ElektronickElektronické bankovníctvo é bankovníctvo a a

s ním súvisiace podvodys ním súvisiace podvody

JJán Miško án Miško 2ELKOM2ELKOMAk. rok 2006/2007Ak. rok 2006/2007miskoj@seznam.czmiskoj@seznam.cz

ObsahObsah

Výhody a nevýhody elektronického bankovníctva Výhody a nevýhody elektronického bankovníctva z pohľadu klienta a z pohľadu bankyz pohľadu klienta a z pohľadu banky

Priblíženie jednotlivých foriem elektronického Priblíženie jednotlivých foriem elektronického bankovníctvabankovníctva

Bezpečnosť elektronického bankovníctvaBezpečnosť elektronického bankovníctva Princíp fungovania elektronického bankovníctvaPrincíp fungovania elektronického bankovníctva PhishingPhishing PharmingPharming

VVýhody elektronického bankovníctva z ýhody elektronického bankovníctva z pohľadu klientapohľadu klienta

- Umožňuje pracovať s bankovými účtami v pohodlí svojho domova- Umožňuje pracovať s bankovými účtami v pohodlí svojho domova alebo kancelárie, či iného ľubovošného miesta kdekoľvek na svetealebo kancelárie, či iného ľubovošného miesta kdekoľvek na svete

- J- Je možné ho využívať kedykoľvek, aj v čase keď je banka e možné ho využívať kedykoľvek, aj v čase keď je banka zatvorenázatvorená

je prístupné 24 hodín denne, 7 dní v týždnije prístupné 24 hodín denne, 7 dní v týždni

- Prináša úsporu - Prináša úsporu času a finančných prostriedkov, pretože klient času a finančných prostriedkov, pretože klient nemusínemusí

chodiť dochodiť do banky banky osobne osobne, vďaka čomu šetrí čas aj peniaze, vďaka čomu šetrí čas aj peniaze

- Pomocou e-bankingu sa dajú zadovážiť aj informácie všeobecného- Pomocou e-bankingu sa dajú zadovážiť aj informácie všeobecného charakterucharakteru

- Poplatky za elektronické služby sú nižšie ako za klasické služby. - Poplatky za elektronické služby sú nižšie ako za klasické služby.

Výhody elektronického bankovníctva z Výhody elektronického bankovníctva z pohľadu bankypohľadu banky

Elektronické bankovníctvo prináša úsporu Elektronické bankovníctvo prináša úsporu nákladov, banka nemusí zamestnávať dobre nákladov, banka nemusí zamestnávať dobre platených zamestnancov. platených zamestnancov.

Eliminujú sa zbytočné chyby pri prepisovaní Eliminujú sa zbytočné chyby pri prepisovaní tlačív, čím sa ušetria až dve tretiny času tlačív, čím sa ušetria až dve tretiny času potrebného na klasickú bankovú operáciu. potrebného na klasickú bankovú operáciu.

Široká dostupnosť internetu eliminuje niektoré Široká dostupnosť internetu eliminuje niektoré slabé stránky bánk, napr. malý počet pobočiek.slabé stránky bánk, napr. malý počet pobočiek.

Najčastejšie formy Najčastejšie formy elektronického bankovníctvaelektronického bankovníctva

Internet bankingInternet banking Phone bankingPhone banking Home bankingHome banking GSM alebo mobil bankingGSM alebo mobil banking Mail bankingMail banking

Home bankingHome bankingHome banking je forma elektronického bankovníctva, ktorá sa Home banking je forma elektronického bankovníctva, ktorá sa začala na Slovensku využívať ako prvá. Home banking je určený začala na Slovensku využívať ako prvá. Home banking je určený pre klientom, ktorí potrebujú urobiť za deň vačšie množsto pre klientom, ktorí potrebujú urobiť za deň vačšie množsto bankových operácii. Využívajú ho hlavne veľké firmy. bankových operácii. Využívajú ho hlavne veľké firmy. Home banking si vyžaduje inštaláciu špeciálneho softwaru na Home banking si vyžaduje inštaláciu špeciálneho softwaru na počítači klienta, prípadne je potrebné aj špeciálne elektronícké počítači klienta, prípadne je potrebné aj špeciálne elektronícké zariadenie na autorizáciu klienta. zariadenie na autorizáciu klienta.

