Upozornění České národní banky na rizika spojená s využíváním elektronického bankovnictví

V souvislosti s dynamickým rozvojem a rozšiřující se nabídkou služeb elektronického bankovnictví dochází i v České republice k pokusům o jejich zneužití. Česká národní banka soustavně prosazuje a dohlíží na to, aby jednotlivé banky při poskytování svých služeb průběžně vyhodnocovaly s nimi spojená rizika a přijímaly opatření na jejich omezení.

Bezpečnost každého vzdáleně ovládaného účtu však nezávisí pouze na zabezpečení informačních systémů jednotlivých bank, ale také na péči a pozornosti, kterou věnuje bezpečnosti samotný klient.

K obsluze bankovního účtu jsou v současné době využívány nejen počítače, ale také tablety a mobilní telefony tzv. SmartPhony (dále jen "zařízení").

Doporučujeme proto věnovat pozornost následujícím skutečnostem:

  1. Zařízení využívané pro obsluhu bankovního účtu by mělo být vybaveno:
    1. aktualizovaným operačním systémem (pravidelné aktualizace odstraňují bezpečnostní slabiny systému odhalené až při jeho využívání),
    2. aktualizovaným internetovým prohlížečem (k aktualizaci dochází zpravidla automaticky s aktualizací celého operačního systému),
    3. funkčním (trvale zapnutým) a aktualizovaným antivirovým programem (aktualizace je obvykle prováděna automaticky). Současně by měl uživatel pravidelně spouštět antivirovou kontrolu.
  2. V souvislosti se zařízením používaným k obsluze bankovního účtu dále doporučujeme:
    1. instalovat pouze programy z důvěryhodných zdrojů doporučených výrobcem Vašeho zařízení a věnovat přitom pozornost oprávněním požadovaným instalovanou aplikací (např. nepovolovat přístup aplikace k odesílaným zprávám, nepovolovat možnost odesílat zprávy bez Vašeho vědomí, apod.),
    2. nepoužívat k obsluze bankovního účtu mobilní zařízení, u nichž byly provedeny změny nastavení tzv. "jailbreak" a "root" (tyto změny mohou vést k narušení bezpečnosti daného zařízení např. snížením jeho odolnosti proti škodlivému software),
    3. mít Vaše zařízení pod trvalou kontrolou a využívat zámek obrazovky (předpokládá nastavení aktivace zámku po uplynutí určité doby),
    4. používat výlučně zařízení důvěryhodné a řádně zabezpečené (např. veřejně přístupný počítač s internetovým připojením přiměřenou úroveň bezpečnosti nezaručuje).
  3. Kritickým momentem bezpečnosti elektronického bankovnictví je přihlášení a prokázání totožnosti (autentizace) klienta. V zájmu vyššího stupně ochrany finančních prostředků klientů doporučujeme:
    1. kombinovat autentizaci (prokázání totožnosti) při přístupu k účtu přes internet s prostředky na internetové komunikaci nezávislými, jako je např. potvrzení transakce pomocí SMS,
    2. v případě využívání digitálního certifikátu mít tento certifikát bezpečně uložený, a to nejlépe na přenosném médiu mimo vlastní počítač (např. na čipové kartě),
    3. pro přihlašování do internetového nebo mobilního bankovnictví využívat důvěryhodnou síť (nezabezpečená síť nebo síť spravovaná neznámým poskytovatelem přiměřenou úroveň bezpečnosti nezaručuje).
  4. Kromě odcizení autentizačních (přihlašovacích) informací přímo ze zařízení klienta se někteří pachatelé pokoušejí vylákat potřebné údaje pod různými záminkami přímo od klienta. Nejčastěji používaným trikem je podvržený e-mail předstírající, že pochází z důvěryhodného zdroje (například z banky nebo jiné instituce). Cílem tohoto podvodu (označovaného jako „phishing“) je získání přihlašovacích nebo osobních údajů klienta. Po kliknutí na přílohu nebo odkaz uvedený v e-mailu je klient buď zaveden na podvrženou internetovou stránku (kde je vyzván k zadání těchto údajů) nebo se z této stránky do zařízení klienta nainstaluje škodlivý software (který údaje o klientovi monitoruje a následně zpřístupní útočníkovi). V této souvislosti doporučujeme důsledné dodržování následujících zásad:
    1. nikomu nesdělovat autentizační údaje (používané při přihlašování a potvrzování transakcí) ani nepovolovat v nastavení svého zařízení jejich automatické zapamatování systémem,
    2. nereagovat na e-mailové zprávy s podezřelým názvem a obsahem, zejména v případě, kdy je po Vás požadováno sdělení osobních údajů, hesel, kódů PIN, apod.,
    3. pokud k takovému sdělení zpráva vybízí, resp. obsahuje odkaz na stránku internetového bankovnictví (Vaše banka by po Vás tímto způsobem autentizační údaje nepožadovala) nebo stránky jiné instituce, jedná se pravděpodobně o podvodné jednání. Proto doporučujeme ihned informovat Vaši banku,
    4. nespouštět přílohy podezřelých e-mailových zpráv ani neklikat na odkazy, které obsahují. Zprávy jakkoliv podezřelé raději vůbec neotvírat a rovnou je smazat,
    5. nepoužívat jednoduchá hesla ani hesla, která lze odvodit z informací o Vaší osobě,
    6. pokud již dojde ke ztrátě, krádeži nebo prozrazení přihlašovacích údajů, digitálního certifikátu nebo mobilního zařízení, ihned požádat banku o zablokování účtu a v případě mobilního zařízení požádat operátora o zablokování SIM karty.
  5. V neposlední řadě Vám doporučujeme využívat následující opatření snižující riziko odcizení finančních prostředků z Vašeho účtu:
    1. dle možností využívat limity omezující výši aktivních transakcí prováděných na Vašem účtu prostřednictvím elektronického bankovnictví,
    2. kontrolovat pohyby na svých účtech a platby platební kartou. V případě jakýchkoliv nesrovnalostí se ihned obrátit na Vaši banku, a to způsobem dohodnutým s Vaší bankou,
    3. průběžně sledovat informace a doporučení věnovaná bezpečnosti elektronického bankovnictví vydávaná Vaší bankou,
    4. zajímat se o další formy přístupu k elektronickému bankovnictví nabízené Vaší bankou s důrazem na úroveň zabezpečení.