Jak je chráněno mobilní bankovnictví, které používáte? Přehled bezpečnostních prvků smartbankingu všech bank
| 16.12.2016 | Zdeněk Bubák | |
 Nabízíme vám podrobný přehled zabezpečení mobilního bankovnictví jednotlivých bank. Z informací bank, které nám byly na téma bezpečnosti v oblasti bankovních mobilních aplikací zaslány, se můžete dozvědět i takové skutečnosti, které jinak běžně na stránkách dané banky nenajdete. Jak se mobilní bankovnictví aktivuje, jak se do něho přihlásíte, jak se potvrzují platby?
Mobilní bankovnictví získává stále větší podíl na komunikaci klientů s bankou, na tom jak získávají informace o svých financích nebo jak hradí své závazky. Použití mobilního telefonu s aplikací, kterou připravila a dál rozvíjí banka, ve které máte účet, ve spojení s internetem, je mladším sourozencem klasického internetového bankovnictví používaného na PC nebo notebooku.
Nejdříve do mobílního bankovnictví banky zahrnuly jen základní funkce, jako je prohlížení zůstatku na účtu, historie transakcí, platby na jiný účet. Postupně se mobilní bankovnictví co do počtu funkcí k internetovému bankovnictví přiblížilo a umožňuje získat téměř všechny informace, které najdete v internetbankingu. Také zde provedete všechny obvyklé operace, jako na PC nebo notebooku. Novějšími vlastnostmi mobilního bankovnictví jsou přístupy k úvěrovým produktům, cestovnímu pojištění nebo ke kreditním kartám. Někdy dokonce některé funkčnosti umožňuje pouze mobilní aplikace, jako načtení faktur pomocí QR kódů, skenování složenek, hledání nejbližší pobočky apod. To jsou funkce, které umožňuje právě chytrý mobilní telefon s fotoaparátem sloužícím jako scanner nebo s GPS modulem zjišťujícím polohu uživatele.
Nedávno jsme zveřejnili článek, ve kterém jsme se věnovali počtu funkcí v jednotlivých mobilních aplikacích (více ze).
Jak u internetbankingu, tak u mobilního bankovnictví, je důležitá bezpečnost. Vykradači kont jsou stále vynalézavější a neváhají využít jakoukoliv skulinu pro to, aby se obohatili. Mobilní telefon ve spojení s internetem je pro ně lákavou příležitostí, jak se dostat k vašim přístupovým údajům k účtu a tím i k penězům, které na něm leží. Dokonce jsou ohroženi i majitelé kreditních karet, i když nečerpají v dané chvíli žádný úvěr. Ten si může načerpat právě e-zloděj. Proto jsme se v dnešním článku zaměřili právě na bezpečnost mobilních aplikací jednotlivých českých bank. Požádali jsme banky, aby nám popsali bepečnostní principy jejich mobilního bankovnictví.
O tom, jak své mobilní bankovnictví ochránila nově Komerční banka jsme psali zde: Komerční banka do mobilního bankovnictví doplnila aktivní ochranu proti nebezpečným útokům
Jak jsou na tom s bezpečností mobilní aplikace jednotlivých bank?
Air Bank
Každé nové zařízení, na kterém chce klient využívat aplikaci od Air Bank, musí nejdříve nastavit – propojit také ve svém internetovém bankovnictví, a to samozřejmě za použití přihlašovacího hesla a potvrzovacího kódu, který mu přijde na jeho mobilní telefon v podobě SMS. Klient tak má přehled o všech zařízeních, na kterých má aplikaci nastavenou, a může si i jednotlivé zařízení odebrat. Takto si může propojit až pět různých zařízení. Ve svém internetovém bankovnictví si klient může dále také zvolit, zda chce aplikaci používat i na aktivní operace, tedy zda chce přes aplikaci i platit, nebo ji využije jen třeba pro kontrolu zůstatku na účtu.
Do mobilní aplikace se klient přihlašuje pomocí vstupního hesla. „Toto heslo doporučujeme klientům zvolit ale jiné, než které mají do internetového bankovnictví,“ uvádí Vladimír Komjati, tiskový mluvčí Air Bank.
