Velmi důležitý je fakt, že o podvodech s platebními kartami si banky vyměňují zkušenosti prostřednictvím jednotlivých asociací. Pokud se například v Kolumbii, Jihoafrické republice nebo Japonsku objeví nový podvod, během několika týdnů o tom mají informace i pracovníci bank v ČR, kteří podvody tohoto druhu objasňují.


V prostředí internetového, GSM nebo telefonního bankovnictví nic takového neexistuje, protože každá banka si své bankovnictví vybudovala sama prostřednictvím dodavatele počítačového systému pro obsluhu internetbankingu.

Lze naše internetové bankovnictví i SMS banking považovat za bezpečné?
V porovnání s platebními kartami je internetové i telefonní a GSM bankovnictví výrazně bezpečnější. Pokud se ale stane nějaký podvod, tak si postižený může být jist, že se stal obětí odborníků. Při současné úrovni zabezpečení je vyloučeno, aby účet ovládaný přes internetové bankovnictví vykradl šikovný teenager. Bohužel i při současné úrovni bezpečnostních technologií je možné překonat všechny způsoby zabezpečení internetového bankovnictví, včetně jednorázových hesel zaslaných jako SMS nebo čipové karty připojené k PC. Internetové bankovnictví je mnohem bezpečnější než platební karty.

Záludnost počítačů a internetu nicméně spočívá i v tom, že pokud vám někdo odcizí heslo, digitální certifikát, tak si vlastně pořídí jejich kopii. Postiženému klientovi na rozdíl od odcizené platební karty nebo peněženky nic nechybí. Může i nadále obsluhovat svůj účet přes internetové bankovnictví jako kdykoliv v minulosti a dokud útočník peníze z jeho účtu nepřevede, nemá klient banky šanci zjistit, že nástroje pro přihlášení k účtu získal i někdo jiný.

Kdo a jak nejčastěji účty napadá?
Od roku 2006 je možné pozorovat výraznou profesionalizaci kybernetických zločinců. Podvodům na internetu se stále častěji věnují organizované skupiny, ve kterých má každý člen svůj úkol. Názorným příkladem byly například přes internet vykradené účty klientů v České spořitelně a Komerční bance. Případ začal zhruba dva až tři týdny před napadením účtů klientů. Tehdy neznámý obchodník ze zahraničí hledal prostřednictvím elektronické pošty v České republice spolupracovníky pro vyřešení jedné transakce. Cizinec ve svých e-mailech uváděl, že má v ČR dlužníka, který má v nejbližších dnech zaplatit svůj dluh. Jenže on (cizinec) nemá v ČR bankovní účet pro příjem peněz.

Spolupráce měla spočívat v tom, že na účet v ČR přijdou peníze, které majitel účtu vyzvedne a jiným způsobem, přes Western Union, je pošle jako expresní platbu do zahraničí. Souběžně se získáváním spolupracovníků hledali podvodníci i své oběti. Klienty bank, do jejichž internetového bankovnictví se uměli nabourat. V okamžiku, kdy měli podvodníci připraveny, to znamená odcizeny, nástroje pro přihlášení k většímu množství bankovních účtů, udeřili. Přihlásili se s odcizenými nástroji k internetovému bankovnictví jménem vlastníka účtu a peníze převedli jako vnitrostátní nebo dokonce jako vnitrobankovní transakci. Po zadání transakce podvodníci informovali svého spolupracovníka o tom, že následující den by měly na jeho účet přijít dlužné peníze. Český spolupracovník peníze vyzvedl a přes Western Union poslal na poštu na Ukrajině. Takto bylo napadeno více než sto bankovních účtů v ČR, Portugalsku, Francii a Švédsku.

Jak a podle čeho si podvodník účet vybírá?
V tomto případě hraje hlavní roli míra rizika. Pokud nalezne podvodník cestu, jak peníze poslat s minimálním rizikem do zahraničí(Western Union, Hawala), tak je z jeho pohledu téměř jedno, jaký účet a s jak velkou hotovostí vykrade. Případy z roku 2006 ukázaly, že je to možné, a peníze tehdy skončily na malé poště v jižní Ukrajině, kde nebyly žádné videokamery nebo jiné nástroje schopné zjistit identitu příjemce. Druhou otázkou je snadnost či naopak komplikovanost útoku na konkrétní typ internetového bankovnictví.

