Nasveti za varno spletno bančništvo
Kaj lahko naredimo, da bo uporaba spletne banke varna? Je to sploh možno zagotoviti?
100 % nepredušne varnosti na spletu, podobno kot pri vseh ostalih področjih v življenju, enostavno ni. Res pa je, da lahko sami uporabniki s previdnim in preudarnim spletnim obnašanjem največ storimo za lastno varnost. Zavedati se moramo, da ni enega samega magičnega programa, ki bi nas v celoti zaščitil pred nevarnostmi in zagotovil varno elektronsko bančništvo. Upoštevati moramo več korakov oz. postopkov.
Da lahko opišemo tipična tveganja pri uporabi splete banke, je potrebno ločiti 2 najpogostejši obliki elektronskega bančništva, ki ju ponujajo slovenske banke. Obema je skupno, da za avtentikacijo oz. preverjanje uporabnika uporabljajo pristop, t.i. 2-faktorske avtentikacije: »nekaj, kar veš in nekaj, kar imaš«. Pri eni obliki je nekaj, kar veš, vaše geslo, nekaj, kar imaš pa digitalni certifikat. Za uspešen dostop do vašega e-računa bi goljuf potreboval tako vaše geslo kot tudi digitalni certifikat. In najpogosteje ju pridobi prek okužbe z zlonamerno kodo. Gre za specializirane programe (trojance), ki beležijo pritiske tipk (t.i. keylogger), nato pa napadalcu pošljejo shranjena in prestrežena gesla z računalnika. Trojanec napadalcu pošlje tudi digitalni certifikat, če je le-ta shranjen na računalniku. Žal ima še vedno večina uporabnikov digitalni certifikat shranjen na disku računalnika.
Zato je nujno, da digitalni certifikat hranimo na pametni kartici ali pametnem USB ključu. Gre za posebno napravo, ki je namenjena zgolj shranjevanju digitalnih certifikatov. Ko na tako napravo shranimo digitalni certifikat, ga iz nje ni mogoče več prenesti (kopirati).
Poleg tega je izredno pomembno, da ko končamo z uporabo spletnega bančništva, kartico ali USB ključ iztaknemo iz računalnika. Prav tako računalnik, na katerem uporabljamo elektronsko banko, ugasnemo, ko ga ne uporabljamo (računovodje izven delovnega časa, v času dopusta…).
Pri drugi obliki elektronskega bančništva je nekaj, kar veš, ponovno geslo, nekaj, kar imaš pa generator gesel (majhen kalkulator), ki ob vstopu v e-banko vedno znova ustvari naključno enkratno geslo, zato je možnost zlorabe manjša. Še vedno pa moramo upoštevati osnovna vodila varnosti, ne glede nato, katero obliko elektronskega bančništva uporabljamo:
- redno posodabljamo sam operacijski sistem kot vse nameščene programe,
- redno posodabljamo brskalnik in vse njegove vtičnike,
- pa seveda imamo nameščen antivirusni program in vklopljen požarni zid. To je le nek minimum omrežne higiene, moramo pa se tudi zavedati, da antivirusni programi nikoli ne prestrežejo 100 % škodljive kode, zato je potrebno tudi ustrezno obnašanje, ki zmanjša možnost zlorabe.
Jasno je, da nikoli nikomur ne zaupamo svojega gesla za dostop do e-banke! Prav tako nikoli ne pošiljamo občutljivih podatkov (številka kartice, digitalnega potrdila ipd.) prek elektronske pošte. Naštevamo še 3 situacije, ki hitro pokažejo, da vas nekdo zavaja oz. poskuša dostopati do vašega elektronskega bančnega računa. Če se zgodi katerikoli od naštetih primerov, nemudoma prekinite komunikacijo in se TAKOJ obrnite na vašo banko!
