Maximální ochrana vašich peněz

Podle Asociace pro elektronickou komerci a srovnávače cen Heureka.cz podíl českých internetových obchodů na maloobchodních tržbách loni poprvé překročil deset procent. V roce 2017 stouply tržby e-shopů o 18 procent, na 115 miliard korun. Podle statistik bezpečnostních firem však byla řada uživatelů obětí počítačové kriminality. Jedním z důvodů vysokého počtu těchto obětí jsou podle bezpečnostních expertů stále složitější útoky hackerů. Kromě vylepšeného škodlivého softwaru, který propašují do počítače nebo do smartphonu oběti a zachytí pak jeho osobní údaje, jsou to i sofistikované phishingové útoky, jimž podlehnou dokonce i někteří zkušenější uživatelé.

My vám v tomto článku ukážeme, jak můžete před těmito útoky svá zařízení chránit a jak můžete zabránit maskovaným phishingovým útokům, abyste pak mohli provádět své bankovní transakce a on-line nákupy beze strachu o své peníze. Máme pro vás i konkrétní tipy, jak ochránit svůj bankovní účet a kreditní kartu, pokud by se přece jen hackerům podařilo váš účet hacknout nebo zjistit citlivé údaje. A také vám prozradíme, kde si můžete ověřit, zda vaše přístupové údaje už nebyly ukradeny a nejsou k dispozici na internetu.

Prevence bankovních útoků

Podíl uživatelů internetového bankovnictví na celkové populaci vzrostl v Česku v posledních deseti letech z 12 na 57 procent, což je nejvyšší nárůst v zemích EU. Pro hackery je to samozřejmě výzva. Se správným nastavením systému a prohlížeče však můžete nejčastějším útokům kyberzločinců předejít.

Zabezpečte operační systémy svých zařízení

Základní věcí je zabezpečit svůj počítač, protože jakmile se do vašeho počítače dostane škodlivý software, už si nemůžete být jisti, co všechno se mu podařilo zjistit. Pokud pak totiž surfujete na internetu, útočníci mohou odchytávat všechna odesílaná data a mohou využít i tzv. keyloggery, tedy nástroje, pomocí kterých mohou číst všechny stisknuté klávesy, tedy i přihlašovací údaje a klíče.

A netýká se to jen počítačů s operačním systémem Windows, ale i smartphonů a dalších zařízení s Androidem nebo iOS. Mezi základní ochranu patří instalace nejnovějších aktualizací daného operačního systému. V případě zařízení s iOS mají uživatelé situaci jednodušší, protože předběžnou ochranu mají zajištěnu. U zařízení s Windows a Androidem proto doporučujeme ještě instalaci nějakého bezpečnostního balíku nebo antivirového programu. V případě zařízení s Androidem pak doporučujeme neinstalovat aplikace z pochybných zdrojů. Chcete-li tuto možnost vyloučit, zakažte v nastavení systému Android volbu Povolit instalaci z pochybných zdrojů.

Používejte zabezpečený software

Navzdory instalaci bezpečnostních záplat i antivirového programu mohou útočníci stále využívat například chyby prohlížeče a shromažďovat tak data uživatele. Existuje ale užitečné a bezpečné řešení tohoto nebezpečí v případě, kdy používáte systém Windows - virtuální prohlížeč. Tento Browser-in-the-Box (na Chip DVD) pracuje kompletně odděleně od zbytku systému. Důležité: tento software resetuje prohlížeč do továrního nastavení při každém spuštění. Viry tak nemají šanci se v něm usadit. Pokud chcete prohlížeč Browser-in-the-Box resetovat, najdete pro to příkaz v nabídce nastavení. Nevýhoda virtuálního prohlížeče: aplikace je poměrně náročná na zdroje, takže na starších počítačích běží pomalu.

Alternativně můžete použít i běžný prohlížeč jako Chrome a Firefox (najdete na DVD), ale pouze za předpokladu, že je skutečně aktuální. Aktuálnost aplikace si zkontrolujte - například u Chromu přes nabídku »Přizpůsobit a ovládat / Nápověda / O aplikaci Chrome«. Pokud používáte Android nebo iOS, můžete si stáhnout aplikaci své banky nebo použít multibankovní aplikaci Smart Banka. Připravuje se i aplikace Richee Creditas. Aplikace si zabezpečení řeší samostatně a vyžadují heslo nebo otisk prstu.

