Banky zavádějí vyšší zabezpečení online plateb. Stačí to a jsou platby opravdu bezpečné?
 Banky se snaží zvyšovat bezpečnost plateb na internetu. Novým trendem je tzv. 3D Secure systém, kdy platbu musíte povrdit SMS kódem zaslaným bankou. S 3D Secure přišla např. ČSOB už v září roku 2011. Nově je začíná nabízet i UniCredit Bank.
Každá platební karta UniCredit Bank má od září k dispozici novou ochranu před zneužitím při nákupech v internetových obchodech. Platba v e-shopech bude navíc potvrzena autorizačním kódem, který držitel karty obdrží SMS zprávou. Klienti banky tak budou mít okamžitý přehled o všech platbách kartami a získají navíc ochranu při platbách na internetu.
„Objem online plateb neustále roste. Meziročně sledujeme nárůst o více než 20 %. Naši klienti očekávají, že platby přes internet budou stejně snadné, spolehlivé a zejména bezpečné, jako kdyby šli nakupovat do kamenného obchodu. Se zabezpečením online transakcí prostřednictvím 3D Secure, které je podporováno ve většině internetových obchodů v České republice, by se placení po internetu mohlo stát běžnou záležitostí u všech generací, vysvětlil Darek Filip, ředitel Household Financing, UniCredit Bank.
Bezpečnost zvyšuje autorizační kód zaslaný v SMS
Využívání služby je snadné. Zatímco dosud klienti při platbách na internetu zadávali číslo karty, její platnost a tzv. CVV kód (tři číslice za podpisovým proužkem na zadní straně karty), nyní připojí ještě autorizační kód, který jim banka zdarma zašle přímo na jejich mobilní telefon prostřednictvím SMS zprávy.
K zajištění ochrany prostřednictvím 3D Secure není nutné platební kartu měnit, stačí zaregistrovat číslo svého mobilního telefonu na kterékoliv pobočce UniCredit Bank nebo prostřednictvím klientské linky.
Banka své klienty o nové službě již informovala prostřednictvím výpisů z účtu, webových a facebookových stránek, bankomatů, internetového bankovnictví nebo při osobních jednáních.
Možnost placení systémem 3D Secure poznáte podle loga v e-shopu
Možnost placení kartou není zavedením zabezpečení 3D Secure nijak omezena. Všichni důvěryhodní obchodníci platby přes 3D Secure akceptují, je to i v jejich vlastním zájmu, v České republice to platí o naprosté většině internetových obchodů. Poznáte je snadno; jejich e-shopy, ale i kamenné obchody jsou označeny logem „Verified by Visa“ nebo „MasterCard SecureCode“.
 Pokud některý obchod toto standardní zabezpečení nepodporuje, platba kartou bude provedena bez potvrzení autorizačním kódem.
V loňském roce klienti UniCredit Bank provedli téměř 8 milionů platebních transakcí, z toho 10 % tvořily platby v zahraničních obchodech.
Nevytváří 3D Secure jen falešnou iluzi bezpečí?
Jak jsou online platby prováděné přes 3D Secure bezpečné jsme se zeptali odborníka ze serveru cleverandsmart.cz.
V případě platby přes internet stačí znát jen několik málo údajů na kartě vytištěných, které útočník může snadno odchytit nebo zkopírovat. Je zřejmé, že tento způsob autorizace transakce není vůbec bezpečný.
To při platbě kartou u obchodníka nebo výběru z bankomatu dochází k bezpečné dvoufaktorové autentizaci, neboť klient musí vložit kartu do čtečky a zadat PIN.
Z výše uvedeného důvodu se objevilo řešení nazvané 3D Secure, které pro úspěšné dokončení transakce požaduje ještě zadání hesla. To může být statické nebo dynamické, nejčastěji ve formě SMS zaslané na mobilní telefon, jehož číslo klient zadal při aktivaci tohoto dodatečného zabezpečení.
Řešení 3D Secure poskytuje obchodníkovi určitou záruku, že platba kartou v jeho e-shopu je prováděna jejím oprávněným držitelem a nikoliv útočníkem, kterému se podařilo jakýmkoliv způsobem získat číslo karty, datum platnosti a CVV kód. Je zřejmé, že tento systém chrání především obchodníka, aby nepřijal platbu od útočníka, méně však už klienta.
S tímto řešením poprvé přišla společnost Visa a poskytuje ho pod názvem Verified by Visa a později ho zavedl i MasterCard pod názvem MasterCard SecureCode.
Jak přesně zabezpečení pomocí 3D Secure funguje?
V okamžiku placení kartou se nejprve ověří, zda obchodník tuto metodu podporuje a pokud ano, tak je zákazník e-shopu přesměrován na platební bránu banky, se kterou má obchodník smlouvu. Zde zákazník zadá číslo karty, datum platnosti a CVV kód.
Poté proběhne kontrola, zda má autorizaci transakce pomocí 3D Secure aktivovanou i držitel karty. A pokud ano, tak banka pro danou transakci vygeneruje jednorázové heslo, které klientovi zašle na jeho mobilní telefon. Toto heslo pak klient zadá do formuláře na platební bráně, která ho odešle zpět do banky ke kontrole.
Vzhledem k tomu, že zákazník přistupuje na platební bránu banky, která je opatřena certifikátem od důvěryhodné certifikační autority přes SSL, tak není možné odchytit údaje přenášené tímto kanálem. A zároveň těchto údajů nemůže zneužít ani obchodník, protože citlivé údaje jsou zadávány na platební bráně, která není pod jeho správou.
Na první pohled se zdá, že pokud obchodník i klient využívají systém 3D Secure, tak je možné kartou na internetu platit bezpečně a není třeba se obávat, že by mohlo dojít k nějakému zneužití zadaných údajů někým jiným k provedení nákupu.
Pravda, z e-shopu údaje o kartě uniknout nemohou, protože ty se zadávají na platební bráně a komunikace mezi klientem a serverem je šifrována. A i kdyby k úniku těchto informací přesto došlo, ať už kompromitací serveru obchodníka, zneužitím nové zranitelnosti v SSL, která by umožnila odposlech nebo prostřednictvím škodlivého kódu na straně klienta, tak je zde přeci ještě jednorázový kód.
Ano, jednorázový kód lze skutečně použít jen jednou, jenže problém spočívá v tom, že ne každý obchodník využívá platební bránu 3D Secure, a právě u toho může útočník zcizených karetních údajů zneužít k nákupu.
Ke skutečné bezpečnosti chybí povinné použití všemi obchodníky
Aby bylo možné systém 3D Secure považovat skutečně za bezpečný, tak by ho museli používat povinně všichni obchodníci a bez něj by nebylo možné transakci vůbec realizovat. Nebo by držitel karty musel mít alespoň možnost si zvolit, že chce kartou platit pouze na webu s podporou 3D Secure.
Své příspěvky pište do diskuse k článku - zde
všechny články | |
Dále v rubrice
všechny články v rubrice
|