jeho odchodu je pachatelem zařízení sejmuto a karta zneužita. Protože si okradený myslí, že mu byla karta zadržena bankomatem, neprovádí ani blokaci platební karty a pokud pachatelé zároveň vědí PIN (odpozorování při zadávání), nemusí se spokojit jen s „podlimitní transakcí“44. Celé zařízení je velmi primitivní a lehké na výrobu. De facto jej tvoří jen kousek plastu, magnetofonová páska a lepidlo [39].

44

Transakce, která do určitého limitu ještě není online autorizována platebním centrem.

38

Obrázek 5: Card Trapping Zdroj: Zpravodaj ÚVT MU: Útoky na platební systémy [online]. 2007, XVIII(1) [cit. 2015-08-05]. ISSN 1212-0901. Dostupné z: http://ics.muni.cz/bulletin/articles/562.html [37]

Cash Trapping Cash Trapping se, na rozdíl od Card Trappingu, provádí pomocí lišty, jež se přilepí na otvor, z něhož dochází k výběru hotovosti. Je vyrobena na míru danému bankomatu, aby přesně pasovala na výdejní otvor. Bankomat se chová úplně standardně, provede požadovanou transakci, ale hotovost nevydá. Ta se zachytí pod lištou na oboustrannou lepicí pásku. Klient tak své peníze nedostane a myslí si, že bankomat má poruchu a jde transakci reklamovat. V tu chvíli přichází pachatel, lištu strhne a odchází. Protože pro bankomat se vše jevilo jako standardní, peníze byly vydány, je transakce naúčtována na vrub klientova účtu [40].

Obrázek 6: Cash Trapping Zdroj: Česká televize: Zaslepovací lišta zadrží peníze v bankomatu, ty pak vyzvedne zloděj. Česká televize [online]. 2010-09-04 [cit. 2015-02-27]. Dostupné z: http://www.ceskatelevize.cz/ct24/ekonomika/100453-ct-zaslepovaci-lista-zadrzi-penize-vbankomatu-ty-pak-vyzvedne-zlodej/?mobileRedirect=off [41]

39

Manipulace oprávněným držitelem Platební kartu může neoprávněně zneužít i oprávněný držitel karty. Držitel karty nahlásí své bance, že mu byla karta ukradena nebo že ji ztratil a přitom provádí platby s tím, že tyto platby prováděl domnělý pachatel. Pachatel také může provádět tak zvané „podlimitní transakce“ debetní kartou. Pachatel si otevře účet v bance a poté co obdrží debetní kartu, provádí podlimitní transakce, které nejsou online autorizovány oproti zůstatku na účtu. Transakce jsou poté se zpožděním naúčtovány na vrub účtu klienta, ale ten je nehodlá uhradit. Další variantou je, že oprávněný držitel, který má sjednané pojištění proti zneužití platební karty, nahlásí své bance ztrátu nebo krádež karty, a prohlásí o posledních transakcích, že je neprovedl. Tím jsou tyto transakce „naúčtovány“ domnělému pachateli a kryty z pojistného plnění. Manipulace neoprávněným držitelem Neoprávněnou manipulaci s platební kartou nelze jednoznačně vztáhnout jen na oprávněného držitele karty. Manipulaci může provádět i nepoctivý nálezce. Místo toho, aby nalezenou platební karu odevzdal v příslušné bance, tak ji neoprávněně zneužije k vlastnímu prospěchu. Případy zneužití platební karty se objevují i v rodinách, kdy příbuzný nebo jiná blízká osoba zná PIN a kartu použije bez souhlasu držitele. V úvahu také přichází zneužití platební karty doručované poštovní cestou. Některé banky zasílají například obnovované karty již aktivní a nepoctivý poštovní doručovatel tak může využít situace, platební kartu nedoručí a místo toho ji zneužije například pomocí „podlimitních transakcí“. Zneužití platebních karet na internetu Společné znaky internetové trestné činnosti spočívají v získávání pravých údajů z platebních karet (číslo karty, platnost, CVV/CVC kód). Metody získávání těchto údajů jsou limitovány vědomostmi a technickým vybavením pachatelů. Sběr údajů počíná sběrem kopií účtenek o platbách a končí nabouráváním databází45 s těmito údaji. Z tohoto vyplývá, že je nepravděpodobné, aby celou tuto činnost vykonával pouze jednotlivec.

45

Například krádež klientských údajů amerického „hobby“ marketu Home Depot v září 2014. Více viz http://www.usatoday.com/story/money/business/2014/11/06/home-depot-hackers-stolen-data/18613167/

40

Pomocí získaných údajů pak pachatelé provádějí platby ve prospěch svých účtů a následně získané peníze z účtu vyberou v hotovosti. Výběry se provádějí většinou ve státech, kde bují vysoká kriminalita, a státní orgány jsou zkorumpované. Pachatelům tak víceméně nehrozí žádné tresty. Nemusí jít však jen o výběry hotovosti, pachatelé si také na ukradené údaje mohou objednávat zboží a nechat si jej zaslat na adresu existujících nebo fiktivních osob. Zabezpečení internetových plateb prostřednictvím 3D-Secure Systém 3D-Secure byl zaveden na základě doporučení Evropského orgánu pro bankovnictví (dále jen EBA), který 1. ledna 2013 vydal Doporučení pro bezpečnost internetových plateb. Toto Doporučení se vztahuje na všechny poskytovatele internetových platebních služeb a řídící orgány platebních systémů [42]. Poté dne 19. prosince 2014 vydal Obecné pokyny EBA k bezpečnosti internetových plateb. Česká národní banka potvrdila v souladu s čl. 16 odst. 3 nařízení č. 1093/2010 o zřízení EBA, že se obecnými pokyny bude řídit a pokyny tak 1. srpna 2015 nabyly účinnosti. Obecné pokyny stanovují minimální požadavky pro provádění internetových plateb a tak pokyny dopadají na platební karty včetně virtuálních, na transakce přes internetové bankovnictví, zadávání a změny elektronických oprávnění k inkasu a na převody mezi dvěma elektronickými účty přes internet. Obecné pokyny se vztahují na všechny poskytovatele platebních služeb, avšak nikoliv na řídící orgány platebních systémů, na rozdíl od Doporučení [43]. Naprostá většina e-shopů již dnes bezpečnostní systém 3D-Secure podporuje. Technologie 3DSecure zajišťuje bezpečnost tím, že údaje z platební karty (číslo karty, platnost a CVV/CVC kód) nejsou poskytovány obchodníkovi, ale jen dané bance provozující platební bránu. Pro úspěšné provedení transakce je zapotřebí si u své banky zaregistrovat telefonní číslo, na které přichází kontrolní SMS s bezpečnostním kódem. Tím je zásadně snížena možnost zneužití platební karty. Pachatel by totiž musel znát nejen údaje z karty, ale musel by získat i telefon, na který jsou SMS zasílány. Aby bylo možné 3D-Secure využívat, je nejprve potřeba si u své platební karty aktivovat systém ochrany 3D-Secure a poskytnout bance telefonní číslo, na které se bude kontrolní SMS zasílat. Ve chvíli, kdy budete chtít v e-shopu obchodníka, který musí zabezpečení 3D-Secure podporovat, zaplatit, provede webový prohlížeč přesměrování na zabezpečené stránky platební brány banky, 41

s kterou obchodník spolupracuje, a tam zadáte údaje z platební karty. Poté je potřeba vyčkat na doručení SMS s bezpečnostním kódem a kód poté zadáte zpět do webového prohlížeče. Pokud kód odpovídá, je transakce provedena a obchodník dostane zprávu, že za zboží či službu dostane zaplaceno. Schéma funkčnosti 3D-Secure je znázorněno v příloze číslo 3. Obchodníci, jejichž eshopy podporují zabezpečení 3D-Security mají na stránkách loga společností VISA a MasterCard [44].

Obrázek 7: Zabezpečené stránky platební brány pro 3D-Secure Zdroj: Payment & Delivery. Green Beer [online]. [cit. 2015-02-27]. Dostupné z: http://www.green-bear.co.uk/deliverycost.html [45]

Nálepka přes magnetický proužek Čeští kriminalisté při zkoumání magnetického proužku ve forenzních laboratořích údajně přišli na způsob jak zabránit skimmingu. Na magnetický proužek se nalepí ochranná holografická nálepka, a ta zabrání kopírování dat. Známku je nutné umístit na přesně stanovou pozici a to přes magnetický proužek dva centimetry od pravého okraje karty. Nálepka má ovšem i své nedostatky. Protože je znemožněno čtení údajů, některé bankomaty tak kartu neakceptují a nevydají hotovost. Především se jedná o bankomaty, které prioritně načítají data z magnetického proužku a ne z čipu. Dalším problémem je, že se klient nemusí ani k bankomatu dostat. Vstup k bankomatu zpravidla bývá chráněn dveřmi, které je možné otevřít až protažením karty čtečkou, tyto čtečky čtou jen data z proužku a pokud jsou načtená data nekompletní nebo nejsou vůbec načtena, dveře se neotevřou [46]. Známka je vyrobena z plastové folie s metalickým kompozitem, který zabraňuje prostupu elektromagnetického záření, a tím zabraňuje čtení údajů z magnetického proužku [47]. Protokol o testování nálepky je přiložen jako příloha 4. 42

Obrázek 8: Bezpečnostní známka Zdroj: Informace o známce. Stopskimmingu.cz [online]. [cit. 2015-02-27]. Dostupné z: http://www.stopskimmingu.cz/index.php?page=informace-o-znamce [48]

2.2. Hrozby pro internetové bankovnictví Platební příkaz není nutné do banky doručovat pouze v papírové formě, což znamená, že je nutné ho zpravidla doručit v otvíracích hodinách banky (klienti mohou leckdy využít také nočních trezorů), ale mohou příkaz bance doručit elektronickou cestou, pomocí internetového bankovnictví. Aby mohlo být internetové bankovnictví prohlášeno za bezpečné, je nutné jednoznačně identifikovat obě komunikující strany (klienta i banku), zabezpečit komunikaci mezi nimi z čehož vyplývá, že je nutné zabezpečit i samotné počítače obou komunikujících stran. Jednoznačnost serveru na straně banky je zajištěna pomocí SSL certifikátu a pomocí certifikátu je poté zajištěna i šifrovaná komunikace mezi počítačem klienta a serverem banky. Že je server tím, za koho se vydává, klient pozná podle příznaku vedle adresního řádku webového prohlížeče. Tvar a styl příznaku je v každém prohlížeči jiný, může mít třeba tvar visacího zámku nebo adresní řádek může být zelený. Že komunikace bude probíhat v šifrované podobě, klient pozná tak, že místo http://www.neco.cz se nachází v adresním řádku https://www.neco.cz. Právě to přidané „s“ znamená, že komunikace je šifrována pomocí SSL. Tím bylo dosaženo identifikace banky, nyní je zapotřebí identifikovat klienta. Zde už je to snazší, klient se totiž identifikuje pomocí údajů, které bance sdělil při zakládání elektronického bankovnictví, nebo naopak banka sdělila klientovi. Tímto údajem z pravidla bývá uživatelské jméno nebo číslo a heslo.

43

Komunikace mezi bankou a klientem je tedy šifrovaná, ale pokud má klient ve svém počítači nějaký závadný software, je i to nejsilnější šifrování prakticky k ničemu. Základem je tedy mít v počítači nějaký aktualizovaný antivirový software a operační systém a uživatel počítače by neměl stahovat z internetu upravené programy (častokráte nelegálně). Ty pak mohou obsahovat všelijakou „havěť“ včetně key-loggerů46 nebo nějakého odposlouchávacího softwaru. Pokud už uživatel má tu možnost, měl by si vytvořit tak zvaně „silné heslo“, jenž je složeno z malých a velkých písmen, číslic a speciálních znaků47 (bohužel, ne všechny služby takto vytvořené heslo akceptují). Heslo by nemělo obsahovat takovou posloupnost znaků, která dává nějaký smysl, třeba „auto“ nebo jméno uživatele či jeho příbuzných včetně data narození. Heslo by také nemělo být veřejně přístupné (přilepený lístek s heslem na monitoru počítače) a v poslední řadě se nedoporučuje využívat jedno heslo pro přístupy do více produktů (stejné heslo pro přihlášení do emailové schránky, bankovnictví jiné banky, do e-shopů). Uživatelům jsou dnes k dispozici databanky chráněné heslem a uživatel si do nich může ukládat všechna hesla a nemusí si je tak pamatovat. Z výše uvedených skutečností je velmi nevhodné používat veřejně dostupné počítače k přihlašování do jakékoliv zóny chráněné heslem, nemusí se jednat jen o internetové bankovnictví, ale třeba klientská zóna uživatelovi pojišťovny. Tyto počítače nejsou vůbec pod žádnou kontrolou a uživatel tak nemůže vědět, zda v daném počítači není nějaký závadný software. Hesla by také měla být periodicky měněna, například každé tři měsíce, nebo při podezření na jejich kompromitaci. V následujících podkapitolách budou zmíněny způsoby jak zjistit citlivé údaje klienta využívajícího internetové bankovnictví. Popsané způsoby získávání citlivých dat se označují jako sociální inženýrství. Pod tímto pojmem si můžeme představit činnosti, které se snaží zmanipulovat oběť útoku tak, aby oběť sama přístupové údaje vyzradila útočníkovi. Tato metoda je v dnešní době nejznámější, nejrozšířenější a nejúčinnější. Pachatel se v tomto případě vydává za někoho, kým vůbec není, třeba za servisního technika IT oddělení. Pokud se mu podaří najít vhodnou oběť, například zaměstnance, jenž má s počítačem nějaký problém, nabídne dotyčnému pomoc, když bude puštěn k jeho počítači. V tuto chvíli pak pachatel do daného počítače 46 47