I podvodníci postupují cestou nejmenšího odporu. Pokud podvodníci najdou na internetu banku, jejíž internetové bankovnictví je možné relativně snadno zneužít, zaměří se na tento systém. Jak jsem již uvedl, všechny dnes používané formy přihlášení a potvrzování transakcí je možné s určitými znalostmi zneužít. Může se jednat i o útok na internetové bankovnictví s čipovou kartou. V takovém případě nepůjde s největší pravděpodobností o masový útok na větší množství účtů, ale o jednorázový útok na konkrétního klienta, na jehož účtu se nachází větší množství peněz. Velkým rizikem v takovém případě může být i přístup banky. Konkrétně, zda banka připustí, že by někdo mohl zneužít její velmi vysoký stupeň zabezpečení internetového bankovnictví s použitím čipové karty nebo jednorázového hesla zaslaného jako SMS.

Pokud zaregistruji na svém účtu transakci, o které nevím, že měla proběhnout, jak se mám zachovat?
V prvé řadě bych se zeptal manželky, popřípadě dětí, zda náhodou nepoužívaly můj počítač a můj účet. Pokud ne, tak je důležité okamžitě konkrétní transakci reklamovat v bance. Pak záleží na tom, jak se banka k vaší reklamaci postaví. Je možné, udělaly to tak některé banky v USA a Kanadě, že peníze vrátily na účet a samy situaci řešily. V takovém případě je vše na dobré cestě. Velmi často se ale stávalo a stává, že banka poškozenému klientovi sdělí, že se bude reklamací zabývat a výsledek klientovi oznámí do jednoho měsíce.

Jenže v případě vykradeného účtu přes internetbanking je jeden měsíc šíleně dlouhá doba. V případě, že vám zmizely peníze z účtu, je důležitá každá hodina. V takovém případě doporučuji obrátit se s trestním oznámením na Policii ČR a s reklamací také na Finančního arbitra ČR (www.finarbitr.cz), do jehož působnosti patří řešení sporů mezi klientem a bankami. Ještě bych doplnil, že je důležité v takovém případě nic neměnit na počítači, ze kterého jste obsluhovali svůj bankovní účet. S velkou pravděpodobností jej bude chtít policie nebo soudní znalec pověřený Finančním arbitrem prozkoumat.

Je vůbec možné vypátrat pachatele internetové bankovní loupeže?
Je to možné. V minulosti jsem se podílel na vystopování několika pachatelů. Podobně jako v případě spáchání klasické trestné činnosti, tak i v případě internetové kriminality, je důležité rychlé a kvalitní zajištění stop a jejich vyhodnocení. Podobně jako existují skupiny počítačových podvodníků, kteří působí po celém internetu, tak existují i skupiny zaměřené na odhalování takové činnosti.

Existuje účinná systémová ochrana? Jak dokonalé jsou zabezpečovací systémy bank?
Ochrana stojí na třech pilířích. Ochrana systémů uvnitř banky, ochrana komunikace a klientova počítače a rychlá reakce na mimořádnou událost. Ochrana systémů uvnitř banky je téměř nepřetržitě monitorována pracovníky banky. Banky do ochrany internetového bankovnictví investují velké částky. Z pohledu počítačových podvodníků se jedná o velmi horkou půdu, kde je velmi pravděpodobné, že protivník, tedy banka, bude na jejich pokusy o proniknutí připravena. Ochrana komunikace mezi počítačem klienta a vstupním serverem banky je řešena s použitím šifrování buď podle SSL nebo IPSec. V každém případě je možné tuto komunikaci přirovnat k obrněnému transportéru, který převáží informace mezi klientem a bankou. Útok na tomto místě je sice teoreticky možný, ale v celém systému existuje ještě daleko zranitelnější místo než je komunikační kanál nebo servery banky. Jsou jím počítače běžných klientů.