získanie aktuálnych informácií o stave na účtoch, získanie aktuálnych informácií o stave na účtoch, získanie informácií o obratoch realizovaných na účtochzískanie informácií o obratoch realizovaných na účtoch prípravu a odoslanie jednoduchých i hromadných platobných prípravu a odoslanie jednoduchých i hromadných platobných príkazovpríkazov (úhrady, inkasá) v tuzemskom platobnom styku i v cudzej (úhrady, inkasá) v tuzemskom platobnom styku i v cudzej menemene časové plánovanie realizácie platobných príkazov - možnosť časové plánovanie realizácie platobných príkazov - možnosť zaslať do zaslať do banky platobné príkazy s budúcim dátumom splatnosti, banky platobné príkazy s budúcim dátumom splatnosti, export všetkých dostupných údajov zo systému home export všetkých dostupných údajov zo systému home bankingu do bankingu do zvoleného súboru v požadovanom formáte, zvoleného súboru v požadovanom formáte, automatický import platobných príkazov z klientského automatický import platobných príkazov z klientského informačného informačného systému do home bankingu ,systému do home bankingu ,

Internet bankingInternet bankingInternet banking sprístupňuje bankové služby Internet banking sprístupňuje bankové služby prostredníctvom internetu drobným klientom prostredníctvom internetu drobným klientom banky. Umožňuje využívať rovnaké služby ako banky. Umožňuje využívať rovnaké služby ako priamo v pobočke banky bez nutnosti viazať priamo v pobočke banky bez nutnosti viazať sa na konkrétne miesto.sa na konkrétne miesto.

Internet banking umožňuje predovšetkýmInternet banking umožňuje predovšetkým:: zisťovať zostatkyzisťovať zostatky na účte,na účte, históriu bankových operácii,históriu bankových operácii, zadávať príkazy na úhradu, inkaso, zadávať príkazy na úhradu, inkaso, zakladať termínované alebo sporiace účty,zakladať termínované alebo sporiace účty, investovať do podielových fondov a pod.investovať do podielových fondov a pod.

Phone bankingPhone banking

Phone banking je najdostupnejšou formou elektronického Phone banking je najdostupnejšou formou elektronického bankovníctva. Može ho využívať každý, kto má telefón. Na bankovníctva. Može ho využívať každý, kto má telefón. Na spojenie klienta s bankou sa používa klasická telefónna linka, spojenie klienta s bankou sa používa klasická telefónna linka, podmienkou je použitie telefonického prístroja s tónovou voľbou. podmienkou je použitie telefonického prístroja s tónovou voľbou. Po spojení s bankou komunikuje s klientom hlasový informačný Po spojení s bankou komunikuje s klientom hlasový informačný systém banky, ktorý ho navádza ako sa pohybovať v menu. systém banky, ktorý ho navádza ako sa pohybovať v menu.

Použitím číslic telefónu klient vyberá z ponúkPoužitím číslic telefónu klient vyberá z ponúk. . Klient má dve Klient má dve možnosti prihlasovania: možnosti prihlasovania: prostredníctvom užívateľského mena a hesla - vtedy sú mu prostredníctvom užívateľského mena a hesla - vtedy sú mu dostupné dostupné

len pasívne informácie o príslušnom účte, len pasívne informácie o príslušnom účte, prostredníctvom užívateľského mena a elektronického prostredníctvom užívateľského mena a elektronického osobného kľúča, osobného kľúča,

ktorý generuje originálne jednorázovéktorý generuje originálne jednorázové prístupové kódy, vtedy prístupové kódy, vtedy môžemôže

uskutočňovať aj aktívne operácieuskutočňovať aj aktívne operácie

Mobil bankingMobil banking

Mobil banking je služba založená na princípe prijímania krátkych Mobil banking je služba založená na princípe prijímania krátkych textových správ na mobilný telefón klienta. Služba je určená pre textových správ na mobilný telefón klienta. Služba je určená pre tých, ktorí potrebujú priebežne sledovať zmeny na svojom účte.tých, ktorí potrebujú priebežne sledovať zmeny na svojom účte.

