Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií
Elektronické bankovní platební prostředky při platbách na internetu Bakalářská práce
Autor:
Tomáš Fiala Informační technologie, Správce informačních systémů
Vedoucí práce:
Praha
Ing. Antonín Vogeltanz
Leden 2012
Prohlášení:
Prohlašuji,
ţe
jsem
bakalářskou
práci
zpracoval
samostatně
a v seznamu uvedl veškerou pouţitou literaturu.
Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Jablonci nad Nisou dne 25. 4. 2012
Tomáš Fiala
Poděkování:
Rád bych poděkoval panu Ing. Antonínu Vogeltanzovi za jeho pomoc a profesionální vedení mé bakalářské práce.
Dále chci vyjádřit své díky mé manţelce Ing. Kateřině Fialové za její komentáře a návrhy.
Anotace Tato bakalářská práce určuje způsoby pouţívání elektronických platebních systémů a popisuje jejich zabezpečení při platbách na internetu. V práci popisuji nejznámější druhy EPS, jako jsou platební karty, 3-D Secure nebo PayPal.
Zjišťoval jsem, jak jsou uvedené EPS uţívány při platbách na internetu kupujícími. Pro zjištění chování kupujících jsem provedl průzkum mezi uţivateli e-shopů. Provedený průzkum zjišťoval, jaké platební systémy kupující vyuţívají, jaké parametry jsou pro ně důleţité a jak si chrání svá data proti zneuţití. Z průzkumu vyplynulo, ţe kupující si svá data chrání nedostatečně.
Proto v práci popisuji i hrozby a rizika, která mohou kupující ohroţovat, jako jsou například pharming, phishing, sociální inţenýrství a další. Dále uvádím, jak jsou elektronické platby na internetu zabezpečeny.
Obsahem je i doporučení nejvhodnějších způsobů uţití elektronických platebních prostředků pro provozovatele sluţeb a jejich zákazníky z hlediska zabezpečení a současných trendů.
Podnikatelům obchodujícím na internetu dávám doporučení pro výběr vhodného EPS z hlediska ceny, zabezpečení, náročnosti aplikace do webových stránek a volby EPS podle preferencí uţivatelů.
Kupujícím pak doporučuji vhodný EPS z pohledu zabezpečení, uţivatelské přívětivosti, ceny a moţností vyuţití daného EPS pro platby v zahraničí.
Klíčová slova: elektronické platební prostředky, zabezpečení plateb, hrozby na internetu
Annotation This thesis identifies ways to use electronic payment systems and describes their security when paying online. The bachelor thesis describes the most popular types of EPS, such as credit cards, 3-D Secure or PayPal.
I investigated how the EPS are used for payments by Internet buyers. To determine the behavior of buyers, I conducted a survey among users of e-shops. The survey found out what payment systems are used by buyers, what parameters are important to them and how do they protect their data against misusage. The survey showed that buyers protect their data insufficiently.
Therefore, I described the threats and risks that may threaten buyers, such as pharming, phishing, social engineering and more. Next, I showed how electronic payments are secured on the Internet.
Part of this thesis is also recommendations for the most suitable usage of electronic payment systems for service providers and their customers from a security perspective and current trends.
I also made recommendations for entrepreneurs trading on the Internet for the selection of a suitable EPS in terms of price, security, demands for application into web pages and according to users' preferences.
Then I recommended to buyers suitable EPS in terms of security, user friendliness, price and the possibility of using the EPS for payments abroad.
Key words: electronic payment systems, payment security, threats on the Internet
OBSAH: 2. Bankovní platební prostředky ......................................................................... 9 3. Elektronické platební prostředky na internetu .............................................. 11 3.1 Platební systémy.............................................................................................................. 11 3.2 Elektronické platební systémy ........................................................................................ 12 3.3 Fungování elektronických platebních systémů ............................................................... 12 3.3.1 Ověření identity plátce a autorizace ......................................................................... 13 3.4 Dělení elektronických platebních systémů ...................................................................... 13 3.4.1 Český a mezinárodní elektronický platební systém ................................................. 14
4. Způsoby uţívání elektronických bankovních platebních prostředků a chování uţivatelů při platbách na internetu ........................................................ 15 4.1 Elektronické bankovní platební prostředky .................................................................... 15 4.1.1 Platební karty ........................................................................................................... 16 4.1.2 PaySec ...................................................................................................................... 20 4.1.3 E-commerce a 3-D secure ........................................................................................ 20 4.1.4 PayPal ....................................................................................................................... 24 4.1.5 MoneyBookers ......................................................................................................... 25 4.1.6 Premium SMS .......................................................................................................... 27 4.1.7 PayU ......................................................................................................................... 27 4.2 Chování uţivatelů při platbách na internetu.................................................................... 29 4.2.1 Metodika průzkumu ................................................................................................. 29 4.2.2 Výsledky průzkumu ................................................................................................. 30
5. Hrozby, rizika a zabezpečení elektronických plateb na internetu ................ 36 5.1 Hrozby a bezpečnostní rizika .......................................................................................... 36 5.1.1 Pharming .................................................................................................................. 36 5.1.2 Sociální inţenýrství .................................................................................................. 40 5.1.3 Phishing .................................................................................................................... 41 6
5.1.4 Spyware .................................................................................................................... 43 5.1.5 Krádeţ identity ......................................................................................................... 43 5.2 Zabezpečení elektronických plateb na internetu ............................................................. 46
6. Doporučené způsoby pouţívání elektronických platebních prostředků na internetu v České republice ................................................................................. 48 6.1 Doporučení podnikatelům obchodujícím na internetu .................................................... 48 6.1.1 Vhodný elektronický platební systém z hlediska ceny ............................................ 48 6.1.2 Vhodný elektronický platební systém z hlediska zabezpečení ................................ 49 6.1.3 Náročnost aplikace EPS do webových stránek ........................................................ 49 6.1.4 Volba EPS na základě preferencí uţivatelů ............................................................. 49 6.1.5 Vyuţití EPS pro platby ze zahraničí ........................................................................ 50 6.1.6 Současné trendy v obchodování na internetu ........................................................... 50 6.2 Doporučení uţivatelům nakupujícím na internetu .......................................................... 50 6.2.1 Vhodný elektronický platební systém z hlediska ceny ............................................ 51 6.2.2 Vhodný elektronický platební systém z hlediska zabezpečení ................................ 51 6.2.3 Důleţitost uţivatelské přívětivosti ........................................................................... 52 6.2.4 Vyuţití EPS pro platby ze zahraničí ........................................................................ 52 6.3 Budoucnost platebních systémů ...................................................................................... 52
7. Závěr ............................................................................................................. 53 8. Literatura ....................................................................................................... 55 9. Pouţité zkratky.............................................................................................. 58 10. Seznam obrázků ......................................................................................... 60 11. Seznam grafů ............................................................................................. 61
7
1. Úvod a cíle práce 1.1 Úvod do problematiky
Obchodování na internetu je v současné době stále oblíbenější. Pro podnikatele obchodující na internetu jsou ušetřené náklady za personál a za náklady spojené s kamennou prodejnou důleţité. Zákazník tak dostává niţší cenu produktu a moţnost pohodlného nákupu z domu a podnikatel tak získává jedinečnou konkurenční výhodu.
I díky elektronickým platebním systémům je současný prodej a nákup zboţí a sluţeb po internetu jednodušší a rychlejší. Umoţňují zákazníkovi zboţí přes internet nejen objednat, ale i zaplatit. Nutnou podmínkou je, aby obchodník daný platební systém podporoval.
I přesto, ţe se podle většiny velkých e-shopů v České republice můţe zdát, ţe obchodníci v ČR elektronické platební systémy široce vyuţívají, není tomu v porovnání se zahraničím tak. Tato práce se zabývá způsoby pouţívání a zabezpečení elektronických platebních prostředků na internetu z toho důvodu, aby zvýšila povědomí prodejců o výhodách a moţnostech těchto systémů.
1.2 Cíle práce
Cílem mé práce je vytvořit přehled stávajícího stavu v oblasti elektronických platebních systémů. Klasifikuji a analyzuji bezpečností rizika spojená s jejich vyuţitím. V práci bude popsáno, jakým způsobem kupující vyuţívají elektronických platebních systémů. 8
V základních rysech porovnám konkrétní české a zahraniční elektronické platební systémy tak, aby si obchodník mohl vybrat pro své účely systém nejvhodnější. Blíţe se pak věnuji elektronických platebním prostředkům vyuţívaným v České republice.
Práce rovněţ analyzuje některé vybrané moţnosti a zabezpečení platebních karet, které jsou v obchodování na internetu vyuţívány nejčastěji.
Na základě uvedených informací doporučím nejvhodnější způsoby pouţití elektronických platebních prostředků pro provozovatele sluţeb a jejich zákazníky z hlediska bezpečnosti a současných trendů.
2. Bankovní platební prostředky Mezi bankovní platební prostředky patří platba hotovostí, platební kartou, elektronickými penězi nebo například platba bankovním převodem z účtu. V této práci se však níţe podrobně věnuji především elektronickým platebním prostředkům a systémům.
Poţadavek na realizaci platby přes internet se prvně objevil spolu s prvním funkčním internetovým obchodem. První takový e-shop vznikl v USA v roce 1992, Amazon.com, kde první obchodovatelné zboţí byla CD s hudbou [5].
U nás v České republice byla situace poněkud jiná. Opravdový rozmach internetových obchodů nastal aţ na přelomu tisíciletí. Tou dobou byl nákup zboţí na internetu povaţován za poměrně bezpečný a obvykle i cenově výhodnější. 9
Zpoţdění vývoje obchodování na internetu v ČR bylo hned několik. Především šlo o špatné zkušenosti kupujících, kteří se stali cílem podvodů v počátcích většího vyuţívání počítačů u nás [22]. Druhým problémem byla neexistence zákona specifikujícího povinnosti a vztahy podnikatelů obchodujícími na internetu s jejich zákazníky. Zákon č. 480/2004 Sb. o některých sluţbách informační společnosti, nabyl účinnost v roce 2004. V počátcích obchodování na internetu byly rovněţ platební systémy nerozvinuté – uţivatelé například museli ţádat o povolení k provedení online plateb svou banku, která tuto moţnost rovněţ běţně nenabízela.
