Ataky na banky? Hackeři sledují i stisky kláves, říká expert

Počítačová bezpečnost - ilustrační foto | na serveru Lidovky.cz | aktuální zprávy
Rozhovor 14. září 2012   7:30 | Lidovky.cz
Link
Link
PRAHA - Před několika dny zablokovala Raiffeisenbank všem svým klientům možnost platby kartou přes internet. Některým zahraničním internetovým obchodníkům totiž hackeři ukradli data o platebních kartách. "Hackeři se k citlivým údajům dostávají technikami sociálního inženýrství nebo speciálně vyvinutými aplikacemi, které dokážou posílat stisky kláves útočníkovi. Nezanedbatelný podíl na úniku těchto údajů má lidský faktor," říká v rozhovoru pro Lidovky.cz technologický ředitel společnosti ESET Igor Hák.

S útoky hackerů se potýkají i další banky. Například Česká spořitelna od začátku roku zablokovala pro placení přes internet několik set karet. Loni v červnu hackeři ukradli údaje o 360 000 kreditních kartách společnosti Citigroup.

ČTĚTE VÍCE:

Lidovky.cz: Když člověk nakupuje přes internet, hrozí nějaké riziko, že by se údaje o jeho kartě dostaly do rukou někomu nepovolanému (ať už obchodníkovi nebo hackerovi)?

Riziko samozřejmě existuje vždycky, a to dokonce i když budete platit přes prověřený e-shop či platební bránu. Vždy je tu riziko selhání lidského faktoru. Nicméně tím nechci odrazovat od platby kartou.

Jak hackeři získávají údaje o platebních kartách?

"Přímá cesta je zabrousit na některé z hackerských fór např. v Rusku a nakoupit balík ukradených čísel karet. Tyto údaje jsou tím dražší čím jsou kompletnější a případně ověřené," říká šéf laboratoří antivirového softwaru AVG Pavel Krčma. Hacker může podle  Krčmy ukrást databázi nějakému špatně zabezpečenému obchodu, další cestou je sbírání údajů pomocí virů přímo u klientů.

"Kybernetičtí zločinci se ale zajímají o víc než jen bankovní data – kradou jakékoliv informace (ze sociálních sítí), aby se mohli nabourat do online účtů," upozorňuje bezpečnostní expert z firmy KasperskyLab David Emm. "Pokud použiju stejnou e-mailovou adresu jako uživatelské jméno (což bývá běžné) a stejné heslo (také velice běžné), i napadení byť jen jediného účtu ohrozí ty další," dodává Emm.

Lidovky.cz: Mohou hackeři prolomit taková zabezpečení, jako je třeba 3D secure?

Nedokážou prolomit samotnou komunikaci mezi portálem platební brány a počítačem uživatele, mohou však mít pod kontrolou počítač uživatele. V takovém případě na tomto počítači například skrytě běží aplikace, která zaznamenává stisky kláves, případně vytváří snímky obrazovky. Tyto cenné informace pak odesílá útočníkovi, který je může zneužít. Velice reálný útok je i typu „Men in the middle“. To znamená, že útočník zařídí, že PC uživatele se v reálu nepřipojuje k oficiální platební bráně, ale ke stejně vyhlížející podstrčené stránce útočníka, která zadané informace o platební kartě využije k jiným účelům. Přitom dnes není problém zařídit, aby se podvodná platební brána nacházela na stejné adrese jako ta oficiální a klidně byla opatřena i důvěryhodným certifikátem. Uživatel by tedy neměl slepě důvěřovat HTTPS šifrované komunikaci, ale brát vážně i případné varování prohlížeče, že došlo ke změně v „otisku“ certifikátu.

Lidovky.cz: Pokud bych byla hacker a chtěla získat údaje o platebních kartách lidí, kteří nakupují na internetu, co všechno bych musela udělat?

Dobře funguje tzv. sociální inženýrství – každému z nás už jistě někdy přišel e-mail, který sděloval, že jsme vyhráli jistou částku peněz, a k jejímu získání stačí už jen sdělit odesílateli údaje o naší platební kartě – to je typický příklad sociálního inženýrství. Z několika desítek nebo dokonce sta tisíc oslovených uživatelů se vždy najde někdo, kdo na tento trik naletí.

Lidovky.cz: Jak je to, pokud kupuji něco v zahraničí a platím přes internet kartou - je zabezpečení plateb do zahraničí větší než při českých obchodech, nebo naopak hrozí riziko, že si údaje o mé kartě někdo přečte?

V tomto případě nejde generalizovat – dnes je již zabezpečení tuzemských obchodů na slušné úrovni, srovnatelné s těmi v západní Evropě. Riziku se nevyhnete bohužel nikdy. Můžete ho pouze minimalizovat.

Lidovky.cz: Jakými konkrétními způsoby se mi mohou hackeři dostat k údajům o platební kartě nebo k heslům internetového bankovnictví?