Može mať dve formy:Može mať dve formy: pasívnu pasívnu aktívnuaktívnu

Pri pasívnej forme mobil bankingu banka informuje klienta vo Pri pasívnej forme mobil bankingu banka informuje klienta vo vopred dohodnutých situáciach napr. pri príjem finančných vopred dohodnutých situáciach napr. pri príjem finančných prostriedkov na účet alebo pri prekročení dolnej alebo hornej prostriedkov na účet alebo pri prekročení dolnej alebo hornej hranice finančných prostriedkov na účtehranice finančných prostriedkov na účte

Aktívna verzia mobil bankingu umožňuje klientovi uskutočňovať aj Aktívna verzia mobil bankingu umožňuje klientovi uskutočňovať aj aktívne operácie napr. zadávať príkazy na úhradu.aktívne operácie napr. zadávať príkazy na úhradu.

E-mail bankingE-mail banking

E-mail banking je založený na komunikácii klienta s E-mail banking je založený na komunikácii klienta s bankou prostredníctvom e-mailu. bankou prostredníctvom e-mailu.

E-mail banking slúži hlavne na informovanie klienta o E-mail banking slúži hlavne na informovanie klienta o pohyboch na jeho bankových účtoch a prijatých či pohyboch na jeho bankových účtoch a prijatých či odoslaných platbách. odoslaných platbách.

Bezpečnosť elektronického Bezpečnosť elektronického bankovníctva 1bankovníctva 1

Hlavný rozdiel medzi elektronickým bankovníctvom Hlavný rozdiel medzi elektronickým bankovníctvom určeným pre obyvateľstvo a elektronickým určeným pre obyvateľstvo a elektronickým bankovníctvom určeným pre veľké podniky spočíva bankovníctvom určeným pre veľké podniky spočíva v bezpečnosti, resp. v miere zodpovednosti subjektov v bezpečnosti, resp. v miere zodpovednosti subjektov elektronického bankovníctva za prípadné zlyhania či elektronického bankovníctva za prípadné zlyhania či zneužitia. zneužitia. Elektronické bankovníctvo určené pre veľké firmy využíva Elektronické bankovníctvo určené pre veľké firmy využíva aplikácie, ktoré zaisťujú vyššiu úroveň bezpečnosti v aplikácie, ktoré zaisťujú vyššiu úroveň bezpečnosti v porovnaní s elektronickým bankovníctvom určeným pre porovnaní s elektronickým bankovníctvom určeným pre obyvateľstvo. Tieto špeciálne aplikácie zaisťujú vysokú obyvateľstvo. Tieto špeciálne aplikácie zaisťujú vysokú mieru bezpečnosti na oboch stranách – na strane banky mieru bezpečnosti na oboch stranách – na strane banky aj na strane klienta. aj na strane klienta.

Bezpečnosť elektronického Bezpečnosť elektronického bankovníctva 2bankovníctva 2

Služby elektronického bankovníctva určené pre Služby elektronického bankovníctva určené pre obyvateľstvo pracujú v oveľa jednoduchšom prostredí. obyvateľstvo pracujú v oveľa jednoduchšom prostredí. Toto jednoduchšie prostredie síce so sebou nesie výhodu Toto jednoduchšie prostredie síce so sebou nesie výhodu ľahšej obsluhy, no prináša aj jednu veľkú nevýhodu, a tou ľahšej obsluhy, no prináša aj jednu veľkú nevýhodu, a tou je nižšia úroveň bezpečnosti.je nižšia úroveň bezpečnosti.

Pri týchto službách elektronického bankovníctva je vyššia Pri týchto službách elektronického bankovníctva je vyššia miera zodpovednosti za prípadné zlyhania prenesená na miera zodpovednosti za prípadné zlyhania prenesená na užívateľa týchto služieb. Ten je zodpovedný za dostatočné užívateľa týchto služieb. Ten je zodpovedný za dostatočné zabezpečenie počítača, ochranu vstupných dát a pod.. zabezpečenie počítača, ochranu vstupných dát a pod..