Program zaznamenávající stisknuté klávesy do souboru a ten pak odešle útočníkovi. například ?,!,#,§

44

nainstaluje aplikaci, která má problém vyřešit, ale ve skutečnosti je instalovaný software závadný a pachateli dovolí inkriminovaný počítač ovládnout a útočník tak získá neomezený přístup k datům v počítači. Pachatel pak může do infikovaného počítače instalovat další závadný software. Dále budou popsány následující způsoby získávání citlivých údajů: •

Phishing

•

Pharming

•

Sniffing

•

Trashing

Phishing Webový server Hoax.cz říká, že phishing (česky rybaření) je typ podvodu kdy se útočník snaží získat přístupové údaje k účtům a zneužít je pro svoje obohacení. K získání těchto údajů jsou využívány podvodné emaily, vypadající na první pohled, že jsou odeslány přímo z banky a přesvědčují příjemce, aby kliknul na odkaz v emailu [49]. Dle definice Evropské centrální banky (dále jen ECB) se jedná o činnost, pomocí které jsou získávány osobní informace, jako jsou uživatelská jména, hesla nebo údaje o platebních nástrojích. Údaje jsou získávány tak, že se útočník vydává za důvěryhodnou entitu v elektronické komunikaci [50]. Obě definice však popisují jednu činnost. Oběti je například zaslán email se žádostí o aktualizaci osobních údajů, ověření identity, zvýšení zabezpečení nebo aktualizace softwaru a odkazem s webovou adresou, která má odkazovat na webové stránky banky. Pakliže oběť na tento odkaz klikne, je přesměrována na podvodné webové stránky vypadající vizuálně stejně jako stránky banky. Pokud oběť přístupové údaje vyplní, odešle je útočníkovi. Například v říjnu 2006 při phishingovém úderu na klienty České spořitelny byl jejím klientům rozesílán email, který klienty vyzýval k aktualizaci zabezpečení. V emailu byl obsažen odkaz vypadající jako oficiální odkaz, který měl uživatele přesměrovat na přihlašovací stránku internetového bankovnictví České spořitelny. Po tom co uživatel zadal uživatelské číslo a další údaje potřebné pro svou autentizaci, se zobrazila informace, že změna proběhla v pořádku. Ve 45

skutečnosti byl ale webový prohlížeč přesměrován na server útočníka a data, která pak uživatel do formuláře zadal, získal útočník [51]. Text podvodného emailu včetně pravé a podvržené webové stránky jsou přiloženy v příloze 5. Na webových stránkách SecureList48 byla zveřejněna zpráva s deseti nejčastěji rozesílanými škodlivými programy v posledním čtvrtletí roku 2014.

Trojan.JS.Redirector.adf

2,80%

Trojan-Spy.HTML.Fraud.gen

2,57%

Trojan.Win32.Yakes.fize

1,68%

Trojan-Downloader.Win32.Dofoil.dx

1,06%

Backdoor.Winn32.Androm.enji

0,88%

Trojan.Win32.Bublik.clhs

0,75%

Trojan.Win32.Bublik.bwbx

0,75%

Email-Worm.Win32.Bagle.gt

0,64%

Backdoor.Win32.Androm.euqt

0,63%

Trojan-Banker.Win32.ChePro.ink

0,61%

Graf 3: Top 10 škodlivých programů zasílané emailem, ve třetím čtvrtletí roku 2014 Zdroj: Spam and phishing in the Q3 of 2014. SHCHERBAKOVA, Tatyana, Maria VERGELIS a Nadezhda DEMIDOVA. SecureList [online]. 2014-11-27 [cit. 2015-03-03]. Dostupné z: http://securelist.com/analysis/quarterly-spam-reports/67851/spamand-phishing-in-the-q3-of-2014, Vlastní zpracování [52]

Pharming Pharming (česky farmaření) je typ útoku, kdy útočník napadá DNS49 server, který provádí překlad IP50 adres na doménové jméno. Pharming má v podstatě dvě podoby a to globální a lokální.

48

www.securelist.com Domain Name System – systém doménových jmen 50 Internet Protocol – internetový protokol 49

46

Schéma 3: Jak funguje DNS Zdroj: Vlastní zpracování

V globálním měřítku útočník nenapadá jednotlivé uživatele internetu, ale napadá jeden z globálních DNS serverů, které obsahují databázi internetových domén a jejich IP adres. Pokud uživatel počítače do webového prohlížeče zadá například adresu www.seznam.cz, počítač nejdříve zjistí, zda hledaná adresa již nebyla navštívena nebo zda ji nemá uloženou v souboru „hosts“ a pokud ne, tak se zeptá určeného DNS serveru jaká IP adresa se skrývá pod doménou seznam.cz. DNS vrátí počítači odpověď, že www.seznam.cz má IP adresu 77.75.76.3. Počítač poté začíná komunikovat s touto adresou. Pokud útočník daný DNS server napadne, změní pravou adresu na adresu, na které se nachází podvržený server, v tomto případě 220.210.145.25. Oběť ovšem nic nepozná, protože na podvrženém serveru se nachází identická kopie webových stránek, na které chce oběť přistoupit. Pokud by se chtěl uživatel přesvědčit, že webová stránka, na které se nachází, je pravá, musí pečlivě kontrolovat certifikát, kterým je podepsána. Oběť pak na podvržené webové stránce zadá citlivé údaje a nevědomky je zašle útočníkovi. Poté se z pravidla na podvržených stránkách objeví hlášení, že došlo k chybě při přihlašování a je potřeba údaje zadat znovu. Mezi tím je oběť přesměrována na adresu pravého serveru a bez problémů se přihlásí.

47

Jelikož napadaní DNS serveru není jednoduchá záležitost (DNS servery tvoří páteř internetu a tudíž jsou vysoce zabezpečeny), lze pharming spojit s phishingem. V tomto případě lze hovořit o tak zvaném lokálním pharmingu. Oběti je zaslán podvodný email s odkazem a důrazem na aktualizaci zabezpečení. Po kliknutí na odkaz se do počítače oběti stáhne závadný software a ten změní soubor „hosts“ který pracuje podobně jako DNS server. Klient nic nepozoruje, počítač funguje bez jakýchkoliv problémů. Ovšem při zadání webové adresy do prohlížeče je prohlížeči podvržena IP adresa vedoucí na podvržený server a poté pokračuje klasický pharming [53]. Sniffing Network sniffing, neboli odposlouchávání komunikace v počítačové síti je další možností jak získat citlivé údaje oběti. K provádění sniffingu je zapotřebí vlastnit specializovaná software, síťovou kartu umožňující zapnutí promiskuitního režimu51, přístup do lokální počítačové sítě, kde se nachází i počítač oběti a aby komunikace v sítí probíhala pomocí nešifrovaných protokolů jakou je například HTTP, POP3, FTP a další. Sniffing nejsnáze provádí v místech, kde se nachází veřejné hot spoty s nešifrovaným připojením k Wi-Fi. Útočník tak bez práce získá přístup do sítě a k veškeré datové komunikaci u všech připojených zařízení. V případě metalického propojení počítačů, může útočník využít síťový rozbočovač. Asi nejznámějším sniffovacím softwarem WireShark52. WireShark je dostupný jak pro platformu Microsoft Windows, tak pro Linux. Dalším známým programem je Microsoft Network Monitor53. Důvodem, proč sám Microsoft distribuuje sniffovací software je ten, že původem byly tyto programy určeny k monitoringu a optimalizaci počítačových sítí. K odposlechu jsou pak programy zneužity útočníky.

51

Za normálních okolností jsou data rozesílána na všechny počítače v dané síti, ale odpovídá na ně jen počítač, jemuž jsou data určena. Promiskuitní režim umožní příjem dat určených pro jiné počítače. 52 https://www.wireshark.org/ 53 http://www.microsoft.com/en-us/download/details.aspx?id=4865

48

Obrázek 9: Úspěšné nalezení hesla programem Wireshark Zdroj: Jak odposlouchávat nebo zjistit, že jste odposloucháváni. BITTO, Ondřej. Živě.cz [online]. 2005-10-29 [cit. 2015-03-01]. Dostupné z: http://www.zive.cz/clanky/jak-odposlouchavat-nebo-zjistit-ze-jste-odposlouchavani/sc-3-a-127322/default.aspx [54]

Sniffing v této podobě je akcí pasivní. Jde jen o tichý sběr dat a jejich následné odeslaní útočníkovi, tudíž je pravděpodobnost odhalení takového útoku velmi malá. Druhou možností odposlechu dat spočívá v aktivním útoku. Nejčastějším aktivním útokem se nazývá útok „Man in the Middle“ (česky muž uprostřed). Podstatou útoku je nasměrování veškeré datové komunikace, probíhající v síti, přes útočníkův počítač. Ten pak může tuto komunikaci nejen monitorovat, ale i upravovat. Oběti útoku o útočníkovi neví a komunikace z jejich pohledu vypadá v pořádku.

Schéma 4: Princip provádění Sniffingu a Man in the Middle Zdroj: Vlastní zpracování

49

Trashing Další metodou jak získat klientovi citlivé údaje je metoda zvaná Trashing. Její název je odvozen od anglického slova Trash (česky koš), jelikož se data obvykle získávají z nosičů, které jejich vlastník vyhodil. Je jedno, zda mají podobu fyzickou nebo elektronickou. K elektronickému sběru lze využít škodlivého softwaru, jenž cílí na procházení dokumentů nacházejících se v koši. Nalezená data pak roztřídí a citlivá data odesílá útočníkovi. Ochrana proti Trashingu spočívá v důkladném ničení nosičů citlivých dokumentů nebo v bezpečném skladování a to jak nosičů elektronických tak fyzických.

2.3. Hrozby pro chytré telefony a Smart Banking Chytré mobilní telefony pracují na různých mobilních operačních systémech, a přesto existuje spousta bezpečnostních rizik, které zařízení ohrožují. V této kapitole bych rád představil rizika pro Smart Banking. Jelikož je Smart Banking jen aplikací pro chytrý telefon, je potřeba nastínit i rizika pro tyto telefony. Mobilní

aplikace v chytrých

mobilních

telefonech

musí v současnosti čelit

stejným

bezpečnostním rizikům jako aplikace určené pro osobní počítače. Ochrana před útoky na mobilní aplikace spočívá ve využívání vlastního rozumu a instalaci mobilních aplikací pouze z ověřených zdrojů.

Aplikace mobilního bankovnictví nejvíce ohrožuje phishing. V prostředí chytrých

mobilních telefonů nazývaný též jako smishing, k doručení zprávy je používána textová zpráva SMS, nebo vishing, prováděný pomocí telefonních hovorů. Stejně jako na uživatele počítačů, jsou i uživatelé chytrých mobilních telefonů ohrožování podvrženými webovými stránkami, podvrženými internetovými odkazy a hlavně mobilními aplikacemi, které se tváří jako pravé (vzhledově jsou od oficiálních aplikací k nerozeznání). Cíl falešných aplikací je vždy jen jeden – získat od uživatele citlivá data. Pro instalaci podvodných aplikací je nejčastěji zneužita naivita nebo nepozornost uživatele mobilního telefonu. Pro samotnou instalaci aplikace je totiž nutné, aby dotyčný uživatel instalaci sám povolil. Na obrazovce s tlačítkem „instalovat“ je vypsán i seznam oprávnění, které aplikace ke svému fungování vyžaduje, uživatel se tak může přesvědčit, zda aplikace bude využívat například přístup k mikrofonu, fotoaparátu, nebo zda může odesílat SMS. Z důvodu povolení 50

instalace většina phishingových útoků ztroskotá už na začátku54. Co se internetového bankovnictví týče, to je dnes navíc zabezpečeno dvou faktorovou autentizací. Dvou faktorová autentizace vnesla do zabezpečení internetového bankovnictví další, vyšší, stupeň ochrany, ale ani ta není v současnosti sto procentní. Dále budu popisovat následující hrozby pro chytré mobilní telefony: •

Ztráta nebo krádež mobilního telefonu

•

Krádež citlivých dat

•

Telefonní malware

•

Vishing

•

Smishing

•

Dvoufaktorová autentizace

Ztráta nebo krádež mobilního telefonu Mobilní telefon, díky své velikosti, dnes uživatelé nosí v kapsách a tak se není čemu divit, že dochází k jejich ztrátám nebo krádežím. Ztráta nebo krádež mobilního telefonu pak jeho uživateli může přinést větší problémy, než když přijde o peněženku. S peněženkou člověk přijde o nějakou větší či menší částku peněz, popřípadě přijde o osobní doklady a čas, jenž musí vynaložit na získání nových dokladů a platební karty. Blokaci karet lze zařídit po telefonu, ať telefonátem nebo pomocí Smart Banking aplikace. Jenže když je s peněženkou člověku ukraden i mobilní telefon, najednou si nemůže zavolat, nemůže využít aplikaci pro zablokování karet a jen nucen navštívit pobočku banky. Ne všichni uživatelé mobilních telefonů mají přístup do telefonu nějak chráněný (PIN, gesto, heslo) a tak se pachatel velice snadno dostane k informacím, které mobilní telefon obsahuje.

