úterý 4. září 2018

"Přihašte se do Vašeho bankovnictví na mém tabletu, prosím!"

Výjimečně jsem zašel na pobočku banky České spořitelny, abych vyřešil nějaké záležitosti. Jako pracovník IT rád řeším věci on-line. Dnes však mé návštěvě napomohly dvě věci. Jednak jsem nebyl schopen na portálu banky najít elektronický dokument pro daňové přiznání (ano, jsem ten šťastný chudák s takřka doživotní hypotékou a rád bych si pár korun odečetl na daních) a také jsem měl cestu kolem s trochou času nazbyt.

Ihned, jak jsem vešel dovnitř, na mne dýchl moderní vzhled celého interiéru. Asi po dvěstě letech zmizely tradiční přepážky. Né, že by na této pobočce ještě před měsícem byly paravány a stoly z leštěného dřeva z první republiky. Co si vzpomínám, tak zde byly poměrně moderní stoly ala současná kancelář z katalogu "openspace pro všechny". Teď však interiér dosáhl změn především v koncepci. Celý prostor byl kompletně předělán. Všechno působí moderně a decentně zároveň. Hned se mi na mysl derou slova jako "google", "apple".... trošku přeháním. Každopádně se jedná o velkou změnu tohoto celkem konzervativního bankovního domu. "Chudáci babičky, které byly celý život zvyklé na přepážky." pomyslím si a sám tápu, kam si vlastně sednu. Celému prostoru totiž dominuje jakýsi centrální kulatý stůl, u které si s pracovníkem banky nejspíš společně sedem. Atmosféra by podle všeho měla navozovat kamarádské a vlídné prostředí a vztah mezi klientem a bankou. No, uvidíme.





Tradičně u automatu obdržím pořadové číslo a jdu si počkat, než půjdu na řadu. Za nedlouho se objeví pracovnice banky ověšená notebookem, tabletem a nějakými papíry, tužkami, kalkulačkamy, pascím strojem:) (sotva to všcho pobere) se neobratně vydává ke kulatému stolu. Sotva se usadí, pokývne na mě. Jdu si k ní přisednout a v hlavě mi vznikají první kritické myšlenky nového look-and-feel prostředí. Evidentně si pracovník musí pro každého klienta tahat veškeré harampádí s sebou, neboť centrální kulatý stůl "rytířů svatého grálu" je vždy před a po odchodu klienta prázdný. Móda holt není vždy ergonomická.


Vyřizuji s paní svoje záležitosti a ptám se, kde se v internetovém bankovnictví nachází inkriminovaný dokument. "Tady máte tablet, přihlašte se svým účtem a já Vám ukážu, kde to najdete."...… Sedím trochu opařený. V mozku se mi honí všechny moderní poučky o internetové bezpečnosti. Slyším dobře? …. po dvou vteřinách ticha zdvořile odmítám s odůvodněním, že své přihlašovací údaje nebudu vkládat do neznámého zařízení. Pracovnici moje odpověď trochu překvapila, nicméně pro zachování celé ceremonie zdvořile nabídne moznost pracovat s DEMO prostředí portálu. Během přípravy ještě pronese, že se jedná o standardní postup, kdy se klient přihlašuje do tohoto společného zařízení bez větších problémů.
Uběhne asi týden a já mám pořád v hlavě nabídku pracovnice banky. Nedá mí to a rozhodu se sesmolit mail s dotazem na info schránku spořitelny.


Dobrý den,                                                                               19. 2. 2018 11:31
Před pár dny jsem šel řešit nějaké záležitosti na pobočku České spořitelny, Částkova 2215/50, Plzeň, 32600 Plzeň.
 

Překvapilo mne, že mi pracovnice pobočky nabídla tablet, abych se na něm přihlásil do svého internetového bankovnictví. Zdvořile jsem odmítl, protože to považuji za bezpečnostní riziko. 
Nezdá se mi správné, aby klient banky zadával přihlašovací údaje do takového přenosného zařízení, které může být poměrně snadno zkompromitováno (ať již zaměstnancem banky, nebo nějakým odborným klientem, který měl zařízení v ruce přede mnou). 
Chápu, že zařízení nejspíš patřilo bance a může být chráněno před instalací škodlivého software, přesto by klientovi neměla být tato možnost vůbec nabízena.
S pozdravem
 
Ing. David Kacetl
Plzeň
Vše je řečeno v mailu. Sám jsem zvědavý, jak se banka vyjádří. Pár dní na to přišla odpověď v papírové podobě.

Verze s vyšším rozlišením. Zajímavé. Zdvořilá, uctivá, sebemrskačská odpověď. Už vidím Lenku Nikodymovou, které přistálo moje hlášení na stole, jak telefonuje ajťákům na všechny strany a snaží se sesmolit politicky korektní vyjádření "aby se vlk nažral a koza zůstala celá". 

Chápu, že pracovník je určitým způsobem "polobůh" a může něco nekalého udělat, je jasné. Ovšem vždy bude (tedy jeho identita) zapsán v auditačním logu dané nekalé bankovní akce a lze tedy pachatele dohledat. Celé riziko spočívá přeci především v krádeži identity. To je ten důvod, proč se nemají zadávat přihlašovací údaje kamkoli. To je podstatou všech phishing útoků, krádeže facebookových a jiných účtů (o kterých nás denně informují nejen taková geniální média jako jsou TV Nova apod.). A jako obrana se pak používají generátory hesel zaslaných papírově poštou, různé dlouhé klíče, které nesmí znát ani pracovník banky (respektive může k ověření vyžadovat například jen část klíče - typicky 2 náhodné znaky při telefonickém ověření). 

Všechny tyto složité procedury pak smázne špatné použití tabletu v bezpečném přístavu bankovní instituce - na pobočce.   

Pokud tedy kdokoli - i pracovník banky - ukradne identitu klienta (jméno/heslo) - právě například pomocí tabletu - nic nebrání udělat neplechu, na kterou nikdo nepříjde.

Skvělé:) 

P.S. Celá věc se stala začátkem roku 2018, dále jsem se tím nezabýval, takže netuším, zda se udály nějaké změny či jestli šlo o ojedinělý případ. Každopádně zadávat přihlašovací údaje kamkoli včetně umaštěného tabletu paní na pobočce nedoporučuji a neschvaluji.