Finparáda Vám pomůže vybrat ten nejvhodnější finanční produkt
Bankovní účtySpořenípenzePůjčkyPojištěníInvesticeSpočtěte sibanky ...

Jak banky chrání svoji e-mailovou komunikaci

14.7.2017  |  Zdeněk Bubák, zpráva Mailkit
  
  


Emailová komunikaceE-mailová komunikace je již několik let zneužívána podvodníky k získání přístupů k bankovním účtům pomocí falešných e-mailů odesílaných jménem bank a finančních institucí. Své zkušenosti s tím mají finanční ústavy po celém světě, včetně ČR. Přinášíme vám výsledky analýzy provedené společností Mailkit, která se zabývala zabezpečením e-mailové komunikace a ochranou domén českých bank.


V nedávném průzkumu společnosti Mailkit odpovědělo 19,2 % respondentů, že se setkali s falešnou výzvou k aktualizaci údajů v internetovém bankovnictví. U vysokoškolsky vzdělaných se jednalo o 28,7 % a v případě Prahy pak o celých 31,2 % respondentů. Takto vysoké procento postižených je vysoké, a proto se odborníci společnosti Mailkit podívali na to, jak jednotlivé finanční ústavy chrání své domény před zneužitím.

Zabezpečení e-mailů na nejvyšší úrovni má pouze jediná banka



Vítězem se tak stala banka HSBC, resp. její česká pobočka, která jako jediná implementovala kompletní ochranu domény hsbc.cz pomocí technologií SPF a DMARC. Tato doména se nepoužívá pro žádnou e-mailovou komunikaci, a tak banka zcela správně nastavila SPF záznam zakazující jakékoliv zprávy z této domény a DMARC pravidlo definující, že veškeré zprávy mají být zamítány a díky reportingu o tom má kompletní přehled.

Srovnání běžných účtů pro občany najdete zde

Pomyslné druhé místo získávají Citibank, ČSOB a Poštovní spořitelna - tyto banky mají korektně nastavené SPF záznamy, které jsou dostatečně restriktivní a mají i DMARC záznam pro dohled. Zatím jsou však zřejmě ve fázi implementace DMARC a mají tak pouze dohledový záznam bez pravidla určujícího, jak naložit se zprávami, které neodpovídají bezpečnostním požadavkům.

reklama

Equa běžný účet - 0 Kč za výběr ze všech bankomatů v ČRvíce

mKonto - běžný účet bez poplatkůvíce

mKonto Business - účet pro podnikatele, který máte rádivíce
ING Konto - výhodný úrok a peníze stále k dispozicivíce
Termínovaný vklad - garantovaná úroková sazba až 2,5 % ročněvíce



Bronz by si odnesla Česká spořitelna za ochranu domény csas.cz a ING Bank za doménu ing.cz. Tento bronz však podle společnosti Mailkit není za ochranu, ale za snahu. Jak csas.cz, tak ing.cz mají implementovány SPF záznamy i DMARC, ale bohužel obojí v podobě, která nemá příliš vysokou hodnotu. Česká spořitelna má pro doménu csas.cz příliš široce pojatý SPF záznam, který autorizuje celou infrastrukturu společnosti Google, což otevírá obrovské množství cest, jak využít cloudové platformy Googlu k vydávání se za doménu csas.cz. ING pak své SPF záznamy má s neutrálním pravidlem, tzn. de facto bez užitku. Obě domény pak pomocí DMARC reportů pouze monitorují rizika. Lze předpokládat, že v obou případech se jedná o součást implementačního procesu, a proto by si zasloužili bronz za snahu. Bohužel obě banky zapomněly na ochranu svých dalších domén, a tak Česká spořitelna u domény servis24.cz používané pro bankovnictví sice nastavila SPF záznamy a tentokrát restriktivně, ale DMARC pravidla zde zcela chybí. ING Bank pak zcela ignorovala zabezpečení domény ingbank.cz.

Bramborové ocenění je pak za validní a dostatečně restriktivní nastavení SPF záznamů. Bramboru by si kromě České spořitelny a její domény servis24.cz, Air Bank za doménu airbank.cz, J&T Banky, mBank a Stavební spořitelny České spořitelny za doménu csst.cz již nevysloužila žádná z kontrolovaných bank.