54

V červenci 2015 byla objevena chyba v operačním systému Android, nazvaná podle části operačního systému Stagefright, který zpracovává některé druhy multimédií. Chybu lze využít k převzetí kontroly nad chytrým telefonem a to pomocí zaslané MMS s přiloženým upraveným multimediálním obsahem. Chytré telefony, aby pracovali rychle, si přijatý multimediální obsah sami, bez vědomí uživatele, načtou a tím spustí závadný kód. Více například viz http://www.svetandroida.cz/stagefright-201507

51

Krádež citlivých dat Nejprve je nutné uvést definici citlivých dat. Podle bezpečnostního standardu SEC 501 se jedná o: „Jakákoliv data, jejichž kompromitace porušením utajení, integrity nebo dostupnosti může mít zásadní dopad na zájmy dotčené strany, průběh programů organizace nebo soukromí jednotlivců. Citlivost dat je přímo úměrná škodám, které mohou vzniknout jejich kompromitací. Organizace musí klasifikovat každý IT systém příslušným stupněm citlivosti, a to dle nejcitlivějších dat, která systém skladuje, zpracovává nebo přenáší.“ [55]. Zjednodušeně řečeno, pro běžného člověka mohou být citlivými údaji textové, emailové nebo zprávy v messengeru. Ovšem třeba v telefonu obchodního ředitele mohou být údaje úplně jiné (kontakty na společníky, zprávy podléhající firemnímu tajemství atd.). Je třeba také upozornit, že v případě nálezu ztraceného telefonu, by měl nálezce telefon okamžitě odevzdat na nejbližší policejní stanici, a ne se pokoušet zjišťovat majitele. Je velice pravděpodobné, že by se tím vystavil možnému stíhání podle §182 trestního zákoníku č. 40/2009 Sb., a to za porušování listovního tajemství, které je každému zaručeno Listinou základních práv a svobod v článku 13. Tento článek říká, že nikdo nesmí porušit tajemství písemností nebo jiného záznamu, který je uschován v soukromý nebo je jakýmkoliv přepravován z místa na místo a to včetně zpráv předávaných telefonem nebo jiným zařízením. Toto neplatí jen ve výjimečných případech, a tyto případy jsou stanoveny zákonem [56]. Co si takový okradený člověk vůbec nemusí neuvědomit je fakt, že někdo právě získal emailové adresy a telefonní čísla pro phishingový útok. Případnou obětí krádeže nebo ztráty může být vysoce postavená osoba a zneužitím citlivých údajů v telefonu pak může pachatel způsob škodu s nedozírnými následky. Pokud totiž případné oběti, na kterou se útočník zaměří, přijde SMS zpráva od někoho z kontaktů oběti, je vysoce pravděpodobné, že této zprávě uvěří a tím i vysoké procento pravděpodobnosti, že provede to, co v SMS bude napsáno. Telefonní malware Chytré mobilní telefony se čím dál častěji stávají obětí škodlivých programů, tak zvaného malware. Slovo malware je složeninou dvou anglických slovíček a to Malicious Software neboli škodlivý program. Malware je označení pro širokou skupinu závadného softwaru. V užším pojetí lze malware třídí podle funkce, kterou vykonává na spyware, adware a viry. Spyware, od 52

anglického slova „Spy – špeh“ špehuje a odesílá data útočníkovi a adware „advertising – reklama“ obtěžuje uživatele stálým přísunem reklam. Tento závadný software si také může oběť do svého telefonu nainstalovat sama. Nejvíce náchylný je k tomu mobilní operační systém Android, protože se jedná o otevřený operační systém a umožňuje instalaci aplikací z neověřených zdrojů na rozdíl od operačních systémů iOS a Windows Phone, které jsou uzavřené a instalaci aplikací je možné provést pouze z AppStore (Apple) a Windows Phone Store (telefony s operačním programem Windows Phone). V těchto obchodech se sice také vyskytly závadné aplikace, ale jejich počet je nízký a aplikace byla téměř okamžitě odstraněna. Jednou z možných alternativ, jak kompromitovat mobilní telefon, je způsob „krádež – vrácení“, kdy je oběti jeho mobilní telefon ukraden, posléze do mobilního telefonu útočník nainstaluje nějaký závadný software a poté telefon jako nálezce vrátí oběti. Nic netušící oběť pak mobilní telefon využívá standardně a vůbec netuší, jaké informace o sobě sděluje útočníkovi. Nejznámějším bankovním malwarem je malware ZITMO55. Jde o trojského koně, jenž se zaměřuje právě na uživatele Smart Bankingu. ZITMO je následovník původního trojského koně Zeus, který je zaměřen pouze na krádeže přihlašovacího jména a hesla pro internetové bankovnictví. Jak napovídá zbytek názvu, je ZITMO určen pro chytré mobilní telefony a napadá dnešní typ zabezpečení známou jako dvou faktorová autentizace. Vishing Vishingem lze označit v podstatě phishing prováděný za pomoci telefonních hovorů. K vylákání citlivých údajů od klienta je často využit počítač s automatem. Průběh bývá následovný. Volající se vydává za operátora z Call centra klientovi banky a vyzývá klienta, aby zavolal na bezplatné telefonní číslo, které také klientovi sdělí, například kvůli odstranění nebo vysvětlení nějaké události na klientovu účtu. Klient je uveden do nejistoty, že se na jeho účtu vyskytlo něco podezřelého a na uvedené telefonní číslo zavolá. V telefonu se ozve „bankovní“ automat s nahrávkou nerozeznatelnou od skutečné nahrávky klientovi banky. Klient je hlasovým postupně naváděn, a protože automatu plně důvěřuje, sdělí tak všechny své citlivé údaje.

55

Zeus in the Mobile

53

Smishing Smishing je taktéž odvozenou formou běžného phishingu. Ovšem, oproti phishingu a vishingu jsou k manipulaci s obětí použity textové zprávy SMS. V textové zprávě může být žádost o telefonát na nějaké uvedené telefonní číslo (dále pokračuje vishing) nebo kliknutí na uvedený webový odkaz, jenž oběť nasměruje na podvodné webové stránky. V následujících dvou odstavcích FBI vysvětluje jak takový smishing nebo vishing probíhá. “Criminals set up an automated dialing system to text or call people in a particular region or area code (or sometimes they use stolen customer phone numbers from banks or credit unions). The victims receive messages like: “There’s a problem with your account,” or “Your ATM card needs to be reactivated,” and are directed to a phone number or website asking for personal information. Armed with that information, criminals can steal from victims’ bank accounts, charge purchases on their charge cards, create a phony ATM card, etc. Sometimes, if a victim logs onto one of the phony websites with a smartphone, they could also end up downloading malicious software that could give criminals access to anything on the phone. With the growth of mobile banking and the ability to conduct financial transactions online, smishing and vishing attacks may become even more attractive and lucrative for cyber criminals.” [57].

Obrázek 10: Forma smishingu. SMS vyzývá příjemce, aby kliknul na odkaz za účelem získání dárku Zdroj: Text-message scam targets bank accounts. Seattlepi [online]. 2011-10-07 [cit. 2015-03-05]. Dostupné z: http://www.seattlepi.com/local/article/Text-message-scam-targets-bank-accounts-2207817.php [58]

54

Dvoufaktorová autentizace Z důvodu zvyšování zabezpečení56 je v současné době využívána tak zvaná dvou faktorová autentizace. U tohoto typu zabezpečení se klient nejprve přihlásí do internetového bankovnictví pomocí přihlašovacího jména nebo čísla a bezpečnostního kódu. Poté vyčká příchodu SMS s dalším kódem a ten poté zadá, jako třetí ověřovací údaj, do internetového bankovnictví. Stejně postupuje i při autorizaci plateb nebo změn. Jde o identický model zabezpečení jako 3D-Secure pro zabezpečení plateb platební kartou na internetu. Když se na dvou faktorovou autentizaci podíváme podrobněji, zjistíme, že jejím základem je využívání tak zvaných TAN kódů, pro mobilní telefony se označují jako mTAN kódy. Před nástupem chytrých mobilních telefonů, bylo možné dvou faktorovou autentizaci transakcí provádět pomocí TAN kódů, které banka klientovi zaslala vytištěné poštou nebo je klientovi předala na pobočce. Každý kód je použitelný jen jednou a po vyčerpání celého seznamu, si klient musí zažádat o nový. Dnes jsou tyto mTAN kódy zasílané v SMS zprávách při přihlašování a potvrzování transakcí v internetovém bankovnictví. A právě toho ZITMO využívá. Útok obvykle probíhá takto [59]: •

útočník použije trojského koně Zeus ke krádeži údajů potřebných pro přihlášení k internetovému bankovnictví (jméno, heslo a telefonní číslo uživatele)

•

na mobilní telefon uživatele je zaslána phishingový SMS zpráva s žádostí o aktualizaci certifikátu nebo nějakého jiného potřebného programu

•

klient potvrdí aktualizaci a zároveň si do chytrého mobilního telefonu instaluje ZITMO

•

útočník se přihlašuje do internetového bankovnictví oběti, banka odesílá mTAN na mobilní telefon oběti

•

ZITMO odesílá mTAN útočníkovi

•

útočník „vysává“ účet

Z informací, uvedených v předchozích podkapitolách, lze vyvodit, že za bezpečnost chytrých mobilních telefonů a bezpečné použití nainstalovaných aplikací, si odpovídá sám uživatel 56

Poznámka autora: šestimístné heslo složené jen z čísel není moc bezpečnou formou vzhledem k dnešním výpočetním kapacitám počítačů.

55

takového telefonu. Pokud se bude držet bezpečnostních zásad a nebude do svého chytrého mobilního telefonu instalovat aplikace z neověřených zdrojů, nebude provádět tak zvané „rootování“57 telefonu a při instalaci aplikací si přečte, o jaká práva daná aplikace žádá, bude schopen telefon udržet bezpečný. Podrobnější informace o malwaru ZITMO lze nalézt v článku s názvem ZITMO – Fakta a teorie od Denise Maslennikova58.

57 58

získání práv superuživatele, něco jako účet administrátora ve Windows http://securelist.com/analysis/36424/zeus-in-the-mobile-facts-and-theories/

56

Zabezpečení

3.

elektronických

komunikačních

prostředků V současnosti je přístup do internetového bankovnictví zabezpečen pomocí tak zvaných tokenů. Podle využití a formy je možné tokeny roztřídit do několika skupin: •

hardwarové: o jednoúčelové o víceúčelové

•

softwarové

Token hardwarový jednoúčelový Jedná se zpravidla o generátor kódů pro internetové bankovnictví. Použitím takového tokenu lze eliminovat hrozbu, kterou vyvolává malware ZITMO. Klient banky si zakoupí nebo pronajme token od banky. Token funguje na principu symetrického šifrování, to znamená, že k šifrování i k dešifrování je použit stejný klíč. Na straně klienta je klíč integrován v tokenu, na straně banky se klíč zadává do bankovního systému k danému uživateli. Ve skutečnosti se tedy nezadává šifrovací klíč, ale sériové číslo daného tokenu, na základě kterého je správný klíč přiřazen správnému klientovi. Generování kódu probíhá pomocí RSA59 šifrování. To znamená, že token využije symetrický šifrovací klíč a k němu „sůl“60 v podobě aktuálního času a pomocí algoritmu je kód vygenerován. Po zasání kódu do internetového bankovnictví, a jeho odeslání, se na bankovním serveru provede šifrování tak, že se použije stejný šifrovací klíč (je znám díky registraci tokenu k uživateli), „sůl“ (stejný aktuální čas) a za pomoci stejného algoritmu se vygeneruje kód. Pokud se oba kódy shodují (kód odeslaný klientem a kód vygenerovaný v bance) je zaručeno, že klient je osoba, za kterou se vydává a může dojít k přihlášení do internetového bankovnictví nebo k autorizaci plateb.

59 60

iniciály autorů šifry Rives, Shamir, Adleman pojmem sůl se v hantýrce IT označuje něco malého, co se přidává (pozn. autora)

57

Obrázek 11: Grafické znázornění průběhu autentizace za pomoci RSA Zdroj: RSA-Security. Xanadu [online]. [cit. komunikace/zabezpeceni-siti/rsa-security.html [60]

2015-03-04].