Princíp fungovania Princíp fungovania elektronického elektronického bankovníctvabankovníctva

Najdôležitejším hardwarovým predpokladom fungovania Najdôležitejším hardwarovým predpokladom fungovania elektronického bankovníctva je hlavný server, zvaný aj dátové elektronického bankovníctva je hlavný server, zvaný aj dátové centrum. Do dátového centra prichádzajú požiadavky klientov, centrum. Do dátového centra prichádzajú požiadavky klientov, tu sú zaznamenávané, overované, povoľované, zamietané, resp. tu sú zaznamenávané, overované, povoľované, zamietané, resp. vykonávané. V dátovom centre sú uložené autentizačné údaje vykonávané. V dátovom centre sú uložené autentizačné údaje a zaznamenávajú sa tu aj pohyby na účtoch. Informácie medzi a zaznamenávajú sa tu aj pohyby na účtoch. Informácie medzi bankou a klientom putujú v šifrovanej podobe.bankou a klientom putujú v šifrovanej podobe.

Najzraniteľnejšou časťou el. bankovníctva je klientsky počítač. Najzraniteľnejšou časťou el. bankovníctva je klientsky počítač. Aplikácie, ktoré umožňujú využívanie služieb el. bankovníctva sú Aplikácie, ktoré umožňujú využívanie služieb el. bankovníctva sú určené pre široké „masy“, ich ovládanie je preto jednoduché, určené pre široké „masy“, ich ovládanie je preto jednoduché, aby ho zvládli aj ľudia s minimálnymi počítačovými zručnosťami. aby ho zvládli aj ľudia s minimálnymi počítačovými zručnosťami. Táto jednoduchosť výrazne ovplyvňuje aj jeho bezpečnosť.Táto jednoduchosť výrazne ovplyvňuje aj jeho bezpečnosť. Významnú úlohu zohráva aj ľudský faktor.Významnú úlohu zohráva aj ľudský faktor.

Autorizácia

Kvalitná autorizácia je základom bezpečnosti Kvalitná autorizácia je základom bezpečnosti elektronického bankovníctva.elektronického bankovníctva.Autorizácia je preukázanie toho, že sa jedná Autorizácia je preukázanie toho, že sa jedná o subjekt oprávnený komunikovať. V praxi sa o subjekt oprávnený komunikovať. V praxi sa používa iba jednostranná autorizácia, tj. používa iba jednostranná autorizácia, tj. autorizácia zo strany klienta. autorizácia zo strany klienta. Túto nedokonalosť systému, tj. absenciu Túto nedokonalosť systému, tj. absenciu autorizácie zo strany banky využívajú autorizácie zo strany banky využívajú najčastejšie formy podvodov v oblasti najčastejšie formy podvodov v oblasti elektronického bankovníctva, phishing elektronického bankovníctva, phishing a pharming.a pharming.

PhishingPhishing

Phishing je jednoducho povedané podvod. Podstatou Phishing je jednoducho povedané podvod. Podstatou phishingu je pod rôznymi zámienkami vymámiť od phishingu je pod rôznymi zámienkami vymámiť od užívateľa internet bankingu dôležité, citlivé údaje. užívateľa internet bankingu dôležité, citlivé údaje. Zvyčajne sú predmetom záujmu phisherov prihlasovacie Zvyčajne sú predmetom záujmu phisherov prihlasovacie mená a heslá k internet bankingu. mená a heslá k internet bankingu.

Najčastejším komunikačným prostriedkom phisherov je Najčastejším komunikačným prostriedkom phisherov je e-mail. Phisheri vystupujú v týchto e-mailoch v mene e-mail. Phisheri vystupujú v týchto e-mailoch v mene banky pričom v snahe oklamať osloveného využívajú banky pričom v snahe oklamať osloveného využívajú kvalitné grafické spracovanie tiež vedia dokonale kvalitné grafické spracovanie tiež vedia dokonale napodobniť celé webstránky bánk. Oslovenému sa napodobniť celé webstránky bánk. Oslovenému sa vyhrážajú zrušením bankového účtu, ak neposkytne im vyhrážajú zrušením bankového účtu, ak neposkytne im neposkytne potrebné údaje, alebo svoj záujem neposkytne potrebné údaje, alebo svoj záujem zdôvodňujú poruchou systému, či neprijatím zdôvodňujú poruchou systému, či neprijatím prichádzajúcej platby zo zahraničia na náklady prichádzajúcej platby zo zahraničia na náklady prijímateľa. prijímateľa.

