Domače bančništvo je izredno praktična stvar. Pravzaprav si ne morem več predstavljati, da bi vsak mesec stal pred bančnim ali poštnim okencem in čakal, da lahko plačam račune. Vse lepo naredim od doma, ko imam čas in voljo, brez stresa (no ja, recimo temu »infrastrukturnega« stresa, za vsebino, torej količino denarja na mojem računu, elektronko bančništvo ni krivo) in še ceneje. Poleg tega lahko v vsakem trenutku izvem, koliko denarja še imam, kakšno je stanje mojih kreditnih kartic, kreditov, vrednostnih papirjev in še česa. Idealno! Pa je res?
KAKO VARNO JE NAŠE ELEKTRONSKO BANČNIŠTVO?
Zlonamernih programov, posameznikov in združb je veliko. Veliko je namreč ljudi, ki v življenju iščejo bližnjice. In kraje so ena takšnih bližnjic. Je kaj na tem, ko v filmu vidimo, da nekdo kar vtipka številko računa in že nanj ali z njega prenaša denar na Kajmanske otoke ali kaj vem kam? Seveda ne. Kljub temu pa nevarnosti obstajajo. Prednost elektronskega bančništva je v tem, da nam ni treba iti v banko, ampak lahko stvari izvedemo prek spleta. A preko spleta lahko do bančne strani pride vsak, tudi nepridiprav. Kako varno je torej naše sodobno bančništvo?
Preden odgovorimo na to vprašanje, je treba odgovoriti na vprašanje, kako varne so banke. Naj vas kar na začetku kolikor toliko potolažim. Banke, pa naj gre za domače ali tuje, se z elektronskimi transakcijami ukvarjajo že celo večnost. In v tej »večnosti« so seveda imele težave, med drugim tudi varnostne. A te so v največji meri odstranjene, tako da je bankam pravzaprav zelo težko očitati ne-varnost. In to seveda vedo tudi hekerji, kot nepravično imenujemo elektronske nepridiprave. In zato so že pred časom ugotovili, da je treba napasti najšibkejši člen v elektronskem poslovanju med banko in komitenti – uporabnike. In zato vprašanje, ali je banka, kjer imamo naložen denar, res varna, ni tako pomembno. Umestnejše je vprašanje, koliko smo varni mi, uporabniki. Pri tem pa seveda ne gre zanemariti vloge banke – ta je namreč tista, ki je predpisala mehanizem komunikacije med njo in komitenti. Je ta mehanizem varen? Kako varni so PIN, TAN in podobno?
Vsake toliko časa na uredništvo »prileti« kakšno vprašanje na to temo, zato smo se odločili, da na najpogostejše dileme oziroma vprašanja, odgovorimo.
GESLA, GESLA
Eno pogostejših vprašanj pri spletnem bančništvu je povezano z gesli. A ne glede njihove varnosti pač pa, kako varno je shranjevanje gesel v brskalniku. Ljudje smo po naravi pač bolj lene sorte in po nekajkratni uporabi spletnega bančništva nam postane zoprno vsakokratno vpisovanje vseh mogočih gesel. Zato bi radi pač bližnjico in ta je največkrat v obliki možnosti shranjevanja gesel, ki nam jo ponujajo brskalniki. Je to varno?
V splošnem velja, da gesel do občutljivih strani, kar bančništvo vsekakor je, v brskalnikih ne shranjujemo. Tudi v razne posebne upravljalnike gesel ne. Zakaj? Stvar je podobna, kot če bi zaklenili vrata, nato pa ključ dali pod predpražnik ali lončnico. Na prvi pogled so vrata sicer zaklenjena, a kdor zna iskati, bo ključ tudi našel. V upravljalnikih gesel so sicer ta šifrirana, a kljub temu … Res je tudi, da zaenkrat še ni bilo primera, ko bi nekdo prišel do gesla neposredno iz brskalnika, a obstajajo tudi druge metode, kako priti do gesel. Če uporabljate na primer Firefox in pustite računalnik brez nadzora, je do vaših shranjenih gesel dokaj lahko priti – Orodja/Možnosti, izberete varnost in nato Pokaži gesla … Pa so tu! Če seveda ni vključena možnost uporabe glavnega gesla, ki dovoljuje dostop do seznama gesel. Seveda tudi Internet Explorer ni brez »madežev«, saj zanj obstaja cela vrsta programov, s katerimi je mogoče najti shranjena gesla.
