Sigurnosni mehanizmi banaka i preporuke za zaštitu

Brzi razvoj tehnologije i priroda Interneta otvaraju brojne mogućnosti za razne oblike prijevara. Budući da sigurnost predstavlja jedan od osnovnih preduvjeta za korištenje online bankarstva, da bi osigurale sigurnost svojih klijenata banke koriste modernu i sveobuhvatnu tehnologiju. Sustavi zaštite su višeslojni te razmatraju i obuhvaćaju računalni sustav na strani banke, klijenta i Internet kao mrežu koja ih povezuje. Uz tehnološke sigurnosne mjere, potrebno je i da svaki korisnik pripazi na vlastitu sigurnost. U tom je pogledu najbolji način zaštite informiranost o postojećim oblicima prijevare te načinima kako ih izbjeći.

Autentifikacija korisnika

Prilikom autentifikacije korisnika banka mora pouzdano utvrditi njegov identitet, a korisnik mora biti siguran da nitko drugi ne može poslovati u njegovo ime. Za provedbu autentifikacije koriste se specijalizirani uređaji koji za svakog korisnika generiraju jednokratnu jedinstvenu zaporku (OTP – One Time Password) ili mu omogućuju predstavljanje putem osobnog digitalnog certifikata.

Da bi banka autentificirala korisnika potrebno je:

  • Korisnik mora imati USB Key ili pametnu karticu s osobnim digitalnim certifikatom ili hardverski ili softverski token.
  • Prilikom autentifikacije tokenom korisnik upisuje samo njemu poznat PIN kako bi koristio token. U slučaju krađe ili gubitka tokena nitko ga ne može koristiti bez odgovarajućega PIN-a. Korištenje tokena u slučaju krađe banka može onemogućiti.
  • Prilikom autentifikacije digitalnim certifikatom na USB Key uređaju ili pametnoj kartici korisnik koristi PIN svog USB Key uređaja ili pametne kartice, a ne poseban PIN za čitač.
  • Prilikom autentifikacije mobilnom aplikacijom korisnik upisuje PIN koji samo on zna. PIN se ne pohranjuje na mobilnom uređaju, čime se jamči tajnost PIN-a.
  • Nakon izvršene autentifikacije jednokratnu jedinstvenu zaporku više nije moguće koristiti pa nije moguća ni zloupotreba.

Autentifikacija banke

Korisnik mora biti siguran da doista komunicira s bankom, tj. njezinim poslužiteljem (serverom). U tu svrhu koriste se certifikati globalno priznatih certifikatorskih kuća (npr. VeriSign, Thawte).

Certifikati omogućuju korisnicima da u svakom trenutku mogu provjeriti identitet banke (poslužitelja) koja im pruža uslugu internet bankarstva. U certifikatu je sadržana informacija o nazivu poslužitelja (Name ili Common Name), od kojeg do kojeg datuma vrijedi certifikat (Validity Period) te pripadnost organizaciji(Organization, Country, State i Locality). Naziv poslužitelja upisan u adresnom polju korisnikova pretraživača (browsera) iza "https://" mora u svakom trenutku prikaza web stranica online usluge odgovarati nazivu navedenom u certifikatu.

Zaštita podataka u tranzitu između klijenta i banke

Svi podaci koje korisnik izmjenjuje s bankomu svakom su trenutku zaštićeni od neovlaštenog čitanja upotrebom sigurnosnog TLS protokola. Kodiranje (enkripcija) podataka obavlja se pomoću tajnog ključa kojeg na slučajan način kreira pretraživač korisnika, i to pri svakom spajanju na poslužitelj. Tajni ključ dostavlja se poslužitelju zaštićen posebnom tehnikom enkripcije javnim i privatnim ključevima.

Za uspješno uspostavljanje TLS veze s poslužiteljem banke korisnik mora koristiti pretraživač novijega datuma. Indikator uspješno uspostavljene TLS veze vidljiv je kao sličica zatvorenoga lokota u adresnom polju ili donjem dijelu korisnikova pretraživača, ovisno o odabranom pretraživaču.

Autorizacija platne transakcije

Nakon što je korisnik pripremio platne naloge, a prije nego što se temeljem njih obavi platna transakcija, od korisnika se najčešće zahtijeva dodatna autorizacija, tj. potvrda plaćanja.

Ako je dodatna autorizacija potrebna moguća je istim mehanizmom korištenim za autentifikaciju korisnika, međutim uobičajene su snažnije metode autentifikacije, po potrebi i dodatnim kanalom komunikacije korisnika s bankom. Svrha autorizacije je dodatno onemogućiti upade u vezu korisnik-poslužitelj i to nakon što je već uspješno obavljena identifikacija korisnika.

Preporuke za zaštitu od internetskih prijevara

Banka u pravilu svaka svojim kanalima obavještava klijente o načinima kako se zaštititi prilikom korištenja online bankovnih usluga. Sinteza svih preporuka, dobrih praksa te upozorenja o trenutnim prijetnjama mogu se pronaći na stranicama Hrvatske udruge banaka http://www.sigurnostnainternetu.hr/

U nastavku donosimo najznačajnije preporuke za sigurno korištenje online bankovnih usluga.

