Finparáda Vám pomůže vybrat ten nejvhodnější finanční produkt
Bankovní účtySpořenípenzePůjčkyPojištěníInvesticeSpočtěte sibanky ...

Jak banky chrání svoji e-mailovou komunikaci

14.7.2017  |  Zdeněk Bubák, zpráva Mailkit
  
  


Emailová komunikaceE-mailová komunikace je již několik let zneužívána podvodníky k získání přístupů k bankovním účtům pomocí falešných e-mailů odesílaných jménem bank a finančních institucí. Své zkušenosti s tím mají finanční ústavy po celém světě, včetně ČR. Přinášíme vám výsledky analýzy provedené společností Mailkit, která se zabývala zabezpečením e-mailové komunikace a ochranou domén českých bank.


V nedávném průzkumu společnosti Mailkit odpovědělo 19,2 % respondentů, že se setkali s falešnou výzvou k aktualizaci údajů v internetovém bankovnictví. U vysokoškolsky vzdělaných se jednalo o 28,7 % a v případě Prahy pak o celých 31,2 % respondentů. Takto vysoké procento postižených je vysoké, a proto se odborníci společnosti Mailkit podívali na to, jak jednotlivé finanční ústavy chrání své domény před zneužitím.

Zabezpečení e-mailů na nejvyšší úrovni má pouze jediná banka



Vítězem se tak stala banka HSBC, resp. její česká pobočka, která jako jediná implementovala kompletní ochranu domény hsbc.cz pomocí technologií SPF a DMARC. Tato doména se nepoužívá pro žádnou e-mailovou komunikaci, a tak banka zcela správně nastavila SPF záznam zakazující jakékoliv zprávy z této domény a DMARC pravidlo definující, že veškeré zprávy mají být zamítány a díky reportingu o tom má kompletní přehled.

Srovnání běžných účtů pro občany najdete zde

Pomyslné druhé místo získávají Citibank, ČSOB a Poštovní spořitelna - tyto banky mají korektně nastavené SPF záznamy, které jsou dostatečně restriktivní a mají i DMARC záznam pro dohled. Zatím jsou však zřejmě ve fázi implementace DMARC a mají tak pouze dohledový záznam bez pravidla určujícího, jak naložit se zprávami, které neodpovídají bezpečnostním požadavkům.




Bronz by si odnesla Česká spořitelna za ochranu domény csas.cz a ING Bank za doménu ing.cz. Tento bronz však podle společnosti Mailkit není za ochranu, ale za snahu. Jak csas.cz, tak ing.cz mají implementovány SPF záznamy i DMARC, ale bohužel obojí v podobě, která nemá příliš vysokou hodnotu. Česká spořitelna má pro doménu csas.cz příliš široce pojatý SPF záznam, který autorizuje celou infrastrukturu společnosti Google, což otevírá obrovské množství cest, jak využít cloudové platformy Googlu k vydávání se za doménu csas.cz. ING pak své SPF záznamy má s neutrálním pravidlem, tzn. de facto bez užitku. Obě domény pak pomocí DMARC reportů pouze monitorují rizika. Lze předpokládat, že v obou případech se jedná o součást implementačního procesu, a proto by si zasloužili bronz za snahu. Bohužel obě banky zapomněly na ochranu svých dalších domén, a tak Česká spořitelna u domény servis24.cz používané pro bankovnictví sice nastavila SPF záznamy a tentokrát restriktivně, ale DMARC pravidla zde zcela chybí. ING Bank pak zcela ignorovala zabezpečení domény ingbank.cz.

Bramborové ocenění je pak za validní a dostatečně restriktivní nastavení SPF záznamů. Bramboru by si kromě České spořitelny a její domény servis24.cz, Air Bank za doménu airbank.cz, J&T Banky, mBank a Stavební spořitelny České spořitelny za doménu csst.cz již nevysloužila žádná z kontrolovaných bank.

Žebříček s nejlepšími spořicími účty podle odborníků - zde
Žebříček s nejlepšími osobními účty podle odborníků - zde

A kdo jsou ti, kteří se bezpečností emailové komunikace nezabývali tolik, aby byly zvenku vidět nějaké výsledky? Českomoravská stavební spořitelna, Equa Bank, Fio Banka, Hypoteční banka, ING Bank za doménu ingbank.cz, Komerční banka, Modrá pyramida stavební spořitelna, MONETA Money Bank, PPF Banka, Raiffeisenbank, Sberbank, Stavební spořitelna České spořitelny za doménu burinka.cz, Unicredit Bank a Wüstenrot - ti všichni mají své domény podle společnosti Mailkit zcela nezabezpečené.