Edini pravi recept je torej – Ne shranjujte pomembnih gesel v brskalnik!
SKRIPTI, KONTROLNIKI …
Kar nekaj ljudi je spraševalo, ali so JavaScript, ActiveX in podobno, kar uporabljajo banke v svojih programih za spletno bančništvo, varni oziroma kako lahko dovoljevanje izvajanja teh skriptov in kontrolnikov, vpliva na varnost domačega računalnika. Odgovor na to vprašanje ni tako enostaven.
Skripti imajo zelo slab sloves in marsikdo iz strahu pred tem, da bo dobil v računalnik kakšno golazen, vse skupaj izključi oziroma ne dovoli izvajanja. A s tem si je naredil bolj slabo uslugo, saj mu večina strani, tudi spletnih bančnih programov, ne bo delovala. Druga, manj drastična možnost, za katero se odločajo uporabniki je, da jih mora brskalnik oziroma računalnik vedno vprašati, ali se mu dovoli zagon oziroma izvedba kakšnega programa, skripta, kontrolnika ali česar koli že. S tem se sicer marsikatera spletna stran »usposobi«, a neredko je potrebno tudi pet in več klikov na »Da«, da se zadeva zažene. Kaj je torej varno?
Uporaba JavaScripta, ActiveX in podobnega v kateri koli spletni aplikaciji ne pomeni, da gre za nekaj nevarnega. JavaScript je pravzaprav celo zelo varen, saj teče le v brskalniku in nima dostopa do sistemskih zadev računalnika. Nekoliko drugače je z uporabo komponent ActiveX, saj so te bolje povezane s sistemom in je teoretično mogoče zaobiti varnostne mehanizme, ki jih premore Internet Explorer. Če se že kaj onemogoča ali nastavi tako, da bo Internet Explorer vprašal, ali naj to izvede, potem je to potrebno za ActiveX. Komponente ActiveX lahko pravzaprav v brskalniku čisto izključimo, pri JavaScriptu pa ni tako. Sicer brskalniki izključitev omogočajo, vendar to nima pravega smisla. Veliko, če ne kar večina bančnih portalov deluje s pomočjo tega, poleg tega pa tudi veliko drugih strani, kot na prime Google Maps, Flick in še kopica drugih. Brez JavaScripta bi bilo onemogočeno delovanje vseh, tudi spletnega bančništva. Seveda to ne pomeni, da so vse komponente ActiveX nevarne in vse komponente JavaScript varne. Poleg previdnosti pri obiskovanju spletnih strani je potrebno imeti tudi programe za zaščito pred virusi in podobno nesnago.
ANTIVIRUSI IN DRUŽINA
Naslednje vprašanje, ki se je pojavljalo, je bilo povezano s protivirusnimi programi in vprašanji, ali so ti dovolj za varno spletno bančništvo. Pravzaprav protivirusni programi nimajo nič kaj dosti zveze s spletnim bančništvom. Največja nevarnost pri spletnem bančništvu je tako imenovano ribarjenje (phishing). Postopek poteka tako, da se nepridiprav zamaskira kot resna bančna inštitucija in uporabniku pošlje elektronsko sporočilo, v katerem ga vabi, da klikne na povezavo, ki je v sporočilu. A ta povezava je ponarejena spletna stran banke − ko se uporabnik, misleč, da gre za pravo spletno stran banke, prijavi s podatki, ki jih je dobil od banke, lahko te podatke nepridiprav seveda dobi. Še ena možnost, ki je zadnje čase čedalje zanimivejša, je »prisluškovanje prometu« v nezaščitenih brezžičnih omrežjih. Zato domačega bančništva v takšnih sistemih ni dobro uporabljati, prav tako pa ne tudi na različnih javnih dostopnih točka, internet caféjih in podobnih. Na takšnih mestih je namreč večja možnost, da kdo namesti kak program, ki snema tipkanje (keylogger), obstajajo pa tudi napravice, ki jih je mogoče montirati med tipkovnico in računalnik in ki počnejo prav to. Ste v kakšnem cybercaféju že kdaj preverili kabel tipkovnice? Jaz ne.