Obrana proti profesionálním phishingovým útokům

Po zabezpečení vašich zařízení před útoky malwaru je potřeba se zabezpečit i před phishingem. Dokonce i zkušení uživatelé se mohou nechat nachytat, pokud je takovýto útok veden profesionálně a phishingové e-maily jsou dobře připravené. Nikdo se asi nenachytá na špatně přeložené e-maily s pravopisnými chybami, špatným oslovením zákazníka a nesprávným logem banky, ale řada útoků už byla provedena profesionálně. V případě pochybností platí následující: pokud si nejste jisti odesilatelem e-mailu, neklikejte na žádné odkazy. V nejhorším případě by totiž mohly vést na podvodnou a téměř dokonalou kopii bankovního webu, který používáte. A pokud pak na takovéto stránce zadáte přihlašovací údaje, dostanou se rovnou do rukou hackerů. V části „Identifikace zabezpečených webových stránek“ si přečtete více o tom, jak by zabezpečený web měl vypadat.

Užitečný může být v tomto případě správce hesel, jako je LastPass. Ten totiž identifikuje falešné URL adresy a blokuje na nich přihlašování. Tuto ochranu byste měli využít i při používání aplikace Browser-in-the-Box. Hesla jsou k dispozici i na vašem smartphonu prostřednictvím synchronizace.

Optimální nastavení bankovního účtu

Můžete se připravit i na nepravděpodobnou a nejhorší variantu, tedy na to, že by hackeři získali přístup k vašemu bankovnímu účtu. I pro tento případ můžete aktivovat mechanismy konečné obrany. Mnoho bank totiž poskytuje možnost nastavit limity pro převody a platby. Zabráníte tak tomu, aby vám kyberzločinci úplně vyprázdnili váš účet. Nastavte si také oznamování větších transakcí na e-mail nebo prostřednictvím SMS, abyste podezřelé transakce snadno odhalili. Svůj účet také pravidelně kontrolujte, abyste mohli případně rychle reagovat na podvodné operace.

Nakupování bez obav

I zdánlivě věrohodné internetové obchody se mohou stát datovou pastí. S trochou pozornosti odhalíte podvodné nabídky a obchody, kterým byste svá data neměli svěřovat.

Identifikace zabezpečených webových stránek

Než začnete nakupovat na e-shopu, se kterým ještě nemáte zkušenosti, zkontrolujte si jeho věrohodnost. Pomoci vám může například vyhledávač Heureka.cz, kde najdete hodnocení obchodů a zkušenosti uživatelů. Zkušenosti zákazníků si můžete vyhledat i prostřednictvím vyhledávače. Dále si zkontrolujte webovou stránku obchodu. Ta by měla splňovat dvě kritéria: komunikace musí probíhat přes »https« a musí splňovat zákonné požadavky. V prvním kroku zkontrolujte certifikát stránky. V závislosti na prohlížeči se na levé straně vedle řádku s adresou zobrazí zelený zámeček. Po klepnutí na něj získáte informace o certifikátu, podle kterého bude stránka kódovat tok dat mezi prohlížečem a serverem. Důležité jsou pro vás informace o tom, pro koho byl certifikát vydán a zda patří k této stránce.

Kromě šifrování musí webové stránky e-shopu splňovat i další podmínky. Musí na nich být například uvedeny obchodní podmínky, totožnost obchodníka, způsob objednání, dodací a platební podmínky. Pokud tyto a další informace na webových stránkách chybí, nic si v tomto obchodě neobjednávejte. Výjimkou mohou být zahraniční internetové obchody, se kterými mají uživatelé dlouhodobé a dobré zkušenosti.

Jestliže používáte pro přihlašování do elektronických obchodů správce hesel, můžete přihlášení zabezpečit kromě hlavního hesla i dalším faktorem. Můžete například použít bezpečnostní U2F USB klíč, jako například YuBiKey Neo, který při přihlašování připojíte do USB portu počítače. V případě zařízení s iOS nebo Androidem můžete využít pro autentizaci NFC.