Priporočamo tudi ločevanje funkcij računalnikov – eden naj bo za družinsko brskanje, igranje iger ipd., na drugem pa opravljajte plačevanje računov. Če nimamo možnosti 2 računalnikov, poskrbimo vsaj za ločevanje brskalnikov. Do spletne banke dostopajmo le z enim, drugega uporabimo za brskanje po spletu. Pri svoji banki se pozanimajmo, ali ponujajo dodatne varovalne mehanizme (SMS sporočila itd.), prav tako redno spremljamo obvestila svoje banke in tudi transakcije na računih.
Zelo smo previdni tudi pri odpiranju priponk, ki nam jih neznanci pošljejo po elektronski pošti. Tak primer so lažni nemški računi, ko je opozorilo o neplačanem računu le krinka, da kliknemo na priponko, v kateri se nahaja zlonamerna koda.
Uporabnikom svetujemo, da vedno preverite identiteto pošiljatelja sporočila in kam vodijo povezave v elektronskem sporočilu. To storite tako, da se z miško brez klikanja zaustavite na povezavi in pokazal se bo pravi spletni naslov.
[…] Vsem uporabnikom svetujemo, da se v primeru, ko so sporočilo prejeli in sledili povezavi in vpisali podatke, takoj obrnejo na svojo banko in jih obvestijo, da so morda žrtve phishing napada. Vsem uporabnikom svetujemo tudi ogled osnovnih navodil za varno e-bančno poslovanje. […]
Zaradi vašega “genialnega” stališča, da je “varen” certifikat samo na zunanjem ključku, je banka Sparkasse ukinila uporabo certifikata SIGEN-CA, “ker ga je mogoče kopirati”. Pametna kartica in ključek je zgolj še ena alternativa, ki ima tudi slabosti (npr. cena hardvera) in potrebno je skrbeti še za eno napravo, ki se lahko založi in izgubi.
Pozabili ste omeniti, da je mogoče in zelo priporočljivo cetifikat shraniti z geslom in potem ga ni mogoče izvoziti ali uporabiti brez gesla. Poleg tega je mogoče certifikat uvoziti na tak način, da ga ni mogoče izvoziti oz. kopirati (Windows IE). V vsakem primeru je treba za certifikat narediti rezervno kopijo (backup) v primeru, da se računalnik pokvari, formatira, uniči, izgubi.
Kako pa narediš backup zunajega ključka pred izgubo oz. poškodbo? Potem si na istem, kot če na uvoženem cerifikatu ne narediš backupa.
Shranjevanje zasebnega ključa digitalnega certifikata z geslom in uvoz na način, da ga ni mogoče izvoziti (non-exportable), sicer pripomore k večji varnosti, vendar pa gre tu za zaščito, ki jo je v praksi precej lahko obiti. Obstajajo javno dostopni programi, ki izvozijo zasebni ključ kljub temu, da je bil ta uvožen na z non-exportable opcijo (gl. npr. članek na https://insinuator.net/2017/10/extract-non-exportable-certificates-and-evade-anti-virus-with-mimikatz-and-powersploit/). Geslo za zasebni ključ pa je povsem enostavno pridobiti s keyloggerjem.
V primeru poškodbe ali izgube pametnega USB ključa pa je enako, kot če bi izgubili generator gesel – pri izdajatelju morate zaprositi za novega. Se pa povsem zavedamo, da to s seboj potegne tudi določen strošek.
Zanima me rok dokler bo certifikat v uporabi?
Predlagam uvedbo žetona na SMS kot je to uredila NKBM pa odpade vsa dodatna elektronska ropotija.
Pozdravljeni.
Ker mi z dnem 20.02.2020 poteče veljavnost kvalificiranega digitalnega potrdila
me zanima na koga se lahko obrnem za izdajo novega?
Na izdajatelja obstoječega kvalificiranega digitalnega potrdila. Več splošnih informacij na: https://e-uprava.gov.si/podrocja/osebni-dokumenti-potrdila-selitev/osebni-dokumenti/digitalno-potrdilo-za-elektronsko-poslovanje.html