Dostupné

z:

http://www.xanadu.cz/cs/it-produkty/site-a-

Token hardwarový víceúčelový Víceúčelové tokeny mívají podobu USB donglů a svému majiteli umožňují typicky tyto funkce [61]: •

přihlášení k pracovní stanici, intranetu, extranetu, VPN

•

autentizace při vzdáleném přístupu

•

přihlášení do internetového bankovnictví a internetových aplikací

•

ukládání digitálních certifikátů a privátních klíčů, elektronický podpis

•

šifrování dokumentace

Jednoduché tokeny obvykle obsahují jen paměť, ty složitější procesor, vlastní operační systém a aplikační software a ty nejsložitější obsahují navíc vlastní kryptografický procesor. Jednoduché tokeny jen generují náhodná čísla, jež zobrazují na malém displeji. Ty složitější již dokáží tento kód poslat do počítače, například pomocí USB nebo BlueTooth. Ilustraci funkčnosti USB tokenu při šifrování emailové komunikace dokládá následující obrázek.

58

Obrázek 12: Ilustrace šifrování emailové komunikace Zdroj: USB token: pamatuje si hesla a šifruje. Útok zabere dvě a půl minuty. TOMĚK, Lukáš. Lupa.cz [online]. 2010-09-10 [cit. 2015-03-04]. Dostupné z: http://www.lupa.cz/clanky/usb-token-pamatuje-si-hesla-sifruje-neni-bezpecny/ [61]

Odesílatel emailové zprávy ji podepíše pomocí soukromého klíče uloženého v USB tokenu. V dalším kroku je emailová zpráva zašifrována pomocí veřejného klíče příjemce, jenž je uložen u certifikační autority a emailová zpráva je pak příjemci odeslána. Příjemce pak emailovou zprávu dešifruje pomocí svého soukromého klíče. Token softwarový Softwarový token lze považovat za mladšího bratra hardwarového tokenu. Generování kódů probíhá stejně jako u hardwarového tokenu, ale protože se vlastně jedná o aplikaci, je nutné použít nějaké elektronické zařízení. Typicky se jedná o chytrý telefon, tablet, počítač a možná i chytré hodinky. Rozmach softwarového řešení tokenu nastává právě v těchto letech, ruku v ruce s tím, jak se zvyšuje počet chytrých zařízení mezi lidmi. Kupříkladu jej používá společnost Google k přihlášení uživatele do klientské části, Microsoft pro klientské účty ve Windows nebo UniCredit Bank Czech Republic and Slovakia, a.s. a Československá obchodní banka, a. s. pro přihlášení do internetového bankovnictví. Výhodou oproti jednoúčelovému hardwarovému tokenu je skutečnost, že klient s sebou nemusí nic nosit. Token má nainstalovaný ve svém chytrém telefonu a má jej vždy při sobě. To ale na druhou stranu může skýtat velké riziko, jak bylo zmíněno v kapitole „Ztráta nebo krádež telefonu“ kompromitovaný telefon by mohl i takto vygenerovaný kód odeslat útočníkovi. Dalším 59

rizikem je právě ztráta zařízení, v němž je token nainstalován. Pokud se jedná „jen“ o bankovní token, není problém přijít do banky s novým telefonem a občasným průkazem a zažádat o novou aktivaci služby, ale například u online herních portálů, se sídlem v zahraničí, může být identifikace kvůli získání nového tokenu velice složitá. Softwarové tokeny tvoří zajímavou variantu k hardwarovým tokenům o čemž svědčí i vzrůstající trend jejich využívání. Hlavní riziko pro softwarové tokeny představuje především s malware, a proto je nutné toto riziko ošetřit. Poté je možné softwarové tokeny masově nasadit k ochraně webových aplikací. Například v bitcoinové ekonomice je dvoufaktorová autentizace, pomocí softwarových tokenů, již standardem [62].

3.1. Antivirové programy pro chytré telefony S růstem počtu chytrých mobilních telefonů začal i růst počtu útoků na tyto telefony. Na to reagovali antivirové společnosti vývojem antivirových programů pro mobilní zařízení. V této kapitole představím vybrané antivirové programy, zhodnotím jejich funkčnost a nutnost jejich instalace do chytrého mobilního telefonu. Porovnávat budu placené a neplacené verze antivirových programů pro nejrozšířenější mobilní operační systém Android, protože placené verze obsahují rozšíření funkcionalit těch neplacených. Analýza jednotlivých antivirových programů bude provedena na mobilním telefonu Samsung Galaxy S4 s operačním systémem Android 5.0. Pro porovnání jsem si vybral antivirové aplikace třech nejznámějších společností. Jsou jimi české společnosti Avast a AVG a slovenská společnost ESET. Aplikace budu hodnotit na stupnici od jednoho do tří bodů, a to podle ceny placených verzí, zda se v aplikaci nachází reklama, podle uživatelské přívětivosti, úspěšnosti detekce škodlivých programů.

60

Cena Každé ze tří placených aplikací bude, na základě ceny, udělen jeden až tři body. Nejlevnější aplikace získá tři body a nejdražší pouze jeden bod. Měřítkem ceny bude cena za roční licenci. Pokud některá z aplikací bude placena področně, nebo naopak na dobu delší, bude cena adekvátně upravena. Reklama U každé aplikace bude zkoumáno, jestli a jakým způsobem je v aplikaci zobrazována reklama. Aplikace, u níž bude reklama nejméně viditelná, získá tři body a aplikace s nejvíce viditelnou reklamou získá jeden bod. Uživatelská přívětivost Aplikace budou nainstalovány na výše uvedený mobilní telefon a bude zjišťováno, jaká je náročnost jejich ovládání. Jak složité nebo jednoduché je nastavení aplikace, případně grafická přehlednost menu. V tomto případě se bodování bude odvíjet od mého osobního pocitu. Tři body v tomto případě získá aplikace nejvíce uživatelsky přívětivá, jeden bod pak aplikace nejméně přívětivá. Úspěšná detekce škodlivých aplikací K tomuto hodnocení budou využity statistiky nezávislé společnosti AV-Test, jenž provádí testování antivirových a jiných bezpečnostních programů jak pro Android, tak pro Microsoft. Statistiky jsou dostupné z webových stránek av-test.org. K hodnocení budou využity výsledky testů za leden 2015. Společnost AV-Test využívá hodnocení detekce virů od nuly do sta procent. Podle počtu dosažených procent, bude každé aplikaci přidělen daný počet bodů tak, že aplikace, která dosáhne nejvyššího procenta úspěšnosti, získá tři body a aplikace s nejnižším počtem procent jeden bod.

61

3.1.1. Eset Mobile Security Antivirová aplikace od společnosti Eset pro operační systém Android, je nabízena jako placená a neplacená verze. Neplacená verze poskytuje již v základu antivirovou ochranu v reálném čase a GPS lokalizaci pro vyhledání ukradeného nebo ztraceného mobilního telefonu. Placená verze přidává například možnost filtrování SMS a volání, vzdálené smazání a Anti-Phishing ochranu. Cena Placená verze Eset Mobile Security činí 373 Kč na 1 rok. Za tuto cenu získává aplikace 1 bod. Reklama Neplacená verze antivirového programu neobsahuje žádnou reklamu. Získává tedy 3 body. Uživatelská přívětivost Menu aplikace obsahuje šest tlačítek, kterými je možné spustit antivirovou ochranu, nastavit aplikaci a nastavit Anti-Theft, který pomůže uživateli najít a zamknout mobilní telefon. Další tři tlačítka, pro filtr hovorů a SMS, bezpečnostní audit a Anti-Phishing jsou dostupná pouze v placené verzi. Za uživatelskou přívětivost získává 3 body. Úspěšná detekce škodlivých aplikací Dle statistik společnosti AV-Test, aplikace zachytila 100% všech testovaných hrozeb. Proto aplikace získává 3 body. Protokol o provedeném testu je přiložen v příloze 6.

62

3.1.2. AVG Společnost AVG nabízí ochranu pro chytré mobilní telefony také ve dvou variantách. V neplacené verzi je obsažena antivirová ochrana, ochrana proti krádeži a blokování nevyžádaných hovorů. V placené verzi, s názvem PRO, si uživatel zakoupí navíc zálohování aplikace, možnost zamčení zařízení a odstranění reklam. Cena Cena roční licence antivirové aplikace činí 299 Kč. Za tuto cenu si aplikace vysloužila 2 body. Reklama Podle ceníku společnosti AVG, neplacená verze obsahuje reklamy, během testování aplikace se však žádné reklamy neobjevily. Reklamy se nejspíše neobjevily z důvodu 30 denní zkušební doby, kdy má uživatel k dispozici zdarma verzi PRO. Z tohoto důvodu získala aplikace 2 body. Uživatelská přívětivost Aplikace nabízí přehledné menu se čtyřmi tlačítky, umožňující přístup ke spuštění antivirové ochrany, nastavení telefonu proti krádeži, nastavení blokace příchozích hovorů a optimalizace výkonu zařízení. Za přehledné menu aplikace získává 3 body. Úspěšná detekce škodlivých aplikací Ze statistiky vyplývá, že aplikace zachytila 98,7% ze všech testovaných hrozeb. Jelikož je tato hodnota nejnižší, byl udělen 1 bod. Výsledek statistiky od společnosti AV-Test je přiložen v příloze 7.

63

3.1.3. Avast I společnost Avast nabízí verzi zdarma a verzi placenou. V neplacené verzi uživatel získá antivirovou ochranu, vzdálené ovládání telefonu v případě ztráty či krádeže a zálohování některých dat. Při zakoupení licence je uživateli zpřístupněna možnost zámku aplikací, detekce reklam, rozšíření možností při ztrátě telefonu a plnohodnotné zálohování dat z telefonu. Cena Cena za plnou verzi antivirového programu činí 290 Kč. Tímto aplikace získává 3 body. Reklama Při testování aplikace nebyla žádná reklama nalezena. Za to si aplikace vysloužila 3 body. Uživatelská přívětivost Menu aplikace je přehledně uspořádáno. Po chvíli používání aplikace je uživatel schopen aplikaci ovládat intuitivně. Uděleny 3 body. Úspěšná detekce škodlivých aplikací Dle výsledků využitých statistik, aplikace zachytila 100% všech testovaných hrozeb. Uděleny 3 body. Protokol o testování je také přiložen v příloze 8.

64

3.2. Vyhodnocení testu Vítězem testu, s celkem 12 body, se stal antivirový program od společnosti Avast. Ve všech testovaných kritériích získal plný počet bodů. Aplikace je ze všech tří možností nejlevnější, a při testování společností AV-Test odchytila 100% všech testovaných hrozeb. Uživatelská přívětivost aplikace je na vysoké úrovni a neplacená verze neobsahuje reklamu. Nicméně je potřeba podotknout, že zbylé dvě aplikace, co se funkčnosti týče, rozhodně nelze zavrhovat. Pokud by byl pominut faktor ceny a u aplikace společnosti AVG 1% selhání testovaných rizik, jsou všechny tři aplikace na srovnatelné úrovni. Tabulka 1: Porovnání jednotlivých antivirových aplikací Eset Cena Reklama Uživatelská přívětivost Detekce škodlivých aplikací Celkem

AVG

Avast

1 3 3 3

2 2 3 1

3 3 3 3

10

8

12

Zdroj: Vlastní zpracování

V současnosti nabízí všechny aplikace pro ochranu chytrých mobilních telefonů více méně stejné funkce a procenta úspěšnosti jsou taktéž vyrovnaná. Jak již bylo v této práci zmíněno, uživatel je vystaven hrozbám útočníků, ale ještě stále se škodlivé aplikace instalují do mobilních telefonů jen se souhlasem jejich uživatele

61

. Proto je dobré podotknout, že jen proti virovým hrozbám

není nutné si antivirový program do mobilního telefonu instalovat. Antivirovou aplikaci uživatel využije v případě ztráty nebo krádeže mobilního telefonu, kdy je možné mobilní telefon lokalizovat a například pořizovat audio a video záznamy a tím případného neoprávněného nálezce či pachatele identifikovat a usvědčit.

61

V červenci 2015 byla objevena chyba v operačním systému Android, nazvaná podle části operačního systému Stagefright, který zpracovává některé druhy multimédií. Chybu lze využít k převzetí kontroly nad chytrým telefonem a to pomocí zaslané MMS s přiloženým upraveným multimediálním obsahem. Chytré telefony, aby pracovali rychle, si přijatý multimediální obsah sami, bez vědomí uživatele, načtou a tím spustí závadný kód. Více například viz http://www.svetandroida.cz/stagefright-201507

65

4.

Analýza chování klientů

Cílem ankety je zjištění, jak dnes klienti bank obsluhují své účty v bance, tj. zda jsou nakloněni moderním technologiím. Jak mají zabezpečeny prostředky využívané k elektronické komunikaci a zda jsou si vědomi rizik, které používání elektronických prostředků přináší.