Všechny tyto aspekty způsobily, ţe i v současné době je u nás nejpouţívanější metodou platby za zboţí koupené na internetu v této době jiţ velmi zastaralá poštovní dobírka.
Obr. 2.1: Procentuální rozdělení užívání platebních systémů v České Republice
Zdroj: http://www.netshopper.cz/cz-vyzkumy/revoluce-se-nekona-dobirka-stale-vladne-ceskym-e-shopum.aspx
10
3. Elektronické platební prostředky na internetu V této kapitole popisuji a klasifikuji elektronické platební systémy. Rovněţ stanovuji hlavní bezpečnostní rizika a jejich moţná řešení.
3.1 Platební systémy
Platební systém jako pojem má celou řadu definic. Je proto obtíţné určit, co ještě platební systém je a co jiţ není. Podle zákona o platebním styku[4] se platebním systémem rozumí systém, který zajišťuje převody peněţních prostředků, jestliţe: a) má alespoň 3 účastníky; b) je provozován na základě písemné smlouvy uzavřené mezi všemi účastníky systému nebo na základě písemných smluv uzavřených mezi provozovatelem systému a ostatními účastníky systému; c) provozovatel systému je drţitelem licence k provozování platebního systému; d) provádí převody peněţních prostředků podle pravidel stanovených tímto zákonem a podle standardizovaných postupů dohodnutých mezi účastníky systému; e) existenci systému a jeho název oznámí ČNB Komisi Evropských společenství.
Právní úprava se liší stát od státu, a proto je pro účely této práce platební systém definován jako jakýkoli systém, jehoţ primární funkcí je umoţnění plateb mezi dvěma 11
či více účastníky obchodu, přičemţ je tato platba zprostředkována třetí stranou. Z této definice si tedy lze jako platební systém představit například i poštovní dobírku nebo bankovní převod.
3. 2 Elektronické platební systémy
Elektronický platební systém (EPS) je takový platební systém, jeţ je zaloţen na vyuţití komunikačních a informačních technologií. Z hlediska obchodování se jedná o téměř nový druh platebních systémů, který se začal ve větší míře vyuţívat aţ v tomto tisíciletí.
Hlavní výhodou elektronických platebních systémů je jejich vysoká rychlost provedení platby a nízké náklady na její provedení. V počátcích vyuţívání těchto systémů panovaly obavy z nedostatečného zabezpečení těchto systémů a to poněkud bránilo v nahrazení klasických systémů těmito elektronickými. V současnosti se ale situace mění a obchodníkům i kupujícím se tak otevírají nové moţnosti.
3.3 Fungování elektronických platebních systémů
Princip fungování EPS je ve svém základu poměrně jednoduchý. Plátce (kupující) „předá“ platebnímu systému své peněţní prostředky a platební systém je předá příjemci a to ihned, anebo s určitým časovým odstupem. Rozlišujeme, zda je transakce vyvolána plátcem nebo příjemcem.
V případě, ţe je transakce vyvolána plátcem, tak se plátce nejprve musí přihlásit do systému, poté předá informaci, ţe se chystá zaplatit. Vyplní identifikační údaje o příjemci (například jeho emailovou adresu), částku, kterou chce uhradit a měnu ve 12
které ji chce uhradit. Rovněţ můţe uvést další doplňující informace (například popis platby).
Jestliţe je ale transakce vyvolána příjemcem, pak příjemce (např. e-shop pomocí svých webových stránek) odkáţe plátce (svého zákazníka) na svou, jiţ předpřipravenou stránku platebního systému. Na takto připravené stránce zákazník uţ pouze uvede své přihlašovací jméno a heslo a dá pokyn k provedení platby.
3.3.1 Ověření identity plátce a autorizace
Obě metody vyvolání transakce vyţadují tzv. autentizaci plátce. To je proces ověření totoţnosti (identity) plátce. Během ní dojde pomocí skrytých informací (jako je certifikát nebo heslo) k identifikování plátce. Poté je ověřeno, zda se zadané informace shodují s daty uloţenými v databázích platebního systému (např. databáze registrovaných uţivatelů).
Poté dochází k autorizaci. Tedy k procesu přiřazení práva na práci v systému. Při autorizaci je určeno, jaká konkrétní oprávnění uţivatel má – například, zda můţe provádět platby platební kartou nebo zda smí vyuţívat i jiné moţnosti určené jen pro vybrané skupiny uţivatelů.
3.4 Dělení elektronických platebních systémů
Aby bylo moţné porovnat jednotlivé EPS, je nutné provést jejich klasifikaci. Existuje nezměrné mnoţství kritérií dělení, proto zde vybírám pouze ty, které jsou pro obchodníka jedny z nejdůleţitějších. Dělení EPS znázorňuje obrázek 3.1. 13
Obr. 3.1: Dělení elektronických platebních prostředků
3.4.1 Český a mezinárodní elektronický platební systém
Ačkoli se to na první pohled nemusí zdát jako podstatné, tak pro obchodníka je původ EPS velmi důleţitý a to z několika důvodů. České systémy plně podporují českou legislativu a v mnoha případech rovněţ působí důvěryhodněji, protoţe jsou poskytovány českými společnostmi. Důleţité je určitě i to, ţe poskytují záruku ohledně zákona o platebním styku (§124), který udává povinnost EPS provést zpětnou výměnu elektronických peněz v nominální hodnotě za mince a bankovky nebo bezhotovostním převodem na účet. Za tuto poskytovanou sluţbu lze účtovat pouze nezbytné náklady na provedení této zpětné výměny [4].
Výhodou mezinárodních systémů je pak větší mnoţství klientů, díky celosvětovému pokrytí a rovněţ pak podpora plateb ve více měnách. Mezinárodní systémy také 14
obvykle nabízejí širší paletu sluţeb (které ale nemusí být pro český trh dostupné) a větší zkušenosti.
Podrobněji se v této práci věnuji především českým elektronickým platebním systémům, jako jsou PaySec, E-commerce 3-D Secure. Pro porovnání pak mezinárodní PayPal, AlertPay a MoneyBookers.
4. Způsoby užívání elektronických bankovních platebních prostředků a chování uživatelů při platbách na internetu 4.1 Elektronické bankovní platební prostředky
Elektronické platební systémy lze specifikovat jako ty, při kterých je převod peněz realizován s vyuţití informačních technologií. V posledních několika letech zaţívají tyto systémy svůj rozmach a to díky několika nezanedbatelných faktorům, jako jsou nízké poplatky za převod peněz, zabezpečení citlivých informací, rychlost celé transakce nebo snadná uţivatelská obsluha.
V této kapitole se budu věnovat několika nejpouţívanějším elektronickým bankovním platebním prostředků, jako jsou v první řadě platební karty (ať uţ multifunkční nebo bezkontaktní), PaySec, E-commerce a 3-D secure, PayPal, AlertPay či MoneyBookers.
15
4.1.1 Platební karty
Nejčastějším nástrojem internetových plateb, tedy bezhotovostního platebního styku, je platební karta. V této kapitole tedy popíši moţnosti platebních karet v současné době, jejich výhody, omezení a rizika s nimi spojená.
Platební karta umoţňuje drţiteli za sluţby i zboţí platit jak v obchodech, tak i na internetu. Také s ní lze vybrat hotovost z bankomatu. Tento instrument je velmi oblíbený a mezi uţivateli rozšířený právě díky svému univerzálnímu pouţití, malé velikosti a váze.
První společnost vydávající tyto univerzální platební karty byla Diners Club a to v roce 1950. Byly to karty typu charge, jejichţ hlavním cílem byly platby v restauracích pro případ, ţe si zákazník zapomněl hotovost [10]. O deset let později, roku 1960, vznikla první VISA karta a o čtyři roky později i karta MasterCard (dříve MasterCharge). U nás se platební karty pouţívají aţ od roku 1992. V současnosti uţívá platební kartu uţ více jak polovina obyvatel [13].
Platební karty obvykle splňují následující společné náleţitosti [1]: •
číslo platební karty – 2 znaky reprezentují druh karty, 5 znaků vydávající banku, 9 znaků identifikuje drţitele,
•
platnost platební karty – ve formátu MM/RR (např. 05/12 pro květen roku 2012),
•
logo a název vydávající asociace (eventuelně i hologram),
•
jméno drţitele (u sluţebních karet i název podniku),
•
podpisový prouţek. 16
Platebních karet je několik druhů a lze je rozdělit podle provedení karty, způsobu účtování nebo podle vydavatele. Na obrázku 4.1 uvádím klasifikaci platebních karet podle tohoto základního dělení.
Obr. 4.1: Klasifikace platebních karet
Poměrně novým druhem karet jsou karty multifunkční a bezkontaktní.
Multifunkční karty Standardní funkcí platební karty je moţnost platby u obchodníků a výběru hotovosti z bankomatu. Poslední dobou se jejich funkce rozšiřují o cestovní pojištění nebo slevy na nákupy pro toho, kdo je drţitelem karty. Proč ale pouţívat platební kartu pouze na placení, kdyţ ji neustále nosíme u sebe? Proto vznikají i karty multifunkční. 17
V České republice patří mezi multifunkční karty například ISIC karta. Slouţí jako studentský průkaz, autobusová průkazka a elektronická peněţenka pro platby v jídelně či knihovně. Problémem je, ţe se ale stále nejedná o platební kartu a tedy výhody plateb v obchodech nebo výběrů z bankomatů, zde není. Její multifunkčnost je rovněţ podmíněna nutností otevření účtu (a naplnění penězi) u kaţdého provozovatele (knihovna, jídelna), kde s touto kartou plánujeme platit. Karta má bezdotykový, nezapisovatelný indukční čip s číslem. Nenese tedy informaci o aktuálním zůstatku na účtu, ale pouze svůj vlastní identifikátor [6]. Během platby pak dochází k přenosu informací z čipu karty do čtečky (ta je propojena s IS dané společnosti a pak spojena s konkrétním účtem), tak je plátce autentizován.