Ne slijedite veze (linkove) u sumnjivim porukama e-pošte. 

Internetskom bankarstvu pristupajte direktno putem bankovne web stranice, nikada putem poveznica iz elektroničke pošte ili nekih drugih web stranica jer vrlo vjerojatno nisu pouzdane. Posjećujte poznata web-mjesta upisujući URL direktno u preglednik ili korištenjem veza pohranjenih u mapi Favoriti. Nemojte kopirati i zalijepiti vezu iz poruka u preglednik.

Prijavite neočekivano ponašanje ili nestandardni izgled

Ako na sučelju online bankovnih usluga primijetite:

  • neobičan izgled,
  • gramatički neispravan tekst,
  • čudne znakove (umjesto dijakritičkih znakova).

PREKINITE rad i obratite se službi za pomoć korisnicima.

Nikad ne odgovarajte na poruke elektroničke pošte koje traže osobne podatke. 

Budite oprezni s porukama elektroničke pošte od tvrtki i osoba koje traže osobne podatke ili koje traže njihovo ažuriranje ili potvrdu. Nemojte zvati brojeve navedene u sumnjivim porukama elektroničke pošte. Isto tako nikad nemojte davati osobne podatke putem telefona ako niste sigurni da je poziv legalan.

Banke redovito kontaktiraju svoje klijente putem elektroničke pošte ili telefonski.  Ako Vas banka kontaktira tim komunikacijskim kanalima nikada neće zatražiti:

  • podatke za pristup uslugama ili za autorizaciju transakcija (npr. serijski broj tokena i jednokratna zaporka - OTP)
  • podatke o transakcijskom računu (broj računa, limit, stanje i dr.)
  • PIN za autentifikaciju korisnika kartice i autorizaciju kod platnih transakcija
  • provođenje platnih transakcija ili unos podataka vezanih za transakcijske račune i platne kartice putem aplikacija koje nisu službene aplikacije Banke
  • ponovnu autentifikaciju/autorizaciju potrebnu za nastavak korištenja blokiranih usluga.

Ne šaljite osobne podatke u porukama e-pošte. 

Obične poruke e-pošte nisu kriptirane i ekvivalent su slanju razglednice. Ako morate slati poruke e-pošte za osobne transakcije, pustite da Outlook digitalno potpiše i enkriptira poruku, naravno ako sustav podržava tu opciju.

Poslujte samo s tvrtkama koje znate i kojima vjerujete. 

Poslujte s poznatim i provjerenim tvrtkama koje imaju provjereno dobru reputaciju. Poslovno web-mjesto (npr. internet prodajna mjesta) mora uvijek imati izjavu o privatnosti koja izričito navodi da osobni podaci neće biti otkriveni trećim stranama.

Ne koristite mobilno bankarstvo na uređajima na kojima je modificiranjem sigurnosnih postavki omogućen pristup privilegiranim procesima (tzv. root-ani  ili jailbreak-ani uređaji).

Provjerite kriptira li web-stranica podatke u prijenosu.

U Internet pregledniku provjerite da li unesenoj web-adresi prethodi prefiks https:// umjesto uobičajenog http:// jer je će to značiti da je sav promet kriptiran. Također, dvostruko kliknite na ikonu zaključavanja na traci stanja ili adresnoj traci u pregledniku kako bi se prikazala digitalna potvrda za web-mjesto. Obratite pažnju je li digitalna potvrda izdana od strane globalno priznatog certifikatora. Naziv koji na digitalnoj potvrdi slijedi iza Izdano za trebao bi odgovarati nazivu web-mjesta na kojem mislite da se nalazite. Ako sumnjate da web-mjesto nije ono koje bi trebalo biti, odmah napustite to web-mjesto, prijavite ga i nemojte pratiti upute koje se nalaze na njemu.

Zaštitite svoje računalo. 

Važno je koristiti osobni vatrozid te redovito ažurirati operativni sustav i programe koje koristite na računalu. Također, koristite i redovito ažurirajte softver za zaštitu od malicioznog koda.

Nadgledajte svoje transakcije. 

Pregledajte potvrde narudžbi i izvještaje za kartice i bankovne račune čim ih primite kako biste provjerili da se naplaćuju samo transakcije koje ste proveli. Odmah prijavite sve nepravilnosti na svojim računima na broj telefona koji se nalazi na izvještaju. Transakcije možete lakše pratiti ako za kupnju putem Interneta koristite samo jednu karticu.

Korištenje kreditnih kartica za transakcije putem Internet prodajnih mjesta. 

Na većini online mjesta, vaša osobna odgovornost je ograničena u slučaju krađe podataka o kreditnoj kartici. Suprotno tome, ako koristite debitnu karticu bankovnog računa ili klasičnu debitnu karticu, osobna odgovornost se u pravilu proteže na čitav iznos vašeg bankovnog računa. Preporuka je na Internet prodajnim mjestima koristiti kreditnu karticu s malim kreditnim limitom jer to ograničava količinu novca koja može biti ukradena.