V poslední době se čím dál častěji objevují phishingové útoky na klienty bank.
Podvodníci vytvoří stránky podobné těm bankovním a snaží se z klientů dostat přihlašovací údaje k jejich účtům.
Tito podvodníci však nemohou mít platné bankovní certifikáty pro zabezpečenou komunikaci a slušný prohlížeč naštěstí před neplatným
či nedůvěryhodným certifikátem varuje. Běžní uživatelé pro velmi často rozlišují podvodné stránky dle toho, že nemají platný certifikát.
Co když ale banka opravdu používá neplatný certifikát?
Když jsem se po delší době hlásil k internetovému bankovnictví Živnobaky, moje Opera mě okamžitě varovala, že certifikát pro Java applety je prošlý a tudíž neplatný:
Napsal jsem proto do banky a opravdu – od 16.11. se používá neplatný certifikát a nikomu v bance to nevadilo. Argument, že nejpoužívanější prohlížeč Internet Explorer ani ve své poslední verzi 7.0 v nastavení nejvyššího zabezpečení před neplatným certifikátem Java appletů nevaruje, není akceptovatelný. Musím se zeptat – jak je možné, že si banka dovolí takvou amatéřinu? Vždyť důvěra klientů se rychle ztrácí a těžko nabývá zpět.
Že internetové bankovnictví Živnobanky vytváří začátečníci, kteří i přes upozornění nejsou schopni používat standardizovaný kód použitelný pro všechny prohlížeče, ale píšou ho na míru Internet Exploreru (např. používání tagu ALT namísto TITLE), to jsem si již zvykl. Ale že bude banka ve svém internetovém bankovnictví dlouhých 18 dní používat neplatný certifikát, to je opravdu síla. Již jsem na to upozornil a chyba bude prý v nejbližších dnech opravena. Nepříjemná pachuť, že jsem narazil na diletanty, co si nejsou schopni zabezpečit ani internetbanking, však přetrvává. Vždyť jak se zachová klient na phishingové stránce, když si u své vlastní banky zvykne na to, že pro vstup do internetbankingu je třeba odkliknout varování, že se používá neplatný certifkát? Kde má banka mechanismy, které by podobným problémům předešly?
Ty jsi ale chytrolín. Ne, že bys neměl pravdu, ale kdybys věděl …
Na druhé straně se musím zastat firmy BSC = dodavatel aplikace internet.bankovnictví nejen do ŽB,ale i do asi 3 dalších bank v ČR (třeba Reifeisen – jen mají jiný kabát). To nejsou začátečníci a jejich produkt je vnitřně ten nejlepší internet.bankovní systém u nás (pochopitelně po eBance, ale to je jiná kategorie), jak po stránce úplnosti, tak bezpečnosti. Můžeš mi doporučit nějaký jiný (ne eBanku), který by fungoval i v Linuxu (byť Gemini se to daří s odřenýma ušima i zády)? Proti MSIE vylaďují své systémy (nejen pro bankovnictví) skoro všichni. Je to špatně, ale těch pár lidí, co se v ŽB o to stará, se aspoň snaží,aby to doladili i proti dalším prohlížečům (navzdory požadavkům marketinku, vlastně o své vlastní vůli).
[1] Díky na názor. Částečně máš pravdu, že BSC má jedno z lepších bankovnictví. Tento fakt ale spíš svědčí o tom, jak mizerné to u nás je než jaký má BSC špičkový produkt.
Problémy, které však řeším, nejsou nějaké náročné špeky, kde musí člověk bojovat s rozličnými systémy a různorodými technologiemi. Jde o elementární záležitosti týkající se standardů okolo HTML a HTTP.
Člověk, co neví, k čemu je atribut ALT a k čemu TITLE a dokonce ani přes upozornění na to nebere zřetel, nezaslouží příznivějšího označení než ňouma.
To samé s tím cerfitikátem. To není o tom, že jde o technologicky něco náročného, co nikdo neumí. Nastavit platný certifikát a ten pravidelně obnovovat, ať už automaticky nebo ručním zásahem, je přece jedna z nejjednodušších operací.
Navíc nevím, proč z toho všeho vyjímáš eBanku. Ta má bankovnictví funkční skoro všude a už dlouhá léta.