Podvodníci, kteří chtějí připravit klienty bank o peníze, jsou čím dál vynalézavější. Bankéři například přes léto zaznamenali zcela nový typ pokusů, který se od dosavadních phishingových útoků zásadně odlišuje. Útočníci nechtějí vylákat z klienta jeho přihlašovací údaje, ale rovnou peníze, jdou na to pomocí smyšlené historky.

Podvodník se po telefonu vydává za pracovníka bezpečnostního oddělení banky a říká, že vyšetřuje interní podvod. Zeptá se, zda si v nedávné době vzal půjčku. A když mu překvapený klient odvětí, že nikoliv, podvodník mu vysvětluje, že si ji tedy na jeho účet bere zřejmě nějaký zaměstnanec banky, který zneužil osobní údaje klienta. A že to už vyšetřují, ale že klient nyní musí postupovat přesně podle rad, které mu útočník popíše.

Má zajít na pobočku, vybrat své peníze z účtu v hotovosti, osobnímu bankéři nesdělovat žádné podrobnosti (on v tom domnělém podvodu přece může jet taky) a peníze pak vložit na „chráněný účet“. To je většinou nějaký vkladový bankomat, který připisuje peníze na kryptoměnové účty. „Tam vaše peníze budou v bezpečí, než to celé prošetříme,“ říká útočník překvapenému klientovi po telefonu.

Je to pochopitelně celé nesmysl, jenže vystupování podvodníka – domnělého zaměstnance banky – je zcela profesionální, ve hře jsou reálné peníze, emoce i nátlak. Útočník po telefonu například vysvětluje, že je třeba se řídit přímo navrženým postupem. Pokud se jím klient řídit nebude, ohrozí policejní vyšetřování a jeho účet bude následně zablokován, což přece nechce. A zároveň klientovi podvodník opakovaně říká, že se o tom nesmí nikomu zmiňovat, protože zatím nikdo neví, jak je podvod rozsáhlý a kdo všechno je do něj namočený.

Bankéři – ti skuteční – ovšem upozorňují, že klienti na nic podobného nesmí slyšet. Mají si vždy ověřit, zda skutečně mluví s nějakým pracovníkem banky. Třeba zavoláním na zákaznickou linku. Některé banky, například Česká spořitelna, umožňují ověřit volání přímo v aplikaci. Klient může bankéře požádat, aby mu do aplikace George klíč poslal požadavek k ověření se čtyřmístným kódem, a následně bankéře vyzve k přečtení tohoto kódu. To útočník, který se vydává za pracovníka banky, nedokáže.

Nejsou stránky jako stránky

V průběhu prázdnin se ve větší míře objevily i další typy podvodů. Útočníci například vytvořili falešné weby bank, které na první pohled vypadají stejně jako správná stránka pro přihlášení do internetového bankovnictví. Od „originálu“ se odlišují jen drobnostmi, ale působí zcela věrohodně. Klient se na ně mohl dostat prostřednictvím vyhledávače, podvodníci si totiž zaplatili, aby se jeho stránky objevovaly na prvních, tedy zpravidla reklamních pozicích ve vyhledávání.

Jak rostou kybernetické útoky na klienty bank

161 500 Kč
Taková je aktuálně průměrná škoda na jednoho poškozeného klienta v důsledku kybernetického útoku.
4krát
Tolikrát se za poslední dva roky zvýšil počet útoků na klienty bank.

Zdroj: Česká bankovní asociace

Letní vlna tohoto typu podvodu zasáhla na přelomu července a srpna Komerční banku či Raiffei­senbank. Pokud klient na takový podvodný odkaz klikl a nevšiml si, že je v adresním řádku neobvyklá internetová adresa, a ne běžná adresa banky, tedy u zmiňovaných bank www.mojebanka.cz či www.rb.cz, může podvodníkovi naservírovat své přihlašovací údaje.

Rada, jak tomu zabránit, je při­tom vcelku jednoduchá. Nechodit do internetového bankovnictví přes vyhledávače ani v mailech neklikat na odkazy, které vyzývají k přihlášení. „Aktuálně naše banka problém s falešnými stránkami neeviduje. Největší prevence je na straně klienta, aby se přihlašoval přes oficiální stránky banky. Obezřetnost, kde jsem a kam zadávám své osobní údaje, by se měla týkat pohybu na internetu obecně,“ říká mluvčí Raiffeisenbank Tereza Kaiseršotová.