Existují ale multifunkční karty, které tyto nevýhody nemají. Ty se pak skládají i z multifunkčního zapisovatelného čipu. Karta pak můţe slouţit jak k identifikaci karty, tak k uloţení financí, kterými lze běţně platit např. v jídelnách nebo automatech na nápoje, které nejsou propojeny s IS dané společnosti. Karty obsahují i identifikační údaje studenta (slouţí jako studentská karta), identifikační číslo knihovny a magnetický prouţek, který umoţní vybírat z bankomatu nebo platit v obchodech. Taková multifunkční karta je pak i kartou platební [21].
Bezkontaktní platební karty Před dvěma lety se začaly objevovat první bezkontaktní platební karty. Ty vyuţívají technologii VISA payWave nebo MasterCart PayPass. Tato technologie umoţňuje platbu, aniţ by byla karta vloţena do čtečky. Stačí kartu přiblíţit k terminálu, který data z bezdotykové karty přečte. Transakce je tak provedena během půl vteřiny [23].
18
Obr. 4.2: Ukázka bezkontaktní platební karty a terminálu s technologií payWave
Zdroj: http://www.tdcanadatrust.com/products-services/banking/credit-cards/chip-paywave.jsp
Hlavní výhodou je určitě rychlost celé transakce. Není nutné kartu vyndávat z obalu, vkládat do čtečky nebo zadávat PIN. Tyto karty jsou vhodné pro menší platby v obchodech. Terminály pro bezkontaktní platební karty obvykle zavádějí obchody, které mají velký objem menších plateb, jako jsou třeba prodejny s občerstvením.
Z hlediska bezpečnosti je dobré, ţe není nutné fyzicky předat kartu prodejci. Není tedy riziko zcizení údajů z platební karty a jejich další zneuţití. Na druhou stranu ale platba, aniţ by byla prokázána totoţnost, tedy bez zadání PINu nebo podpisu, bezpečnost naopak sniţuje. Třífaktorová autentizace (vlastnictví karty, PIN a podpis) je sníţena na pouhou jednofaktorovou (vlastnictví karty). Majitel takové karty by si tedy měl nastavit maximální částku pro objem takových transakcí.
Počátkem roku 2012 začala například i Česká spořitelna plošně vyměňovat běţné platební karty za karty bezkontaktní, u kterých bude maximální limit pro jeden nákup nastaven na 500,- Kč.
19
4.1.2 PaySec
V České republice je systém PaySec provozován Československou obchodní bankou (ČSOB) se sídlem v Praze. Vyuţíván a rovněţ hojně propagován je Poštovní spořitelnou, která je dceřinou společností ČSOB. Tento platební systém je tedy rovněţ pod přísným dohledem České národní banky, jak je stanoveno v Zákoně o platebním styku [4].
Platební systém PaySec je v České republice vyuţíván od roku 2008. Před oficiálním spuštěním byl zhruba po dobu 6 měsíců v testovacím provozu. Po spuštění byla novým uţivatelům nabízena finanční odměna 50 Kč, díky které si tento systém získal dostatečně velkou skupinu uţivatelů, aby to přilákalo obchodníky.
4.1.3 E-commerce a 3-D secure
3-D secure Asociace vydávající platební karty VISA a EuroCard/MasterCard vyvinuly bezpečnostní vrstvu 3-D secure jako moţnost provádění bezpečných plateb platebními kartami na Internetu. Jde o společný název technologií Verified by Visa a MasterCard SecureCode. Bezpečnostní vrstva 3-D secure zajišťuje autorizaci drţitele platební karty při peněţní transakci. Na níţe uvedeném obrázku je znázorněn princip fungování 3-D secure s vyuţitím platební brány České spořitelny.
20
Obr. 4.3: Schéma fungování 3-D Secure
Zdroj: http://www.csas.cz/banka/content/inet/internet/cs/karty_3dsecure.pdf
Největší výhoda pro klienta je vyšší bezpečnost jím zadaných dat. Ty nejsou sděleny prodejci, ale přímo platební bráně. Lepší zabezpečení zajišťuje i další faktor a to autentizace klienta. Ten je vyzván k zadání údajů uvedených na kartě, ale i k zadání hesla, které je určené jen pro tyto transakce.
21
Po prodejcích se nevyţaduje pouţívání 3-D secure. V případě, ţe to prodejce nepovaţuje za nutné, můţe nadále vyuţívat svá současná řešení, ale v některých státech mu v takovém případě nebude umoţněno přijímat karty Maestro od společnosti MasterCard. Platební karty VISA, VISA Electron, ostatní platební karty MasterCard a jejich speciální verze bude moci prodejce i bez vyuţití 3-D secure přijímat nadále [16].
E-commerce 3-D Secure Většina bank v Čechách poskytuje nějaké řešení pro příjem platebních karet. Obvykle jde o implementaci platební brány Pay MUZO, nyní GP WebPay. Jedná se o systém firmy Global Payments Europe, s.r.o. Tento systém nabízí Komerční banka, Raiffeisenbanka i ČSOB.
Jak jsem jiţ uvedl výše, Česká spořitelna má od roku 2004 své vlastní řešení s názvem E-commerce 3-D Secure, který byl vyvinut asociací VISA a EuroCard/MasterCard. Toto řešení je díky nulovým nákladům na pořízení u obchodníků velmi populární.
Jediným poplatkem za moţnost vyuţívání E-commerce 3-D Secure je poplatek za přijetí platby od zákazníka. Výše poplatku je závislá na povaze sluţeb a zboţí, celkové výši transakce a jejich počtu [24].
Pro obchodníka je jednoznačnou výhodou, ţe na pořízení tohoto systému nemusí vynaloţit ţádné náklady a to jak za zřízení, tak za vedení účtu. Obchodník si tak můţe sluţbu vyzkoušet a v případě nespokojenosti sluţbu opět zrušit. Pořizovací náklady na 3-D Secure jsou tedy nulové na rozdíl od GP WebPay, kde pořízení tohoto řešení stojí 13.200,- Kč [24].
22
Aby mohl obchodník začít vyuţívat řešení E-commerce 3-D Secure musí uzavřít smlouvu s Českou spořitelnou. Poté mu je sluţba zavedena a platební karty od klientů akceptovány. Jakmile dojde ke schválení Českou spořitelnou je klient informován o detailech aplikování řešení do svých webových stránek tak, aby bylo moţné přijímat platby pomocí platební brány 3-D Secure.
Pro integraci tohoto EPS do internetových stránek je nutné zabezpečení pomocí protokolu HTTPS a vytvoření potřebných poloţek v databázi podle pokynů České spořitelny. Obchodník musí rovněţ vytvořit internetovou stránku pro přesměrování zákazníka v případě provedené či neprovedené transakce. Dále musí být doplněny validační skripty dodané Českou spořitelnou, identifikační údaje o platbě a informace o webové databázi obchodníka. [9]
Přesný počet klientů vyuţívajících řešení 3-D Secure není moţné určit. Toto řešení nevyţaduje od klientů registraci a můţe ho vyuţívat kaţdý, kdo vlastní kartu Maestro, MasterCard, VISA nebo VISA Electron, se kterými lze platit na internetu.
Ochrana dat a bezpečnost E-commerce 3-D Secure Po zařazení platební karty do systému 3-D Secure je po plátci poţadováno zadání hesla. Obchodník obdrţí informace o jménu plátce a číslo jeho transakce. Další údaje, jako je číslo platební karty, CVC/CVV kód nebo datum expirace karty, obchodník nedostává. Jiné údaje tento EPS neposkytuje, protoţe ani nevyţaduje a neumoţňuje registraci. Veškerý přenos dat je zabezpečen 128bitovým šifrováním. SSL certifikát je vydán certifikační autoritou VeriSign Trust network.
23
4.1.4 PayPal
Elektronický platební systém PayPal patří mezi mezinárodní platební systémy. Je provozován společností PayPal Inc. sídlící v USA. Platební operace v Evropě jsou kontrolovány dceřinou firmou PayPal (Europe) S.à r.l. & Cie, S.C.A se sídlem v Lucembursku. V textu níţe uvádím jiţ jen jako PayPal Europe. Dohled nad touto dceřinou společností má komise pro dohled nad finančním sektorem sídlící rovněţ v Lucembursku. [17]
PayPal vznikl v roce 2000 a téměř okamţitě po vstoupení na trh raketově vzrostl a to především zásluhou velmi dobré marketingové kampaně a samozřejmě díky své uţivatelské přívětivosti a propracovanosti. PayPal začaly hojně vyuţívat aukční servery včetně eBay, která se v roce 2002 dokonce rozhodla společnost PayPal odkoupit.
Systém poplatků za vyuţívání systému PayPal je poměrně komplikovaný a společnost PayPal ji navíc poměrně často mění. Podle současného stavu se ale dá konstatovat, ţe důleţitým faktorem pro výpočet poplatku je informace o tom, zda je platba zasílána ze zůstatku nebo přímo z karty a zda se jedná o transakci soukromou či obchodní. [18]
Obecně lze říci, ţe PayPal není vhodné pouţívat pro platby v malých hodnotách. V případě, ţe je například transakce niţší neţ 10,- Kč, příjemce platby neobdrţí nic (ale také mu alespoň není nic odebráno, protoţe poplatek za platbu nepřesahuje objem platby). Systém PayPal se obchodníkovi vyplatí aţ při vyšších částkách za transakci, protoţe například při transakci v hodnotě 1.000,- Kč je poplatek 44,- Kč (tedy 4,4 %), ale u transakce v hodnotě 100,- Kč je poplatek 13,4 Kč (tedy 13,4 %).
