Upozornění České národní banky na rizika spojená s využíváním elektronického bankovnictví
V souvislosti s dynamickým rozvojem a rozšiřující se nabídkou služeb elektronického bankovnictví dochází i v České republice k pokusům o jejich zneužití. Česká národní banka soustavně prosazuje a dohlíží na to, aby jednotlivé banky při poskytování svých služeb průběžně vyhodnocovaly s nimi spojená rizika a přijímaly opatření na jejich omezení.
Bezpečnost každého vzdáleně ovládaného účtu však nezávisí pouze na zabezpečení informačních systémů jednotlivých bank, ale také na péči a pozornosti, kterou věnuje bezpečnosti samotný klient.
K obsluze bankovního účtu jsou v současné době využívány nejen počítače, ale také tablety a mobilní telefony tzv. SmartPhony (dále jen "zařízení").
Doporučujeme proto věnovat pozornost následujícím skutečnostem:
- Zařízení využívané pro obsluhu bankovního účtu by mělo být vybaveno:
- aktualizovaným operačním systémem (pravidelné aktualizace odstraňují bezpečnostní slabiny systému odhalené až při jeho využívání),
- aktualizovaným internetovým prohlížečem (k aktualizaci dochází zpravidla automaticky s aktualizací celého operačního systému),
- funkčním (trvale zapnutým) a aktualizovaným antivirovým programem (aktualizace je obvykle prováděna automaticky). Současně by měl uživatel pravidelně spouštět antivirovou kontrolu.
- V souvislosti se zařízením používaným k obsluze bankovního účtu dále doporučujeme:
- instalovat pouze programy z důvěryhodných zdrojů doporučených výrobcem Vašeho zařízení a věnovat přitom pozornost oprávněním požadovaným instalovanou aplikací (např. nepovolovat přístup aplikace k odesílaným zprávám, nepovolovat možnost odesílat zprávy bez Vašeho vědomí, apod.),
- nepoužívat k obsluze bankovního účtu mobilní zařízení, u nichž byly provedeny změny nastavení tzv. "jailbreak" a "root" (tyto změny mohou vést k narušení bezpečnosti daného zařízení např. snížením jeho odolnosti proti škodlivému software),
- mít Vaše zařízení pod trvalou kontrolou a využívat zámek obrazovky (předpokládá nastavení aktivace zámku po uplynutí určité doby),
- používat výlučně zařízení důvěryhodné a řádně zabezpečené (např. veřejně přístupný počítač s internetovým připojením přiměřenou úroveň bezpečnosti nezaručuje).
- Kritickým momentem bezpečnosti elektronického bankovnictví je přihlášení a prokázání totožnosti (autentizace) klienta. V zájmu vyššího stupně ochrany finančních prostředků klientů doporučujeme:
- kombinovat autentizaci (prokázání totožnosti) při přístupu k účtu přes internet s prostředky na internetové komunikaci nezávislými, jako je např. potvrzení transakce pomocí SMS,
- v případě využívání digitálního certifikátu mít tento certifikát bezpečně uložený, a to nejlépe na přenosném médiu mimo vlastní počítač (např. na čipové kartě),
- pro přihlašování do internetového nebo mobilního bankovnictví využívat důvěryhodnou síť (nezabezpečená síť nebo síť spravovaná neznámým poskytovatelem přiměřenou úroveň bezpečnosti nezaručuje).
- Kromě odcizení autentizačních (přihlašovacích) informací přímo ze zařízení klienta se někteří pachatelé pokoušejí vylákat potřebné údaje pod různými záminkami přímo od klienta. Nejčastěji používaným trikem je podvržený e-mail předstírající, že pochází z důvěryhodného zdroje (například z banky nebo jiné instituce). Cílem tohoto podvodu (označovaného jako „phishing“) je získání přihlašovacích nebo osobních údajů klienta. Po kliknutí na přílohu nebo odkaz uvedený v e-mailu je klient buď zaveden na podvrženou internetovou stránku (kde je vyzván k zadání těchto údajů) nebo se z této stránky do zařízení klienta nainstaluje škodlivý software (který údaje o klientovi monitoruje a následně zpřístupní útočníkovi). V této souvislosti doporučujeme důsledné dodržování následujících zásad:
- nikomu nesdělovat autentizační údaje (používané při přihlašování a potvrzování transakcí) ani nepovolovat v nastavení svého zařízení jejich automatické zapamatování systémem,
- nereagovat na e-mailové zprávy s podezřelým názvem a obsahem, zejména v případě, kdy je po Vás požadováno sdělení osobních údajů, hesel, kódů PIN, apod.,
- pokud k takovému sdělení zpráva vybízí, resp. obsahuje odkaz na stránku internetového bankovnictví (Vaše banka by po Vás tímto způsobem autentizační údaje nepožadovala) nebo stránky jiné instituce, jedná se pravděpodobně o podvodné jednání. Proto doporučujeme ihned informovat Vaši banku,
- nespouštět přílohy podezřelých e-mailových zpráv ani neklikat na odkazy, které obsahují. Zprávy jakkoliv podezřelé raději vůbec neotvírat a rovnou je smazat,
- nepoužívat jednoduchá hesla ani hesla, která lze odvodit z informací o Vaší osobě,
- pokud již dojde ke ztrátě, krádeži nebo prozrazení přihlašovacích údajů, digitálního certifikátu nebo mobilního zařízení, ihned požádat banku o zablokování účtu a v případě mobilního zařízení požádat operátora o zablokování SIM karty.
- V neposlední řadě Vám doporučujeme využívat následující opatření snižující riziko odcizení finančních prostředků z Vašeho účtu:
- dle možností využívat limity omezující výši aktivních transakcí prováděných na Vašem účtu prostřednictvím elektronického bankovnictví,
- kontrolovat pohyby na svých účtech a platby platební kartou. V případě jakýchkoliv nesrovnalostí se ihned obrátit na Vaši banku, a to způsobem dohodnutým s Vaší bankou,
- průběžně sledovat informace a doporučení věnovaná bezpečnosti elektronického bankovnictví vydávaná Vaší bankou,
- zajímat se o další formy přístupu k elektronickému bankovnictví nabízené Vaší bankou s důrazem na úroveň zabezpečení.