Uporabniško ime in geslo sta sicer pomembni zadevi. Zelo pomembni. A za izvajanje transakcij to še ni dovolj. Banke se seveda zavedajo, da golo uporabniško ime in geslo ne zadoščata za varno bančništvo. Zato obstaja kar nekaj načinov, kako ščitijo transakcije. Ponekod sta golo uporabniško ime in geslo, skupaj s številko računa, dovolj le za vpogled v stanje na računu, za izvajanje transakcij pa je večinoma potrebno nekaj več. To pa je na primer prijava prek digitalnega certifikata, uporaba avtentikacijske številke transakcije (TAN), uporaba pametnih kartic in podobno. Prav TAN je metoda, ki je dokaj priljubljena. Enostavno povedano gre za to, da se za vsakega uporabnika tvori seznam številk, običajno okoli 100, od katerih je eno treba vpisati ob vsaki transakciji. Te številke se uporabniku običajno prikažejo prek majhne napravice. Postopek torej poteka nekako takole : v spletno banko se prijavimo z uporabniškim imenom in geslom ali na kak drug način. Ko hočemo izvesti transakcijo, vključimo napravico, ki nam postreže s šest- ali večmestnim številom – to je naš TAN, ki še dodatno varuje zadevo. Nekatere banke imajo dodano še eno stopnjo in to je koda PIN, ki jo je tudi treba vpisati ob transakciji. Nekatere banke uporabljajo v naprej generirane TAN, druge jih generirajo sproti in po nekaj minutah »propadejo« in še kakšna različica ali kombinacija z drugimi metodami bi se našla, vključno z namenskimi programi, bralniki kartic in podobno.
NAJVEČJA NEVARNOST SMO MI SAMI
Seveda zunanjih nevarnosti, kot so napadi ribarjenja in kraje gesel, nikakor ne smemo zanemariti in tudi proti neželenim programom se je treba ustrezno zavarovati, a pri tem se moramo zavedati, da smo največja nevarnost še vedno mi sami. In to zaradi raztresenosti in nepazljivosti. Banke so, kar zadeva plačevanje položnic, svoje naredile. Če na primer narobe prepišemo sklic, ga bančni programi sploh ne sprejmejo, saj številka sklica (običajno) vsebuje tudi kontrolno vsoto oziroma število, tako da napačnega sklica sistem sploh ne sprejme, iz številke računa sistem sam poišče prejemnika, kar je mogoče preveriti in se tako zavarovati pred tem, da bi denar vplačevali na napačne račune. Edino, pred čemer nas banke ne morejo zavarovati je, da vpišemo napačen znesek plačila. Zdaj, ko smo uvedli novo valuto, so postale vrednosti za decimalno vejico zelo pomembne. Pravzaprav je postala pomembna decimalna vejica. In ker je nismo navajeni, se kaj lahko zgodi, da namesto 5,10 evra plačamo 51 ali 510 evrov. To pa je že veliko denarja. Nekatere banke (vseh nismo mogli preveriti, zato ne bomo omenjali imen) imajo vgrajen opozorilni sistem, ki pri večjih vsotah uporabnika vpraša, ali je vsota res pravilna in šele potem dovoli nadaljevati.
Če torej poskrbimo za lastno računalniško varnost, če se držimo navodil poslovanja, ki smo jih dobili od banke in če vse skupaj delamo skoncentrirano, potem se nimamo česa bati. Zaradi elektronskega bančništva našega računa ne bo nihče izpraznil.
Zoran Banovič