24
Celosvětově je PayPal největším elektronickým platebním systémem, který má více neţ 78 milionů aktivních uţivatelů. Takto vysoký počet uţivatelů je pro obchodníka velkou výhodou. Ukazuje to na moţný objem plateb, které můţe obchodník obdrţet a také na vysokou důvěru, kterou zákazníci v tento systém mají.
V České republice ale mohou zákazníci vyuţívat systém PayPal pouze v jazyce anglickém, španělském, francouzském a v čínštině. PayPal sice plánuje i spuštění českého rozhraní (spolu se spuštěním eBay v češtině), ale do této doby nebylo české rozhraní spuštěno. V současné době existuje pouze česká nápověda a v březnu roku 2012 bylo spuštěno také dobíjení účtu PayPal online z bankovních účtů u českých bank v češtině. U některých českých bank je platba na PayPal účet provedena okamţitě a bez poplatků [12].
Ochrana dat a bezpečnost systému PayPal O bezpečnost komunikovaných dat se stará 168bitové šifrování pomocí SSL3. Certifikát vydala certifikační autorita VeriSign, Inc. Uţívané heslo musí mít alespoň 8 znaků. Další podmínky určeny nejsou. Pro klienty z USA a Velké Británie existuje moţnost bezpečnějšího přihlášení s vyuţitím hardwarového generátoru, který generuje jednorázové heslo. Tento generátor je zpoplatněn 5 USD. PayPal vlastní licenci TRUSTe, která zaručuje bezpečné zacházení s osobními údaji. Veškerá osobní data jsou uloţena na amerických serverech s firewallem a potřebným šifrováním [19].
4.1.5 MoneyBookers
MoneyBookers je elektronický platební systém, který provozuje britská společnost Moneybookers Ltd. Zaloţena byla roku 2001 a jiţ rok následující spustila sluţbu MoneyBookers.com. Dle platných zákonů Evropské unie a Velké Británie je tato společnost registrovaným vydavatelem elektronických peněz. Jako jedna z mála sluţeb 25
umoţňuje přijímání peněz na hazardní hry. Moneybookers se tak stal vyhledávaným EPS a velmi oblíbeným především díky moţnosti převodu peněz na hry jako je poker, sázení či kasino.
Dohled jí dělá rovněţ britská Financial Services Authority (FSA). Podle pravidel FSA vzniká povinnost vlastnit vlastní kapitál v minimální výši 1 milionu eur a to v dostatečně likvidních aktivech. MoneyBookers je dle zákonů Británie povinen hlásit veškerá podezření z „praní špinavých peněz“ agentuře Serious Organised Crime Agency (SOCA), rovněţ sídlící v Británii.
Vzhledem k tomu, ţe je moţné pomocí MoneyBookers platit nejen za harazdní hry, ale například i na eBay, Skype a u dalších 60.000 obchodníků, je tento EPS velmi oblíbený. Účet u MoneyBookers má zhruba 12 milionů uţivatelů po celém světě.
Integrace MoneyBookers do webové stránky obchodníka je poměrně snadný. Obchodník pouze umístí do svého webu předpřipravený HTML kód formuláře, který lze nalézt na stránkách MoneyBookers, doplní do něj svůj systémový e-mail a další podrobnosti o platbě. Na stránkách obchodníka je poté pro uţivatele viditelné pouze platební tlačítko, přes které se uţivatel dostane na stránky EPS, kde si vybere, zda chce platit kartou nebo z vlastního účtu MoneyBookers (v případě, ţe ho má) [14].
Sluţba MoneyBookers existuje ve 12 jazycích. Kromě angličtiny, francouzštiny a němčiny je tento EPS i v češtině. Existence české verze je pro uţivatele z České republiky jednoznačnou výhodou i přesto, ţe kvalita překladu není příliš vysoká a někdy můţe i pobavit.
26
Ochrana dat a bezpečnost systému MoneyBookers Komunikace je zabezpečena 256bitovým šifrováním. SSL certifikát vydala společnost VeriSign, Inc. MoneyBookers vlastní certifikát TRUSTe, který je zavazuje k nejvyšší ochraně zadávaných dat.
4.1.6 Premium SMS
Premium SMS nebo také Premium Rate SMS (zkráceně PR SMS) jsou SMS zprávy, které nejsou účtovány běţnou cenou jako u SMS, ale tzv. prémiovou cenou, která je v České republice ve výši od 2,- do 99,- Kč. PR SMS se dělí podle způsobu odesílání a zpoplatnění. SMS jsou zpoplatněny buď při odesílání, anebo aţ po přijetí.
V současné době jde o poměrně populární způsob platby mobilním telefonem. Premium SMS se vyuţívá jako mikroplatebního nástroje při autentifikaci bankovních sluţeb, pro informační sluţby (zákazník získává potřebnou informaci online pomocí SMS), při marketingových soutěţích, hlasováních, on-line registracích, při podávání inzerátů a dalších sluţbách.
4.1.7 PayU
PayU je platební systém vyvinutý pro potřeby e-commerce. PayU zprostředkovává jednoduchým a rychlým způsobem online platby na internetu. Součástí platformy PayU je i automatizovaný administrační systém pro správu plateb. Výhodou pro obchodníka je registrace e-shopu zdarma. Implementace systému je jednoduchá. Zúčtování plateb je jednoduché, rychlé a bezpečné. Transakce jsou realizovány v reálném čase. 27
V současné době je moţné přes PayU realizovat platby za zboţí a sluţby, platby za předplatné, hrazení registračních poplatků, aktivace nejrůznějších sluţeb a platby za přístup k placenému obsahu stránek. [20]
Obr. 4.4: Průběh platby pomocí PayU
Zdroj: http://www.payu.cz/prubeh-platby-pres-payu,1024.html
Poskytovatelem platební sluţby PayU je společnost Allegro Group CZ, s.r.o., která je registrovaná Českou národní bankou. Smlouvy uzavřené online obchody nebo platformami se systémem PayU – platby online poskytují záruku přehledných zúčtovacích procesů a bezpečnosti transakcí. [20]
Ochrana dat a bezpečnost systému PayU Přenos dat je zabezpečen šifrováním s protokolem SSL. PayU v sobě integruje několik platebních metod, jako jsou platební tlačítka nebo pro transakce uskutečněné platebními kartami pak 3-D Secure. [20]
28
4.2 Chování uživatelů při platbách na internetu
Cílem této kapitoly je zjistit, jakým způsobem se uţivatelé na internetu chovají při platbách za zboţí a sluţby. Jak přizpůsobují své chování a jaké bezpečnostní zásady dodrţují při pouţívání svého počítače, aby zajistili bezpečnost svých dat při platbách na internetu.
Pro potřebná zjištění byl proveden průzkum mezi uţivateli, který je v této kapitole popsán. Na základě informací z tohoto průzkumu, z předchozích kapitol a dalších zjištění bude v 6. kapitole podáno doporučení uţivatelům i obchodníkům, jak pouţívat elektronické platební prostředky na internetu v České republice.
4.2.1 Metodika průzkumu
Průzkum byl cílen především na průměrné uţivatele internetu za účelem zjištění jejich zkušeností, chování, priorit a poţadavků při platbách na internetu. Ţádost o vyplnění dotazníku byla rozeslána na 1.000 náhodně vybraných uţivatelů portálu Heureka.cz, největšího nákupního rádce v České republice.
Průzkum probíhal pomocí dotazníku vytvořeného na sluţbě Google Docs. Tato sluţba ukládá vloţené odpovědi od respondentů do tabulek a vytváří přehledné grafy. S uloţenými daty se dá dle potřeby snadno pracovat.
Dotazník byl sestaven z celkem 8 otázek. Pět otázek bylo zaměřeno na zkušenosti respondentů s platbami na internetu a na zjištění jejich priorit ohledně elektronických platebních systémů. Další dvě otázky byly zaměřeny na dodrţování bezpečnostních zásad při platbách na internetu a na zkušenosti respondentů s internetovými hrozbami. 29
Dále dotazník zjišťoval úroveň počítačové gramotnosti respondentů. Průzkumu se zúčastnilo celkem 126 osob, tedy 12,6 % z celkového mnoţství oslovených uţivatelů portálu Heureka.cz. Kompletní dotazník naleznete v příloze č. 1.
4.2.2 Výsledky průzkumu
Z průzkumu byla zjištěna data, z nichţ jsou zde vypsány jen ty nejdůleţitější z nich. Kompletní výsledky získané z průzkumu jsou uvedeny v příloze č. 2 této práce.
Celkem 123 respondentů (tedy 98 %) jiţ nějakou platbu pomocí elektronického platebního systému realizovalo. Pouze 3 z celkového počtu respondentů nikdy ţádnou platbu přes internet neprovedli. Průzkumu se tedy zúčastnilo dostatečné mnoţství respondentů, aby bylo moţné stanovit potřebné závěry ohledně zkušeností a priorit uţivatelů při platbách na internetu.
Graf 4.1: Rozdělení respondentů podle zkušeností s platbou na internetu
30
Nejčastěji používané elektronické platební systémy v ČR Druhou otázkou dotazníku bylo, které z platebních systémů a moţností jiţ respondenti pouţili. V grafu 4.2 je přehled platebních systémů, které uţivatelé jiţ vyuţili s tím, ţe měli moţnost vybrat současně více druhů platebních systémů. Podle celkového počtu tak i v současné době vede s počtem 111 odpovědí forma dobírky. Jestliţe ale budeme uvaţovat pouze EPS, tak jednoznačně vévodí platba převodem z účtu.
Graf 4.2: Platební systémy používané v ČR
Z tohoto grafu je tedy zřejmé, ţe i přes existenci elektronických platebních systémů, se je uţivatelé v České republice stále obávají ve větší míře vyuţívat a proto je klasická dobírka nejvyuţívanějším platebním systémem.