4.1. Popis ankety Anketa je provedena pomocí online dotazníků, které jsou šířeny za pomoci specializovaných webových portálů Vyplňto.cz a Survio.com. Pro získání většího množství respondentů, také šířen i pomocí sociální sítě Facebook a rovněž bude probíhat za pomoci papírových formulářů. Všechny typy sběrů odpovědí budou probíhat metodou náhodného výběru respondentů získávání genderových a socio-demografických údajů, které nejsou pro výzkum důležité. Služby Vyplňto.cz a Survio.com sice dokáží výsledky ankety automaticky zpracovat, ale protože bude potřeba výsledky jednotlivých anket sečíst, budu celkové výsledky a grafy vypracovávat sám. Pro anketu jsou stanoveny následující hypotézy: a) klienti bank v dnešní době využívají především elektronické platební prostředky b) klienti si nejsou vědomi možných rizik, jako například získání citlivých dat z nezabezpečených mobilních telefonů c) zneužívání platebních karet není rozšířeným jevem Výsledky ankety tyto hypotézy potvrdí nebo vyvrátí. Pro anketu jsem zvolil následujících deset otázek a dotazník, jsem přiložil jako přílohu číslo 9: 1. Jaký způsob ovládání Vašeho účtu preferujete? 2. Jak často jste v poslední době zaznamenal/a informace o možném nebezpečí pro Vaše internetové bankovnictví? 3. Jakým způsobem je řešeno Vaše ověření při přihlašování do internetového bankovnictví? 4. Byl Vám, nebo někomu z Vašich osobně známých, odcizen mobilní telefon či došlo k jeho ztrátě? 5. Jak máte zabezpečen přístup do chytrého telefonu? 6. Máte ve svém chytrém telefonu nainstalovány i aplikace získané jinak než z oficiálního repozitáře? (App Store, Google Play…) 66

7. Kontroluje, o jaká oprávnění žádají aplikace při instalaci do chytrého telefonu? 8. Byla Vám, nebo někomu z Vám osobně známých, odcizena platební karta či došlo k její ztrátě? 9. Stal/a jste se Vy, nebo někdo z Vám osobně známých, obětí zneužití platební karty? 10. Kde máte obvykle uschován PIN k platební kartě?

4.2. Vyhodnocení dotazníku Sběr dat probíhal v období od 17. září 2015 do 4. října 2015 pomocí výše zmíněných metod. Dotazník obsahoval 10 výše zmíněných povinných otázek, z nichž otázky 3., 4., 8., a 10. byly koncipovány s alespoň jednou odpovědí a zbylé otázky pouze s právě jednou odpovědí. Celkem na dotazník odpovědělo 167 respondentů, z toho jsem 12 odpovědí vyřadil, protože obsahovaly nesmyslné odpovědi. 3,23%

1,29% elektronický papírový nemám účet u banky 95,48%

Graf 4: Preference ovládání účtů Zdroj: Vlastní zpracování

První otázka ukazuje, že 95,5% respondentů preferuje elektronické ovládání svého běžného účtu před 3,2% respondentů, kteří z nějakého důvodu docházejí na přepážku své banky. 1,3% respondentů nemá vlastní účet. Otázka potvrdila první stanovenou hypotézu a to že v dnešní době jsou preferovány elektronické platební prostředky.

67

4,52% 12,26% stále často

33,55%

občas 49,68%

nikdy

Graf 5: Četnost zaznamenání informací o možném nebezpečí pro internetové bankovnictví Zdroj: Vlastní zpracování

Z odpovědí na druhou otázku vyplývá, že téměř 50% respondentů alespoň občas zaznamenává varování před možným ohrožením internetového bankovnictví. Téměř 33,5% respondentů uvedlo, že takové zprávy zaznamenává často a pouze 4,5% respondentů takové zprávy zaznamenává stále. Na druhou stranu 12% respondentů nezaznamenalo varování vůbec. příchozí SMS hardwarový token (tzv. kalkulačka)

21,94%

15,48%

56,13%

softwarový token (generátor kódů v chytrém telefonu) certifikát vydaný bankou

3,23%

moje banka neposkytuje dvoufaktorovou autentizaci

3,23%

Graf 6: Typy dvoufaktorové autentizace internetového bankovnictví Zdroj: Vlastní zpracování

V třetí otázce bylo zjišťováno, jakým způsobem je řešena dvoufaktorová autentizace internetového bankovnictví jednotlivých respondentů. Z výsledků vyplývá, že nejrozšířenějším způsobem je v 56% zasílání SMS s bezpečnostním kódem. Na druhém místě se s 15,5%

68

odpovědí umístila možnost použití osobního certifikátu. O třetí místo se dělí používání softwarového a hardwarového tokenu. Zajímavostí je ovšem téměř 22% odpovědí s tím, že banka respondentů nevyužívá dvoufaktorovou autentizaci. Toto číslo může vypovídat o tom, že respondenti nemuseli rozumět zadání otázky anebo využívají služeb banky, která dvoufaktorovou autentizaci nevyužívá. 70,00%

61,82%

60,00% 50,00%

ztráta

40,00%

odcizení

30,00% 20,00%

22,42% 15,76%

ne

10,00% 0,00%

Graf 7: Počet krádeží a ztrát mobilních telefonů Zdroj: Vlastní zpracování

Z odpovědí na čtvrtou otázku vyplývá, že 62% respondentů a jejich osobně známých, nebyl odcizen nebo nedošlo ke ztrátě mobilního telefonu. V 22% byl mobilní telefon odcizen a v 16% došlo k jeho ztrátě. Celkově lze říct, že respondenti si svůj mobilní telefon hlídají a chrání jej před ztrátou a zcizením.

17,57% 15,54%

PIN 45,95%

gesto heslo jiná

20,95%

Graf 8: Zabezpečení přístupu do chytrého telefonu Zdroj: Vlastní zpracování

69

V páté otázce bylo zjišťováno, jakým způsobem mají respondenti zabezpečen přístup do chytrého mobilního telefonu. Otázka byla koncipována s možností otevřené odpovědi, takové odpovědi byly zaznamenány pod možnost „jiná“. V anketě odpovědělo 29 respondentů, že nevlastní chytrý telefon. Jejich odpovědi nejsou do grafu zaneseny. Nejvíce (celkem 46%) respondentů používá k zabezpečení přístupu PIN. Na druhém místě se s 21% umístilo zabezpečení gestem. Třetí místo s téměř 17,5% získala odpověď „jiná“. Pod touto možností se nejčastěji vyskytovala možnost, že daný respondent nemá přístup do telefonu nijak zabezpečený. Nejméně respondentů (celkem 15,5%) používá k zabezpečení heslo. Jelikož se heslo může skládat jak z čísel, tak z písmen, lze tuto možnost považovat za relativně nejlepší zabezpečení. Takto malé zastoupení může způsobovat fakt, že zadání hesla při odemčení mobilního telefonu zabere respondentovi nejvíce času a tak je tato forma nejméně využívaná. V šesté otázce bylo zjišťováno, zda si respondenti do svých chytrých telefonů instalují aplikace jen z oficiálních repositářů nebo i z jiných dostupných zdrojů. Stejně jako u předešlé otázky, nebylo započítáno 29 odpovědí, kdy respondenti nevlastní chytrý mobilní telefon. Z odpovědí na tuto otázku vyplynulo, že 68% respondentů vlastních chytrý mobilní telefon, instalují aplikace pouze z oficiálních repozitářů. Zbylých 32% respondentů instaluje aplikace z cizích zdrojů, které nepodléhají kontrole, zda neobsahují závadný kód. Sedmá otázka vypovídá o tom, zda respondenti, vlastnící chytrý mobilní telefon, sledují, o jaká oprávnění aplikace při své instalaci žádá. Z výše uvedeného grafu vyplývá, že přes 70% všech respondentů, při instalaci aplikací, oprávnění kontroluje.

70

16,15% ztráta 15,53%

odcizení

68,32%

ne

Graf 9: Počet krádeží a ztrát platebních karet Zdroj: Vlastní zpracování

V osmé otázce jsem zjišťoval počet krádeží či ztrát platebních karet. Z odpovědí lze vyvodit, že 68% respondentů a ani jím osobně známým nebyla odcizena platební karta a ani nedošlo k jejímu zneužití. Zbylé dvě možnosti, to jest ztráta či odcizení, jsou téměř vyrovnané s hodnotou okolo 16%. Na otázku zda se respondent, nebo jemu osobně známá osoba, stala obětí zneužité platební karty, odpovědělo 87% respondentů negativně. Obětí zneužití platební karty se tak stalo pouze 13% respondentů. Vzhledem k tomu, že v osmé otázce 15,53% respondentů uvedlo odcizení platební karty a v této otázce bylo zjištěno 12,90% zneužití, je nasnadě říci, že 83% odcizených karet bylo nějakým způsobem zneužito. 1,82% 6,67%

pamatuji si ho

1,21%

k tomuto účelu určená aplikace v chytrém telefonu napsán na platební kartě 90,30%

napsán v blízkosti platební karty (např. společne s platební kartou v jedné peněžence)

Graf 10: Obvyklá místa pro uschování PIN k platební kartě? Zdroj: Vlastní zpracování

71

Poslední, desátá, otázka poskytuje odpovědi na dotaz uschování PINu k platební kartě. Z grafu je vidět, že nejvíce respondentů, 90%, si PIN pamatuje. Téměř 7% respondentů má PIN uložen v chytrém telefonu v k tomuto účelu určené aplikaci. Zbývající 3% respondentů uvedlo, že mají PIN uložen v blízkosti platební karty nebo dokonce napsaný na platební kartě.

4.3. Souhrn ankety a potvrzení či vyvrácení hypotéz Na základě výsledků ankety je nyní možné vytvořit celkový souhrn výsledků a potvrdit či vyvrátit předem stanovené hypotézy. •

první hypotézu, že klienti bank v dnešní době využívají především elektronické platební prostředky, můžeme na základě výsledků přijmout

•

na základě výsledků ankety je možné druhou hypotézu, že klienti si nejsou vědomi možných rizik, jako například získání citlivých dat z nezabezpečených mobilních telefonů, zamítnout

•

třetí hypotézu, že zneužívání platebních karet není rozšířeným jevem, je možné na základě výsledků ankety přijmout

•

u dvoufaktorové autentizace respondenti hojně využívají ověření pomocí příchozí SMS

•

většina respondentů vlastnící chytré mobilní telefony má přístup chráněný některým z možných způsobů

•

většina respondentů neinstaluje do svého chytrého telefonu aplikace z jiných zdrojů než z oficiálního repozitáře

•

respondenti většinou nekontrolují, o jaká oprávnění si aplikace při instalaci žádají (může souviset s předešlým bodem; pokud je aplikace z oficiálního repozitáře vzniká iluze, že se nemusím bát a nemusím kontrolovat, o co aplikace žádá)

•

z testu vyplývá, že většina respondentů si dává pozor na mobilní telefon a platební kartu a tyto věci jim nebyly ukradeny ani je respondenti

72

Inovace v zabezpečení

5.

S vývojem nových technologií se zvyšuje i kvalita zabezpečení. Jednou z technologií, která se v poslední době digitalizace dostává do popředí, je biometrika. K jejímu rozšíření velice napomáhá současný vývoj technologií a snižování cen. Již dnes se můžeme setkat s biometrickými systémy, jež zajišťují identifikování osob při vstupu do objektů. Na druhou stranu, je to právě mladistvost této technologie, která v široké veřejnosti vyvolává strach z nedůkladného zabezpečení nebo dokonce z ohrožení zdraví. Jelikož biometrika zahrnuje široké množství možností (otisky prstů, skenování oka, hlas, tvář, podpis, DNA), vybral jsem si jen některé způsoby jejího využití, které by bylo možné využít v bankovním sektoru. Využití biometrických metod lze zaznamenat již od faraonského Egypta, kdy byli lidé měřeni kvůli následné identifikaci. Například se dochovaly historické záznamy o úředníkovi, který měl na starosti vyplácení mezd dělníkům, pracujícím na stavbě pyramidy. Faraon Khafre se totiž zajímal i o rozpočet na stavbu, a aby vyloučil skutečnost, že nějaký dělník dostane za práci zaplaceno vícekrát, přikázal svým podřízeným úředníkům, aby o dělnících vedli detailní záznamy. U dělníků se tak zaznamenávali kromě jména, profese, věku, detailního popisu obličeje například i délka lokte, vzdálenost mezi palcem a ukazováčkem a seznam všech průkazných zranění. Když pak byla dělníkovi vyplácena mzda, byl daný dělník s tímto seznamem konfrontován [63]. Dobrým důvodem, proč je vhodné využití biometrických systémů nejen v bankovním sektoru, je nespočet výhod, které biometrické systémy poskytují: •

vysoká spolehlivost

•

rychlost

•

praktičnost (není co ztratit, odcizit, zapomenout)

•

efektivnost (přímé spojení s databází a počítači)

Jak bylo zmíněno dříve, v kapitole platební styk, podpis je jediným identifikátorem osoby zadávající papírový příkaz k úhradě nebo k inkasu. Je možné si však položit otázku: „Je podpis to jediné, čím může být člověk v bance identifikován?“. Odpověď zní: „Ne“.