Dalším zabezpečovacím prvkem mobilní aplikace je také to, že se aplikace automaticky zablokuje po třetím neúspěšném pokusu o vložení nesprávného vstupního hesla. Kromě samotného vstupního hesla si klient může nastavit pro odesílání plateb přes mobilní telefon i další doplňkové zabezpečení. Pokud to udělá, každou platbu přes mobilní telefon potvrzuje ještě dalším podpisovým heslem.
„Naši mobilní aplikaci jsme se díky jejímu vysokému zabezpečení rozhodli využívat i pro další vylepšení v oblasti bezpečnosti. Přes mobilní aplikaci například nově klientům umožňujeme potvrzovat jednotlivé platby a další operace v internetovém bankovnictví nebo přihlášení do něj. Namísto přepisování kódů z SMS to nově mohou klienti udělat pouhým ťuknutím na displej telefonu. Je to rychlé a pohodlné. A navíc se jedná také o ochranu před nejnovějšími typy útoků na klienty bank, které se kromě přístupových údajů pokouší získat přístup i k potvrzovacím SMS. Stejnou technologii takzvaných push notifikací z mobilní aplikace umožňujeme našim klientům nově využívat i pro sledování pohybů a zůstatků na svých účtech. Díky těmto oznámením mají o svých penězích vždy skvělý přehled a na rozdíl od informačních SMS jsou tato oznámení pro klienty zdarma,“ doplňuje Komjati.
Čtěte zde:
S notifikacemi v mobilním bankovnictví, které zavedla Air Bank, počítá většina bank v příštím roce a KB už letos
Podle Komjatiho se banky obecně snaží mít své aplikace dobře zabezpečené a k přímým útokům na ně prakticky nedochází, případně nejsou úspěšné. Důležité proto podle něho je, aby se bezpečně choval i klient samotný. To znamená, aby nepoužíval jednoduše odvoditelná hesla, jako je třeba datum narození, heslo neprozrazoval jiné osobě a ani si ho nikam nezapisoval. Dále by lidé měli také využívat zámek v mobilním telefonu, do aplikace by se měli přihlašovat jen přes bezpečné internetové sítě a dané zařízení (mobil, tablet) by neměli půjčovat cizí osobě.
Na dotaz, zda Air Bank nepočítá v budoucnu při řešení bezpečnosti své mobilní aplikace i se systémem, který zvolila Komerční banka (více zde), Komjati sdělil: „Řešení, které nově používá Komerční banka pro ochranu své mobilní aplikace, známe. Naše mobilní aplikace má ale na rozdíl od aplikace této banky sofistikovanější proces párování jednotlivých zařízení. I proto jsme se rozhodli touto cestou nejít.“
Česká spořitelna
Podle České spořitelny je její aplikace pro bankování v mobilu S24 Mobilní banka stejně bezpečná jako její internetové bankovnictví.
S24 Mobilní banka používá tyto bezpečnostní prvky:
- šifrovanou komunikaci mezi bankou a smartphonem
- heslo pro mobilní banku, které je možné kdykoliv změnit
- aplikace se sama odhlásí při třesení prudkými pohyby, např. při běhu
- pokud se klient neodhlásí z aplikace sám, aplikace to udělá po chvilce automaticky za něj
- banka má nastavený maximální denní limit na 30 000 Kč (na rozdíl od internetového bankovnictví ho nelze měnit), což je částka, která podle zkušeností České spořitelny pohodlně vystačí pro běžné platby klientů
Dále je důležité bezpečné zacházení s telefonem jako takovým, tedy neinstalovat operační systém, který není dodaný výrobcem, neinstalovat aplikace z jiných zdrojů než z oficiálních obchodů pro iOS nebo Android, nenechávat smartphone bez dozoru či půjčovat třetím osobám. Pro klienty banka také připravila doporučení, která významně posilují její stávající prvky zabezpečení (více najdete zde).
Obecně to u S24 Mobilní banky funguje tak, že první přihlášení začíná v internetovém bankovnictví, kde si klient vytvoří přístupové heslo pro S24 Mobilní banku a na základě toho dostane aktivační kód. Pak pokračuje v mobilu, v aplikaci S24 Mobilní banka vytvoří profil a při prvním přihlášení zadává kromě hesla ještě aktivační kód z internetového bankovnictví.