Přizpůsobte si poštovní komunikaci

Po vizuální prohlídce internetového obchodu doporučujeme i další zabezpečovací akce. Zřiďte si pro komunikaci s obchodem zvláštní e-mailovou adresu, kterou nepoužíváte pro žádné jiné účely. Důvod: pokud by byl internetový obchod napaden, útočníci se dostanou nejen ke jménům, ale také k e-mailovým adresám zákazníků obchodu, které pak mohou využít pro cílené (tzv. spear) phishingové útoky nebo k pokusům o přihlášení k jiným internetovým službám. Některé e-mailové služby umožňují zřídit si k vlastnímu účtu ještě další e-mailovou adresu, takže pak nemusíte otevírat jiný poštovní účet.

Pokud váš poskytovatel e-mailových služeb tuto možnost nenabízí, zřiďte si jiný účet a nechte si poštovní zprávy automaticky přeposílat na svůj standardní e-mail. Do budoucna tak můžete snadno identifikovat phishingovou poštu právě podle toho, že přišla z vaší alternativní e-mailové adresy. Obchodu byste také měli o sobě svěřovat co nejméně informací a vyplňovat jen ty nezbytné. Obchod by například nemělo zajímat přesné datum vašeho narození.

Využijte alternativní platební metody

Jakmile jste si na prověřeném obchodě vybrali nějaké zboží, je čas na jeho zaplacení. Podle principu „sdílejte co nejméně dat“ nesmíte na webových stránkách prodejce uvádět žádné informace o svém osobním účtu ani platební kartě. Lepší alternativou je využití platební brány nebo platebních metod, jako je PayPal nebo GoPay. V případě PayPal už máte tu výhodu, že nemusíte u prodejce vytvářet účet. Musíte si ale být vědomi toho, že obchodník dostane od PayPalu informace o vaší adrese. Někteří poskytovatelé také vytváří na pozadí tzv. stínový profil (shadow profile). Podívejte se na tipy v části „Najděte si svůj stínový profil“, abyste zjistili, zda se jedná i o váš webový obchod.
Potřebujete-li použít vlastní kreditní kartu, zejména v případě zahraničních webových obchodů, aktivujte ochranný mechanismus Mastercard SecureCode nebo Verified by Visa v případě karty Visa. Před schválením platby vám pak většinou na mobilní telefon dorazí od banky kód, který musíte při autorizaci vyplnit. Zabezpečovací funkci můžete aktivovat ve svém internetovém bankovnictví.

Vyhněte se krádeži identity

Jestliže se kybernetickým zločincům dostanou do rukou vaše přihlašovací údaje, mohou pak například provádět nákupy za vaše peníze. Pokud tomu chcete zabránit, vysvětlíme vám, jak nastavit nouzový radar, který bude sledovat vaše data na internetu.

Najděte svůj vlastní stínový profil

Podle nového nařízení GDPR (General Data Protection Regulation) máte právo na informace o tom, jaká data o vás poskytovatel služeb nebo obchod uchovává. Můžete tedy zjistit, jaká data internetový obchod o vás má, i když využíváte alternativní způsob platby (viz část „Využijte alternativní platební metody“). Velké společnosti poskytují takovéto informace přímo na svých webových stránkách. U menších webových obchodů je nutné požádat o tyto informace prostřednictvím uvedené kontaktní adresy.

Identifikujte co nejdříve úniky dat

Prostřednictvím webu haveibeenpwned.com si můžete zkontrolovat, zda už nedošlo k úniku vašich osobních údajů. Na této stránce zadejte svou e-mailovou adresu a stiskněte »pwned?«. Webová služba pak porovná vaši adresu s ohromnou databází dat uniklých na internet. Pokud si přejete být informováni o tom, že vaše e-mailová adresa byla diskreditována, nastavte si funkci »Notify Me«.

Varovný systém o úniku bankovních informací

V zahraničí existují i služby, které vás za poplatek informují o úniku vašich finančních údajů. Například SCHUFA-Credit Report se stránkou schufa.de/en poskytuje takovouto službu za 3,95 eura za měsíc. Po registraci a zaplacení obdržíte v případě úniku dat on-line informaci. Tomu se ale určitě vyhnete, pokud využijete naše bezpečnostní tipy z tohoto článku.