73

Dále budu popisovat následující biometrické technologie: •

Otisk prstu

•

Hlas

•

Biometrický podpis

Otisk prstu V souvislosti s otisky prstů je nutné zmínit jedno velmi důležité jméno. Tím jménem je Jan Evangelista Purkyně. Přínos J. E. Purkyně spočívá v tom, že jako první dokázal popsat a rozlišit devět základních vzorů papilárních linií na posledních článcích prstů. Postupem času se technika identifikace člověka podle otisků prstů zdokonalovala a databáze otisků zvětšovala. S příchodem počítačových databází se kartičky s otisky prstů přenesly do digitální podoby a umožnili tak jejich sdílení nejen v rámci státu, ale i v globálním měřítku. V kriminalistice je metoda identifikace velmi rozšířená, jednak z důvodu, že metoda je již dlouho používána a jednak, protože je tato metoda velmi jednoduchá a existuje mnoho zdrojů, ze kterých lze otisk získat (pět prstů na každé končetině). [64] V současnosti bývá čtečka otisků prstů součástí notebooků či mobilních telefonů a umožňuje uživateli takového zařízení, aby se pomocí čtečky identifikoval a získal do zařízení přístup. Čtečka otisků prstů může také vykonávat funkci hlavního hesla do databáze hesel. Uživatel se například bude chtít přihlásit do internetového bankovnictví. Když se bude nacházet na stránce pro vyplnění přihlašovacích údajů, jednoduše přiloží prst ke čtečce a přihlašovací údaje se vyplní samy. Ale proč by tedy nemohl být přihlašovacím údajem samotný otisk prstu? Klient by si nechal při zřízení konta v bance sejmout otisk, ten byl zaregistrován v interní databázi banky a převeden na hash62. Pomocí stejného algoritmu by pak vytvářela hash i čtečka otisků. Proč se tento způsob nevyužívá a zřejmě ani nebude, je prostý. Asi nebude problém sejmout stále stejný otisk u studenta nebo člověka pracujícího v kanceláři. Ovšem takový řemeslník už asi problém mít bude. U řemeslných povolání je vysoké riziko, že se člověk pořeže nebo popálí a v tu chvíli by muselo být použito nějaké záložní řešení, třeba přihlašování pomocí tokenu.

62

Pomocí algoritmu jsou vstupní data transformována na řetězec s danou pevnou délkou. Dva hashe jsou stejné jen za předpokladu transformace identických vstupních dat.

74

Hlas Rozpoznávání osob na základě hlasu a řeči je možné především díky fonetickým vědám a jejich aplikací. Dnes existuje velmi mnoho počítačových systémů, které zkoumají některé akustické parametry hlasu a řeči. Fonetické vědy se začaly rozvíjet počátkem 60. let zejména v Evropě a USA. Díky hlasu lze o mluvčím zjistit informace jako je pohlaví, přibližný věk, národní příslušnost, sociální zařazení nebo informace o aktuálním zdravotním stavu. Samotná identifikace hlasu je prováděna pomocí elektronické analýzy řeči. Hlas člověka se sice během života mění, nicméně, mezi 20 až 60 rokem věku se stává téměř neměnný. Každý člověk má svůj charakteristický hlasový projev (barva hlasu, rytmus, skladba vět, gramatika). Za účelem rozpoznání osoby je nutné, stejně jako při ověřování podpisu, vlastnit nějakou předlohu pro srovnání. Předlohou pro porovnání může být buď předem daná fráze, nebo fráze libovolná. V případě předem dané fráze se kromě hlasových charakteristik ověřuje i obsahová část fráze, kdežto u libovolné fráze se ověřuje jen hlasová charakteristika. V případě předem dané fráze je eliminováno využití hlasového imitátoru nebo nahrávky, pokud neoprávněná osoba tuto frázi nezná. Problém ale může nastat ve chvíli, kdy je mluvčí nemocný, protože jeho hlasové charakteristiky budou pozměněné [65]. Biometrický podpis Je všeobecně dáno, že podpis je chápán jako souhlas s obsahem určitého dokumentu, je svazován s hmotnými i nehmotnými transakcemi, a je potvrzením autorství. Z těchto důvodů existují snahy o jeho napodobení a falzifikaci. Jeho nespornou výhodou je, že jej nelze ztratit, nelze ho někde zapomenout a nemůže být ukraden. S kontrolou podpisu se lze setkat všude tam, kde existuje kontrola přístupu nebo finanční transakce. Nyní je běžnou praxí, že klient, při sjednávání účtu, uvede svůj podpis na papírový formulář a podpis je poté naskenován pomocí skeneru do počítače. Pokud je poté potřeba s bankou jednat, například podávat příkazy, je podpis na příkazu porovnán s již uloženým podpisem na podpisovém vzoru. Tento způsob ověřování podpisů ale není zárukou pravosti podpisu. Podpis na papíře je možné kopírovat a předkládat ke kontrole jako pravý. Jako příklad lze uvést podávání platebních příkazů pomocí sběrných boxů. Tyto formuláře nejsou kontrolovány při podepisování, ale až při zadávání pokynu k vykonání příkazu, není tak jednoznačné, kdo příkaz podepsal. Mnohem více bezpečnosti poskytuje podpis pořízený online, buď pomocí speciálního pera, nebo elektronického touchpadu. Tento způsob sběru umožňuje 75

zachytit nejen grafickou a obsahovou část popisu, jako u podpisu na papíře, ale i další charakteristiky. Těmito charakteristikami jsou rychlost psaní, tlak pera v jednotlivých částech podpisu, pořadí v jakém jsou jednotlivé části podpisu psány a jsou unikátní pro každého člověka. Tím se velice sníží pravděpodobnost zfalšování podpisu. Na následujícím obrázku jsou graficky znázorněny dynamické vlastnosti podpisu, z kterých je možné vyčíst, jaký tlak vyvíjel pisatel v každém bodu podpisu.

Obrázek 13: Dynamické vlastnosti podpisu Zdroj: RAK, Roman. Biometrie a identita člověka ve forenzních a komerčních aplikacích: Barevná příloha. 1. vyd. Praha: Grada, 2008, s. 21. ISBN 978-80-247-2365-5. [66]

Doba plné digitalizace se kvapem blíží. Již dnes některé instituce odbourávají zatěžující papírování. Smlouvy se sice ještě na papír tisknou a podepisují, ale poté jsou naskenovány do počítače a originály odeslány do repozitáře smluv. Odpadá tak nutnost mít na každé pobočce bezpečnostní skříně pro papírovou dokumentaci, nehleděna to, že se k papírovým smlouvám pak nedostane třeba jiná pobočka stejné banky. Pro klienta je výhodou, že při odchodu z banky si neponese stohy papírů a pokud by smlouvu k něčemu potřeboval, jednoduše si ji stáhne z internetového bankovnictví. Jako první přišla s nápadem digitalizace podpisu GE Money Bank. Od přechodu na digitální ověřování podpisů si slibovala 20% nárůst spolehlivosti srovnávání podpisu [67]. Jakým způsobem systém podepisování funguje, popsal projektový manažer GE Money Bank, a.s. Štěpán Pittauer: Biometrický podpisový vzor je pořízen tak, že se klient šestkrát podepíše na takzvaném SignPadu. Šest podpisů je potřeba pro správné vyhodnocení a uložení všech získaných biometrických údajů. Takto získaný biometrický podpisový vzor je téměř nemožné napodobit. Data získaná ze SignPadu jsou ihned po jejich získání zašifrována, opatřena 76

kvalifikovaným certifikátem

a časovým razítkem od nezávislé autority, které znemožní

provedení jakékoliv změny integrity v budoucnu [68]. Navíc, digitální elektronický podpis obsahuje časové razítko a je tak vždy možné zjistit kdy byla smlouva podepsána a nikdo se nebude moci dohadovat o datu a hodině její platnosti. Kromě odstranění stohů papírů při sjednávání produktů dojde i k výraznému zrychlení celého procesu. Není těžké si představit, například akt sjednávání pojistné smlouvy na automobil. Klient s poradcem, někde v terénu u klientova automobilu, modelují parametry smlouvy, pokud je klient s nabídkou pojištění spokojen, jednoduše návrh smlouvy elektronicky podepíše a taková smlouva je okamžitě po podepsání odeslána do pojišťovny ke zpracování. Pokud klient bude chtít smlouvu v papírové podobě, může si ji, v souboru PDF, stáhnout z klientské zóny do počítače a posléze vytisknout. V otázce zabezpečení získaných biometrických dat a samotného podepsaného dokumentu, dokument ve formátu PDF obsahuje kompletní zašifrovaný biometrický podpis, to znamená jak jeho grafickou podobu, tak dynamické charakteristiky. Kompletní podpis je zašifrován a stane se nedílnou součástí podepisovaného dokumentu. Tím je vyloučeno provedení jakékoliv změny, která by měla být antidatována do doby před podepsáním a každá změna se pak ukládá jako následující revize daného dokumentu. Revize je možné otevírat a číst pomocí programu, jenž podporuje formát PDF. Samotné šifrování je provedeno veřejným klíčem a dešifrování je umožněno jen za pomoci klíče soukromého, který je však bezpečně uložen u důvěryhodné třetí strany a společnost, s níž klient smlouvu podepisuje, k tomuto klíči nemá přístup. Dešifrování by se provádělo například pro účely soudního jednání [69].

77

Závěr Závěrem práce bych chtěl shrnout doporučení nejen pro klienty bank, ale pro každého uživatele používající internet a prostředky elektronické komunikace. Neodpovídat na phishingové emaily a SMS, nikomu po internetu neposkytovat citlivé údaje, jako PIN, CVV/CVC kód uživatelské číslo nebo jméno a heslo. Mobilní aplikace pro chytré telefony, by jejich uživatelé měli instalovat pouze z ověřených zdrojů. Pokud klientovi přijdou přihlašovací údaje emailem a klient jejich zaslání neočekává, může se zeptat své banky, zda mu údaje zaslala nebo email rovnou smazat. Dvoufaktorová autentizace znamená výrazné zvýšení bezpečnosti, ale pouze pokud si uživatel nenechá podstrčit závadnou aplikaci zachytávající kontrolní SMS zprávy s ověřovacím kódem. Na základě provedené analýzy, jsem dospěl k závěru, že pro zabezpečení chytrého mobilního telefonu není nutné instalovat žádný antivirový program, ovšem za předpokladu, že uživatel mobilního telefonu nebude bezhlavě instalovat neověřené aplikace a dá si velký pozor na zprávy, za kterými by se mohla schovávat nějaká forma phishingu. Antivirový program však zůstává vhodnou volbou, která může uživateli pomoci najít jeho ztracený nebo ukradený mobilní telefon. Komparací vybraných antivirových řešení bylo zjištěno, že aplikace jsou si velmi podobné, co se týče nabízených možností, jak ochránit chytrý mobilní telefon a tudíž nebyla určena nejlepší aplikace. Případný zájemce o aplikaci se nejspíše bude řídit pouze její cenou za licenci. Na základě provedené ankety je možné říci, že se respondenti chovají převážně bezpečně. Většina respondentů má zabezpečen přístup do chytrého mobilního telefonu jedním z možných způsobů zabezpečení a neinstalují si do chytrých telefonů aplikace z cizích zdrojů. Respondenti převážně nesledují, o jaká oprávnění si aplikace při instalaci žádají, což může být způsobeno právě tím, že jsou aplikace získané oficiální cestou. K tomu je možné uvést, že i do oficiálního repozitáře si občas najde cestu i závadná aplikace, protože chvíli trvá, než na tuto aplikaci přijde kontrolní mechanizmus. Uživatel chytrého mobilního telefonu by proto měl oprávnění kontrolovat vždy. I když jsou celkové výsledky ankety, co se bezpečného chování týče, uspokojivé, našlo se i pár jedinců, kteří mají například PIN k platební kartě napsán v její blízkosti nebo dokonce na platební 78

kartě. Z vlastní zkušenosti tento fakt mohu také potvrdit. Z ankety dále vyplývá, že své chytré mobilní telefony a platební karty si respondenti hlídají a tak jejich ztráta či odcizení není častým jevem. Stanovené hypotézy byly ověřeny a dle výsledků je možné uvést, že první hypotéza, že klienti v dnešní době využívají především elektronické platební prostředky, je pravdivá. Druhou hypotézu, že klienti si nejsou vědomi možných rizik jako například získání citlivých údajů z chytrého mobilního telefonu, je možné také zamítnout. Jeden z respondentů uvedl, že nemusí mít přístup do chytrého telefonu zabezpečen, protože v něm nemá uložená citlivá data. K tomu bych rád podotknul, že pojem „citlivá data“ je pro každého jiný. Citlivá data nemusí být jen přihlašovací údaje, ale i telefonní číslo či emailová adresa. Třetí hypotézu, že zneužívání platebních karet není rozšířeným jevem, je také možné přijmout.

79

Seznam použité literatury [1] SCHLOSSBERGER, Otakar. Platební styk. 3. přeprac. a dopl. vyd. Praha: Bankovní institut, 2005, s. 75. ISBN 80-7265-072-6. [2] ČESKO. Zákon č. 6/1993 Sb., o České národní bance. In: Sbírka zákonů České republiky. 1992.

částka

3/1993.