Phishing 2Phishing 2

Phisheri žiadajú oslovených aby:Phisheri žiadajú oslovených aby:

potrebné informácie zaslali e-mailom napotrebné informácie zaslali e-mailom na určenú e-mailovú adresuurčenú e-mailovú adresu

vyplnili formulár, ktorý je súčasťou e-mailuvyplnili formulár, ktorý je súčasťou e-mailu

klikli na linku obsiahnutú v e-maili, a následne vyplniliklikli na linku obsiahnutú v e-maili, a následne vyplnili dotazníkdotazník

Osobný phishing

Osobný phishing je jedným z druhov Osobný phishing je jedným z druhov phishingu phishingu Zvláštnosťou osobného phishingu je, že Zvláštnosťou osobného phishingu je, že mail ktorý oslovená osoba dostane je mail ktorý oslovená osoba dostane je písaný špeciálne pre ňu. písaný špeciálne pre ňu. Takýto mail obsahuje niektoré osobné Takýto mail obsahuje niektoré osobné údaje okrem mena a priezviska to môže byť údaje okrem mena a priezviska to môže byť číslo účtu prihlasovacie meno rodné číslo a číslo účtu prihlasovacie meno rodné číslo a pod..pod..Tieto údaje phisheri získavajú pri útokoch Tieto údaje phisheri získavajú pri útokoch na tzv. mäkké ciele. na tzv. mäkké ciele.

Ako spoznať phishing

Všetky phishingové maily žiadajú od osloveného citlivé údaje Všetky phishingové maily žiadajú od osloveného citlivé údaje typu prihlasovacích mien do rôznych internetových aplikácii, typu prihlasovacích mien do rôznych internetových aplikácii, hesiel, prípadne číslo vášho bankového účtu. hesiel, prípadne číslo vášho bankového účtu.

Phishingové správy obsahujú buď vložený odpovedný formulár, Phishingové správy obsahujú buď vložený odpovedný formulár, alebo obsahujú linku, na ktorú je potrebné kliknúť. Po prejdení alebo obsahujú linku, na ktorú je potrebné kliknúť. Po prejdení na požadovanú stránku sa zvyčajne objaví okno do ktorého na požadovanú stránku sa zvyčajne objaví okno do ktorého treba vyplniť požadované údaje. treba vyplniť požadované údaje.

V phishingových e-mailoch zvyčajne chýba adresa odosielateľa. V phishingových e-mailoch zvyčajne chýba adresa odosielateľa. V prípade, že adresa odosielateľa je v e-maile uvedená je, nie je V prípade, že adresa odosielateľa je v e-maile uvedená je, nie je pravápravá

Phishingové správy obsahujú zvyčajne vetu typu: na túto Phishingové správy obsahujú zvyčajne vetu typu: na túto správu nereagujte, bola generovaná automatickým systémom. správu nereagujte, bola generovaná automatickým systémom.

PharmingPharming

Pharming vychádza z phishingu a jeho cieľ je ten istý ako cieľ Pharming vychádza z phishingu a jeho cieľ je ten istý ako cieľ phishingu. phishingu. Pharming využíva technológiu DNS cache poisoning (otrávenie Pharming využíva technológiu DNS cache poisoning (otrávenie uložených cache záznamov). Podstatou tejto metódy je, že uložených cache záznamov). Podstatou tejto metódy je, že pharmingový program zmení záznam IP adresy, ktorý je uložený pharmingový program zmení záznam IP adresy, ktorý je uložený na lokálnom disku. Tieto záznamy sú uložené v adresári na lokálnom disku. Tieto záznamy sú uložené v adresári s názvom hosts. V adresári hosts sa nachádza súbor, ktorý s názvom hosts. V adresári hosts sa nachádza súbor, ktorý obsahuje dva stĺpce, v ľavom stĺpci sú IP adresy a v pravom obsahuje dva stĺpce, v ľavom stĺpci sú IP adresy a v pravom stĺpci sú k nim prislúchajúce domény. Pharmingový útok vyzerá stĺpci sú k nim prislúchajúce domény. Pharmingový útok vyzerá tak, že útočník sa prostredníctvom pharmingového vírusu alebo tak, že útočník sa prostredníctvom pharmingového vírusu alebo pozmenených súborov voľne stiahnuteľných z internetu, pokúsi pozmenených súborov voľne stiahnuteľných z internetu, pokúsi napadnúť klientsky počítač. Vírus upraví IP adresu v súbori napadnúť klientsky počítač. Vírus upraví IP adresu v súbori hosts a zároveň informuje útočníka o tom, či sa mu to podarilo. hosts a zároveň informuje útočníka o tom, či sa mu to podarilo. Keď potom používateľ internet bankingu zadá adresu stránky Keď potom používateľ internet bankingu zadá adresu stránky banky, je automaticky presmerovaný na podstrčenú stránky, čo banky, je automaticky presmerovaný na podstrčenú stránky, čo si vôbec nemusí všimnúť. si vôbec nemusí všimnúť.

