Jak si ochránit účet

Nezlobte se, ale s vaší platební kartou je něco v nepořádku. Máte na ní skutečně hotovost? To si vyslechl u pokladny jednoho z obchodních řetězců klient banky GE Money Jan Stránský, když chtěl zaplatit nákup. V domnění, že jde o nějakou momentální technickou závadu, "projela" pokladní kartu platebním terminálem ještě několikrát, ovšem opět neúspěšně. "Nechal jsem nákup u pokladny a ještě relativně v pohodě jsem si šel vybrat peníze do bankomatu. Když jsem na svém účtu viděl nulový zůstatek, myslel jsem, že omdlím," vzpomíná pro týdeník Ekonom na neblahou zkušenost Stránský, kterého zloději výběry z několika tuzemských bankomatů okradli o 15 tisíc korun. Jak se jim to povedlo? Pomocí zařízení vlastní výroby přečetli údaje z karty a kamerou při výběru z bankomatu odpozorovali zadávaný PIN.

S podobným šokem na své výpisy z účtu každý rok "zírají" tisícovky Čechů, kteří se stanou obětí hackerů, ať už formou výše popsaného skimmingu, nebo napadení internetového bankovnictví (takzvaného phishingu).

Přestože banky na svých webech uvádějí, že peníze odčerpané hackery dokážou vrátit do dvou dnů, podle zjištění týdeníku Ekonom to není zdaleka tak snadné. Za většinu případů si totiž podle nich klient může sám.

Jak krádeže z účtů probíhají? Lze se jim vůbec nějak bránit? A jak ukradené peníze z banky dostat?

Hacklý bankomat

Jednou ze stále hojně užívaných praktik hackerů je právě skimming neboli kopírování údajů z magnetického proužku platební karty, které je spojeno s odpozorováním PIN. Skimmovací zařízení bývají nejčastěji instalována přímo v otvoru, kam se vkládá platební karta. Buď jde o nástavec, který velmi zdařile napodobuje originál, nebo panel, který se montuje na originální součást bankomatu. Kopie údajů z magnetického proužku ale samotné nestačí. K tomu, aby mohli hackeři vydrancovat účet, je nutný i PIN kód. Ten má odsledovat titěrná několikamilimetrová kamera na panelu bankomatu nebo nasazená klávesnice.

Všechny tyto komponenty jsou mnohdy vyvedeny a instalovány tak věrohodně, že jsou od originálu nerozpoznatelné. A nepomáhají ani takzvaná antiskimmovací zařízení, tedy povětšinou zelené plastové nástavce u vstupu pro kartu a u výdejní části. "Nejnovější modely skimmovacích zařízení na našich bankomatech mají stejnou zelenavou barvu jako bezpečnostní nástavec, který je umístěn v bankomatu na vstupu pro kartu, a mohou být na tento nástavec upevněny," připouští mluvčí České spořitelny Veronika Exnerová. Stejně jako ostatní banky ale nechce sdělit, kolik takových případů Česká spořitelna pravidelně řeší, a stejně jako konkurence se odvolává na bankovní tajemství. Jediné údaje o této kriminalitě, které jsou k dispozici, shromažďuje Úřad pro odhalování organizovaného zločinu (ÚOOZ). Ten za loňský rok zaznamenal 34 pokusů o zkopírování údajů z platební karty, což je výrazný pokles oproti předchozím letům.

Mohlo by se zdát, že "napíchnutým" bankomatům už odzvonilo, není to ale pravda. Zloději loni možná jen nabírali dech a pilovali svá sledovací zařízení k dokonalosti, aby mohli s parádou opět ve velkém zaútočit. Jen za letošních 10 měsíců totiž ÚOOZ eviduje 240 případů "hacklých" bankomatů, přičemž odčerpání peněz bylo prokázáno u 120 útoků. "Údaj za rok 2014 bohužel nenaznačuje, že by byl těmto praktikám konec. Spíše si to vysvětlujeme tím, že řada organizovaných gangů byla dopadena a rozpuštěna a nějakou dobu trvalo, než se zformovaly nové. Nyní ale dál zaznamenáváme výrazně vzestupný trend," potvrzuje týdeníku Ekonom Pavel Hanták z ÚOOZ.