Opět jsem u hlavního velkého rozporu v pohledu na zabezpečení internetového bankovnictví. Banky musí ochránit peníze všech svých klientů, naproti tomu počítačovému podvodníkovi stačí, pokud se dostane k jednomu účtu nebo k relativně malé skupině účtů. Těch cest, jak se k účtům mohou dostat, je celá řada. První a stále používanou cestou jsou chyby v operačním systému Windows a programech pro práci na internetu. Nová Windows jsou o stupínek bezpečnější než předchozí verze, ale stále existují slabiny, jak v tomto operačním systému, tak například v prohlížeči stránek. Jedna taková vážná chyba může způsobit, že počítačový podvodník se dostane do počítače oběti, i když ta používá dobrý antivirový program a personální firewall.

Další cestou jsou pastičky ukryté na webových stránkách. Někdy podvodníci připraví stránky se zajímavým obsahem. Rozhodně to již není pouze erotika, kopie filmů nebo počítačových programů. Nedávno jsem narazil na server věnovaný fotbalu, který byl plný tlačítek, za kterými se vedle nové stránky skrývala i instalace škodlivého programu do počítače návštěvníka. Další často používanou cestou je nabídka zkopírování programu, např. mapy pro mobilní telefon. Pokud si uživatel takový program zkopíruje, může se mu stát, že vedle vlastní mapy, ovladače nebo jiného programu, který skutečně hledal, bude v instalačním souboru ukryt i škodlivý program. Ten se do počítače nainstaluje skrytě v době, kdy si uživatel kopíruje program, který hledal. S bezpečností počítačů je to podobné, jako se zabezpečením domu nebo automobilu. Mříže na oknech ztíží vniknutí do domu, elektronický bezpečnostní systém vás bude rychle informovat o pokusu o vloupání, ale nikdy si nebudeme úplně jisti, že to bude stačit.

Co může běžný uživatel udělat proto, aby se nestal obětí počítačových podvodníků?
Banky seznamují své klienty s tím, jak mají zabezpečit své počítače před útoky z internetu. Je třeba si nainstalovat a používat antivirový program a program, který tvoří bezpečnostní bránu (firewall) mezi lokální sítí a internetem. To jsou základní pravidla, která musí uživatel splnit. Je pravda, že antivir a firewall by měli uživatelé používat i bez toho, aniž by využívali internetové bankovnictví a chránili se před vniknutím kohokoliv z internetu do jejich počítače.

Je to podobná podmínka, jako zamykání domu nebo automobilu. Používání antivirového programu, jeho pravidelná aktualizace, používání personálního firewallu a dále pravidelná aktualizace používaných programů (Windows, prohlížeč www stránek, poštovní klient, atd.) je pro běžného uživatele na první pohled složitý úkol. Není, důležité je zjistit, co máte jednou za čas zkontrolovat, a pak je to podobné, jako když odcházíte z domu a kontrolujete, zda je zamčený.

Dalším důležitým bodem je chování na internetu. Podobně jako existují některé tramvajové linky, kde je vyšší výskyt kapsářů než jinde, nebo existují některé noční podniky, kde návštěvníky okradou, tak podobné je to i na internetu. Existují www stránky, kde je velká pravděpodobnost, že si z takové stránky zkopírujete do počítače škodlivý program. Takže doporučuji navštěvovat stránky, které znáte a víte, co od nich můžete čekat. Pokud navštívíte stránky, o kterých až následně zjistíte, že nebyly úplně v pořádku, je třeba okamžitě s použitím antivirového programu prohledat počítač a ujistit se, že jste si do počítače nezkopírovali škodlivý program.

Jak je na tom policie? Má specializované týmy?
Jistě, Policie ČR má již mnoho let specializovaný útvar. Jenže odborníci na bezpečnost počítačů a internetu naleznou v civilu uplatnění daleko snadněji než odborník na daktyloskopii, trasologii nebo analýzu DNA. Jinými slovy: dnes jsou členové tohoto týmu především policisté a podle toho jsou i ohodnoceni. Pro skutečné odborníky na počítačové sítě a počítačové podvody je daleko snadnější najít si uplatnění u soukromých firem, než v rámci policie přesvědčovat nadřízené, že tým odborníků na boj s počítačovou kriminalitou by měl mít podobný statut a hlavně zázemí jako protidrogová brigáda.