Tak si spáruje mobilní zařízení se svým profilem a dál už se hlásí přístupovým heslem, které si zvolil. Z bezpečnostního hlediska to tedy v konečném důsledku znamená, že útočník nemůže na S24 Mobilní banku použít metody phishingu. Kdyby se mu povedlo získat heslo k S24 Mobilní bance, bude mu fungovat právě jenom na tom daném zařízení, takže by musel mít fyzicky telefon klienta a znát jeho heslo, což už je velice komplikované. Pokud by se klientovi stalo, že ztratil mobil nebo mu ho někdo ukradl, je důležité, aby bance co nejrychleji zavolal na bezplatnou linku 800 207 207, kde mu zablokují přístup do S24 Mobilní banky z daného přístroje, tedy na dálku zruší spárování zařízení, které provedl na začátku. I kdyby tedy útočník znal heslo, do aplikace se nedostane.
„Máme i další mobilní aplikace, např. Můj Stav pro pasivní náhled na produkty nebo dárcovskou aplikaci Melinda, kde je registrace je na uživatelské jméno a heslo a další přihlašování pak podle volby pomocí PINu, gesta nebo touch ID podle platformy či telefonu. Můj Stav je pouze pro pasivní zobrazení, takže ani neexistuje možnost poslat někam peníze. V Melindě jsou vidět účty neziskových organizací, zde také útočník nemá možnost pozměnit číslo účtu, na které jdou peníze, Navíc aplikace funguje na principu darování peněz formou zaokrouhlení při placení kartou, takže platba je iniciovaná klientem, který použije kartu u obchodníka, nikoliv aplikací samotnou,“ informuje Kristýna Havligerová, tisková mluvčí České spořitelny.
Čtěte zde:
Nová mobilní aplikace Můj stav od České spořitelny
ČSOB
„Smartbanking je maximálně zabezpečený - jak přihlášení, tak platby. Pro přihlášení klient používá stejné údaje, jako pro internetové bankovnictví. Veškerá komunikace je samozřejmě šifrována,“ sdělila Pavla Hávová, tisková mluvčí ČSOB.
Pro používání je potřeba mít přístup do elektronického bankovnictví se SMS autorizací nebo ČSOB Smart klíč a bezpečné připojení k internetu. Aplikace funguje i bez SIM karty v telefonu.
Aktivace služby Smartbanking probíhá pomocí tzv. dvoufaktorové autentizace. Zadáváte stejné údaje jako do internetového bankovnictví, tj. identifikačního číslo a PIN. Provedení každé platební operace je podmíněno autorizací klientovým osobním PIN kódem.
ČSOB Smart Klíč - aplikace pro mobilní zařízení - je alternativa k SMS kódům zasílaným na mobil a slouží k přihlašování do ČSOB InternetBankingu 24, potvrzování plateb či nastavení v internetbankingu. Platby se potvrzují pomocí PIN kódu a aplikace funguje i bez internetu.
Equa bank
Do mobilního bankovnictví Equa bank se přihlašujete pomocí přihlašovacího jména a hesla. Přihlašovací údaje jsou stejné jako do internetového bankovnictví. Pro přístup do aplikace musíte nejprve tuto funkci povolit v sekci „Nastavení“ v internetovém bankovnictví.
Expobank
Mobilní aplikaci Expobank CZ nyní nenabízí, v mobilních zařízeních je možné využít standardního internetového bankovnictví, do kterého se klient přihlašuje pomocí uživatelského jména a hesla. Následné potvrzování operací probíhá prostřednictvím bezpečnostních SMS kódů zaslaných na telefonní číslo klienta, nebo jednorázových kódů generovaných tokenem (tzv. kalkulačkou).
Podle Aleny Novákové, tiskové mluvčí Expobank CZ, banka v současné době pracuje na novém dvoufázovém ověření, kdy přihlášení probíhá prostřednictvím statického hesla a jednorázového kódu generovaného aplikací Google Authenticator. Po přihlášení bude samotný podpis probíhat pouze prostřednictvím kódů z aplikace Google Authenticator.