Podle Hantáka se nedá říct, že by bylo napojení sledovacího zařízení u bankomatů některé z bank snazší. Na trhu jsou jen zhruba čtyři provedení, která se používají napříč bankami. Skimmingové útoky se tak nevyhýbají žádné ze společností, které v Česku bankomaty provozují.

"Útoky probíhají asi tak, že si skupina hackerů vytipuje konkrétní lokality, najede sem, instaluje zařízení a opět rychle odcestuje," popisuje Hanták. Práce početných organizovaných skupin je nejen precizní, ale i velmi rychlá. Osadit bankomat skimmovacím zařízením trvá jen pár minut. A přestože jsou tito zloději převážně ze zahraničí (zejména Bulharsko a Rumunsko), vyrobit falešnou kartu jejich "kumpánům" zabere jen několik hodin. Ještě ten den tedy dokážou z vašeho bankomatu všechny možné prostředky vybrat třeba v USA, Indonésii nebo na Tchaj-wanu. Napadána jsou nejen velká města, jako je Praha nebo Brno, instalace skimmovacích zařízení byly už letos objeveny také třeba v Přerově, Mostě, Olomouci či Šumperku.

Banky to zkoušejí

Dostat se v tomto případě zpět ke svým penězům je snadnější než u dalších typů hackerských útoků na bankovní účty. Banky ostatně tvrdí, že u tohoto typu krádeží peníze zákazníkům na účty vracejí téměř bez výjimky, a to do několika dnů. Na dotaz týdeníku Ekonom, jak je tomu ve skutečnosti, se ale opět tváří tajemně. "Konkrétní informace o zákaznících a částkách nezveřejňujeme," říkají svorně.

Přestože většina obětí skimmingu své peníze nakonec dostane, banky to podle informací Ekonomu stejně zprvu zkouší a žádosti o navrácení peněz mnohdy zamítnou. Taková je třeba zkušenost paní Milady z Prahy, kterou hackeři připravili o pět tisíc korun. "Banka moji žádost o navrácení odcizených peněz odmítla. Vlastně mě přesvědčili o tom, že chyba byla na mé straně, že jsem s bankomatem operovala nepatřičně. Hned jsem změnila banku," říká důchodkyně, která se už nesnažila vzdorovat.

Častým trumfem pro klienty bank jsou ilegální výběry, které proběhly v zahraničí. "Zprvu jsem byl podroben výslechu, jak jsem s bankomatem zacházel. Zachránilo mě to, že jeden z výběrů byl realizován v Mexiku, kde jsem prokazatelně v tu dobu nebyl," říká další z okradených občanů, Jaroslav Šimáně. To, že velká většina klientů nakonec dostane, co jim náleží, dokazují i údaje finančního arbitra, na kterého se zákazníci mohou obrátit, když už nevědí kudy kam. "Případy skimmingu se k finančnímu arbitrovi dostávají spíše ojediněle. Často pak dopadají smírem, znamená to, že banka vzala odpovědnost za takovouto transakci na sebe a peněžní prostředky připsala zpět," říká Nelly Dederová z tiskového oddělení Kanceláře finančního arbitra.

Škrábance a vyviklané součástky

Skimmovací zařízení jsou tak dokonalá, že se v řadě případů opravdu nedají rozeznat od originálu. Přesto může všímavý zákazník rozpoznat podezřelé detaily. Varováním mohou být různé škrábance na bankomatu, drobná kamerka umístěná na panelu nad obrazovkou nebo vyviklané součástky.

"Klidně se před výběrem přesvědčte, zdali se některá ze součástek viditelně nehýbe," radí Pavel Hanták z ÚOOZ. Při zadávání PIN kódu pomůže, když si člověk zakryje klávesnici rukou, aby nebylo možné rozpoznat číselnou kombinaci. Příliš neplatí, jak se v různých publikacích radí, aby lidé nevybírali u "zapadlejších" bankomatů. Hackerům jde zejména o to, aby zkopírovali co největší počet platebních karet. Není tedy pravda, že by se frekventovaným místům vyhýbali.