Nejčastějším uváděným důvodem, proč uţivatelé nepouţívají jiný platební systém, byla jejich nedůvěra v zabezpečení daných systémů. Tento důvod uvedlo 60 % respondentů. Dalším nejčastějším důvodem byla neznalost daného platebního systému (35 %). Důvody uţivatelů jsou přehledně uvedeny v následujícím grafu 4.3.
31
Graf 4.3: Proč uživatelé nepoužívají jiné platební systémy
Při obchodování na internetu pomocí elektronických platebních systémů je pro uţivatele jednoznačně nejdůleţitější ochrana zadaných údajů proti jejich zneuţití. Celých 41 % respondentů to povaţuje za důleţité. Pro 29 % z nich je důleţitým faktorem známost EPS, tedy jisté povědomí o jeho značce.
Pro uţivatele v České republice je rovněţ poměrně důleţitým faktorem jazyková lokalizace, tedy to, aby daný EPS byl i v českém jazyce. Toto povaţuje za důleţité celých 22 % respondentů.
Uţivatelská přívětivost a kvalita uţivatelské podpory je důleţitá pro 8 % respondentů.
32
Graf 4.4: Co je u EPS pro uživatele důležité
Zkušenosti s hrozbami na internetu Dále jsem v dotazníku od respondentů zjišťoval jejich zkušenosti s hrozbami na internetu s tím, ţe měli moţnost vybrat současně více druhů hrozeb, se kterými se setkali. Vzhledem k tomu, ţe celkový počet respondentů byl 123 a 58 z nich odpovědělo, ţe se s ţádnou z hrozeb nesetkali, lze tedy říci, ţe zhruba 47 % respondentů nemá negativní zkušenost z hlediska bezpečnosti svých dat.
Ti, co negativní zkušenost mají, se nejčastěji setkali se spywarem a phishingem. Ostatní pak s malwarem a skimmingem. Pouze 4 respondenti odpověděli, ţe se setkali s pharmingem. Odpovědím na tuto otázku se blíţe věnuje následující graf.
33
Graf 4.5: Četnost hrozeb na internetu
Bezpečností zásady uživatelů Dále jsem zjišťoval, jaké zabezpečení respondenti vyuţívají, aby svá data při obchodování na internetu ochránili. I u této otázky měli moţnost vybrat současně z více prvků zabezpečení.
Z výsledků vyplynulo, ţe kromě vyuţívání antivirových programů (91 %) také volí bezpečné heslo (77 %), vyuţívají firewall (72 %), pravidelně aktualizují software počítače (64 %) nebo se při obchodování na internetu zásadně přihlašují jen ze svého počítače (61 %). Jaké ostatní zásady dodrţují je uvedeno v grafu 4.6.
34
Graf 4.6: Jaké bezpečností zásady dodržují uživatelé
I přesto, ţe dle grafu 4.3 Proč uživatelé nevyužívají jiné platební systémy, 60 % uţivatelů nepouţívá elektronické platební systémy kvůli tomu, ţe nedůvěřují jejich zabezpečení, lze říci, ţe bezpečnostním rizikem pro jejich data není aţ tak zabezpečení EPS jako takových, ale především dodrţování zásad uţivatelů obchodujících na internetu.
Z grafu 4.6 totiţ vyplývá, ţe bezpečnostní zásady, které respondenti vyuţívají, jsou naprosto nedostatečné. Největším rizikem z hlediska obchodování na internetu je zřejmě nepravidelná či nedostatečná aktualizace softwaru počítače, pomocí kterého se uţivatel na internet přihlašuje.
Dále lze říci, ţe i uvedených 91 % uţivatelů vyuţívajících antivirový program je velmi ohroţeno a to moţná i více neţ-li ostatní, protoţe tento druh zabezpečení v nich vytváří falešný pocit bezpečí. Antivirové programy nejsou dokonalé a například hrozbu spyware a malware obvykle neřeší. Uţivatel tak ztrácí pozornost a svá data si nedostatečně chrání. 35
5. Hrozby, rizika a zabezpečení elektronických plateb na internetu V této době, kdy se svět informačních technologií neustále vyvíjí, neustává ani „boj“ mezi útočníky a vývojáři informačních systémů. V minulosti byly takové útoky spíše náhodné s cílem útočníků ukázat své vlastní schopnosti. V současnosti je ale téměř sto procent útoků cílených, kdy hlavním úkolem je finanční obohacení. Není tedy nijak překvapivé, ţe EPS jsou rovněţ cílem těchto útoků. Proto se v této části práce věnuji nejčastějších typům útoků a spolu s tím i návrhům na moţnou obranu proti nim.
5.1 Hrozby a bezpečnostní rizika
Mezi nejčastější hrozby pro uţivatele EPS patří útoky jako je pharming, phishing nebo spyware. Těmto, v této době nejčastěji vyuţívaným způsobům útoků a tedy i hrozeb pro uţivatele, se blíţe věnuji v následujících podkapitolách.
5.1.1 Pharming
Pharming je jedním z nejsofistikovanějších útoků. Jeho podstatou je manipulace s DNS1 záznamy. Útočník cílí na přenastavení záznamů tak, aby byli uţivatelé po
1
DNS (anglicky Domain Name Server) je registrem určeným k překladu doménových jmen (například:
ns.kvapem.cz) na IP adresy. Uţivatelé si obvykle pamatují jména doménových serverů, ale komunikace mezi počítači probíhá pomocí IP adres. Proto po zadání doménového jména uţivatelem, kontaktuje jeho počítač DNS server s ţádostí o překlad na IP adresu.
36
zadání webové adresy EPS přesměrováni na útočníkovy stránky. Uţivatel tedy správně zadá adresu serveru do svého prohlíţeče a nemá důvod si myslet, ţe stránky, na kterých se nachází, jsou podvrţené. Další průběh útoku je stejný jako phishing (uţivatel vyplní svá přihlašovací data a ta jsou pak zaslána útočníkovi). O phishingu se blíţe zmiňuji v následující podkapitole 5.1.3.
Obr. 5.1: Průběh pharmingu
SSL certifikáty Obranou proti pharmingu je kontrolování platnosti certifikátu serveru (SSL certifikát). V současné době jsou nejpouţívanějšími prohlíţeči Internet Explorer, Firefox nebo Google Chrome. U těchto prohlíţečů je certifikát viditelný na první pohled, kdy v případě platnosti je vedle internetové adresy zelený nápis (obrázek 5.2). IE toto zobrazení nabízí od verze č. 7 a FF od verze č. 3. Ve verzích starších nebo u většiny ostatních prohlíţečů lze certifikát ověřit po kliknutí na ikonku zámku, který je v pravém dolním rohu prohlíţeče. Jestliţe se tedy jedná o podvodný server, bude
37
certifikát chybný nebo určený pro jiný web. Uţivatel je v takovém případě informován pomocí varovného okna prohlíţeče, ţe vstupuje na nedůvěryhodný server.
Ukázka tohoto varování v prohlíţeči Google Chrome 16 je uvedena na obrázku 5.2 a varování v prohlíţeči Internet Explorer 9 na obrázku 5.3.
Obr. 5.2: Vstup na server s legitimním certifikátem v prohlížeči Google Chrome 16
Obr. 5.3: Vstup na server s neplatným certifikátem v prohlížeči Google Chrome 16
38
Obr. 5.4: Vstup na server s neplatným certifikátem v prohlížeči Internet Explorer 9
DNSSEC Další moţnou obranou proti pharmingu je DNSSEC. Jde o rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC je pro uţivatele jistotou, ţe získané informace z DNS byly opravdu poskytnuty ze správného zdroje, nebyla narušena jejich integrita a jsou úplné. DNSSEC tedy zajišťuje důvěryhodnost údajů z DNS.
Základním principem DNS je to, ţe v adresách sluţeb umoţňuje pouţívat jména, která jsou pro člověka srozumitelná a především zapamatovatelná. Oproti tomu jsou zde ale čísla, která jsou naopak srozumitelná a potřebná pro počítače. V praxi to tedy funguje následovně - uţivatel pouţije jmennou adresu internetové sluţby (například webové stránky), tu je nutné přeloţit pomocí DNS na číselnou adresu. Na takto přeloţenou číselnou adresu se pak počítač obrátí, aby se mohl se sluţbou spojit. V situaci, kdy se ukáţe útočník a dokáţe číselnou adresu podvrhnout, se netušící uţivatel dostane na úplně jiné místo, a s poţadovanou sluţbou se vůbec nespojí (viz. Obr. 5.1) [8].
V případě, ţe tedy chceme zabránit pharmingu, lze vyuţít nejen SSL certifikát, ale i ochranu pomocí DNSSEC. 39
5.1.2 Sociální inženýrství
Mezi nejčastější zdroje hrozeb patřící do sociálního inţenýrství patří nástroje sociálních sítí a phishing. Sociální inţenýrství je určitý způsob manipulace lidí s cílem provést určitou akci nebo získat informace. Cílem útoku jsou proto obvykle lidé, kteří mají nějaké citlivé informace nebo k nim mají přístup. Hackeři v současnosti vyuţívají nejrůznější techniky a aplikace sociálních sítí, aby získali osobní či profesní informace o lidech. Cílem je najít nejslabší článek organizace.
Ve firmách bývají tímto nejzranitelnějším článkem obvykle noví zaměstnanci (60 %) nebo pracovníci na dobu určitou, protoţe jsou často nedostatečně informování o bezpečnostních zásadách ve firmě. Z ostatních profesí jsou pak nejčastěji napadáni pracovníci IT, HR pracovníci či asistenti.
Sociální inţenýrství vyuţívá velké mnoţství triků, jak oklamat uţivatele. Tyto triky lze rozdělit do několika kategorií: -
Stres Člověk ve stresu jedná jinak neţ je běţné. Ve velkých firmách je snadnost takového útoku podpořena i tím, ţe se zaměstnanci obvykle vzájemně neznají.