Pharming 2Pharming má dve formy:Pharming má dve formy: pharmingový útok na klientský počítačpharmingový útok na klientský počítač pharmingový útok na DNS serverypharmingový útok na DNS servery

V prípade pharmingového útoku na DNS servery sa pri V prípade pharmingového útoku na DNS servery sa pri všetkých požiadavkách o zobrazenie požadovanej stránky všetkých požiadavkách o zobrazenie požadovanej stránky zobrazuje stránkazobrazuje stránka falošná. falošná.

Cieľom pharmingu nie je len phishing, ale aj konkurenčný Cieľom pharmingu nie je len phishing, ale aj konkurenčný boj. boj.

Rady pre bezpečné používanie elektronického bankovníctva

nepripájať sa k elektronickému bankovníctvu z verejne nepripájať sa k elektronickému bankovníctvu z verejne dostupných počítačov: z internetových kaviarní, zo školy, dostupných počítačov: z internetových kaviarní, zo školy, z knižnice a pod. z knižnice a pod.

nespoliehať sa na bezpečnosť počítačových aplikácii, nespoliehať sa na bezpečnosť počítačových aplikácii, počnúc operačným systémom, kancelárskymi balíkmi počnúc operačným systémom, kancelárskymi balíkmi a internetovými prehliadačmia internetovými prehliadačmi

počítať s možnosťou, že sa človek stane obeťou útoku, tj. počítať s možnosťou, že sa človek stane obeťou útoku, tj. pravidelne kontrolovať stav bankového účtu, overiť si pravidelne kontrolovať stav bankového účtu, overiť si všetky podozrivé operácie, nastaviť si rozumný denný limit všetky podozrivé operácie, nastaviť si rozumný denný limit na prevody z bankového účtuna prevody z bankového účtu

nereagovať na žiadne výzvy o zaslanie osobných údajov nereagovať na žiadne výzvy o zaslanie osobných údajov prostredníctvom e-mailuprostredníctvom e-mailu

vždy si dôkladne overiť s kým vlastne cez internet vždy si dôkladne overiť s kým vlastne cez internet komunikujeme komunikujeme

používať kvalitné heslopoužívať kvalitné heslo

OtázkyOtázky

Ktorá z foriem elektronického bankovníctva sa na Slovensku Ktorá z foriem elektronického bankovníctva sa na Slovensku začala vyzačala vyuužívať ako prvá?žívať ako prvá?

a)a) internet bankinginternet banking

b)b) phone bankingphone banking

c)c) home bankinghome banking

Najzraniteľnejšou prvkom elektronického bankovníctva jeNajzraniteľnejšou prvkom elektronického bankovníctva je??

a)a) ddátové centrum v bankeátové centrum v banke

b)b) klientskklientský počítačý počítač

c)c) šifrovanie dátšifrovanie dát

Podstatou pharmingu je?Podstatou pharmingu je?

a)a) „„nabúranie“ dátového centra v bankenabúranie“ dátového centra v banke

b)b) zmena IP adries prislúchajúcich jednotlivým webstránkamzmena IP adries prislúchajúcich jednotlivým webstránkam

c)c) vyžiadanie osobných údajov od používatľov internet vyžiadanie osobných údajov od používatľov internet bankingubankingu