Fio banka
Přístup do mobilní aplikace Fio Smartbanking je chráněn unikátním uživatelským jménem a heslem, každou transakci pak klienti potvrzují pomocí PIN kódu. Alternativou u některých zařízení s operačním programem iOS je autorizace otiskem prstu. Obdobu systému, který používá Komerční banka (viz zde) banka nechystá.
ING Bank
„ING Bank vyvíjí maximální úsilí k optimálnímu zabezpečení údajů a veškerých transakcí svých klientů.Tato ochrana je pro ING Bank základní podmínkou dobrého obchodu, profesionality a klientské důvěry,“ říká Veronika Němcová z oddělení marketingu ING Bank.
ING Bank Mobilní bankovnictví umožňuje správu spořicího účtu ING Konto nebo ING Podílových fondů odkudkoliv pomocí zařízení iOS nebo Android. Mobilní bankovnictví ING Bank je zajištěno stejně jako klasické Internetové bankovnictví ING Bank.
Podle Němcové používá ING Bank k zabezpečení transakcí nejnovější mechanismy šifrování a prokazování identity: tzn. konkrétně zabezpečení přes klientské číslo a heslo, a k tomu navíc ochranu tím, že lze převádět peníze jen na předdefinované účty, které je možné změnit pouze pomocí dodatečné autorizace mobilním telefonem. „Veškerá data jsou v bezpečí, přenášejí se šifrovaně přes zabezpečené připojení s bezpečnostním certifikátem. Tato opatření odpovídají vysokému zabezpečení transakcí našich klientů a v současné době nechystáme v tomto ohledu nová bezpečnostní opatření,“ dodává Němcová.
J&T Banka
J&T Banka mobilní bankovnictví nenabízí.
Komerční banka
Kromě dříve používané ochrany klientů při používání aplikace Mobilní banka Komerční banka do své mobilní aplikace nedávno nově zařadila aktivní systém ochrany s názvem IBM Trusteer Mobile. Jde o nástroj zaměřený na ochranu proti specifickým hrozbám typu podvržených škodlivých stránek (phishing), škodlivých programů (malware) a na zamezení pokusů o zjištění hesel (keylogger), které cílí na uživatele internetového bankovnictví. IBM Trusteer Mobile je pro klienty Komerční banky bezplatný. V tuto chvíli je k dispozici verze pro operační systém Android 4.1 a vyšší. Varianta pro iOS by měla být k dispozici v prvním čtvrtletí příštího roku.
Obecně je nutné mobilní bankovnictví u Komerční banky nejdříve povolit v internetovém bankovnictví. Přistup do aplikace Mobilní banka je přes heslo. Uživatelské jméno je možné buď vyplňovat také, nebo nastavit, aby si jej aplikace pamatovala. Do aplikace se také přihlásíte pomocí otisku prstu. K potvrzování plateb slouží autorizační SMS.
Komerční banka apeluje na občany, aby se při práci s mobilním telefonem, tabletem nebo počítačem, ze kterých se přihlašují ke svému bankovnímu účtu, chovali maximálně obezřetně. Zejména doporučuje používat výhradně legální software, pravidelně aktualizovat operační systém i další programy (např. internetový prohlížeč, čtečku PDF dokumentů) a používat antivirové programy pro mobilní telefony a tablety. Na místě je zejména obezřetnost při otevírání e-mailů i SMS, které se tváří, že jsou odeslány z banky klienta či jiného, na první pohled, důvěryhodného zdroje.
mBank
U mBank pro bezpečnost mobilního bankovnictví využívají tyto prvky:
- Přihlášení a autorizace PIN kódem
- Alternativně možnost příhlášení se pomocí otisku prstu (Apple Touch ID)
- Možnost odpojení zařízení od mKonta přímo v internetovém bankovnictví
- Automatické odhlášení při nečinnosti
Zavedení podobného systému, jaký má Komerční banka (viz zde), není v mBank aktuálně v plánu.
„Bezpečnost bankovních aplikací je velmi důležité téma. Na jedné straně klient a banka očekávají vysokou míru zabezpečení, na druhé straně je však potřeba, aby to nebylo na úkor komfortu,“ říká Pavel Vlček, tiskový mluvčí mBank.
