Váš mobil je brána k životním úsporám. Znáte všechny náchylnosti?
Způsobů zabezpečení našich mobilních telefonů z hlediska mobilního bankovnictví i běžné práce, je nespočet. Někdo se naivně spoléhá na štěstí, druzí vkládají své životy jen do rukou antivirových řešení a ti nejopatrnější se navrch ještě zajímají. Třetí skupině jsme vyhradili prostor na našem blogu v rámci rozhovoru s expertem na mobilní bankovnictví a bezpečnost, Nikolaosem Chrysaidosem z Avastu.
Jak v současnosti probíhá zabezpečování mobilního bankovnictví?
Banky se musí výhradně soustředit na testování výkonu a penetraci svých mobilních aplikací, aby nalezly různé druhy chyb a zranitelností. Příkladem může být studie, kterou provedl výzkumník Tomasz Zieliński, který na letošním Android Security Symposium, ve své prezentaci ukázal řadu děr v zabezpečení polských bank. Usilujeme o to, aby banky a další finanční organizace měly své aplikace bezpečnější.
Nikolaos Chrysaidos (Avast)
Jaké jsou nejčastější chyby, kterých se uživatelé mobilního bankovnictví dopouštějí?
Uživatelé se musí především zajímat o sílu svého hesla, na což upozorňujeme pořád dokola. Apelovat na ně musí ale i banky samotné, tedy žádat uživatele, aby si tvořili komplexní hesla, ne jednoduchá. Kromě toho si ale musí uživatelé dávat pozor, kde stahují aplikace. Měli by je stahovat jen z oficiálních obchodů, ne z třetích stran, kde hrozí infikování malwarem. A samozřejmě je nutné mít své mobilní zařízení aktualizované na nejnovější verzi operačního systému.
A co dělají špatně banky?
Co se týče chyb bank, tak se budu opakovat. Banky musí provádět penetrační testy, aby našly a odkryly slabiny, které mohou vést k odkrytí uživatelských dat, únikům a finančním ztrátám. V některých případech mohou útočníci v chybném kódu najít informace, které jim pomohou v útoku na zbylé systémy dané banky. Takže banky musí mít na zřeteli bezpečnost svých aplikací. Při výběru banky bych radil si vybírat mezi těmi známějšími, které s vysokou pravděpodobností provádějí penetrační testy častěji. Ale není to vždy pravidlem.
Co se týče aktualizace operačního systému, co uživatelům hrozí, když ji ignorují?
Vývojáři aplikací obvykle vydávají aktualizace z toho důvodu, že opravují předešlé bezpečnostní slabiny, které našly jejich výzkumné týmy. Ukázat se to dá na zmíněném příkladu výzkumného týmu Tomasze Zielińského, který objevil zranitelnosti polských bank. Ty okamžitě začaly vydávat oficiální aktualizace. Z toho samého důvodu by měli uživatelé proaktivně chránit každou svoji aplikaci pravidelnými aktualizacemi, aby se nevystavovali nebezpečí.
Když se dostaneme přímo k jádru přihlašování ke svému účtu, jak se chránit ještě dodatečně?
Uživatelé by měli používat VPN, která šifruje spojení mezi samotným zařízením a serverem, a tudíž chrání před menšími i většími útoky. Jelikož uživatelé nemohou, a vlastně ani neví, jak provádět penetrační testy na vlastní triko, tak je vhodné používat VPN, aby měli jistotu, že spojení se serverem není nijak kompromitováno třetí stranou.
Velmi častý útok, který využívá právě této slabiny, se nazývá Man-in-the-Middle. Když spojení mezi uživatelem a routerem není zašifrované, tak ani informace vyslané ze zařízení nejsou zašifrované. Pak jde v podstatě o holý text, holá data – jako například číslo kreditní karty, CVC kód a podobně. A bez zašifrování skrze VPN může tato data každý vidět.
Bezpečnosti musí jít každý naproti. Nestahovat cracknuté hry a aplikace z třetích stran, držet se nejnovějších aktualizací a pokud banky podporují OTP (jednorázová hesla), tak je povolit. Jedná se o další vrstvu zabezpečení pro uživatele, která obvykle chodí ve formě SMS na registrované telefonní číslo. Je tedy vhodné mít standardní heslo doplněné ještě o OTP.
Je OTP bezpečnou formou zabezpečení?
Jedná se o bezpečnou formu přeposlání hesla do mobilního telefonu. Pokud se ale uživatel nakazil malwarem, který se zaměřuje na tyto informace, pak je vcelku snadné je ukrást. Je celá řada případů malware, které pročítají všechny zprávy, hledají OTP a zasílají je zpátky ke svému zdroji.
Mluvili jsme o šifrování za pomoci VPN – jak přesto poznám, že se připojuji na bezpečnou síť?
Na otevřené Wi-Fi bych se vždy spoléhal na VPN, která šifruje spojení. Pak se uživatel nemusí obávat toho, že by někdo spojení narušil a nějak na něj zaútočil.