Buď již zmiňovanými technikami sociálního inženýrství nebo speciálně vyvinutými aplikacemi, které dokážou posílat stisky kláves útočníkovi. Nezanedbatelný podíl na úniku těchto údajů má tzv. lidský faktor.

Klíčova rizika, jak se hackeři dostanou k citlivým datům:

Podle bezpečnostního experta společnosti KasperskyLab Davida Emma existují tři klíčová rizika, jak se hackeři mohou dostat k údajům na platební kartě nebo k heslům internetového bankovnictví:

a) pokud je počítač nakupujícího už infikován a je na něm nainstalován odezírač činnosti klávesnice (keylogger), který zaznamenává všechno, co uživatel píše, může kybernetický zločinec ukrást všechny napsané informace, například hesla, PINy, cc čísla apod.

b) pokud nakupující klikne na e-mail, odkaz na chatu, tweet apod. a ukáže se, že to byla phishingová zpráva, hrozí, že zadá svá data na falešné stránce, na níž zločinci loví cizí data.

c) detaily mohou být odcizeny, pokud je samotná stránka obchodu napadena hackery (je jasné, že tohle lidé neovlivní, ale znamená to, že byste měli užívat různá hesla pro různé účty).

Křišťálová lupa - hlasování 2011

 

diskuse (20)
Poslat mailem
Vytisknout
Tip redakci

REGISTRACE NA SERVERU LIDOVKY.CZ,
NEVIDITELNÉM PSU A ČESKÉ POZICI

SMS REGISTRACE

Diskuse LN jsou pouze pro diskutéry, kteří se vyjadřují slušně a neporušují zákon ani dobré mravy. Registrace je platná i pro servery Neviditelný pes a Česká pozice. více Přestupek znamená vyřazení Vašeho telefonního čísla z registrace a vyřazený diskutér se již nemůže přihlásit ani registrovat pod stejným tel. číslem. Chráníme tak naše čtenáře a otevíráme prostor pro kultivovanou diskusi.
Viz Pravidla diskusí. schovat

Jak postupovat

1. Zašlete SMS ve tvaru LIDOVKY REG na číslo 900 11 07.Cena SMS za registraci je 7 Kč. Přijde Vám potvrzující SMS s heslem.

2. Vyplňte fomulář, po odeslání registrace můžete ihned diskutovat

Tel. číslo = login,
formát "+420 xxx xxx xxx"
Kód ze SMS je rovněž heslo
Vaše příspěvky budou označeny Vaším jménem, např. K. Novák.
* Nepovinný.
Odesláním souhlasíte s Pravidly diskusí.
M. Dvořák Triviální ochrana - mobil 7:26 19.9.2012
D. Mateju Re: Triviální ochrana - mobil 20:56 19.9.2012
P. Balcar Kde nic není, ani čert nebere. 12:57 15.9.2012
J. Kadeřábek Naprosto nevěrohodný článek. 11:31 14.9.2012
P. Balcar PR 12:56 15.9.2012
D. Mateju Uz jsem to psal ... 8:29 14.9.2012
P. Balcar platba kartou 12:49 15.9.2012
D. Mateju Re: platba kartou 13:18 15.9.2012
D. Mateju Re: platba kartou 13:22 15.9.2012
D. Mateju Re: platba kartou 13:33 15.9.2012
D. Mateju Re: platba kartou 13:34 15.9.2012
M. Dvořák Re: platba kartou 7:27 19.9.2012
P. Balcar ... 8:24 19.9.2012
D. Mateju Re: ... 11:30 19.9.2012
D. Mateju Re: ... 11:41 19.9.2012
D. Mateju Re: ... 11:41 19.9.2012
P. Balcar ... 11:55 19.9.2012
D. Mateju Re: ... 12:37 19.9.2012
P. Balcar ... 20:37 19.9.2012
D. Mateju Re: ... 20:47 19.9.2012

Počet příspěvků: 20, poslední 19.9.2012 08:56 Zobrazuji posledních 20 příspěvků.

Prohlédněte si fotogalerii

Pompézní podívaná. V Hanoji slaví 70. narozeniny armády
Zádušní mše za Václava Havla
Dolomity v jižním Tyrolsku mají čerstvý sníh, lákají k zimním sportům
Taliban zaútočil na školu a zabil 84 dětí
Utrpení skončilo. Australská policie zasáhla proti únosci
Svět má nejkrásnější ženu: medičku z Jižní Afriky
Na adventní festival Souznění přišli i Tři králové
Italové vyšli do ulic. Kvůli vládním reformám vyhlásili generální stávku

Aktuální zprávy:Miloš Zeman, Vladimír Dbalý, Ukrajina



Zpátky do historie!

Články jsou řazeny podle čtenosti.

Máte mazlíčka?

Přihlašte domácího miláčka do souboje domácích mazlíčků.



PŘEJDĚTE NA MOBILNÍ VERZI