Vysvětlení použitých pojmů:

Sender Policy Framework (SPF) - klade za cíl omezit možné podvržení odesílatele mailu. Dosahuje toho tak, že doména ve svém TXT záznamu definuje, které servery smí odesílat maily s adresou odesílatele v této doméně. Maily z ostatních serverů jsou potom považovány za možné nebo jisté falzifikáty – podle toho, co záznam o doméně určí.

Domain Message Authentication Reporting and Conformance  (DMARC) - DMARC není samostatnou technologií, ale navazuje na existující SPF a DKIM. Jimi si příjemce ověří, zda dopis vyhověl pravidlům pro odesílání z domény podle MAIL FROM z SMTP a ze kterých domén má platné podpisy. Tyto informace se předají DMARC modulu, jenž zkoumá, zda domény ověřené v SPF nebo DKIM mají něco společného s doménou v hlavičce From. Pokud alespoň jedna uspěje, dá se podle DMARC věřit tomu, že dopis byl skutečně odeslán z uvedené domény. Potenciálně lze sortiment nástrojů pro ověření domény dále rozšiřovat

Zdroj: Lupa.cz, Root.cz

Pozn: Výzkum společnosti Mailkit byl proveden již v 1. pololetí roku 2017. Autor článku nezodpovídá za případně změny, ke kterým od té doby došlo.


      
  


Související články:
Česká spořitelna ve znamení velkých změn: nová centrála, nové webové stránky a nové přímé bankovnictví

Jak na novinku skenování obličeje mobilem reagují české banky? Kdy Face ID najdete v mobilním bankovnictví?

Změny poplatků u bank, ale i u dalších společností včetně platformy Zonky v září

Soutěže pro děti a studenty pořádané bankami na začátku školního roku. Je libo MacBook nebo peníze?

Změny v poplatcích a produktech bank v srpnu. Do svého sazebníku provedlo menší zásah více bank



všechny články
Dále v rubrice

Jaké zážitky čekají majitele karet Mastercard v Praze? Program Priceless Cities vstoupil i do Česka

Priceless Prague Společnost Mastercard dnes novinářům představila celosvětový zážitkový program Priceless Cities, který právě vstoupil do České republiky. Praha se dostala do společnosti měst jako jsou Londýn, Chicago...

Přes dvě třetiny Čechů používá mobilní telefon ke správě financí a k platbám. V Evropě je to v průměru více

Mobilní telefon Zatímco v bezkontaktních platbách jsou Češi světovou špičkou, u využívání mobilního telefonu nebo jiného přenosného zařízení k finančním transakcím tomu tak není. I když 67 % občanů ČR využívá...

Česká spořitelna ve znamení velkých změn: nová centrála, nové webové stránky a nové přímé bankovnictví

Česká spořitelna Českou spořitelnu a její klienty čekají v blízké i ve středně vzdálené budoucnosti velké změny. Banka se rozhodla přestěhovat svoji centrálu z budov u stanice metra Budějovická do novostavby, která...

Sportovní benefity poskytuje svým zaměstnancům 70 % firem. Roste využívání karty MultiSport

Sport pro zaměstnance Sportovní aktivity nabízí jako zaměstnaneckou výhodu již více než dvě třetiny českých firem. Plně je hradí 32 procent zaměstnavatelů a 38 procent je určitou výší dotuje. Vyplývá to z průzkumu...

všechny články v rubrice










   
 
Termínovaný vklad ANO
Úroková sazba až 3,2 % ročně
ANO spořitelní družstvo


Minutová půjčka
s RPSN od 5,9 %
Equa bank


Equa bank
Užijte si pohodlí běžného účtu se zlatou kartou
Equa bank


Studentské Konto G2.2
nyní s bonusem 350 Kč za platný ISIC
Komerční banka


MůjÚčet od KB
za 0 Kč měsíčně s garancí kvality
Komerční banka




Bankovní účtySpořeníPenzePůjčkyPojištěníInvesticeSpočtěte siBanky, pojišťovny, ...DomůO FinparáděTiskRedakceNapište nám  


Finparáda - finance na dlani   Všechna práva vyhrazena
Scott & Rose, s.r.o., U Chaloupek 410/5, 182 00 Praha 8, IČ: 26148374, DIČ: CZ26148374, Email: redakce@finparada.cz