-
Nebezpečí Varování před moţným nebezpečím nenechá nikoho chladným a proto sdělení typu „Je moţné, ţe jsou vaše přístupová hesla nedostatečná pro zabezpečení vašeho účtu. Doporučujeme vám si je změnit.“, můţe způsobit, ţe svá přístupová hesla sdělíme útočníkovi.
40
-
Vydávání se za známého Útočník se můţe vydávat za majitele firmy, správce sítě apod. V případě, ţe informaci bez ověření uvěříte, je opět moţné, ţe dáváte svá data útočníkovi.
-
Důvěryhodná činnost V případě, ţe je útok veden z počátku fyzicky, není jistě pro takového instalatéra problém se dostat například do serverovny.
-
Lákavá činnost Útočník má obvykle snazší přístup k citlivým datům v případě, ţe svého emailového červa umístí do sdělení se sexuální tématikou.
-
Tajemství Zvědavost je v kaţdém člověku a proto útočný program umístěný na DVD nebo CD s názvem „Mimořádné odměny management“ bude mít jistě dříve nebo později úspěch.
Jak se proti sociálnímu inţenýrství bránit je opravdu těţké stanovit. Útok můţe přijít téměř odkudkoli, bude jistě dobře připravený a tzv. šitý na míru. Nelze vypracovat speciální plán ochrany dat pro kaţdého jedince, a proto je nutné vypracovat systém, který bude pokud moţno maximálně odolný proti jakémukoli útoku [11].
5.1.3 Phishing
Phishing je jedním z druhů sociálního inţenýrství. Jde o podvod, při kterém se snaţí útočník získat důvěrné informace o uţivateli. Útok je veden tak, ţe je napadenému doručena zpráva, jeţ ho jménem nějaké instituce, kterou uţivatel obvykle zná, ţádá o jeho osobní data. Obvykle se jedná o zprávy emailové, kde je za odesílatele uveden 41
oficiální email dané instituce. Tyto útoky jsou způsobeny nedokonalostí SMTP2 protokolu, kde je moţné uvést do příkazu „MAIL FROM:“ libovolnou hodnotu.
Obvykle je uţivatel v daném útočném emailu vyzván, aby se pomocí odkazu umístěného v emailu přihlásil na stránky elektronického platebního systému. Text v odkazu je stejný jako na oficiálních stránkách instituce, ale pouze tak skrývá stránky útočníka. Odkazy jsou obvykle tvořeny pomocí HTML příkazu, například:
http://www.paypal.com
Pro uţivatele je pak v emailové zprávě viditelné pouze http://www.paypal.com. Po kliknutí se ale uţivatel dostane na stránky securitylogin.cn. Je tedy důleţité vţdy před kliknutím zkontrolovat, kam odkaz ve skutečnosti opravdu směřuje a to především na poslední dvě části v odkazu – národní doménu a doménu 2. řádu, tedy adresu serveru. Údaje uvedené před těmito posledními částmi jsou z pravidla pouze podstránkami dané domény.
Cílovou stránkou je pak často velmi kvalitní kopie oficiálních stránek EPS. Uţivatel tak bezstarostně zadá své přihlašovací údaje. Obvykle systém ţádá i zadání dalších údajů jako je číslo platební karty. Všechny zadané údaje se tak dostávají útočníkovi.
V téměř 100 % případů nedokáţe emailový klient útočnou phishing zprávu od té běţné oficiální odlišit. Jediným vodítkem je v tomto případě zjištění, ţe IP adresa odesílatele nebo SMTP server, přes který byl email odeslán, jsou v seznamu 2
SMTP protokol (anglicky: Simple Mail Transfer Protocol) slouţí k přenosu emailových zpráv mezi
jejím odesílatelem a emailovou schránkou příjemce. Příjemce si pak vyzvedává zprávy ze své emailové schránky pomocí POP3 protokolu (anglicky: Post Office Protocol).
42
podezřelých adres – tedy email byl označen jako spam (nevyţádaný email). Na toto označení se však nelze spoléhat.
Jedno z moţných opatření proti phishingu pouţila česká společnost Computer Press, a.s. ve svém platebním systému Monetka. Tento platební systém všem svým klientům po registraci vygeneroval 10 místné heslo, při přihlašování však vyţadoval jen náhodnou mnoţinu 3 znaků z daného hesla. Pro útočníka by tak nemělo být moţné získat celé heslo, aniţ by byl v podezření [3].
5.1.4 Spyware
Spyware je v podstatě druh programu, který se spustí, aniţ by to uţivatel věděl. Cíl tohoto programu je shromaţďovat data o činnosti uţivatele jako jsou navštívené stránky, přihlašovací data nebo číslo platební karty. Skrytě získané informace jsou poté odeslány pomocí internetu útočníkovi. Spyware se do počítače dostane například jako trojský kůň – útočný kód, který je přidán k programu jinému.
Pro ochranu před spyware je dobré pouţít speciální programy jako je AdAware či Spyware Doctor, nebo opravdu důkladně kontrolovat všechny soubory, které uţivatel stahuje pravidelně aktualizovaným antivirovým programem.
5.1.5 Krádež identity
Krádeţ identity je trestný čin, který spočívá v nedovoleném shromaţďování a následném pouţívání osobních údajů někoho jiného a to za libovolným účelem. Za osobní údaj lze povaţovat kaţdý identifikátor, znak nebo prvek, díky kterému je 43
moţné přímo či nepřímo určit identitu nějaké reálné osoby. Obvykle jde o rodné číslo, jméno, číslo občanského průkazu a tak podobně.
Jestliţe budeme definovat krádeţ identity v počítačových systémech, lze říci, ţe se jedná především o neoprávněné uţívání podvodně získaných uţivatelských jmen, internetových domén, elektronických karet, hesel nebo elektronických průkazů. Na první pohled sice nejde o osobní údaje, ale vţdy se útočník díky těmto datům můţe dostat ke skutečně osobním údajům nebo komunikovat s dalšími subjekty pod identitou někoho jiného [15].
Aby bylo pro útočníka moţné v systému předstírat cizí identitu, je pro něj nutné překonat autentizací mechanismus. Způsobů jak obejít či překonat tento mechanismus je několik. Útočník můţe například vyuţít chyb v autentizačním mechanismu, můţe ukrást legitimní údaje pro autentizaci nějakého jiného oprávněného uţivatele, také lze vyřadit z provozu celý autentizační mechanismus. Způsobů je opravdu mnoho. V této práci se podrobněji věnuji CSRF útoku a padělání e-mailů.
CSRF útok CSRF útok, tedy Cross Site Request Forgery, nebo také Sidejacking, Session Riding a další; je druh útoku, který je veden přes speciální internetový odkaz, který útočník podstrčí uţivateli a v případě, ţe uspěje, umoţní tak útočníkovi provést skrytou akci pod cizí identitou.
CSRF útok vyuţívá důvěry uţivatele k určité internetové aplikaci. CSRF ve své nejzákladnější formě nespoléhá na skriptovací jazyk, stačí jí moţnosti jazyka HTML (Hypertext
Markup
Language).
CSRF
zneuţívá
zranitelnosti
způsobené
nedostatečným ověřováním autenticity dat. Tato data jsou obvykle platná a jedná se o kvalitně zformátované poţadavky uţivatele zaslané aplikaci ke zpracování pod vlastní 44
identitou uţivatele. Výsledkem je provedení předem stanovené operace, například změna hesla, logout nebo vloţení poloţky do košíku. Nedokonalá a tedy zranitelná internetová aplikace nedokáţe nebo úplně „zapomene“ ověřit, zda byl poţadavek uţivatele zaslán úmyslně či ne. Obvyklou motivací útočníků je získání informací, snaha manipulovat s daty bez povolení nebo získat dodatečné výhody nebo oprávnění [7].
Padělání e-mailů Padělané e-mailové zprávy obsahují záměrně lţivé údaje o svém původu. Výsledná forma takové manipulace můţe být označována jako e-mail padělaný, podvodný nebo podvrţený. Často se pouţívají i výrazy jako spoofed, forged nebo fake e-mail. Důvody útočníka pro upravování informací o původu e-mailu jsou snaha skrýt skutečnou identitu nebo snaha vystupovat pod cizí identitou. Pomocí podvrţeného e-mailu se snaţí útočník podsunout své oběti informace, které mu ve finální fázi zajistí finanční prospěch nebo lepší sociální postavení. V případě, ţe si útočník zvolí identitu, která je oběti velmi dobře známa, je celý jeho útok obvykle úspěšnější. Především pak v případě, ţe je forma podvodného e-mailu téměř totoţná s jeho originálem.
Mezi konkrétní cíle útočníka vedeného pomocí podvrţeného e-mailu patří: -
rozesílání tzv. spamu (nevyţádané pošty s reklamním obsahem),
-
dezinformování příjemce zprávy (tento typ útoku vyuţívá pharming (podrobněji o této technice v kapitole 5.1.1) a phishing (podrobněji v kapitole 5.1.3)),
-
šíření spywaru, virů nebo jiného útočného softwaru,
-
snaha ovlivnit vztah mezi obětí útoku a podvrţeným odesílatelem
45
5.2 Zabezpečení elektronických plateb na internetu
Na základě moţných rizik popsaných v předešlé části 5.1 je zřejmé, ţe by uţivatelé měli vţdy dodrţovat určité bezpečnostní zásady a to nejen při práci s EPS, ale i důvěrnými informacemi a financemi. Mezi tyto bezpečností zásady patří: •
vyuţívat antivirový systém a ten pravidelně aktualizovat,
•
mít instalovanou kontrolu příchozí pošty (antispam, antivir),
•
pravidelně aktualizovat všechna zabezpečení operačního systému,
•
správně volit a pouţívat hesla (bezpečná hesla by měla mít minimálně jedno malé a jedno velké písmeno a také číslo; délka hesla by měla být alespoň 8 znaků a význam hesla by s námi neměl být nějak spojen – jméno dítěte, datum narození,…),
•
podezřelé emaily raději neotvírat v případě, ţe neznáme odesílatele nebo se odesílatel chová podezřele (jiný sloh, zvláštní poţadavky), je moţné, ţe se vydává za někoho jiného, neţ je,
•
jestliţe má uţivatel byť sebemenší podezření, neměl by vkládat do programu jakékoliv citlivé informace,
•
nikdy se nepřihlašovat do EPS z počítače, u kterého nevíme míru jeho zabezpečení,
•
jestliţe se uţivatel přihlašuje do elektronického platebního systému, měl by vţdy kontrolovat, zda je internetová adresa přesná,
46
•
pravidelně kontrolovat, zda platí certifikát potvrzujícího SSL3 zabezpečení serveru (adresa musí začínat https:// a v dolní části vlevo musí být zobrazena ikonka nepřeškrtnutého zámku).
