SAVJETI

Internetskim se bankarstvom nemojte koristiti na računalima na kojima radi velik broj ljudi, primjerice, u cyber cafeima ili kioscima.

Kad se koristite internetskim bankarstvom, provjeravajte je li adresa ispisana u internetskom pretraživaču točna, a posebno pripazite na eventualne pravopisne pogreške.

Prije upotrebe provjerite je li na stranici na koju namjeravate upisati svoje podatke i certifikat koji potvrđuje autentičnost stranice.

Nikada se ne spajajte na svoj račun preko linka koji vam je došao e-mailom u ime banke. Vjerojatno ćete postati žrtva phishinga.

Banke nikada ne šalju zahtjeve e-mailom u kojem vas traže povjerljive podatke. Budite oprezni čak i ako e-mail sadržava sve elemente i standardni dopis banke te link koji vodi na njezinu stranicu. Nikada ne odgovarajte na takve e-mailove jer na taj način samo potvrđujete da je e-mail adresa aktivna i da se e-mailovi na njoj redovito čitaju.

Ako ne možete zapamtiti PIN, nemojte ga držati uz karticu ili token.

Povremeno provjeravajte promet na svom računu kako biste uočili eventualne tragove nepoznatih transakcija.

Najranjiviji dio komunikacije je putovanje podataka. Međutim, zahvaljujući enkripciji, podaci koji putuju internetom vidljivi su u pravom značenju samo pošiljatelju i primatelju, a eventualnoj trećoj osobi koja ih presretne predstavljaju nerazumljiv niz računala ‘provaljuju’ u banke i kradu milijune.

Kriptiranje podataka, korištenje tokena ili pametne kartice te neke složene zaštite računalnih sustava trenutačno su standard za sigurno korištenje internet bankarstva, a primjenjuju ih sve banke u Hrvatskoj koje nude ovu uslugu.

Pri korištenju bankarstva preko interneta najranjiviji je dio u kojemu podaci s korisnikova računala putuju prema računalu banke i obratno. Zlonamjerni korisnici teoretski mogu na mjestu na kojemu prolaze ti podaci ‘prisluškivati’ i iskoristiti ih na štetu korisnika. Rješenje za ovaj problem pronađeno je u enkripciji podataka. Na taj su način podaci koji putuju internetom vidljivi u punom značenju samo pošiljatelju i primatelju, a za eventualnu treću osobu koja ih presretne tek su nerazumljiv niz.

Internetsko bankarstvo koristi 128-bitnu enkripciju, koja je trenutačno jedna od najnaprednijih tehnologija za osiguravanje komunikacijskog kanala koji se formira između korisničkog računala i računala banke. Enkripcijom osjetljivih informacija eliminira se mogućnost korištenja tih podataka od strane trećih osoba, jer su zahvaljujući naprednoj tehnologiji vidljivi samo pošiljatelju i primatelju, dok svima ostalima izgledaju kao niz posve neuporabljivih slovnih i brojčanih oznaka. Za razbijanje kriptiranih podataka, pogotovo onih kod kojih su korišteni 128-bitni ključevi, današnjim najjačim računalima treba nekoliko godina.

Pri korištenju nekog od servisa poslovanja putem interneta nužno je osigurati zaštitu tajnosti informacija (spriječiti otkrivanje njihova sadržaja), integritet informacija (spriječiti neovlašteno izmjene informacija) te autentičnost informacija.

U svijetu elektroničkog poslovanja kao standard koristi se Security Socket Layer (SSL) protokol, dok se u nešto manjoj mjeri koristi i Secure Electronic Transactions (SET) protokol. Razlog dominacije SSL protokola ponajprije treba potražiti u relativno jednostavnoj implementaciji od strane banke te vrlo jednostavnom korištenju krajnjih korisnika. SSL osigurava privatnost, integritet podataka te autentičnost korisnika korištenjem kombinacije šifriranja javnim ključem, simetričnog šifriranja te digitalnih certifikata.

Pri korištenju neke od aplikacija internetskog bankarstva koja koristi SSL protokol, server (računalo banke) šalje svoj digitalni certifikat klijentu (računalu korisnika), koji zatim provjerava njegovu autentičnost. Kad je autentičnost potvrđena, klijent i server izmjenjuju javne ključeve, klijent generira tajni ključ korištenjem serverova javnog ključa i šalje ga serveru te u daljnjoj komunikaciji server i klijent koriste isti tajni ključ.

U praksi se danas za autorizaciju korisnika koriste token i pametna kartica. Pametna kartica ili smart card u sebi ima ugrađen čip s pohranjenim jedinstvenim ključevima, od kojih je jedan javni, a drugi tajni. Javni ključ sadrži osnovne podatke o korisniku, dok se privatni ključ koristi kao korisnikov potpis kojim se potvrđuje svaka transakcija. Svrha digitalnog potpisa je u tome da potvrdi autentičnost sadržaja poruke, što je dokaz da se poruka nije mijenjala na svom putu od klijentova računala do servera te identificira identitet pošiljatelja.

Tokeni su uređaji malih dimenzija s numeričkom tipkovnicom i ekranom, a služe za generiranje jednokratnih lozinki. Za aktiviranje tokena nužan je aktivacijski kod – PIN, koji omogućava njegov rad. Kao starije sredstvo od pametnih kartica tokeni su se u Hrvatskoj pojavili potkraj devedesetih godina (točnije 1999. godine) i smatraju se vrlo pouzdanim sredstvom za autorizaciju korisnika.

PIN-ovi koji se koriste pri radu s pametnim karticama ili za aktiviranje tokena nisu nigdje pohranjeni, a ni pod kojim se okolnostima ne šalju elektroničkim putem.

Najveća ‘rupa’ u sigurnosnom sustavu upravo je sam korisnik, jer se metodama socijalnog inženjeringa od njega prijevarom mogu dobiti podaci koji se mogu zloupotrabiti. Iako je elektroničko poslovanje u funkciji internetskog bankarstva s tehničke strane, kao što smo istaknuli, iznimno sigurno, nužno je poštovati nekoliko pravila kako biste bili sigurni da sve transakcije putem interneta obavljate isključivo vi, uz minimalnu mogućnost da se zlonamjerni korisnik koristi vašim računom. Tajnost PIN-a najvažniji je segment u cijeloj priči. Ako za PIN koristite neki ‘lagan broj’ (0000, 1234 i slično), ili pak broj usko vezan uz neki osobni podatak (primjerice, datum rođenja, prvi brojevi telefona), ili ga držite napisanog uz token, karticu ili na radnom stolu, u slučaju krađe nekog od identifikacijskih uređaja (token, pametna kartica) ne postoji sigurnosni mehanizam koji bi mogao spriječiti zloupotrebu računa. Zato treba biti vrlo oprezan pri korištenju ovih usluga s računala na kojemu radi veći broj ljudi (npr. računala u internet caffeu ili u predvorju hotela), a pogotovo oprez i pažljivo čitanje svakog prozora ili okvira koji se pojavi u radu s ovim aplikacijama.

U posljednjih nekoliko mjeseci u velikoj je mjeri prisutan i phishing, tehnika maskiranja URL adresa. Korištenjem specijalnih tehnika, URL adrese navedene unutar poruka elektroničke pošte korisnika preusmjeravaju na maliciozne web stranice, koje su svojim izgledom vrlo slične, najčešće gotovo identične web stranicama financijske ustanove koja se želi lažno prikazati. Zbog toga prije svakog korištenja pomno provjerite nalazite li se na pravoj stranici financijske ustanove čiji ste klijent, a jedna od metoda je i provjera certifikata. Ne nasjedajte na e-mailove koji mogu izgledati kao da ih je poslala financijska kuća, a pogotovo ako od vas traže da pošaljete neke povjerljive podatke preko interneta.