Pozor na falešnou podporu od státu

S podvrženými stránkami se potýkají i státní instituce. Aktuální trik podvodníků souvisí s vyplácením příspěvků na bydlení. Podstata podvodu je podobná jako u falešných stránek bank, v tomto případě útočníci imitují web ministerstva práce a sociálních věcí. Vyzývají k zadání přístupových údajů k bankovnímu účtu, na který má domnělý příspěvek dojít. A následně si ještě vyžádají potvrzení.

Neustávají ani „bazarové podvody“, při kterých jsou terčem útočníků prodávající na internetových bazarech. Právě při prodeji zboží prostřednictvím online inzerce mohou lidé přicházet i o statisíce. „Podvodník stojí na straně potenciálního kupce, který fiktivně pošle peníze skrze kurýrní službu. Od vás pak fiktivní webová stránka vyžaduje ověření vaší platební karty. To je hlavní útočníkův záměr. Útočník se zkrátka jakýmkoliv způsobem snaží získat údaje z vaší platební karty,“ říká Jan Zmítko, konzultant oddělení Cyber Security ve společnosti Trask.

Počet útoků na klienty bank se za poslední dva roky zvýšil čtyřnásobně. Celkové škody podle dat České bankovní asociace šplhají do stovek milionů, na jednoho poš­kozeného klienta vychází v průměru 161 500 korun. I tato suma se postupně zvyšuje.

Útoky sází na důvěřivost klientů, stres, touhu rychle zbohatnout. Přibližně 95 procent úspěšných útoků má na svědomí lidská chyba.

„Za osm měsíců letošního roku jsme překonali počtem zaznamenaných úspěšných útoků, kdy tedy bohužel došlo k nějaké finanční újmě u klientů, součet případů z celého loňského roku,“ říká expert pro kybernetickou bezpečnost skupiny ČSOB Petr Vosála. A podle lidí z bank o prázdninách podvodníci ještě přitvrdili. „To pravděpodobně souvisí s hektičtějším obdobím – dovolené, prázdniny, větší pracovní zátěž lidí ve firmách, kteří zastupují své kolegy, a ve výsledku může docházet k častějším nepozornostem,“ dodává Pavel Zúbek z Komerční banky.

Letní „láska“ přes internet

Mezi prázdninové evergreeny patří třeba romance scamy, tedy „lásky přes internet“, kdy útočník s pozměněnou identitou předstírá romantické úmysly, aby si svou oběť naklonil na svou stranu a pak z ní vylákal peníze. Nebo také podvod typu „falešný prezident“, kdy se útočník vydává za nadřízeného či ředitele společnosti a požaduje odeslání peněz z firemního účtu. „Aktuálně také řešíme podvodné stránky, které vybízejí k investicím do známých firem, jako je ČEZ či Agrofert, s cílenou reklamou na starší uživatele sociálních sítí,“ doplňuje Zúbek.

„Intenzita útoků se mění podle významných pravidelných ročních událostí, ve kterých hrají roli finanční instituce. Jedná se například o období podávání daňového přiznání, tedy někdy v prvním pololetí roku, kdy registrujeme zvýšenou aktivitu útoků na weby správců financí či daní, pojišťoven a podobně. Cílem takových útoků jsou jedinci i společnosti,“ říká specialistka kybernetické bezpečnosti společnosti ESET Vladimíra Žáčková.

Vedle prázdninového období pak přichází klasická „sezona“ pro kybernetické útoky před Vánocemi. „Uživatelé nakupují ve větší míře online a více využívají služeb doručovacích společností. Zároveň můžou být v období vánočního shonu nepozorní, a tak si ani nevšimnou jasných znaků podvodného e‑mailu anebo esemesky,“ říká Žáčková.

Čtvrt milionu za telefonát

Nárůst útoků je dlouhodobý trend, který se jen tak nezmění. „Zvýšený počet útoků proto nevnímám jako něco překvapivého. Útoky a jejich hodnota se zvyšují neustále, jen se mění jejich zacílení. Letní měsíce znamenají zvýšené množství lidí na cestách a to jednoznačně přitahuje zájem útočníků k finančnímu sektoru více než obvykle,“ potvrzuje Zmítko.

„Dramaticky narostly hlavně podvodné telefonáty, vishing, které patří k těm nejzákeřnějším. Zatímco před dvěma lety se jejich počet pohyboval v nízkých stovkách, letos mluvíme již o desítkách tisíc. A narostla i jejich úspěšnost. Téměř každý druhý podvodný telefonát v současné době končí škodou pro klienta,“ říká výkonná ředitelka České bankovní asociace Monika Zahálková. U podvodných telefonátů přitom průměrná škoda na jednoho poškozeného dosahuje zhruba čtvrt milionu.