Aby bylo moţné povaţovat platební transakci provedenou elektronicky za dostatečně bezpečnou, je nutné, aby splnila tyto základní poţadavky [2]: • autentičnost – ověření informací, ţe jak server (platební systém) tak klient jsou tím, kým tvrdí, • důvěrnost – komunikace účastníků a poskytovatele musí být vţdy soukromá • nemoţnost popření účasti na transakci – prokázání správnosti, ţe je zaslaná transakce produktem podepsaného autora. • integrita – ověření, zda při prováděné komunikaci nedošlo k nějaké změně,
Výše uvedené poţadavky lze splnit pouţitím bezpečných autentizačních metod nebo šifrováním. To zaručí, ţe komunikaci nebude moţné upravit třetí stranou a ţe bude důvěrná. Autentizace zaručuje identitu účastníků a jejich autorství odeslané transakce.
3
SSL protokol (anglicky Secure Sockets Layer) je bezpečnou vrstvou mezi TCP/IP a http, která je
zaloţena na spojení veřejného klíče a symetrického šifrování. Po prvotním ověření pomocí tzv. Handshake probíhá komunikace jiţ zabezpečeně bez další moţnosti snadného odposlechnutí. [16]
47
6. Doporučené způsoby používání elektronických platebních prostředků na internetu v České republice Cílem této kapitoly je doporučit obchodníkům vhodný elektronický platební systém na základě zjištění z kapitol předchozích a z průzkumu mezi uţivateli EPS. Rovněţ doporučím, jaký EPS je vhodný pro uţivatele a na co si má uţivatel při platbě pomocí EPS dávat pozor, aby nedošlo ke ztrátě jeho dat nebo k nějakému útoku na bezpečnost jeho dat.
6.1 Doporučení podnikatelům obchodujícím na internetu
V této kapitole bych rád podal určitá doporučení podnikatelům obchodujícím na internetu a to jak z hlediska ceny a sloţitosti zavedení určitého elektronického platebního systému, ale i z hlediska zabezpečení takového systému, podle současných trendů a počtu uţivatelů vybraných EPS. Rovněţ obchodníkům doporučím jaký EPS pouţít v případě, ţe budou obchodovat i se zahraničními zákazníky.
6.1.1 Vhodný elektronický platební systém z hlediska ceny
Z hlediska ceny a nabízených moţností se dá říci, ţe nejlepšími systémy jsou PayU a například GoPay. U těchto systémů obchodník do svých stránek integruje vţdy jen jednu sluţbu a přitom velmi snadno a rychle získá více platebních systémů. V porovnání s ostatními systémy jsou náklady na integraci a uzavření dohod nejniţší. Obchodník obvykle také získává lepší provizní podmínky u jednotlivých platebních
48
systémů v případě, ţe vyuţívá zprostředkování pomocí systému PayU, neţ kdyby si jednotlivé platební systémy integroval sám.
6.1.2 Vhodný elektronický platební systém z hlediska zabezpečení
Kaţdý z nabízených platebních systémů má ověřené a propracované zabezpečení a z tohoto hlediska se tedy mezi sebou příliš neliší. Ostatně v případě, ţe by se některý z platebních systémů stal nedůvěryhodný, okamţitě by tak ztratil své zákazníky a vysoce pravděpodobně by i zanikl. Z pohledu obchodníka tedy není z hlediska zabezpečení mezi jednotlivými platebními systémy rozdíl.
6.1.3 Náročnost aplikace EPS do webových stránek
Lze konstatovat, ţe je vţdy snazší a jednodušší aplikovat do svých internetových stránek jen jednu platební metodu místo deseti. Z toho důvodu lze určitě doporučit platební systém PayU nebo GoPay. Nevýhodou ovšem je, ţe je mezi zákazníka, obchodníka a vlastníka platebního systému vkládán další subjekt. Tento článek můţe jakýmkoli způsobem a to jak po technické, tak po finanční stránce, ovlivnit celý transakční proces. Navíc je pro nakupujícího poněkud matoucí následně zaslaný výpis z účtu, na kterém je uvedena zprostředkovatelská firma, nikoli obchodník od kterého zboţí či sluţbu zakoupil.
6.1.4 Volba EPS na základě preferencí uživatelů
Zákazníci v České republice jsou značně konzervativní a při volbě EPS preferují jiţ známé a zavedené metody. V případě, ţe se mají rozhodnout pro změnu platebního 49
systému, záleţí úspěšnost tohoto kroku na uţivatelské přívětivosti a míře důvěryhodnosti systému.
6.1.5 Využití EPS pro platby ze zahraničí
Jaký přesně zvolit elektronický platební systém nelze říci univerzálně pro všechny země. Situace a vhodnost volby daného EPS se liší stát od státu. Vţdy záleţí na tom, co je v dané zemi běţné a jakou důvěru uţivatelů daný systém má. Pokud obchodník nemá do svých stránek integrovaný právě ten správný konkrétní EPS, razantně se tak pro něj sniţuje počet zaplacených objednávek.
6.1.6 Současné trendy v obchodování na internetu
V současné době, kdy je obrovský rozmach slevových portálů, je hojně vyuţívána při online platbách za sluţby forma platby kartou. U slevových portálů se jedná o impulsivní nakupování, kdy chce mít kupující celý proces nákupu rychle za sebou. Platba kartou toto splňuje.
6.2 Doporučení uživatelům nakupujícím na internetu
V této části doporučím uţivatelům, kteří na internetu nakupují, a tedy vyuţívají nějaký EPS, jak tyto systémy pouţívat z hlediska zabezpečení jejich dat. Na co si dát pozor a jak svá data ochránit. Doporučím, které systémy jsou uţivatelsky nejpříjemnější a jaké EPS pouţít v případě nákupů v zahraničí. Také naznačím budoucí vývoj v oblasti EPS a jejich vyuţívání v České republice.
50
6.2.1 Vhodný elektronický platební systém z hlediska ceny
V případě, ţe se zaměříme na cenu za jednotlivé druhy platebních systémů, je z hlediska zákazníka (uţivatele platebního systému) poněkud nelogický fakt, ţe je v České republice neustále nejpopulárnějším platebním systémem dobírka (viz. graf 4.2), u které je cena za dopravné jednoznačně nejvyšší oproti jiným on-line metodám.
Tento rozdíl v nákladech na dopravné se jeví dobírka jako naprosto nevýhodná a především u levnějších druhů zboţí můţe být toto dopravné i vyšší neţ cena samotného zboţí.
Z pohledu zákazníka je tedy v ČR nejvýhodnější vyuţití platby platební kartou, kdy je cena za vyuţití této sluţby na straně obchodníka. Obchodník sice můţe tyto náklady za zprostředkování platby převést na uţivatele, ale v ČR není obchodníka, který by takto učinil.
6.2.2 Vhodný elektronický platební systém z hlediska zabezpečení
Problém výběru vhodnosti EPS z hlediska zabezpečení není v České republice ani tak problém faktického zabezpečení jednotlivých systémů, ale spíš konzervativnost české populace a nedostatečné znalosti na poli zabezpečení soukromých dat.
Pro uţivatele je důleţité, aby při platbě pomocí nějakého elektronického platebního systému přesně věděli, kam své citlivé údaje zadávají. Vzhledem k nedostatečné informovanosti uţivatelů jakých věcí je třeba si všímat a na co je nutné si dát pozor, panuje neustálá nedůvěra uţivatelů v placení pomocí platebních karet.
51
6.2.3 Důležitost uživatelské přívětivosti
Z pohledu uţivatele je přívětivost nastavení systému často velmi důleţitá a v procesu placení nesmí být ţádná byť sebemenší překáţka (například v podobě povinného vyplnění některých údajů, které uţivatel nerad sděluje), protoţe i ta můţe způsobit nedokončení objednávky.
6.2.4 Využití EPS pro platby ze zahraničí
Uţivatelé nakupující na zahraničních webových sluţbách v této době nejčastěji vyuţívají platební systémy jako je PayPal nebo MoneyBookers. Například největší aukční server eBay vyuţívá právě systém PayPal. Společnosti Google a Apple provozující mimo jiné i trţiště aplikací, vyţadují pro tyto nákupy platby kartou.
6.3 Budoucnost platebních systémů
V budoucnu bude jistě stále vyuţívanějším způsobem plateb za zboţí a sluţby přes internet platba pomocí platebních karet spolu s dalšími online metodami. Toto se bude týkat především sluţeb a zboţí, kde lze danou věc získat v podstatě okamţitě. Tedy v případech, kdy proces platby nezdrţuje expedici zboţí.
Online platby budou četnější u e-shopů a sluţeb, jejichţ značka je známou a zákazníci k ní mají větší důvěru, tedy nebojí se o své vynaloţené peníze. U méně známých firem a značek bude nadále převládat platba formou dobírky a to z důvodu větší bezpečnosti pro kupujícího.
52
7. Závěr Cílem této bakalářské práce bylo určit způsoby pouţívání elektronických platebních systémů a popsat jejich zabezpečení při platbách na internetu.
V práci proto popisuji, jaké platební a elektronické platební systémy jsou vyuţívány, jak fungují a jak jsou zabezpečeny. V kapitole 4 se blíţe věnuji právě elektronickým platebním prostředkům a jejich nejznámějším druhům jako jsou platební karty, 3-D Secure nebo PayPal.
