Bankovní účty klientů České spořitelny, kteří používají SMS bankovnictví Sporotel, nejsou podle našich zjištění v bezpečí. Komunikace s bankou je totiž prakticky nezajištěná a na několika místech do ní mohou vstoupit jiné osoby, než jsou vlastníci účtu a zaměstnanci banky.
Klára Gajdušková, tisková mluvčí České spořitelny, nám ovšem o službě Sporotel řekla: “Česká spořitelna využívá pro ochranu svých klientů všech dostupných a známých prostředků, aby zajistila maximální bezpečnost.” Je tomu skutečně tak?
Jak Sporotel funguje?
Podle našich informací zaměstnanci operátorů sítí GSM několikrát upozorňovali Českou spořitelnu, že služba SMS Sporotel není bezpečná. To Gajdušková odmítá: “Pokud je známo mně i mým kolegům, kteří jsou přímo odpovědní za chod služby, žádný operátor nás v tomto smyslu neinformoval.” Ať už byla banka informována nebo ne, faktem zůstává, že data klientů České spořitelny jsou velmi snadno zneužitelná a že Česká spořitelna dosud nepodnikla žádný krok ke změně tohoto stavu.
Služba SMS Sporotel umožňuje ovládat bankovní účet prostřednictvím příkazů poslaných do banky textovou zprávou. Klienti České spořitelny se při aktivaci SMS Sporotelu musí rozhodnout, zda se spokojí se standardním zabezpečením, nebo zda si připlatí a budou moci využívat zabezpečení pomocí autentizačního zařízení (s tímto zařízením také mohou využívat vyšší limity finančních operací). Toto autentizační zařízení ovšem bude klienta stát 2500 korun nebo 1250 korun, když se upíše k používání služeb České spořitelny po dva roky – ceny jsou včetně DPH. Měsíční poplatek za SMS Sporotel je stejný pro oba způsoby zabezpečení – služba je zdarma.
Při standardním zabezpečení klient ke každému odeslanému příkazu přidá heslo složené ze čtyř čísel. Toto heslo platí do doby, dokud jej klient nezmění.
Autentizační zařízení (vypadá jako kalkulačka) naopak generuje místo hesla kód, který je platný jen pro jedno použití – pro další příkaz je potřeba generovat kód jiný. Zabezpečení pomocí kódu generovaného autentizačním zařízením je velmi spolehlivé (Bohužel ne stoprocentní, ale to je obecný problém podobných systémů.)
Pokud však používáte heslo, potom je váš účet přístupný řadě osob.
Příkazy se vůbec nešifrují
Textové zprávy s příkazy jsou z mobilu odesílány do bankovního systému České spořitelny. Problém je však v tom, že textové zprávy nejsou vůbec šifrovány – je to jenom prostý text. To však Klára Gajdušková odmítá: “Text pro provedení příkazů prostřednictvím SMS Sporotelu zadává klient formou přesně definovaných kódů nebo znaků. Nemůžeme tedy souhlasit s tím, že jde o pouhý text.” S tímto tvrzením rozhodně nelze souhlasit. Příkaz služby SMS Sporotel sice na první pohled vypadá jako záhadný kód, jenže i s pomocí návodu umístěného na internetových stránkách České spořitelny jej lze velmi snadno rozluštit.
Například z příkazu CN2000000608#JP#1#150.50#19-123/0800#S2505700462#K0558#H1234 vyčtete, že majitel má identifikační číslo 2000000608, heslo 1234 a chce poslat 150,50 korun na účet číslo 19-123/0800. Zjištění konstantního (0558) a specifického (2505700462) symbolu z tohoto kódu bude pro trochu pozornějšího čtenáře hračka.
SMS brány – jako otevřená kniha
Textové zprávy jsou doručeny do SMS centra operátora sítě GSM, odtud pokračují do SMS brány umístěné v České spořitelně. Česká spořitelna má přímé napojení do SMS centra Eurotelu a Paegasu, ale podobně jako v sítí Oskara je i zde možné poslat textové zprávy s příkazy na telefon (průmyslový modul) v SMS bráně České spořitelny. Až po zpracování v SMS bráně a jejím předání do bankovního systému České spořitelny jsou příkazy k ovládání bankovních účtů zabezpečeny proti zneužití. (Což ovšem nijak nevylučuje zneužití účtu pracovníky České spořitelny, ale lidský faktor je slabinou většiny zajištěných systémů. Zde je však nebezpečí zneužití zaměstnancem podstatně větší.)
Klára Gajdušková možnost zneužití dat pracovníky České spořitelny odmítá: “Všichni pracovníci České spořitelny, kteří mají k údajům klientů přístup, jsou povinni dodržovat přísná pravidla a jsou vázáni mlčenlivostí. Případné selhání či porušení pravidel Česká spořitelna velmi přísně postihuje.” Problém je však v tom, že při pokusu zneužít bankovní počítačový systém se pracovník banky vystavuje velkému riziku, že vše bude zaznamenáno a hlavně bude možné zpětně zjistit, kdo se o zneužití dat pokusil. Pokud si ale pracovník zjistí identifikační číslo a heslo klienta, což může udělat v SMS bráně, může tyto údaje zneužít z pohodlí domova s anonymní předplacenou kartou – nedá se tedy zpětně zjistit, kdo data o klientech zneužil.