Kalkulačka Vám odpoví, která banka nabízí účet s nejnižšími poplatky - zde
Kalkulačka spoření, nejvýhodnější spořicí účty od bank i záložen - zde

A kdo jsou ti, kteří se bezpečností emailové komunikace nezabývali tolik, aby byly zvenku vidět nějaké výsledky? Českomoravská stavební spořitelna, Equa Bank, Fio Banka, Hypoteční banka, ING Bank za doménu ingbank.cz, Komerční banka, Modrá pyramida stavební spořitelna, MONETA Money Bank, PPF Banka, Raiffeisenbank, Sberbank, Stavební spořitelna České spořitelny za doménu burinka.cz, Unicredit Bank a Wüstenrot - ti všichni mají své domény podle společnosti Mailkit zcela nezabezpečené.

Vysvětlení použitých pojmů:

Sender Policy Framework (SPF) - klade za cíl omezit možné podvržení odesílatele mailu. Dosahuje toho tak, že doména ve svém TXT záznamu definuje, které servery smí odesílat maily s adresou odesílatele v této doméně. Maily z ostatních serverů jsou potom považovány za možné nebo jisté falzifikáty – podle toho, co záznam o doméně určí.

Domain Message Authentication Reporting and Conformance  (DMARC) - DMARC není samostatnou technologií, ale navazuje na existující SPF a DKIM. Jimi si příjemce ověří, zda dopis vyhověl pravidlům pro odesílání z domény podle MAIL FROM z SMTP a ze kterých domén má platné podpisy. Tyto informace se předají DMARC modulu, jenž zkoumá, zda domény ověřené v SPF nebo DKIM mají něco společného s doménou v hlavičce From. Pokud alespoň jedna uspěje, dá se podle DMARC věřit tomu, že dopis byl skutečně odeslán z uvedené domény. Potenciálně lze sortiment nástrojů pro ověření domény dále rozšiřovat

Zdroj: Lupa.cz, Root.cz

Pozn: Výzkum společnosti Mailkit byl proveden již v 1. pololetí roku 2017. Autor článku nezodpovídá za případně změny, ke kterým od té doby došlo.


      
  


Související články:
Stav otevřeného bankovnictví v Česku. Jaké banky umožní správu cizích účtů?

Česká spořitelna nabízí bezkontaktní platby mobilním telefonem. Zatím jen přes další aplikaci

Srovnání nabídek cestovního pojištění od bank včetně aktuálních akčních nabídek

Přehled fixací a úrokových sazeb na trhu hypoték

Služba cashback má od července změněné podmínky používání. Vyberete více a bez ohledu na výši nákupu



všechny články
Dále v rubrice

Co týden dal s panem Scottem: Kombinované investiční produkty, plány Fio banky, kampaň Sberbank a placení mobilem u ČS

Co týden dal s panem Scottem Podívejte se na další díl seriálu komentářů k dění na finančním trhu za uplynulý týden. Jde především o informace o nových produktech bank, pojišťoven, stavebních spořitelen, záložen a dalších...

Srovnání rychlosti připisování tuzemských mezibankovních plateb

ČNB Loni příznivým směrem upravila Česká národní banka poplatky v platebním systému CERTIS, které platí za mezibankovní převody komerční banky. Tímto krokem připravila prostor pro zrychlení...

Letní novinky v internetovém bankovnictví Komerční banky

Komerční banka Komerční banka ve svém internetovém bankovnictví MojeBanka nedávno přinesla několik novinek. Je jím například jednoduché přeposílání peněz mezi osobními i firemními účty, které funguje...

Stav otevřeného bankovnictví v Česku. Jaké banky umožní správu cizích účtů?

Otevřené bankovnictví Otevřené bankovnictví umožnila evropská směrnice Payment Services Directive 2 známá pod zkratkou PSD2. Cílem této směrnice je vytvoření jednotného platebního trhu prostřednictvím regulace bank...

všechny články v rubrice










   
 
Půjčka Air Bank
Výhodná půjčka vás odmění za včasné splácení
Air Bank


Termínovaný vklad NEY
Úroková sazba až 3,4 % ročně
NEY spořitelní družstvo


NEY konto
Běžný účet zcela ZDARMA
NEY spořitelní družstvo


Equa bank
Užijte si pohodlí běžného účtu se zlatou kartou
Equa bank


Termínovaný vklad CREDITAS
Úroková sazba až 2,5 % ročně
Banka CREDITAS




Bankovní účtySpořeníPenzePůjčkyPojištěníInvesticeSpočtěte siBanky, pojišťovny, ...DomůO FinparáděTiskRedakceNapište nám  


Finparáda - finance na dlani   Všechna práva vyhrazena
Scott & Rose, s.r.o., U Chaloupek 410/5, 182 00 Praha 8, IČ: 26148374, DIČ: CZ26148374, Email: redakce@finparada.cz