Dostupné

z:

https://portal.gov.cz/app/zakony/zakon.jsp?page=0&nr=6~2F1993&rpp=15#seznam [3] ČESKO. Zákon č. 284/2009 Sb., o platebním styku. In: Sbírka zákonů České republiky. 2009, částka 89/2009. Dostupné také z: http://www.mvcr.cz/clanek/sbirka-zakonu.aspx [4] Zahájení mezirezortního připomínkového řízení MF k návrhu zákona, kterým se mění zákon č. 284/2009 Sb., o platebním styku. Ministerstvo financí České republiky [online]. 2015-1012 [cit. 2015-12-14]. Dostupné z: http://www.mfcr.cz/cs/soukromy-sektor/bankovnictvi-aplatebni-sluzby/platebni-sluzby-a-vyporadani-obchodu/zakladni-informace/2015/zahajenimezirezortniho-pripominkoveho-r-22750 [5] Výzva k zaslání komentářů a připomínek ohledně stávajícího znění zákona o platebním styku. Ministerstvo financí České republiky [online]. 2016-01-08 [cit. 2016-02-08]. Dostupné z: http://www.mfcr.cz/cs/soukromy-sektor/bankovnictvi-a-platebni-sluzby/platebni-sluzby-avyporadani-obchodu/zakladni-informace/2016/vyzva-k-zaslani-komentaru-a-pripominek-o23626 [6] ČESKO. §1. Zákon č. 21/1992 Sb., o bankách. In: Sbírka zákonů České republiky. 1991, částka 5/1992. Dostupné také z: http://www.zakonyprolidi.cz/cs/1992-21 [7] ČNB. Číselník kódů platebního styku v České republice [online]. [cit. 2015-02-24]. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/platebni_styk/ucty_kody_bank/do wnload/kody_bank_CR.pdf. [8] Sněmovní tisk 81/0, část č. 1/6 Vládní návrh zákona o kybernetické bezpečnosti: Návrh zákona

včetně

důvodové

zprávy

[online].

[cit.

2015-10-19].

Dostupné

z:

http://www.psp.cz/sqw/text/orig2.sqw?idd=90887 [9] Národní centrum kybernetické bezpečnosti [online]. [cit. 2015-10-19]. Dostupné z: https://www.govcert.cz/cs/legislativa/legislativa/ [10]

ČESKO. Zákon č. 181/2014 Sb., o kybernetické bezpečnosti. In: Sbírka zákonů České

republiky.

2014,

částka

75/2014. 80

Dostupné

také

z:

https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=82522&nr=181~2F2014&rpp=15#lo cal-content [11]

ČESKO. Vyhláška č. 169/2011 Sb., o stanovení pravidel tvorby čísla účtu. In: Sbírka

zákonů

České

republiky.

2011,

61/2011.

Dostupné

také

z:

https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=74428&nr=169~2F2011&rpp=15#lo cal-content [12]

ČESKO. Vyhláška 62/2004 Sb., kterou se stanový způsob provádění platebního styku

mezi bankami, zúčtování na účtech bank a technické postupy bank při oprávněném účtování. In:

Sbírka

zákonů

české

republiky.

2004,

částka

20/2004.

Dostupné

také

z:

http://www.zakonyprolidi.cz/cs/2004-62 [13]

ČESKO. Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších

zákonů. In: Sbírka zákonů České republiky. 2000, částka 68/2000. Dostupné také z: http://www.mvcr.cz/soubor/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx [14]

ČESKO. Předpis 514/2002 Sb., In: Sbírka zákonů české republiky. 2002, částka 178/2002.

Dostupné také z: http://www.psp.cz/sqw/sbirka.sqw?cz=514&r=2002 [15]

SCHLOSSBERGER, Otakar a Marcela SOLDÁNOVÁ. Platební styk. 3. přeprac. a dopl.

vyd. Praha: Bankovní institut, 2007, s. 83. ISBN 9788072651078 [16]

Podpisové vzory a jejich aplikace v bankách. DATA-INTER spol. s r.o. [online]. [cit.

2015-03-03]. Dostupné z: http://www.datainter.cz/doc/podpisove-vzory/podpisove-vzory.pdf [17]

Bankovní podpisové vzory České spořitelny. ZRZAVÝ, Lukáš. Systém On Line [online].

2002-05 [cit. 2015-03-03]. Dostupné z: http://www.systemonline.cz/clanky/bankovnipodpisove-vzory-ceske-sporitelny.htm [18]

Cornerstone Business Solution. [online]. 2013-11-12 [cit. 2015-02-28]. Dostupné z:

http://cornerstonebusinessblog.com/merchant-services-central-il/ [19]

KOPECKÝ, Karel. Elektronický platební styk. Bakalářská práce. Bankovní institut vysoká

škola, 2013. [20]

Paegas: deset bank v jednom mobilu. IDnes.cz [online]. 2000-03-23 [cit. 2015-02-27].

Dostupné

z:

http://ekonomika.idnes.cz/paegas-deset-bank-v-jednom-mobilu-d4f-

/ekonomika.aspx?c=A000323134803ekonomika_jjx [21]

DVOŘÁK, Petr. Bankovnictví pro bankéře a klienty. 3. přeprac. a rozš. vyd. Praha: Linde,

2005, s. 388. Vysokoškolská učebnice (Linde). ISBN 807201515x. 81

[22]

Měšec.cz

Homebanking.

[online].

[cit.

2015-02-28].

Dostupné

z:

http://www.mesec.cz/bankovni-ucty/prime-bankovnictvi/home-banking/pruvodce/ [23]

Počítač a internet v českých domácnostech. Český statistický úřad [online]. [cit. 2015-12-

05].

Dostupné

z:

https://www.czso.cz/documents/10180/20541931/3201814_0803.xlsx/35005a9a-3232-44c2b6ee-f86014cd7c73?version=1.1 [24]

Tatra banka má výber z bankomatu mobilom, efektnú kontrolu zostatku pomocou NFC.

DSL.sk

[online].

2014-08-18

[cit.

2015-03-02].

Dostupné

z:

http://www.dsl.sk/article.php?article=15968 [25]

Secure element: klíč k mobilním platbám. KORB, Kryštof a Martin PULZNER.

Nearfield.cz

[online].

2012-04-06

[cit.

2015-03-02].

Dostupné

z:

http://nearfield.cz/clanky/secure-element-klic-k-mobilnim-platbam-20 [26]

MasterCard spustí NFC platby s aplikací MasterCard Mobile. FAJMON, Martin.

Nearfield.cz

[online].

2015-02-24

[cit.

2015-03-02].

Dostupné

z:

http://nearfield.cz/clanky/mastercard-spusti-nfc-platby-s-aplikaci-mastercard-mobile-175 [27]

Platit mobilem bez telefonních operátorů? V Česku již brzy. Komerční banka [online].

2015-08-31

[cit.

2015-12-15].

Dostupné

z:

http://www.kb.cz/cs/o-bance/tiskove-

centrum/tiskove-zpravy/platit-mobilem-bez-telefonnich-operatoru-v-cesku-jiz-brzy1967.shtml [28]

Host Card Emulation (HCE) 101. Smart Card Alliance [online]. 2014-07 [cit. 2015-12-

15].

Dostupné

z:

http://www.smartcardalliance.org/wp-content/uploads/HCE-101-WP-

FINAL-081114-clean.pdf [29]

VÚB spustila bezkontaktné platby mobilom. Bez operátorov. Živé.sk [online]. 2014-09-03

[cit.

2015-12-15].

Dostupné

z:

http://mobilmania.azet.sk/clanok/98339/vub-spustila-

bezkontaktne-platby-mobilom-bez-operatorov [30]

Windows 10 zvládnou HCE platby a funkce, které ostatní už mají. Mobilmania.cz

[online].

2015-03-23

[cit.

2015-12-15].

Dostupné

z:

http://www.mobilmania.cz/bleskovky/windows-10-zvladnou-hce-platby-a-funkce-ktereostatni-uz-maji/sc-4-a1330124/default.aspx#utm_medium=selfpromo&utm_source=mobilmania&utm_campaign= RSSfeed 82

[31]

ČESKO. Zákon č. 124/2002 Sb., o převodech peněžních prostředků, elektronických

platebních prostředcích a platebních systémech (zákon o platebním styku). In: Sbírka zákonů České

republiky.

2002,

částka

55/2002.

Dostupné

také

z:

Dostupné

z:

http://www.psp.cz/sqw/sbirka.sqw?cz=124&r=2002 [32]

Mobito

[online].

2015-09-29

[cit.

2015-10-19].

http://www.mobitoplatito.cz/novinky/ukonceni-sluzby-mobito-caste-dotazy-proobchodniky/#more-9404 [33]

Mobito jsou peníze v mobilu. Mobito.cz [online]. [cit. 2015-03-02]. Dostupné z:

http://www.mobitoplatito.cz/vse-o-mobitu/mobito-penize-v-mobilu/ [34]

Robot umí napodobit Váš rukopis. Dvojklik [online]. 2015-02-24 [cit. 2015-03-05].

Dostupné z: http://www.dvojklik.cz/goexplore/robot-umi-napodobit-vas-rukopis [35]

Jak zabránit zneužití podpisového vzoru?. HÁJKOVÁ, Gabriela. Měšec.cz [online]. 2010-

04-15 [cit. 2015-03-03]. Dostupné z: http://www.mesec.cz/clanky/jak-zabranit-zneuzitipodpisoveho-vzoru/ [36]

MÁDR, Aleš. Zneužívání platebních karet. Bakalářská práce. Právnická fakulta

Masarykovy univerzity v Brně, 2005. [37]

Zpravodaj ÚVT MU: Útoky na platební systémy [online]. 2007, XVIII(1) [cit. 2015-08-

05]. ISSN 1212-0901. Dostupné z: http://ics.muni.cz/bulletin/articles/562.html [38]

Skimming

2015.

PČR

[online].

2016

[cit.

2016-03-18].

Dostupné

z:

http://www.policie.cz/clanek/skimming-2013.aspx [39]

Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. SALMON, Michal.

Měšec.cz

[online].

2010-04-30

[cit.

2015-02-27].

Dostupné

z:

http://www.mesec.cz/clanky/nejcastejsi-podvody-platebnimi-kartami/ [40]

Z ukradených platebních karet vysávají zloději stamilióny. Novinky.cz [online]. 2013-07-

24. [cit. 2015-02-27]. Dostupné z: http://www.novinky.cz/finance/308587-z-ukradenychplatebnich-karet-vysavaji-zlodeji-stamiliony.html [41]

ČT: Zaslepovací lišta zadrží peníze v bankomatu, ty pak vyzvedne zloděj. Česká televize

[online].

2010-09-04

[cit.

2015-02-27].

Dostupné

http://www.ceskatelevize.cz/ct24/ekonomika/100453-ct-zaslepovaci-lista-zadrzi-penize-vbankomatu-ty-pak-vyzvedne-zlodej/?mobileRedirect=off

83

z:

[42]

Sdělení ČNB o doporučení pro bezpečnost internetových plateb. Česká národní banka

[online].

[cit.

2015-12-16].

Dostupné

z:

http://www.cnb.cz/cs/dohled_financni_trh/legislativni_zakladna/platebni_instituce_a_instituc e_el_penez/sdeleni_bezpecnost_internetovych_plateb.html [43]

Sdělení ČNB o obecných pokynech EBA k bezpečnosti internetových plateb. Česká

národní

banka

[online].

[cit.

2015-12-16].

Dostupné

z:

http://www.cnb.cz/cs/dohled_financni_trh/legislativni_zakladna/obecne_pokyny_evropskych _organu_dohledu/eba_gl_2014_12_cs.html+ [44]

Nejbezpečnější platby kartou na internetu nabízejí tři banky. BUŘÍNSKÁ, Barbora.

IDnes.cz [online]. 2011-09-16 [cit. 2015-02-27]. Dostupné z: http://finance.idnes.cz/tribanky-nabizeji-nejbezpecnejsi-platby-kartou-na-internetu-pu5/karty.aspx?c=A110914_143118_bank_bab [45]

Payment & Delivery.

Green

Beer

[online].

[cit.

2015-02-27].

Dostupné

z:

http://www.green-bear.co.uk/deliverycost.html [46]

Češi vyvinuli bezpečnostní známky, které ochrání platební karty před kopírováním. Český

rozhlas

[online].

2013-11-05

[cit.

2015-02-27].

Dostupné

z:

http://www.rozhlas.cz/zpravy/politika/_zprava/cesi-vyvinuli-bezpecnostni-znamky-ktereochrani-platebni-karty-pred-kopirovanim--1277319 [47]

Protokol o testování. Stopskimmingu.cz [online]. [cit. 2015-02-27]. Dostupné z:

http://www.stopskimmingu.cz/uploads/Test_antiStripe.pdf [48]

Informace o známce. Stopskimmingu.cz [online]. [cit. 2015-02-27]. Dostupné z:

http://www.stopskimmingu.cz/index.php?page=informace-o-znamce [49]

Phishing. Hoax.cz [online]. [cit. 2015-12-16]. Dostupné z: http://hoax.cz/phishing/

[50]

Recommendations for the security of mobile payments. European Central Bank [online].

[cit.

2015-12-16].

Dostupné

z:

https://www.ecb.europa.eu/paym/cons/pdf/131120/recommendationsforthesecurityofmobilep aymentsdraftpc201311en.pdf?7f9004f1cbbec932447c1db2c84fc4e9 [51]

POZOR PHISHING ! "Česka spořitelna - Pozor! Nové bezpečnostní standardy".

POOH.cz

[online].