Dříve byly mobilni aplikace zabezpečené třeba tak, že se klient přihlašoval svým přihlašovacím jménem a heslem a autorizace operací probíhala pomocí kódu zaslaného v SMS. Podle Vlčka je takovýto způsob už dnes zastaralý a těžkopádný.
„Aktuální mobilni aplikace mBank, kterou jsme představili před 2 lety, má velmi silné zabezpečení, ale velice příjemné přihlašování a potvrzování operací pomocí 5 až 8 místného PIN kódu. Tento PIN zná pouze klient a přihlašování je tak ještě bezpečnější než prostřednictvím kódu v SMS zprávách a navíc mnohem pohodlnější a rychlejší. Klient tak ty nejobvyklejší operace provede během 30 až 60 sekund od vyndání telefonu z kapsy a aplikace je tak nejen bezpečná, ale také rychlá a pro uživatele velice příjemná. Klienti s novějšími iPhone mohou využít také superrychlé a bezpečné přihlášení prostřednictvím čtečky otisků prstů Touch ID,“ doplňuje Vlček.
Mobilni aplikace mBank nikde neuchovává ani PIN, ani otisk prstů, oboje se vždy ověřuje externě. Velice důležitou částí bezpečnostních opatření je také propojení mobilni aplikace s účtem v internetovém bankovnictví. V něm probíhá prvotní spárování a zároveň možnost odpojení konkrétního přístroje, chytrého telefonu nebo tabletu, od klientova účtu, například v případě, kdy mu někdo telefon ukradne nebo ztratí.
Doporučení mBank ohledně používání mobilního telefonu:
- Bankovni aplikace stahujte pouze z oficiálních zdroju (Google play, App Store, či Microsoft store).
- Aplikace by neměla vyžadovat víc oprávnění v telefonu než je opravdu potřeba. Důvody využívání konkretních opatření by zároveň měly být srozumitelně vysvětlené.
- Používejte anitivirový program i ve svém mobilním telefonu, dnešní chytré telefony jsou Počítače se vším všudy a spousta lidí na jejich zabezpečení zapomíná.
- V případě jakýchkoli pochybností kontaktujte call centrum banky, kde vám vyškolený personál pomůže.
MONETA Money Bank
K přihlášení do aplikace Smart Banka od MONETA Money Bank nově stačí jeden klik. Klienti si zvolí k přihlášení buďto svůj PIN, anebo otisk prstu (pouze na telefonech iPhone od verze iOS 9).
Zabezpečení Smart Banky:
- Přístup do Smart Banky se páruje z prostředí IB a je vázán na konkrétní autorizované zařízení.
- Přístup do aplikace je po zadání PIN, který může mít 4 až 8 čísel na klávesnici, která je přímo nativní v aplikaci a tak je nemožné odsledovat na dálku zadávání PINu. PIN se nikde neuchovává ani není uložen nikde v bankovních systémech, zná ho jen klient.
- PIN slouží pro odemknutí/odšifrování tzv. dlouhých symetrických podpisových „klíčů“, které jsou již bezpečně uložené v telefonu. K uložení těchto klíčů došlo při aktivaci služby Smart Banka, a to v kroku registrace mobilního zařízení.
- Přihlášení je možné rovněž přes otisk prsti pro zařízení Android a iOS
- Veškerá komunikace zařízení a bankovními servery je zabezpečená a šifrovaná
- Každou aktivní operaci je nutné potvrdit PIN, a autorizace je pak potvrzená šifrovacími klíči
- Finanční prostředky můžete převádět do výše Vámi nastaveného transakčního limitu
- Případné připojení na nezabzepečené veřejné WiFi, není možné odsledovat žádný obsah posílaný z/do aplikace Smart Banka
- Po 5ti neplatných pokusech zadání PINu se přístup do IB zablokuje
- V případě ztráty telefonu je možné SmartBanku odpárovat se zařízením jednoduše z Internet Banky nebo na jakékoliv pobočce
Aktivace:
- Sjednání služby Smart Banka v Internet Bance nebo na obchodním místě
- Registrace mobilního zařízení v Internet Bance
- Vytvoření vlastního PIN ve Smart Bance
- Fyzická osoba nepodnikatel a fyzická osoba podnikatel mohou sjednat Smart Banku v Internet Bance, právnické osoby si ji sjednají na obchodním místě.