Možnosti získání hesla jsou široké
Zřejmě nejsložitějším způsobem, jak získat heslo a identifikační číslo (s těmito údaji už můžete převádět peníze na jiný účet), je odposlech mobilního telefonu. Náklady na zjištění potřebných údajů tímto způsobem by byly velmi vysoké a bylo by nutné, aby se sledovaná osoba příliš nepohybovala.
Mnohem snazší je zjištění hesla a čísla účtu pro zaměstnance operátorů sítí GSM. Technici pracující s SMS centrem totiž mohou sledovat obsah všech přenášených textových zpráv – i když to samozřejmě dělat nesmějí. Získání potřebných údajů a odeslání textové zprávy tak, aby příjemce viděl jako odesílatele vaše telefonní číslo, není pro tyto lidi žádný problém. Ostatně, vyzkoušet si to můžete sami. Pokud jste zákazníkem Oskara, tak si z SMS brány na jeho stránkách pošlete textovou zprávu a jako odesílatele uveďte telefonní číslo kamaráda. Váš mobilní telefon vám rovnou zobrazí u přijaté textové zprávy jeho jméno, přestože jste zprávu poslali z internetu. A nemusí je motivovat pouze touha po vlastním zneužití vašeho účtu – úplatek za zjištění hesla a čísla účtu jim může dát kdokoliv.
Zneužít váš účet může každý, kdo dostane do ruky mobilní telefon, ze kterého zadáváte příkazy pro SMS Sporotel. Tyto příkazy – odeslané textové zprávy – se totiž ukládají mezi ostatní textové zprávy, které jste z telefonu odeslali. Pokud je nesmažete, může si je kdokoliv přečíst a opsat důležité údaje. A touto osobou mohou být jak kolegové, kterým zcela bez obav půjčujete mobilní telefon (případně jej necháváte na stole), tak zloději mobilních telefonů. Pokud někdo zneužije váš účet, vy se to dozvíte až na nejbližším výpisu z účtu.
Nejvíce útoků na banky je od zaměstnanců
Je známým faktem, že nejvíce útoků na bankovní systémy mají na svědomí lidé, kteří pracují s potřebnými informacemi (převážně zaměstnanci banky). Útoky zvenčí jsou jen ojedinělé a většinou neúspěšné. V případě SMS Sporotelu Česká spořitelna zcela evidentně přesouvá zajištění bezpečnosti na třetí firmu (operátor sítě GSM), jejíž zaměstnanci nejsou vůbec vázáni bankovním tajemstvím. Nemluvě o tom, že Česká spořitelna tak v žádném případě nemůže ověřit spolehlivost osob, které přijdou s těmito informacemi do styku.
Nejhorší pro vás asi ale bude zjištění, že i při zneužití vašeho účtu vám nikdo nepomůže. Za ochranu důležitých údajů (heslo, identifikační číslo) jste totiž odpovědní jen vy. Převod peněz z vašeho účtu prostřednictvím služby SMS Sporotel, který někdo provedl se znalostí všech potřebných údajů, reklamovat nemůžete (můžete, ale nebude vám to nic platné). A pravděpodobnost, že někdo najde pachatele, je jen velmi malá.
Je řešením SIM toolkitové bankovnictví?
Úplně jiné bude zabezpečení GSM bankovnictví využívajícího aplikaci SIM toolkit, které Česká spořitelna chystá v průběhu května (už nyní tuto službu testuje v pilotním projektu – viz článek). Příkazy pro banku jsou sice i touto službou odesílány jako textová zpráva, jenže už od okamžiku, kdy opustí mobilní telefon, jsou zašifrované. Ani obsluha SMS centra se k jejich nezašifrované podobě nemůže dostat. Stejně tak bude zloději nebo komukoliv jiného k ničemu váš mobilní telefon. Abyste totiž mohli vstoupit do bankovní aplikace, musíte znát další kód PIN (bankovní PIN, BPIN). A když jej zadáte třikrát špatně, celá aplikace se zablokuje.
Jde přece o vaše peníze
I když si možná říkáte, že nikdo nebude mít konkrétně o váš bankovní účet zájem, neměli byste ignorovat fakt, že pokud někdo tento zájem mít bude (třeba při ztrátě telefonu), díky špatnému zabezpečení SMS Sporotelu bude mít otevřené dveře k vašemu kontu hned na několika místech. Za rozumné lze považovat vyčkávání na službu GSM banking využívající aplikace SIM toolkit, kterou by Česká spořitelna měla nabídnout všem klientům v průběhu května. Tato služba sice nabídne méně funkcí než stávající SMS Sporotel, ale je neporovnatelně bezpečnější. A pokud už přece jenom chcete zůstat u SMS Sporotelu, potom si rozhodně pořiďte autentizační zařízení. Investované prostředky se rozhodně vyplatí – vaše peníze budou ve větším bezpečí.