***

Bezpečnostní pravidla pro bankovnictví

Než se příště přihlásíte k internetovému bankovnictví, měli byste věnovat pozornost následujícím pravidlům.
> Zabezpečené zařízení Na osobní počítač nebo mobilní zařízení nainstalujte antivirovou ochranu. Udržujte systém i aplikace v aktuálním stavu a nainstalujte hlavně všechny bezpečnostní aktualizace operačního systému a dalšího softwaru.
> Používejte správný software Nejlepším řešením je použití zabezpečeného internetového prohlížeče na počítači se systémem Windows, jako je Browser-in-the-Box (na Chip DVD). Alternativně můžete použít běžný prohlížeč v nejnovější verzi. Nejlepší volbou je použití bankovní aplikace v mobilním zařízení.

***

Bezpečnostní pravidla pro nakupování

Kybernetičtí zločinci se snaží získat přístup k vašim osobním a bankovním údajům prostřednictvím phishingu a falešných stránek. Můžete se tomu bránit pomocí následujících pravidel.
> Stránky zkontrolujte Stránky bez certifikátu nebo s neplatným certifikátem byste měli ignorovat. Zkontrolujte také, zda obsahují povinné údaje o obchodníkovi, a zjistěte si reference.
> Aktivujte ochranu karty Většina bank nabízí dodatečné zabezpečení plateb přes platební kartu, například pomocí SMS s kódem. Využijte toho a nastavte limity.
> Využijte alternativní platební systémy Místo použití platební karty můžete zaplatit prostřednictvím speciálních služeb, jako je například PayPal. Útočníci tak obtížněji získají přístup k vašim osobním informacím.
> Založte si speciální e-mail Pro své nákupy na internetu si založte samostatný e-mail. Je to bezpečnější a nebudete dostávat tolik spamu.

***

Bezpečnostní pravidla pro ochranu dat

Abyste předešli krádeži své identity, měli byste prodejcům a internetovým službám poskytovat o sobě co nejméně informací a dodržovat následující pravidla.
> Kontrola úniků dat Pokud si chcete ověřit, zda vaše e-mailová adresa již nebyla kompromitována a nenachází se v databázi zcizených údajů, podívejte se na stránku hasibeenpwned.com. Můžete si zde také nastavit upozornění, pokud by k tomu někdy v budoucnu došlo.
> Neposkytujte zbytečně informace Při přihlašování do obchodu o sobě poskytněte jen nezbytné údaje. Obchod nemusí zajímat vaše datum narození a další citlivé údaje.
> Dotaz na uložená data Podle nových pravidel GDPR má uživatel nárok na to, aby mu internetový obchod a další internetové služby poskytly všechny údaje, které o něm vedou. Můžete tak zjistit, zda si na vás webové obchody nevedou tzv. stínový profil a zda si zjistily o vás informace například při platbě prostřednictvím služby PayPal.

Foto popis| Bezpečné bankovnictví Ověřte si, zda jste skutečně na stránce banky, zkontrolujte certifikát a případně se přihlaste pomocí správce hesel. Na mobilním zařízení využijte bankovní aplikaci.
Foto popis| Phishingový e-mail může vést na podvodné stránky, které vypadají jako stránky vaší banky.
Foto popis| Místo hesla USB klíč YubiKey Neo můžete využít k zabezpečenému přístupu. U zařízení s iOS nebo Androidem využijte místo USB bezdrátovou technologii NFC.
Foto popis| Některé mobilní bankovní aplikace už podporují přihlašování pomocí otisku prstu.
Foto popis| V takovémto obchodě byste určitě neměli nakupovat. Stránka nemá certifikát a nejsou na ní platné údaje o prodejci.
Foto popis| Na stránce Heureka.cz si můžete zjistit reference na jednotlivé internetové prodejce. Projděte si recenze uživatelů, než se pustíte do nakupování.
Foto popis| Použijte stránku haveibeenpwned, abyste si zkontrolovali, zda vaše e-mailová adresa nebyla součástí nějakého úniku dat od firem. Kdyby k tomu v budoucnu došlo, můžete o tom být prostřednictvím »Notify me« informováni.
Foto popis| V případě velkých firem, jako například u Applu na stránce privacy.apple.com, získáte přístup ke všem svým osobním údajům. V jiných případech si budete muset o data požádat.

O autorovi| FABIAN VON KEUDELL, PAVEL TROUSIL, autor@chip.cz