- Takto aktivovat je možné do jedné aplikace více profilů, které zákazník má (eDisponentský, podnikatelský, soukromý)
Čtěte zde:
MONETA Money Bank přišla s inovovanou aplikací mobilního bankovnictví Smart Banka
Oberbank
Přihlášení do mobilního bankovnictví „Oberbank App“ probíhá zadáním dvou různých identifikačních znaků, tj. účastnického čísla a osobního identifikačního číslo (PINu). Veškeré příkazy k úhradě lze provádět výlučně prostřednictvím mobilního transakčního autorizačního kódu xTAN – uživatel po zadání bezpečnostního gesta obdrží na svůj mobilní telefon zprávu SMS s údaji o zadávaném příkazu a kódu xTAN, který je platný jen pro příslušnou transakci.
Raiffeisenbank
Podle tiskové mluvčí Raiffeisenbank Petry Kopecké je pro mobilní bankovnictví větší hrozbou chování samotných uživatelů, než množství způsobů, jak do něj mohou přistupovat. Mnohem zásadnější je, aby prováděli pravidelné aktualizace softwaru z ověřených zdrojů a nestahovali do svého mobilu nic neznámého či neověřeného. Platí to především pro uživatele systému Android, kteří bývají nejčastějšími oběťmi různých kyber útoků.
Raiffeisenbank má již od roku 2011 v mobilním bankovnictví detektor škodlivých kódů, který uživatele upozorní na škodlivé kódy a aplikace a zamezí tak případným újmám při používání mobilního bankovnictví.
Do mobilního bankovnictví Raiffeisenbank se přihlašujete pomocí tzv. S-Pinu, který si nastavíte při prvotním přihlášení. V Internetovém bankovnictví je nutné mobilní bankovnictví nejen povolit, ale je zde zaregistrováno i konkrétní mobilní zařízení, na kterém mobilní aplikaci používáte.
Sberbank
Smart banking od Sberbank funguje pouze na registrovaném telefonu. Bezpečnostní nastavení pro platby do 5000 Kč je uživatelské ID + heslo, nad 5000 Kč ještě PIN + token kód. Maximální denní limit je 20 000 Kč.
„Vzhledem k vývoji v oblasti informačních technologií a nových trendech v kybernetických útocích plánujeme v roce 2017 nasazení nové verze ochrany proti podvodným aktivitám pro zvýšení bezpečnosti našich klientů jak v klasickém internetovém bankovnictví tak i pro naše mobilní aplikace. Bližší informace zveřejníme, až to bude aktuální,“ informuje Hana Drápalová, tisková mluvčí Sberbank.
Zabezpečení aplikace Smart banking od Sberbank je řešeno na několika úrovních:
- Aplikace je funkční pouze po zaregistrovaní mobilního zařízení klienta.
- K přihlášení do aplikace je vyžadováno uživatelské ID a heslo.
- Pro pořízení plateb je použito bezpečnostní nastavení, a to nutnost autorizace uživatelským ID a heslem pro transakce do 5000 Kč a nad 5000 Kč ještě dodatečným zadáním kombinace PIN a token kódu. Maximální denní limit je nastaven na 20 000 Kč.
UniCredit Bank
Přístup a podpis plateb v aplikaci Smart Banking od UniCredit Bank je chráněn pomocí PIN. Aplikace se propojuje přímo s mobilním telefonem klienta, přičemž nejsou ukládány žádné citlivé informace. Maximální částka poslaná přes Smart Banking nesmí překročit 50 000 Kč. Při tří minutové nečinnosti se aplikace sama odhlásí.
Do mobilního bankovnictví UniCredit Bank se můžete přihlásit také pomocí otisku prstu (iOS i Android)
Součástí aplikace Smart Banking je i funkce Online Banking klíč. Aplikace generuje jednorázové kódy, které lze použít v následujících případech přihlášení a podepisování transakcí v Online Bankingu.
všechny články | |
Dále v rubrice
všechny články v rubrice
|