Jak banky chrání svoji e-mailovou komunikaci
| 14.7.2017 | Zdeněk Bubák, zpráva Mailkit | |
 E-mailová komunikace je již několik let zneužívána podvodníky k získání přístupů k bankovním účtům pomocí falešných e-mailů odesílaných jménem bank a finančních institucí. Své zkušenosti s tím mají finanční ústavy po celém světě, včetně ČR. Přinášíme vám výsledky analýzy provedené společností Mailkit, která se zabývala zabezpečením e-mailové komunikace a ochranou domén českých bank.
V nedávném průzkumu společnosti Mailkit odpovědělo 19,2 % respondentů, že se setkali s falešnou výzvou k aktualizaci údajů v internetovém bankovnictví. U vysokoškolsky vzdělaných se jednalo o 28,7 % a v případě Prahy pak o celých 31,2 % respondentů. Takto vysoké procento postižených je vysoké, a proto se odborníci společnosti Mailkit podívali na to, jak jednotlivé finanční ústavy chrání své domény před zneužitím.
Zabezpečení e-mailů na nejvyšší úrovni má pouze jediná banka
Vítězem se tak stala banka HSBC, resp. její česká pobočka, která jako jediná implementovala kompletní ochranu domény hsbc.cz pomocí technologií SPF a DMARC. Tato doména se nepoužívá pro žádnou e-mailovou komunikaci, a tak banka zcela správně nastavila SPF záznam zakazující jakékoliv zprávy z této domény a DMARC pravidlo definující, že veškeré zprávy mají být zamítány a díky reportingu o tom má kompletní přehled.
Srovnání běžných účtů pro občany najdete zde
Pomyslné druhé místo získávají Citibank, ČSOB a Poštovní spořitelna - tyto banky mají korektně nastavené SPF záznamy, které jsou dostatečně restriktivní a mají i DMARC záznam pro dohled. Zatím jsou však zřejmě ve fázi implementace DMARC a mají tak pouze dohledový záznam bez pravidla určujícího, jak naložit se zprávami, které neodpovídají bezpečnostním požadavkům.
Bronz by si odnesla Česká spořitelna za ochranu domény csas.cz a ING Bank za doménu ing.cz. Tento bronz však podle společnosti Mailkit není za ochranu, ale za snahu. Jak csas.cz, tak ing.cz mají implementovány SPF záznamy i DMARC, ale bohužel obojí v podobě, která nemá příliš vysokou hodnotu. Česká spořitelna má pro doménu csas.cz příliš široce pojatý SPF záznam, který autorizuje celou infrastrukturu společnosti Google, což otevírá obrovské množství cest, jak využít cloudové platformy Googlu k vydávání se za doménu csas.cz. ING pak své SPF záznamy má s neutrálním pravidlem, tzn. de facto bez užitku. Obě domény pak pomocí DMARC reportů pouze monitorují rizika. Lze předpokládat, že v obou případech se jedná o součást implementačního procesu, a proto by si zasloužili bronz za snahu. Bohužel obě banky zapomněly na ochranu svých dalších domén, a tak Česká spořitelna u domény servis24.cz používané pro bankovnictví sice nastavila SPF záznamy a tentokrát restriktivně, ale DMARC pravidla zde zcela chybí. ING Bank pak zcela ignorovala zabezpečení domény ingbank.cz.
Bramborové ocenění je pak za validní a dostatečně restriktivní nastavení SPF záznamů. Bramboru by si kromě České spořitelny a její domény servis24.cz, Air Bank za doménu airbank.cz, J&T Banky, mBank a Stavební spořitelny České spořitelny za doménu csst.cz již nevysloužila žádná z kontrolovaných bank.
A kdo jsou ti, kteří se bezpečností emailové komunikace nezabývali tolik, aby byly zvenku vidět nějaké výsledky? Českomoravská stavební spořitelna, Equa Bank, Fio Banka, Hypoteční banka, ING Bank za doménu ingbank.cz, Komerční banka, Modrá pyramida stavební spořitelna, MONETA Money Bank, PPF Banka, Raiffeisenbank, Sberbank, Stavební spořitelna České spořitelny za doménu burinka.cz, Unicredit Bank a Wüstenrot - ti všichni mají své domény podle společnosti Mailkit zcela nezabezpečené.
Vysvětlení použitých pojmů:
Sender Policy Framework (SPF) - klade za cíl omezit možné podvržení odesílatele mailu. Dosahuje toho tak, že doména ve svém TXT záznamu definuje, které servery smí odesílat maily s adresou odesílatele v této doméně. Maily z ostatních serverů jsou potom považovány za možné nebo jisté falzifikáty – podle toho, co záznam o doméně určí.
Domain Message Authentication Reporting and Conformance (DMARC) - DMARC není samostatnou technologií, ale navazuje na existující SPF a DKIM. Jimi si příjemce ověří, zda dopis vyhověl pravidlům pro odesílání z domény podle MAIL FROM z SMTP a ze kterých domén má platné podpisy. Tyto informace se předají DMARC modulu, jenž zkoumá, zda domény ověřené v SPF nebo DKIM mají něco společného s doménou v hlavičce From. Pokud alespoň jedna uspěje, dá se podle DMARC věřit tomu, že dopis byl skutečně odeslán z uvedené domény. Potenciálně lze sortiment nástrojů pro ověření domény dále rozšiřovat
Zdroj: Lupa.cz, Root.cz |
Pozn: Výzkum společnosti Mailkit byl proveden již v 1. pololetí roku 2017. Autor článku nezodpovídá za případně změny, ke kterým od té doby došlo.
všechny články | |
Dále v rubrice
Jak financovat nemovitost bez hypotéky
Financování bydlení bez hypotečního úvěru. Možností je několik. Jaké to jsou a jaké mají klady a zápory?
|
Denní zprávy
Zajímá vás svět finančních produktů a služeb, ale i ekonomická témata? Každý všední den pro vás připravíme přehled těch nejzajímavějších informací a novinek z finančního trhu za den předchozí. Sledujte naše...
|
Platby na kontakt: hodně klientů, málo plateb
Snazší posílání peněz mezi lidmi pomocí telefonního čísla namísto čísla bankovního účtu už půl roku umožňuje služba Platby na kontakt. Za tu dobu se do ní přihlásilo půl milionu klientů šestice bank, které tento typ transakcí umožňují...
|
Digitalizace bank - co si nově můžete sjednat online?
Banky svým klientům stále více nabízejí možnost sjednání produktů a služeb z pohodlí domova. Novinky v online sjednání představila Raiffeisenbank a ČSOB. Raiffeisenbank umožňuje od poloviny března právnickým osobám zakládat účty online a klienti ČSOB...
|
všechny články v rubrice
|