Zákeřní rybáři

Mnohem častějším a zákeřnějším způsobem, jak z bankovních účtů lidí vysát peníze, je takzvaný phishing. Jde zpravidla o podvodné e-maily, které útočí na mobilní telefony a e-mailové schránky uživatelů. Ti pak sami důvěřivě prozradí přihlašovací údaje k bankovnictví, data ke kartě nebo jim jejich "nicky" a hesla odpozoruje nasazený virus. E-maily často na první pohled vypadají, že jsou odeslány přímo z banky, a snaží se uživatele přesvědčit, aby klikl na odkaz. Pokud nepozorný uživatel na tento odkaz klikne, dostane se na podobné stránky, jako má banka, kde jsou po něm požadovány přístupové údaje k účtům, platebním kartám. "Text může vypadat jako informace o neprovedení platby, výzva k aktualizaci bezpečnostních údajů nebo třeba výzkum klientské spokojenosti," vyjmenovává Daniel Dočekal, který provozuje web Hoax.cz.

Pro hackery už nejsou překážkou ani autorizační SMS, kterými se banky snaží své klienty proti zneužití údajů chránit. Kromě nasazení viru totiž hackeři ještě zákazníka odkážou na stránku, kde požadují vyplnit údaje o mobilním telefonu - obvykle telefonní číslo a typ. "Útočník po získání informací pošle na dané číslo SMS zprávu s odkazem na aplikaci, kterou si má uživatel nainstalovat do svého chytrého telefonu. Informaci podává tak, že aplikace zvyšuje bezpečnost a chrání klienta antivirem," popisuje tisková mluvčí ČSOB Martina Slavíková. Aplikace ale slouží k zadržení příchozích SMS zpráv od banky a verifikační údaje přeposílá přímo útočníkovi.

Schumacherova smrt odvede pozornost

Velmi "úspěšné" pro kybernetické podvodníky jsou v poslední době také facebookové útoky, kdy se hacker vydává za některého z přátel. "Důvěřivého uživatele pak přesměrují na falešnou platební bránu. Díky tomu získají uživatelovo číslo karty či přístup do internetového bankovnictví," popisuje Tomáš Hládek, poradce pro platební styk a digitalizaci České bankovní asociace.

V srpnu se například na Facebooku objevila zpráva s fotkou pilota formule 1 Michaela Schumachera. Pod zprávou o jeho údajné smrti v berlínské nemocnici byly kolonky pro přihlašovací údaje, skoro nerozeznatelné od přihlašovacích údajů na Facebook. Mezi další nedávné případy phishingu patří podle portálu Hoax.cz také falešné e-maily od Fio banky, kde se zákazník po rozkliknutí odkazu dostal na domnělé bankovní stránky a zde měl ve formuláři vyplnit údaje o platební kartě. Oznámením o nutnosti aktualizovat data obesílali hackeři v červenci také například klienty Raiffeisenbank, GE Money nebo Komerční banky.

Kolik lidí na tyto podvodné e-maily opravdu skočí, není možné zjistit. Samy banky se omezují jen na vyjádření, že "kybernetických útoků přibývá o desítky procent". Ani policie žádné statistiky o podvodných "rybářích" nesbírá. Veřejně dostupná jsou pouze celosvětová data, která shromažďuje sdružení APWG, zabývající se phishingovými útoky. Podle něj jen za druhé pololetí loňského roku proběhlo po celém světě 123 972 pokusů o získání citlivých dat. Podle informací týdeníku Ekonom tuzemské bankovní společnosti řeší každý rok stovky případů phishingu. "Většina případů naštěstí není dotažená do konce," namítá Zdeněk Kovář z Fio banky. K vyšším instancím se podle Ekonomu každý rok kvůli odcizeným penězům dostává na sto stížností.

Je to vaše blbost

Vytáhnout z banky zpět "ulovené" peníze je v tomto případě mnohem složitější než u skimmingu. Banky jsou totiž kryty smlouvou o vydání karet a zřízení internetového bankovnictví. Klient se v ní zavazuje, že nebude důvěrná data o své kartě a bankovnictví nikomu poskytovat. Zákazník si často této pasáže nevšimne a s nadějí pak očekává, že své peníze dostane zpět. Ostatně takto v klidu je podle loňského průzkumu společnosti Kasperski Lab skoro polovina Čechů, kteří věří, že jim banka po on-line krádeži peníze z účtu vrátí. "Vzhledem k tomu, že k odcizení peněz z účtu klienta dochází v těchto případech obvykle na základě porušení bezpečnostních pravidel, která se klient užíváním těchto kanálů zavazuje dodržovat, ve většině případů odcizené peníze klientům nerefundujeme," potvrzuje Martina Slavíková z ČSOB.