Pokud se ale člověk chce ujistit, zda je ta či ona Wi-Fi bezpečná, radil bych využívat antivirové řešení, ve kterém je zabudovaný i Wi-Fi skener, který rozpozná, zda dané připojení využívá silná hesla.
Jak by mohly jít banky bezpečnosti ještě více naproti než dnes?
Banky by mohly personalizovat své služby pro klienty trochu jiným způsobem, respektive lépe využívat svých dat o jejich umístění a mobilním připojením. Například pro lepší umístění bankomatů v místech, kde mají nejvíce svých klientů; případně v místech, kde se nejvíce pohybují.
Rozvíjející se ekonomika by také mohla být zajištěna rychlejšími platbami. A samotné platby i bankovní služby by mohly být více interaktivnější za pomoci chatbotů, které by uživateli pomohly zpracovávat bankovní požadavky rychleji a efektivněji.
Vyplatí se vůbec používat bankovní aplikace? Nestačí se spoléhat na internetový prohlížeč?
Pokud je aplikace dobře vyvinuta, pak bych radil ji využívat. Pro aplikaci mohou vývojáři vytvořit prostředí s lepšími bezpečnostními funkcemi. Mohou například zakázat možnost pořízení snímku obrazovky, což v internetovém prohlížeči nelze. Ale to je jen špička ledovce, takových funkcí je víc.
Jak monitorujete chování aplikací?
Máme systémy, které provádějí dynamickou i statickou analýzu. Ty zkoumají chování aplikace na základě různých dat a převádějí je na výsledky, ze kterých zjišťujeme, zda je aplikace škodlivá či ne.
Mezi statickou a dynamickou analýzou jsou jaké rozdíly?
V dynamické analýze vkládáme aplikace do simulovaného prostředí, například zařízení. Jedná se o sandbox, který ale máme nakonfigurovaný tak, abychom mohli přesně říct, co právě aplikace provádí. Statická analýza je metoda kontroly zdrojového kódu programu bez jeho provedení. Na základě výsledků poté posuzujeme, zda je aplikace bezpečná nebo není.
Jaké jsou nejčastější nebezpečí mobilního bankovnictví, se kterými se lze setkat?
Například na Androidu jsou nebezpečí mobilního bankovnictví taková, že se snaží obelhat uživatele, aby zadal své přihlašovací údaje do falešného rozhraní. Aby škůdci nainstalovali k uživateli hrozbu, tak většinou využívají sociálního inženýrství, aby uživatele zmátli a přesvědčili ho, že je aplikace pravá. Když se dostane do zařízení, tak se chová jako reálná bankovní aplikace, která ale nabídne falešné rozhraní okamžitě po spuštění. Cílem je jednoduše získat přihlašovací údaje.
Jak vypadá tvůj den v Avastu?
Každý den je zajímavé napětí a pokaždé přinese něco nového. Máme obrovskou frontu podezřelých souborů, které sbíráme a posuzujeme. Tyto soubory potom procházejí našimi systémy, dynamickou a statickou analýzou. Následně je filtrujeme a zasíláme zpět uživatelům s informací, zda je ta či ona aplikace škodlivá nebo není. Některé zajímavé a pokročilé případy se snažíme zjednodušit a zveřejnit na blogu.
Provádíme i forenzní analýzu některých zařízení, kde ověřujeme jejich zabezpečení. Také se snažíme najít předinstalovaný malware na zařízeních, která si uživatelé objednávají z Číny kvůli nízkým cenám. Z nálezů umíme říct, kolik toho vývojáři malwaru zjišťují různými doplňky a která data sbírají – SMS, hovory nebo exploity – a která mohou obejít systémový přístup tak, aby mohli zaznamenat cokoliv si zamanou.
Mnoho služeb nabízí možnost si zapamatovat údaje o kreditní kartě. Jak najít rovnováhu mezi bezpečností a komfortem?
Uživatel by měl dbát hlavně na to, komu přesně své údaje poskytuje a zda je služba renomovaná – například eBay nebo Amazon. Známé firmy a služby využívají většinou tzv. bug bounty programy a provádějí rozsáhlé testy zjišťující různé slabiny, aby předešly ztrátám citlivých dat, kreditních karet a CVC kódů. Je potřeba si udělat vlastní průzkum, což není lehké. Respektive, je to lehké, ale ne každý uživatel je ochoten to podstoupit. Jinak je vhodné si dohledat, zda daná strana používá zmíněné bug bounty programy – pokud ano, tak se zjevně starají o bezpečnost svých uživatelů.
Ale ani důvěryhodné služby nejsou stoprocentní…
Jistě, stát se může cokoliv. Nic není úplně bezpečné.
Kdybychom porovnali bezpečnost mobilního bankingu v České republice se zbytkem světa, jsme spíše pozadu nebo se držíme v průměru?
Řekl bych, že jsme na tom dobře. Evropa celkově využívá řadu řešení a bezpečnostních funkcí jako OTP, 3D Secure a podobně. Oproti tomu v Americe jsou tyto funkce méně časté. Domnívám se, že Evropa, společně s Českou republikou, se o bezpečnost zajímá více než zbytek světa.