Přibližně 95 procent úspěšných útoků má podle Vosály na svědomí lidská chyba. „V podstatě všechny útoky sází na důvěřivost klientů, stres, touhu rychle zbohatnout. Útočníci zneužívají toho, že lidé jsou mnohdy nepozorní a příliš důvěřiví. Málokdy se snaží zpětně si ověřovat, zda jim opravdu volal někdo z té banky nebo instituce, jejímž jménem kyberzločinec vystupoval, nebo si nezkontrolují či přehlédnou, že odkaz webové stránky je falešný,“ říká.

Vedle strmě rostoucího počtu útoků také dochází k jejich velké profesionalizaci. „Se stavem před pěti nebo deseti lety je to opravdu nesrovnatelné. Útoky jsou cílenější, promyšlenější, útočníci používají profesionální jazyk, mají velmi dobrou češtinu, ať už v psané, nebo hlasové podobě, používají sofistikované bankovní termíny. Mají detailně promyšlené příběhy. Velkou roli hraje psychologický nátlak,“ říká Vosála.

Kampaň zacílí na obezřetnost

Banky se snaží edukovat své klienty prostřednictvím sociálních sítí či zpráv, které míří přímo do klientských schránek. Řada z nich spustila vlastní edukační programy. Bankovní asociace dnes ve spolupráci s orgány státní správy a s klíčovými firmami českého byznysu spouští rozsáhlou celonárodní vzdělávací kampaň #nePINdej! Představí nejčastější typy kybernetických útoků a formou hravého testu naučí, jak jim nenaletět. Cílí přitom na všechny věkové skupiny.

Finanční domy také přidávají nové bezpečnostní prvky. V Komerční bance třeba využívají pro další ověření barevný kód, který slouží k ochraně před určitými typy podvodů. Dodatečnou vrstvu ochrany může podle Žáčkové ze společnosti ESET nabízet třeba ověření 3D secure, tedy jednorázové potvrzení platby SMS zprávou nebo mobilní aplikací, či vynucování silného hesla pro přihlášení do internetového bankovnictví.

Co je co?

Phishing
Výraz pochází ze slova „fishing“ a označuje praktiku, kdy se podvodníci snaží vylákat citlivé informace – hesla, údaje o platebních kartách, rodná čísla nebo čísla účtů.

Smishing
Slovo smishing je mixem slov SMS a phishing – útok je veden prostřednictvím textových zpráv. Cíl zůstává stejný, snaha získat citlivé údaje.

Vishing
Pojem označuje hlasový („voice“) phishing. Jedná se o telefonní podvod, kdy pachatel obvolává své oběti. Představuje se jménem banky (nebo jiných společností) a sděluje, že účet volaného je napaden a on mu může pomoci zachránit jeho peníze.

Jenže technologické novinky samy o sobě nemusí pomoci. Pokud lidé příběhu podvodníka uvěří, mohou odklikat kdeco. „Podvodníci vždy sázejí na nepozornost lidí. Klienti v některých případech naletí na promyšlený nátlak ze strany podvodníků a předají jim svoje přístupová hesla. Je potřeba zdůraznit, že hesla a autorizační kódy slouží výhradně majitelům účtů, kteří je nemají nikdy a nikomu předávat, za žádných okolností, pod žádnou záminkou,“ upozorňuje František Bouc z České spořitelny.

„Důležitá je tedy edukace klientů, a to nejen o nejnovějších typech útoků, ale také v oblasti obecného digitálního zabezpečení – používání silných hesel, zabezpečení počítače a chytrého telefonu pomocí biometrických údajů, používání antiviru a stahování pouze oficiálních aplikací,“ říká Žáčková.

Podle expertů nedělají banky při boji proti kyberútočníkům zásadní chyby. „V některých případech je možno kritizovat pomalý vývoj, ale všeobecně patří bankovní trh k lídrům v oblasti kybernetické bezpečnosti. Útočník je prostě vždy napřed, což je pro banky složité. Jednoznačně pro banky dvojnásob platí potřeba neustálého vývoje a zvyšování bezpečnosti. Velká snaha by měla směřovat k edukaci uživatelů, kterou banky již dělají, ale zde platí čím více, tím lépe,“ říká Zmítko.