Platba cez cudzí počítač
Milan je na služobnej ceste v zahraničí. Odrazu si spomenie, že pred odchodom z domu zabudol zaplatiť účet za elektrinu. Aby sa vyhol upomienke a Martiným výčitkám, zájde na recepciu hotela, kde je hosťom k dispozícii počítač. Prihlási sa do internetového bankovníctva a platbu odošle. Keď už je pri počítači, pozrie si tiež, či mu neprišli nové e-maily alebo správy na sociálnej sieti.
Čo myslíte, urobil Milan správne?
V minulom príbehu sme sa dozvedeli, akým spôsobom sú zabezpečené systémy internetového bankovníctva. Už vieme, že na serveroch zabezpečených SSL certifikátom (URL adresa sa začína na https://) môžeme zadávať svoje osobné údaje bez obáv, že by sa k nim dostala tretia strana. SSL šifrovanie sa však týka len komunikácie online. Bezpečné musí byť aj zariadenie, cez ktoré sa pripájame na internet. Pri cudzom zariadení nevieme, čo všetko je v ňom nainštalované.
Napríklad tzv. keylogger je program, ktorý zaznamenáva stlačenia jednotlivých klávesov. Takýmto spôsobom je možné odchytiť heslá a iné prístupové údaje používateľov. Býva súčasťou programov na rodičovskú kontrolu, ktoré monitorujú všetku aktivitu na počítači. Rodičia tak odsledujú, čo na internete robia ich deti a čo píšu druhým.
Milan použil počítač, ktorý dal hotel k dispozícii hosťom. Prihlásil sa do internetového bankovníctva, do svojej e-mailovej schránky a tiež do svojho konta na sociálnej sieti. Banka si po zadaní údajov vypýtala dodatočný kód, ktorý mu prišiel vo forme sms správy, vďaka čomu by prípadné odchytenie hesla útočníkovi nestačilo na prístup ku kontu. Podobný prístup zvykne používať aj sociálna sieť Facebook, ak sa niekto odrazu prihlási z úplne inej krajiny ako doteraz. Takúto aktivitu vyhodnotí server ako podozrivú a vyžiada si potvrdenie inou cestou, napr. cez e-mail.
Na podozrivú aktivitu upozorní aj e-mailový klient Gmail.com. V prípade prihlásenia z nového zariadenia pošle bezpečnostné upozornenie na adresu, ktorá je v konte uvedená ako adresa na obnovenie (v prípade straty hesla a pod.).
Všetky služby, ktoré Milan využil, sa dnes dajú zvládnuť aj cez smartfón. Ak nepotrebujeme písať dlhé texty (čo by na mobilnom telefóne bolo nepohodlné), e-maily vybavíme aj takto. A ak namiesto verejnej wifi siete dátové pripojenie od svojho mobilného operátora, bezpečnosť sa ešte zvýši.
V súčasnosti banky čoraz viac propagujú používanie aplikácií do mobilného telefónu, cez ktoré uskutočníte platby zo svojho účtu. Nemusíte tak otvárať webov prehliadač a prihlasovať sa do internetového bankovníctva. Stačí otvoriť aplikáciu v telefóne a zadať číselný kód, ktorý poznáte len vy. Ak sa rozhodnete takúto "peňaženku" využívať, vždy ju sťahujte priamo zo stránky danej banky - resp. kliknite na odkaz, ktorý banka uverejnila na svojej oficiálnej webstránke.
Aplikácie dnes majú zabudovanú aj čítačku QR kódov. Nemusíte prácne vyťukávať IBAN alebo variabilný symbol: oskenovaním QR kódu na faktúre si aplikácia sama zistí všetky údaje. Stačí už len platbu odoslať.
Možno sa zľaknete, čo ak stratím mobilný telefón? Prístup do týchto aplikácií je zabezpečený heslom, ktoré si zvolíte. Nikdy, za žiadnych okolností nemajte tento kód napísaný na papieriku v peňaženke či nebodaj priamo v puzdre telefónu! Okrem hesla sa dnes objavujú možnosti overenia pomocou odtlačku prsta či tvárovej biometrie (odkaz https://www.tatrabanka.sk/sk/personal/ucet-platby/tvarova-biometria/). Je na vás, či sa rozhodnete využiť tento spôsob a tieto svoje identifikačné údaje banke poskytnúť.
V kapitole Anonymné prehliadanie webu sme zistili, že v počítači, z ktorého sa pripájame na internet, po nás ostávajú stopy v podobe histórie navštívených stránok, uložených cookies a (ak sa rozhodneme) aj uložených hesiel. Ak si neželáme, aby sa čokoľvek z našej aktivity ukladalo v počítači, môžeme použiť anonymný režim. Samozrejmosťou by malo byť odhlásiť sa zo všetkých služieb (e-mail, sociálne siete, e-shopy...), ktoré sme na cudzom počítači využili.
Čo mohol Milan urobiť lepšie?
- namiesto cudzieho počítača použiť svoj smartfón
- namiesto verejnej wifi siete sa pripojiť na internet cez svojho mobilného operátora
- vo webovom prehliadači surfovať cez anonymný režim
Zaujala vás téma? Pozrite si, aké funkcie ponúkajú banky vo svojich aplikáciách na platby mobilným telefónom:
- Tatra banka https://www.tatrabanka.sk/sk/personal/ucet-platby/mobilne-aplikacie/mobilepay/
- Prima banka https://www.primabanka.sk/penazenka
- Slovenská sporiteľňa (Google Pay) https://www.slsp.sk/sk/ludia/mobilne-aplikacie/google-pay
Ak viete po anglicky, tu nájdete podrobný popis, na čo všetko sa dnes využíva keylogger:
Viac o bezpečnosti wifi sietí: