Článek
Česká republika je, co se týče kyberútoků, jedna z nejpostiženějších zemí v Evropě. Jak je na tom český bankovní sektor?
Na bankovní klienty registrujeme v poslední době spoustu útoků. A to ať už se jedná o klasické útoky typu phishing vedené přes internet, nebo různé telefonní podvody, kdy jim podvodníci volají a snaží se od nich získat různé citlivé údaje, například přihlašovací údaje a hesla k účtům. Případně chtějí klienty donutit, aby odeslali platbu na jejich účty.
Vaše bankovnictví přestane fungovat, zkouší podvodníci napálit důvěřivce
Oproti stavu před několika lety je jednoznačně vidět rostoucí trend. Pomohla tomu i situace kolem covidu, kdy v podstatě všichni byli zavření doma a seděli u internetu včetně hackerů a podvodníků.
Internetové útoky před pěti lety byly většinou e-maily psané špatnou češtinou. Teď už se objevují i důmyslné telefonáty. Znamená to, že už podvodníci působí přímo tady?
To je spíš otázka na policii. My máme informace, že útoky na české klienty sice probíhají, ale volá se často ze zahraničí, jsou za tím různé organizované skupiny. A ne vždy se musí jednat o úplně dobrou češtinu. Co víme od klientů, často říkají, že podvodníci měli ruský přízvuk.
Pokud jde o e-maily, jsou již psány poměrně dobrou češtinou. Dá se z nich ale vypozorovat pár varovných signálů. Třeba že na mě někdo tlačí, abych někam klikl, a snaží se vzbudit dojem časové tísně ve smyslu: Pokud teď někam nekliknete, tak vám zablokujeme účet nebo přijdete o peníze.
Jak taková klasická snaha obrat někoho o peníze na účtu vypadá?
V současnosti víme o několika probíhajících kampaních. Jedna, se kterou se potýkáme už dlouho, cílí na celý finanční sektor. Podvodníci se vydávají za Českou poštu. Posílají lidem zprávy, že obdrželi přeplatek na daních nebo něco podobného. Po rozkliknutí odkazu se otevře stránka, která se tváří jako web České pošty. Je tam její logo a nějaká poštovní poukázka, s jejíž pomocí jsou oběti přesvědčovány, že obdržely již zmíněný přeplatek. A aby jim ho mohl někdo zaslat, musí kliknout na odkaz a přihlásit se do své banky.
Žena uvěřila, že ji oslovila Česká pošta, vyplnila údaje a přišla o 75 tisíc korun
V tom momentě odevzdají útočníkovi přihlašovací údaje do svého internetového bankovnictví. Ten má pak jejich účet pod kontrolou. Vždy je proto důležité zkontrolovat adresu, na které se do internetového bankovnictví hlásím. Pokud se liší byť jen jediným znakem, pravděpodobně se jedná o podvod. A právě na nepozornost uživatelů útočníci sázejí.
A ty další způsoby?
Podvod obvykle probíhá tak, že klienti obdrží od útočníků odkaz na webovou stránku, která se tváří jako internetové bankovnictví. Ve skutečnosti je to phishingový formulář. Klient zadá přihlašovací údaje, SMS a útočníci je převezmou a pod jeho identitou se přihlásí do skutečného bankovnictví, kde zaregistrují nové mobilní zařízení. V dalším kroku klienta přinutí vydat i potvrzovací kód, čímž dojde k autorizaci a útočníci mají mobilní zařízení, které může s účtem plně nakládat.
Ještě se vrátím k těm telefonátům. Často vypadají tak, že útočníci předstírají, že jsou z banky. I to číslo vypadá jako z banky. Jak toho docílí?
Buďto jsou to zahraniční čísla, nebo nějaká mobilní čísla, kde se někdo vydává za pracovníka banky. Tam se to dá poměrně snadno odhalit, protože se nejedná o číslo call centra dané instituce. Horší ale je, že se dá, když to umíte, snadno podvrhnout takzvané caller ID, tedy identifikátor volajícího. Tohle je bohužel vlastnost celé telefonní sítě. Je zkrátka možné vydávat se za nějaké telefonní číslo a ani operátoři nemají úplně možnost tomu předejít.
Množství kyberkriminality stoupá v Pardubickém kraji až o čtvrtinu ročně
Jak se tomu tedy bránit?
Pokud volá někdo z banky a vyžaduje citlivé informace, je bezpečnější hovor ukončit a zavolat přímo na call centrum banky, které si najdu na jejích oficiálních webových stránkách.
Tedy položit to a vyťukat číslo znovu? Nevolat nazpět na to číslo, z něhož hovor přišel?
V podstatě ano. Pokud si nejste jistí, kdo vám volal, je bezpečnější toho volajícího slušně odmítnout, zavěsit a volat do banky. Tam už budou operátoři vědět, zda s vámi opravdu hovořili. Není pro ně problém začít řešit danou věc znovu nebo vás přepojit. Pokud nic nevědí, tak se s největší pravděpodobností jednalo o podvod.
Občas když podvodníci volají, tak prý říkají: Pokud nám nevěříte, můžete zavolat tomu a tomu policistovi, tady máte jeho telefonní číslo. Často se jedná o jméno reálného policisty, které si najdou někde na webu. S tím jste se setkali?
Klienti nám nesdělili, že by byli cílem nějakého takového útoku. Ale opravdu se často podvodníci snaží pod nějakou legendou vzbudit dojem, že jsou oprávnění něco žádat. Pokud by ale volal policista, pravděpodobně se nebude ptát na přístupové údaje do internetového bankovnictví nebo přesvědčovat, abych je předal někomu jinému nebo někomu poslal peníze. V ten moment bych zavěsil a volal 158.
Česká republika patří k zemím, kde hackeři prolamují účty nejčastěji
Hodně často se objevují útoky, kdy podvodníci lidi nutí, aby vybrali peníze a investovali je do bitcoinů. Jak to probíhá?
Tento způsob podvodu útočníci využívají, protože kryptoměny obecně jsou obtížně dohledatelné. Útočníci se také vezou na vlně jistého nadšení z nich a vidiny rychlého zbohatnutí, kdy lidé čtou, že někdo investoval do bitcoinu a vydělal na tom sto procent za rok. Lidem, kteří jsou neznalí, často někdo volá a přesvědčuje je, aby vybrali peníze z bankomatu a peníze vložili na kryptoúčet v bitcoinmatu. Kód, který jim to vygeneruje, odevzdají útočníkům. Je to stejné, jako kdyby jim na ulici dali svoji peněženku.
Taky se často stává, že někdo něco prodává, a útočník z něj vytáhne i statisíce korun místo toho, aby mu sám za danou věc zaplatil. Setkáváte s tím?
To jsou takzvané bazarové podvody. Když někdo na bazarových portálech prodává třeba oblečení nebo nábytek, často se setkáváme s tím, že se během pár minut po zveřejnění inzerátu někdo ozve, někdy i ze zahraničního čísla, a tvrdí inzerentovi, že o zboží má zájem a že pošle platbu dopředu.
Každý třetí Čech se setkal s podvodníky v internetovém bazaru
Víme o jednom scénáři, kdy podvodník tvrdí, že vloží peníze na platební kartu inzerenta. Ten je pak podvodníkem donucen, aby zadal svoje údaje o platební kartě do nějakého webového formuláře, na který mu „zájemce o zboží“ pošle odkaz. Tím dojde k tomu, že jsou ukradeny údaje o platební kartě.
Další scénář vysvětlím na příkladu. Syn jedné paní prodával boty na bazarovém webu a kontaktovali ho útočníci, kteří mu tvrdili, že zašlou platbu na jeho internetové bankovnictví a aby se tady přihlásil na daném odkazu. Ten byl ještě nezletilý, neměl vlastní účet a poslal to mamince. A právě bohužel kvůli tomu, že to byl vztah matka-syn, se maminka přihlásila na odkazu do internetového bankovnictví. V ten moment došlo k odevzdání údajů útočníkům a k vybílení účtu v řádu několika stovek tisíc.
Může se stát, že se ze mě někdo pokusí podobné údaje vylákat, když třeba prolomí facebookový účet mé přítelkyně, rodiče a podobně?
Může se stát, že vám podvodník pod identitou někoho, koho znáte, zašle zprávu, že potřebuje, abyste za něj něco zaplatil. V případě sebemenšího podezření je nejlepší tomu člověku zavolat nebo ho kontaktovat jiným kanálem. Píše mi na Facebooku, tak mu zavolám na WhatsApp. Protože se může stát, že někdo ukradl jeho identitu na sociální síti a vydává se za něj.
Zapamatovat si všechna hesla většina lidí nezvládne. Češi je recyklují
Jak často se setkáváte s tím, že jsou přeprodávány přístupové údaje k účtům klien tů, jak často to odhalíte?
Pokud jde o přístupové údaje, využíváme už dva roky zpravodajství o kybernetických hrozbách od zahraničního dodavatele. Ten prohledává celý kyberprostor včetně internetu, nejrůznějších webů nebo takzvaného deep a dark netu, kde se mohou na nejrůznějších fórech prodávat kradené identifikační údaje, platební karty nebo přihlašovací údaje do internetového bankovnictví našich klientů.
My jsme dodavateli vygenerovali pevně daný set informací, které nás zajímají. Třeba tzv. BIN čísla neboli prvních šest číslic platební karty, které identifikují vydavatelskou banku. Na základě toho dodavatel prohledává internet, a pokud tam najde, že někdo přeprodává platební karty patřící našim klientům, nahlásí nám to. My už si ověříme, zda je to karta našeho klienta. V případě, že je aktivní, okamžitě ji blokujeme, abychom předešli potenciálnímu podvodu. Předáváme to kolegům na kontaktní centrum a ti volají klientovi, co se stalo, že někde došlo ke kompromitaci jeho údajů. A zdarma mu vystavíme novou platební kartu a vysvětlíme, na co si dávat pozor.
Jakým způsobem se ty údaje u podvodníků ocitnou?
Může to být v rámci nějaké phishingové kampaně, kdy člověka útočníci donutí, aby někam zadal platební údaje, nebo to může být napadený e-shop, kde platil kartou. Historicky vím o několika případech, kdy útočníci využili zranitelnost na dané stránce a pomocí toho se nabourali do platební brány. Někdo si třeba kupoval lístky na koncert, zadal tam číslo karty včetně expirace a CVV kódu. A k čemu došlo? Ono to umožnilo platbu, ale zároveň to zkopírovalo potřebné údaje útočníkům. Ti je mohli dál zneužít. Na darknetu se prodávají celé sady karet za 10 či 20 dolarů. To je první možnost jejich monetizace. Druhá je, že se s nimi pokoušejí někde zaplatit.
A mám nějakou šanci se tomu bránit?
Dávat si pozor, kam zadávám svoje platební údaje. V případě, že jde o e-shop, to člověk těžko odhalí, je to spíš vina toho poskytovatele. Rozhodně bych ale nezadával svoje platební údaje někam veřejně na internetu, že bych je posílal přes zprávu na sociálních sítích nebo si je dával někam na tzv. zeď na Facebooku. To není dobrý nápad.
Když se stanu obětí podvodu, má banka ještě nějakou šanci dané peníze zablokovat?
Zde hraje klíčovou roli čas. Čím dříve si to uvědomím, tím je větší šance, že se bance podaří někde ty peníze zastavit. Také většina finančních institucí využívá různé systémy prevence podvodu, které fungují na heuristické analýze a měření rizika. Pokud se ukáže, že jste nikdy platbu na určitý účet neposílal nebo se jedná o větší částku, obvykle dojde k pozdržení této platby a jejímu ověření ze strany banky.
Pokud budu třeba posílat 200 tisíc na zahraniční účet a nikdy jsem to nedělal, spustí to alarm a někdo z banky bude volat, zda jsem tu platbu zadal já a o co se jedná. Ale není to stoprocentní, může se stát, že útočníci využívají další účty, které ukradli v České republice. Ukradnou jeden účet, druhý účet, třetí účet a mezi nimi peníze přeposílají, až je takto vyperou.
Nebo donutí jiného klienta, aby peníze vybral z bankomatu, a on se nevědomky stává komplicem. Může to být kombinace více podvodů, jednoho klienta oklamou, třeba bazarovým podvodem, dalšího přesvědčí, že se jedná o investiční kryptoměnovou příležitost, takže mu peníze pošlou, on je vybere a pak někam vloží. Vlastně z něj udělají toho pošťáka, který jim peníze donese.