Vojtěch Kment: Kdo se chytí na "rhybaření"

Kdo se chytí na "rhybaření"

Minulý týden byli klienti české spořitelny napadeni stylem, kterému se říká "phishing" nebo česky "rhybaření". Technicky se jedná o triviální záležitost: "rhybář" se neprolamuje do bankovních systémů, ale snaží se vylákat důležité informace tak, že se vydává za někoho důvěryhodného.

I expert se může utnout

Vylákat lze takhle nejenom hesla k bankovním účtům a platebním systémům, ale i čísla kreditních karet a nejrůznější důležité osobní údaje.
Rovněž spektrum lákadel a návnad, kterých "rhybáři" používají, je velmi široké. Od žádostí o určité úkony, které má klient provést v zájmu zvýšení své bezpečnosti, přes průzkumy spojené se zajímavou odměnou, pro jejíž obdržení je nakonec nutné prozradit přístupové údaje ke svému účtu, až po zajímavé modifikace, kdy se má volat na zvláštní linku a citlivá hesla nadiktovat telefonnímu automatu.
Podle poradenské firmy Gartner na reaguje na výzvu v obdržených "rhybařských" mailech každý pátý adresát a tři procenta jich pak požadované údaje opravdu prozradí. Tak úspěšné je "rhybaření" i proto, že rozeznat falešnou webovou stránku může být někdy složité i pro specialistu.

Zlaté pravidlo

Otázka proto zní, jak se takovým útokům bránit. V prvé řadě by mělo být zlatým pravidlem neklikat na podezřelé odkazy v podezřelých mailech a nevolat na čísla v podezřelých zprávách.
Na internetové stránky své banky je pak dobré přistupovat pouze přes ručně zapsanou dobře známou webovou adresu a volat přes telefonní číslo z vlastního papírového telefonního seznamu. Citlivá data by pak klienti měli uvádět pouze v rámci standardních a dobře známých bankovních operací a procedur.
Máslo na hlavě mají i ty bankovní ústavy, které svým klientům umožňují pouze slabou autorizaci například jen prostřednictvím jednoduchého hesla. Polehčující okolností pro ně je, že k tomu jsou nuceny trhem: podle průzkumu agentury NMS totiž považuje 84% českých uživatelů internetového bankovnictví tuto ochranu za dostatečnou. Tomu je třeba čelit osvětou.

A bude hůř...

Ze zákona by se "rhybařením" měl zabývat i Úřad pro ochranu osobních údajů. Jeho technologické i kapacitní možnosti jsou však bohužel velmi omezené a ani při nejlepší vůli nemůže na všechno stačit. Při ohrožení je proto nejlepší obracet se na svou banku.
Předpovědi pro budoucnost jsou spíše chmurné. Analytici předpokládají, že útoků tohoto typu bude přibývat a budou stále rafinovanější, důmyslnější a budou vypadat stále "věrohodněji" i po technické stránce.

Nová éra, stará zásada

Pro ochranu kont s významnějšími částkami nebo kontokorentními úvěry by proto klienti měli žádat lepší a účinnější zabezpečení: elektronický podpis na čipové kartě nebo další obdobné - dobře chráněné - elektronické bezpečnostní prostředky.
Zásada podle níž opatrnosti není nikdy nazbyt platí v éře elektronického bankovnictví víc než kdy dříve platívala.
Autor je konzultantem v oblasti elektronického podpisu