2006-10-11

[cit.

http://www.pooh.cz/a.asp?a=2013842

84

2015-02-28].

Dostupné

z:

[52]

Spam and phishing in the Q3 of 2014. SHCHERBAKOVA, Tatyana, Maria VERGELIS a

Nadezhda DEMIDOVA. SecureList [online]. 2014-11-27 [cit. 2015-03-03]. Dostupné z: http://securelist.com/analysis/quarterly-spam-reports/67851/spam-and-phishing-in-the-q3-of2014/ [53]

Pharming je zpět a silnější. BEDNÁŘ, Vojtěch. Lupa.cz [online]. 2007-03-23. [cit. 2015-

03-01]. Dostupné z: http://www.lupa.cz/clanky/pharming-je-zpet-a-silnejsi/ [54]

Jak odposlouchávat nebo zjistit, že jste odposloucháváni. BITTO, Ondřej. Živě.cz

[online]. 2005-10-29 [cit. 2015-03-01]. Dostupné z: http://www.zive.cz/clanky/jakodposlouchavat-nebo-zjistit-ze-jste-odposlouchavani/sc-3-a-127322/default.aspx [55]

Citlivá data: hlídáme utajení, integritu i dostupnost. PŘIBYL, Tomáš. ICT Security

[online]. [cit. 2015-03-04]. Dostupné z: http://www.ictsecurity.cz/11101-mngmnt-citlivychdat-dlpecmdmsaaa/citliva-data-hlidame-utajeni-integritu-i-dostupnost.html [56]

ČESKO. Předpis č. 2/1993 Sb., Usnesení předsednictva České národní rady o vyhlášení

LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součástí ústavního pořádku České republiky. In: Sbírka zákonů České republiky. 1992, částka 1/1993. Dostupné také z: http://www.mpsv.cz/ppropo.php?ID=z2_1993 [57]

Smishing and Vishing. The FBI [online]. 2010-11-24 [cit. 2015-03-05]. Dostupné z:

http://www.fbi.gov/news/stories/2010/november/cyber_112410 [58]

Text-message scam targets bank accounts. Seattlepi [online]. 2011-10-07 [cit. 2015-03-

05]. Dostupné z: http://www.seattlepi.com/local/article/Text-message-scam-targets-bankaccounts-2207817.php [59]

Teamwork: How the ZitMo Trojan Bypasses Online Banking Security. Kaspersky Lab

[online].

2011-10-06

[cit.

2015-03-04].

Dostupné

z:

http://www.kaspersky.com/about/news/virus/2011/Teamwork_How_the_ZitMo_Trojan_Byp asses_Online_Banking_Security. [60]

RSA-Security.

Xanadu

[online].

[cit.

2015-03-04].

Dostupné

z:

http://www.xanadu.cz/cs/it-produkty/site-a-komunikace/zabezpeceni-siti/rsa-security.html [61]

USB token: pamatuje si hesla a šifruje. Útok zabere dvě a půl minuty. TOMĚK, Lukáš.

Lupa.cz [online]. 2010-09-10 [cit. 2015-03-04]. Dostupné z: http://www.lupa.cz/clanky/usbtoken-pamatuje-si-hesla-sifruje-neni-bezpecny/

85

[62]

Alternativy HW tokenů. GAŠPARÍK, Petr. AMI Praha [online]. [cit. 2015-03-04].

Dostupné z: http://www.ami.cz/publikujeme/blog/alternativy-hw-tokenu [63]

RAK, Roman. Biometrie a identita člověka ve forenzních a komerčních aplikacích. 1.

vyd. Praha: Grada, 2008, s. 90. ISBN 978-80-247-2365-5. [64]

RAK, Roman. Biometrie a identita člověka ve forenzních a komerčních aplikacích. 1.

vyd. Praha: Grada, 2008, s. 158 - 160. ISBN 978-80-247-2365-5. [65]

TALANDOVÁ, Hana. Studie využití biometrických systémů v průmyslu komerční

bezpečnosti. Bakalářská práce. Univerzita Tomáše Bati ve Zlíně, 2010. [66]

RAK, Roman. Biometrie a identita člověka ve forenzních a komerčních aplikacích:

Barevná příloha. 1. vyd. Praha: Grada, 2008, s. 21. ISBN 978-80-247-2365-5 [67]

GE Money: SignPad odhalí podvodníky. FinExpert.cz [online]. 2009-06-19 [cit. 2015-03-

08]. Dostupné z: http://finexpert.e15.cz/ge-money-signpad-odhali-podvodniky [68]

Biometrika ve službách bank. SignPady už míří i na pobočky GE. E15.cz [online]. 2014-

01-22

[cit.

2015-03-08].

Dostupné

z:

http://zpravy.e15.cz/byznys/finance-a-

bankovnictvi/biometrika-ve-sluzbach-bank-signpady-uz-miri-i-na-pobocky-ge-1054665 [69]

URBAN, Vít a UNICORN SYSTEMS. Biometrický podpis v rukou pojišťovny.

Bankovnictví. 2014, č. 5, 40 - 41. [70]

Testování HBPS. HRADIL, Dušan. Peníze.cz [online]. 2003-04-17 [cit. 2015-02-28].

Dostupné z: http://www.penize.cz/terminovane-vklady/15484-testovani-hbps-priloha [71] Recommendations for the Security of Internet Payments. European Banking Authority [online]. 2012-04 [cit. 2015-10-17]. Dostupné z: https://www.ecb.europa.eu/pub/pdf/other/recommendationsforthesecurityofinternetpaymentse n.pdf [72] Stopskimmingu.cz [online]. [cit. 2015-02-27]. Dostupné z: http://www.stopskimmingu.cz/uploads/Test_antiStripe.pdf [73]

Pooh.cz, [online], [cit. 2011-11-18], dostupné z http://www.pooh.cz/a.asp?a=2013842

[74]

Pooh.cz,

[online],

[cit.

2015-06-01],

dostupné

z

http://www.pooh.cz/upload/img/1000/phishing-ceska-sporitelna.png [75]

Česká

spořitelna,

[online],

[cit.

2015-06-01],

dostupné

z

https://www.servis24.cz/ebanking-s24/ib/base/usr/aut/login?execution=e1s1 [76]

AV-TEST

[online].

[cit.

2015-03-22].

test.org/en/pdfreport/8147

86

Dostupné

z:

https://www.av-

[77]

AV-TEST

[online].

[cit.

2015-03-22].

Dostupné

z:

https://www.av-

[cit.

2015-03-22].

Dostupné

z:

https://www.av-

test.org/en/pdfreport/8119 [78] AV-TEST [online]. test.org/en/pdfreport/8115 [79]

Survio.com, [online], dostupné z www.survio.com

87

Použité zkratky BTS CVC/CVV ČNB ČSOB DNS EBA ECB GPS IP IT NFC NATO PIN QR Code SIM SIPO SEPA SMS SSL TAN

Base Transceiver Station (základnová převodní stanice) Card Verification Code/Value (ověřovací kód/hodnota platební karty) Česká národní banka Československá obchodní banka Domain Name System (systém doménových jmen) European Banking Authority (Evropský orgán pro bankovnictví) European Central Bank (Evropská centrální banka) Global Position System (globální poziční systém) Internet Protocol (internetový protokol) Information Technology (informační technologie) Near Field Communication (komunikace na blízkou vzdálenost) North Atlantic Treaty Organization (Organizace Severoatlantické smlouvy) Personal Identification Number (osobní identifikační číslo) Quick Response Code (kód pro rychlou reakci) Subscriber Identity Module (účastnická identifikační karta) Soustředěné inkaso plateb obyvatelstva Single Euro Payments Area (jednotná oblast provádění plateb v EUR) Short Message Service (služba krátkých textových zpráv) Secure Socket Layer (vrstva bezpečných socketů) Transaction Authentication Number (kód pro autentizaci transakce)

88

Seznam obrázků Obrázek 1: Imprinter ..................................................................................................................... 18 Obrázek 2: GSM Banking ............................................................................................................. 19 Obrázek 3: Mobito......................................................................................................................... 30 Obrázek 4: Kryt s falešnou čtečkou............................................................................................... 37 Obrázek 5: Card Trapping ............................................................................................................. 39 Obrázek 6: Cash Trapping............................................................................................................. 39 Obrázek 7: Zabezpečené stránky platební brány pro 3D-Secure .................................................. 42 Obrázek 8: Bezpečnostní známka.................................................................................................. 43 Obrázek 9: Úspěšné nalezení hesla programem Wireshark .......................................................... 49 Obrázek 10: Forma smishingu....................................................................................................... 54 Obrázek 11: Grafické znázornění průběhu autentizace za pomoci RSA....................................... 58 Obrázek 12: Ilustrace šifrování emailové komunikace ................................................................. 59 Obrázek 13: Dynamické vlastnosti podpisu .................................................................................. 76

Seznam tabulek Tabulka 1: Porovnání jednotlivých antivirových aplikací............................................................. 65

Seznam schémat Schéma 1:Schéma pořizování podpisového vzoru a jeho uchovávání .......................................... 16 Schéma 2: Funkcionalita internetového bankovnictví................................................................... 22 Schéma 3: Jak funguje DNS.......................................................................................................... 47 Schéma 4: Princip provádění Sniffingu a Man in the Middle ....................................................... 49

89

Seznam grafů Graf 1: Domácnosti s počítačem, s přístupem k internetu a využití internetového bankovnictví . 23 Graf 2: Počet nahlášených případů skimmingu v letech 2005 až 2015 ........................................ 38 Graf 3: Top 10 škodlivých programů zasílané emailem, ve třetím čtvrtletí roku 2014 ................ 46 Graf 4: Preference ovládání účtů ................................................................................................... 67 Graf 5: Četnost zaznamenání informací o možném nebezpečí pro internetové bankovnictví ...... 68 Graf 6: Typy dvoufaktorové autentizace internetového bankovnictví .......................................... 68 Graf 7: Počet krádeží a ztrát mobilních telefonů ........................................................................... 69 Graf 8: Zabezpečení přístupu do chytrého telefonu ...................................................................... 69 Graf 9: Počet krádeží a ztrát platebních karet................................................................................ 71 Graf 10: Obvyklá místa pro uschování PIN k platební kartě? ....................................................... 71

Seznam příloh Příloha 1: Homebanking ČSOB Příloha 2: Snímky Smart Banking aplikací Příloha 3: Schéma funkce 3D-Secure Příloha 4: Protokol o testování ochranné nálepky Příloha 5: Text podvodného emailu Příloha 6: Protokol o testování ESET Mobile Security & Antivirus Příloha 7: Protokol o testování AVG Antivirus Free Příloha 8: Protokol o testování Avast! Mobile Security Příloha 9: Dotazník

90

Přílohy Příloha 1 Homebanking ČSOB

Zdroj: Peníze.cz. HRADIL, Dušan. Testování HBPS [online]. 2003-04-17 [cit. 2015-02-28]. Dostupné z: http://www.penize.cz/terminovane-vklady/15484-testovani-hbps-priloha. vlastní zpracování [70]

I

Příloha 2 Snímky Smart Banking aplikací

Zdroj: Vlastní zpracování

I

Příloha 3 Schéma funkce 3D-Secure

Zdroj: Recommendations for the Security of Internet Payments. European Banking Authority [online]. 2012-04 [cit. 2015-10-17]. Dostupné z: https://www.ecb.europa.eu/pub/pdf/other/recommendationsforthesecurityofinternetpaymentsen.pdf [71]

I

Příloha 4 Protokol o testování ochranné nálepky

I

II

III

Zdroj: Stopskimmingu.cz [online]. [cit. 2015-02-27]. Dostupné z: http://www.stopskimmingu.cz/uploads/Test_antiStripe.pdf [72]

IV

Příloha 5 Text podvodného emailu, podvržená a pravá webová stránka České spořitelny

Zdroj: Pooh.cz, [online], [cit. 2011-11-18], dostupné z http://www.pooh.cz/a.asp?a=2013842 [73]

I

Podvržená webová stránka ČS Servis24

Zdroj: Pooh.cz, [online], [cit. 2015-06-01], dostupné z http://www.pooh.cz/upload/img/1000/phishing-ceska-sporitelna.png [74]

Pravá webová stránka ČS Servis24

Zdroj: Česká spořitelna, [online], [cit. 2015-06-01], dostupné z https://www.servis24.cz/ebankings24/ib/base/usr/aut/login?execution=e1s1 [75]

II

Příloha 6 Protokol o testování ESET Mobile Security & Antivirus

Zdroj: AV-TEST [online]. [cit. 2015-03-22]. Dostupné z: https://www.av-test.org/en/pdfreport/8147 [76]

I

Příloha 7 Protokol o testování AVG Antivirus Free

Zdroj: AV-TEST [online]. [cit. 2015-03-22]. Dostupné z: https://www.av-test.org/en/pdfreport/8119 [77]

I

Příloha 8 Protokol o testování Avast! Mobile Security

Zdroj: AV-TEST [online]. [cit. 2015-03-22]. Dostupné z: https://www.av-test.org/en/pdfreport/8115 [78]

I

Příloha 9 Dotazník

I

II

Zdroj: Vytvořeno pomocí anketního serveru www.survio.com [79]

III