Dále jsem zjišťoval, jak jsou uvedené elektronické platební systémy uţívány, a jak tyto systémy vyuţívají při platbách na internetu kupující. Pro zjištění chování kupujících jsem provedl průzkum mezi uţivateli největšího českého nákupního rádce Heureka.cz. Provedený průzkum zjišťoval, jaké platební systémy kupující vyuţívají, jaké parametry jsou při uţívání těchto systémů pro kupující důleţité a také jak si chrání svá data proti zneuţití v případě, ţe vyuţívají elektronické platební systémy.
Z průzkumu vyplynulo, ţe kupující si svá data chrání nedostatečně. I z tohoto důvodu jsou v práci popsány hrozby a rizika, která mohou kupující ohroţovat. Z hrozeb popisuji pharming, phishing, sociální inţenýrství a další. Dále uvádím, jak jsou elektronické platby na internetu zabezpečeny.
Dalším cílem práce bylo podat doporučení nejvhodnějších způsobů uţití elektronických platebních prostředků pro provozovatele sluţeb a jejich zákazníky jak z hlediska zabezpečení, tak z hlediska současných trendů.
53
V kapitole 6.1 proto dávám doporučení podnikatelům pro výběr vhodného EPS z hlediska ceny, zabezpečení, náročnosti aplikace do webových stránek a volby EPS podle preferencí uţivatelů. Tato doporučení podnikatelům ušetří náklady na personál a ostatní náklady spojené s kamennou prodejnou.
V kapitole 6.2 se věnuji volbě vhodného EPS z hlediska kupujícího. Má doporučení se zaměřují na výběr z hlediska ceny, zabezpečení, uţivatelské přívětivosti a moţností vyuţití daného EPS pro platby v zahraničí.
Vzhledem k současným trendům ve vyuţívání elektronických bankovních systémů, kdy jejich obliba kaţdoročně vzrůstá, je vhodná volba elektronického platebního systému velmi důleţitá.
54
8. Literatura [1]
MÁČE, M. Platební styk: klasický a elektronický. Praha: Grada, 2006. 220 s. ISBN 80-247-1725-5.
[2]
SEDLÁČEK, J. E-komerce: internetový a mobil marketing od A do Z. Praha: BENtechnická literatura, 2006. 340 s. ISBN 80-7300-195-0.
[3]
VÁGNEROVÁ, D. Autentizace uţivatelů a autorizace elektronických transakcí. Praha: TATE, 2007. 318 s. ISBN 978-80-86813-14-1.
[4]
Zákon č. 284/2009 Sb., o platebním styku.
[5]
Amazon.com. In Wikipedia: the free encyclopedia [online]. St. Petersburg (Florida): Wikipedia Foundation, 2006, last modified on 31. 1. 2012 [cit. 201201-31]. Dostupné z WWW:
.
[6]
BRANDEJS, Michal. Návrh průkazu studenta [online]. 1999 [cit. 2012-01-31]. FI
MU.
Dostupné
z
WWW:
. [7]
Cross-site Request Forgery. In Wikipedia: the free encyclopedia [online]. St. Petersburg (Florida): Wikipedia Foundation, 2006, last modified on 19. 1. 2012 [cit. 2012-1-31]. Dostupné z WWW: .
[8]
CZ.NIC. O DNSSEC [online]. c2012 [cit. 2012-01-31]. Dostupné z WWW: .
[9]
Česká spořitelna, a.s. Akceptování platebních karet [online]. c2010 [cit. 201202-05].
Dostupný
z
WWW:
. [10]
Finance media a. s. Historie platebních karet [online]. C2010 [cit. 2011-12-18]. Dostupné z WWW: . 55
[11]
ICT SECURITY. Sociální inženýrství z pohledu útočníka [online]. c2012 [cit. 2012-01-31].
Dostupné
z WWW:
clanky/socialni-inzenyrstvi-z-pohledu-utocnika.html> [12]
Lupa.cz. PayPal nabízí online dobíjení z českých bank – a v češtině [online]. c2012
[cit.
2012-03-10].
Lupa.cz.
Dostupný
z
WWW:
. [13]
MasterCard Europe. Co je to platební karta [online]. c2010 [cit. 2011-12-18]. Dostupné
z
WWW:
. [14]
MoneyBookers Ltd. Shopping Cart [online]. c2012 [cit. 2012-03-11]. Moneybookers.com.
Dostupný
z
WWW:
. [15]
NYKODÝMOVÁ, Helena. Bojíte se krádeže své identity? [online]. 2006 [cit. 2006-08-16]. Dostupné z WWW: http://www.lupa.cz/clanky/bojite-se-kradezesve-identity/
[16]
PayPal Europe S. à r.l.&Cie, S.C.A. About 3-D Secure [online]. C2010 [cit. 2011-12-18]. Dostupné z WWW: https://www.paypalbusiness.co.uk/3Dsecure.asp.
[17]
PayPal Inc. About Us [online]. c2010 [cit. 2011-10-20]. PayPal. Dostupné z WWW:
outside>. [18]
PayPal Inc. Fee Structure [online]. c2010 [cit. 2011-11-27]. PayPal. Dostupný z
WWW:
outside>. [19]
PayPal Inc. User Agreement – Privacy [online]. c2010 [cit. 2011-11-30]. Dostupný
z
WWW:
bin/marketingweb?cmd=ua/Privacy_full>.
56
[20]
PayU. Co je PayU [online]. c2012 [cit. 2012-03-11]. Payu.cz. Dostupný z WWW:
[21]
University of Central Florida. Home [online]. c2010 [cit. 2012-01-31]. UCF Card Services. Dostupné z WWW: .
[22]
Virus Experts We make your digital life secured: NEW „PAYPAL SCAM“ Phishing Attacks [online]. 2010 [cit. 2012-01-31]. www.virusexperts.org. Dostupné
z
WWW:
%E2%80%9Cpaypal-scam%E2%80%9D-phishing-attacks/>. [23]
Visa Europe. Bezkontaktní karty [online]. c2010 [cit. 2011-09-18]. Dostupné z WWW: .
[24]
ZÁMEČNÍK, Petr. Placení kartou na internetu [online]. 2004-09-16 [cit. 201005-04]. Dostupný z WWW: .
57
9. Použité zkratky CD
optické záznamové médium (z anglického Compact Disc)
CSRF
druh internetového útoku (z anglického Cross Site Request Forgery)
CVC/CVV
třímístný ověřovací kód pro platby na internetu (z anglického Card Verification Code/Card Verification Value)
ČNB
Česká národní banka
DNS
systém doménových jmen
DNSSEC
rozšířený systém doménových jmen, zvyšující jeho bezpečnost
DVD
digitální optický datový nosič (z anglického Digital Video Dics)
EPS
elektronický platební systém (anglicky Electronic Payment System)
FF
prohlíţeč Firefox
HR
Lidské zdroje (z aglického Human Resources)
HTML
Hypertextový značkovací jazyk (z anglického Hypertext Markup Language)
HTTPS
Zabezpečený hypertextový přenos (z anglického Hypertext Transfer Protocol Secure)
IE
prohlíţeč Internet Explorer
IP
internetový protokol
IS
informační systém
ISIC
mezinárodní studentská identifikační karta (International Student Identity Card)
PIN
osobní identifikační číslo (z anglického Personal Identification Number) 58
PR SMS
prémiová sazba SMS (z anglického Premium Rate SMS)
SMS
sluţba krátkých textových zpráv (z anglického Short message service)
SMTP
protokol slouţící k přenosu e-mailových zpráv (z anglického Simple Mail Transfer Protocol)
SSL
vrstva bezpečných socketů (z anglického Secure Sockets Layer)
TCP/IP
rodina protokolů pro komunikaci v počítačové síti
59
10.
Seznam obrázků
Obr. 2.1: Procentuální rozdělení uţívání platebních systémů v České Republice Obr. 3.1: Dělení elektronických platebních prostředků Obr. 4.1: Klasifikace platebních karet Obr. 4.2: Ukázka bezkontaktní platební karty a terminálu s technologií payWave Obr. 4.3: Schéma fungování 3-D Secure Obr. 4.4: Průběh platby pomocí PayU Obr. 5.1: Průběh pharmingu Obr. 5.2: Vstup na server s legitimním certifikátem v prohlíţeči Google Chrome 16 Obr. 5.3: Vstup na server s neplatným certifikátem v prohlíţeči Google Chrome 16 Obr. 5.4: Vstup na server s neplatným certifikátem v prohlíţeči Internet Explorer 9
60
11.
Seznam grafů
Graf 4.1: Rozdělení respondentů podle zkušeností s platbou na internetu Graf 4.2: Platební systémy pouţívané v ČR Graf 4.3: Proč uţivatelé nepouţívají jiné platební systémy Graf 4.4: Co je u EPS pro uţivatele důleţité Graf 4.5: Četnost hrozeb na internetu Graf 4.6: Jaké bezpečností zásady dodrţují uţivatelé
61
Příloha č. 1
Příloha č. 1 – Dotazník
62
Příloha č. 1
63
Příloha č. 2
Příloha č. 2 – Výsledky průzkumu
1) Otázka č. 1: Zaplatili jste někdy za zboží/službu přes internet?
2) Otázka č. 2: Které z následujících platebních systémů či možností jste již použili?
64
Příloha č. 2 3) Otázka č. 3: Proč nepoužíváte jiné platební systémy?
4) Otázka č. 4: Důvěřujete spíše českým nebo zahraničním platebním systémům?
65
Příloha č. 2
5) Otázka č. 5: Co je pro Vás důležité při použití platebních systémů?
6) Otázka č. 6: S jakými hrozbami na internetu jste se setkali?
66
Příloha č. 2
7) Otázka č. 7: Jaké bezpečnostní zásady dodržujete při používání vašeho počítače?
8) Otázka č. 8: Jaký jste uživatel?
67