Přestože po takovémto argumentu vypadá boj ztraceně, není radno se ještě vzdávat. "Zažil jsem již několik případů, kdy klient vydržel a použil všechny možné cesty. Banka s vrácením peněz nakonec souhlasila," říká zaměstnanec jedné z tuzemských bank, který si nepřál být jmenován. Zákazník může o své peníze bojovat prostřednictvím bankovního ombudsmana, který má za úkol stát na straně klienta. "Co vím, tak už se párkrát podařilo touto cestou vybojovat peníze," potvrzuje zdroj Ekonomu. Pokud ale ani ombudsman nepomůže, mají klienti možnost obrátit se na finančního arbitra. Ten třeba jen loni řešil 67 případů krádeže peněz z účtů. Výsledky ale nejsou příliš povzbudivé. "Většina sporů o neautorizovanou platební transakci, které finanční arbitr řešil od listopadu 2011, skončila zamítnutím návrhu, neboť arbitr v řízení zjistil, že se klient při nakládání s platebním prostředkem choval nedbale," říká Dederová. Klientům pak nezbývá nic jiného než podat žalobu k soudu. Banka se často tohoto kroku zalekne a peníze vrátí.

Banky číslo mobilu nechtějí

Jak tedy nejlépe předejít tomu, aby klient banky za svoji hloupost draze zaplatil?

Především by se neměl k bankovnictví přihlašovat z neznámých nebo veřejně dostupných počítačů, neměl by do svého počítače stahovat soubory z neznámých zdrojů a především by neměl nikde uvádět údaje o kartě a přihlašovací kódy do svého bankovnictví ani informace o svém mobilním telefonu.

"Banky stále opakují, že nikdy nechtějí po klientech, aby zadávali přístupové údaje jinak než přesně definovaným způsobem, a že se nikdy nestane, že by banka chtěla po klientovi, aby zadával své přístupové údaje, především heslo, do internetového bankovnictví do nějakého formuláře, který mu přijde e-mailem," upozorňuje mluvčí mBank Pavel Vlček.

102
V tolika případech z celkových 240 letošních útoků se hackerům povedlo vybrat peníze.

67
Tolik stížností na banky řešil loni v souvislosti s krádežemi peněz z účtů finanční arbitr.

Deset rad, jak nenaletět virtuálním zlodějům

1. Před výběrem peněz si prohlédněte, zdali na bankomatu nejsou zjevné škrábance nebo jestli není zařízení vyviklané.

2. PIN kód zadávejte popaměti. Druhou rukou kryjte klávesnici, aby jej nemohla odpozorovat kamera.

3. Mějte přehled o pohybech na účtu. Nechte si posílat informace o každé transakci. Omezte si denní limit výběrů a operací na potřebné minimum.

4. Aktualizujte software včetně antiviru a firewallu tak, aby byl váš počítač co nejlépe chráněn.

5. Všímejte si, zdali jsou e-maily od vaší banky psány spisovně. V podvodných dopisech bývají často chyby.

6. Pokud chcete rozkliknout link, na který vás domnělý e-mail od banky odkazuje, nejprve na něj najeďte myší. Když se vám objeví jiná adresa, než jsou stránky banky, neklikejte na něj.

7. Nikdy nezadávejte na neznámých stránkách vstupní údaje do internetového bankovnictví.

8. Neposkytujte na údajnou žádost banky ani číslo své platební karty, dobu expirace a CVC kód. Banky ověření těchto údajů e-mailem nikdy nepožadují.

9. Neuvádějte v reakci na e-mail od banky své telefonní číslo a typ mobilního telefonu. Neposílejte pak na neznámé číslo SMS. Banka vaše telefonní číslo má, nikdy by o něj nežádala.

10. Vždy si u svých facebookových známých ověřte, zdali vás s prosbou o drobnou půjčku požádali skutečně oni. Nereagujte na prosby, zda si váš známý může nechat přeposlat autorizační SMS na váš mobil.

Zdroj: banky, ÚOOZ