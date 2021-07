Banky varují před mohutným nárůstem pokusů o podvody v letošním roce. Už v červnu dorovnal počet phishingových útoků loňský rok, počet vishingových útoků, kdy se útočníci během telefonického hovoru například vydávají za bankéře či policisty, se dokonce šestinásobně zvýšil. Vyplývá to z dat České bankovní asociace (ČBA).

„V současné době je zabezpečení bankovních systémů na velmi vysoké úrovni. Z toho důvodu sledujeme dlouhodobě trend zaměření aktivit útočníků na nejzranitelnější článek v celém řetězci – uživatele. Dlouhodobě představují vysoké riziko phishingové emaily a SMS zprávy, podvodné aplikace a různé druhy škodlivých kódů, které cílí jak na osobní počítač, tak chytrý telefon uživatele. Samostatnou a mimořádně nebezpečnou kapitolu představuje vishing, který z logiky věci obchází veškeré bezpečnostní mechanismy,“ říká Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.

Z průzkumu ČBA mezi jejími členskými bankami vyplynulo, že na jejich klienty v roce 2020 mířilo na tisíce phishingových útoků, což je několikrát více než v roce 2019. Počet útoků v tomto roce, ačkoli jsme zatím v jeho polovině, již celková loňská čísla prakticky dorovnal.

„Pod pojmem phishingový útok na klienta banky se skrývá velké množství typů útoků lišících se svým cílem, nástrojem či technikou. Banky navíc tyto útoky sice evidují, každá ale za použití různé metodiky. Vzhledem k tomu, že o přesnější data má zájem i Policie ČR, zahájili jsme na půdě ČBA konzultace, jejichž cílem bude mimo jiné právě i sladění metodiky vykazování útoků na klienty,“ říká Petr Barák, předseda komise ČBA pro bankovní a finanční bezpečnost.

Tohle je vishing Poslechněte si, jak vishing probíhá v praxi. Jde o nahrávku neúspěšného pokusu, kterou jako první zveřejnily Seznam Zprávy. Hovor klientky České spořitelny s podvodníkem je ze srpna loňského roku a proběhl v nočních hodinách (okolo půl druhé ráno). Pro vishing je typické, že útočníci volají v pozdních večerních nebo brzkých ranních hodinách, kdy lze předpokládat, že klient bude nejméně obezřetný.

V průzkumu banky udávaly počty klientů, kteří se setkali s útokem, při kterém od nich útočníci chtěli získat údaje o platební kartě, či přístupové údaje do internetového bankovnictví skrze podvodné stránky, aplikace, sociální sítě nebo přes e-maily a banky se o útocích dozvěděly – buď je samy odhalily dřív, než byly dokončeny, nebo jim byly nahlášeny klienty. Ve statistice nejsou zahrnuty případy skimmingu, úniky dat ze strany třetích stran, tedy e-shopů apod.

Díky aktivitě bank a obezřetnosti klientů se daří podle dat ČBA zastavit většinu útoků (86 %). Podle Baráka se útočníkům daří „úspěšně“ dokončit zejména útoky mířící na karetní údaje, které jim oběti „prozradí“ při online nakupování na stránkách, kde platební brána není odpovídajícím způsobem zabezpečena.

„Současně si je třeba uvědomit, že útoků, respektive pokusů o útok, je ve skutečnosti daleko více, než vykazují dostupná čísla, a banky se o některých vůbec nemusí dozvědět. Například v případě phishingových e-mailů postupují útočníci metodou „kobercového náletu“ a jeden phishingový mail tak mohou poslat až na statisíce mailových adres svých potenciálních obětí. Nicméně mají-li klienti svá zařízení dobře zabezpečena, skončí tyto útoky v mailové schránce klienta mezi spamy,“ dodává Barák.

Úspěšné útoky řeší banky se svými klienty individuálně a podle Baráka se jim snaží pomoci. „V případech, kdy ale prokazatelně dojde na straně klienta k hrubému porušení bezpečnostních pravidel – například mají uvedený PIN na kartě, stahují programy a aplikace z nedůvěryhodných zdrojů – nelze očekávat, že by banky škodu klientům uhradily. V takových případech je klient se svým požadavkem na náhradu škody odkázán na orgány činné v trestním řízení s tím, že škodu je třeba vymáhat na pachateli trestného činu,“ vysvětluje Barák.

Kromě zintenzivnění útoků s pomocí tradičních phishingových metod, například podvodné e-maily zneužívající vizuální identitu legitimní bankovní instituce, začali podvodníci v loňském roce používat také už zmíněný vishing.

Počet vishingových útoků na klienty českých bank se v roce 2020 pohyboval v nízkých stovkách, přičemž úspěšní byli útočníci zhruba v 25 % případů. Letos úspěšnost těchto útoků poklesla na zhruba 14 %, ale prudce narostl jejich počet – jen do konce května bylo útočníky uskutečněno zhruba šestkrát více útoků než za celý loňský rok.

Vishingové útoky sice nejsou co do počtu tak masivní jako ty phishingové, nicméně finanční ztráty klientů jsou často velmi vysoké. „Vishing je technika založená na vyvolání strachu a zpanikaření oběti. Klientovi útočník často volá v neobvyklý čas a vydává se za bankéře, případně policistu. S pomocí osobních údajů o klientovi, které získal například v internetovém prostředí, mnohdy ze sociálních sítí, si získá jeho důvěru. Ten pak snadno uvěří, že jeho účet byl napaden a jediné, co jeho prostředky „zachrání“, je jejich odeslání na účet, který mu falešný bankéř sdělí. Útočník klienta následně instruuje, jak transakci autorizovat,“ přibližuje Luděk Fiala, ředitel úřadu služby kriminální policie a vyšetřování Policejního prezidia České republiky.

Praktiky útočníků se mohou lišit „Někdy cílí na údaje k platební kartě, jindy na přihlašovací údaje do internetového bankovnictví. Objevují se i případy, kdy útočník svou oběť přesvědčí, aby ze svého účtu vybrala hotovost a vložila ji vkladomatem na bitcoiny,“ říká Fiala.

Útočníci při hovorech užívají také takzvaný spoofing telefonního čísla, při kterém dokážou napodobit jakékoliv telefonní číslo, včetně infolinek bank. Má-li oběť v telefonu uložené číslo na call centrum své banky, objeví se jí na displeji příchozí hovor její banky.

„Ve Velké Británii takto například volali obětem vyděrači pod „spoofovanými“ čísly jejich potomků, které fiktivně unesli, a žádali po obětích okamžitě výkupné, samozřejmě pod pohrůžkou, že pokud oběť kontaktuje policii, dítěti ublíží. Rodič pak výkupné rychle zaplatil, ačkoli jeho dítě tou dobou sedělo v pořádku ve škole s mobilním telefonem v aktovce,“ popisuje Barák, proč Česká bankovní asociace zahájila jednání s operátory a Českým telekomunikačním úřadem s cílem zrušit tuto službu, případně ji omezit, či zabezpečit ji proti zneužívání podvodníky.

ČBA ve spolupráci s policií a společností ESET v reakci na rychle rostoucí počet podvodů na dálku startují preventivní Kyberkampaň s hlavním heslem Cílem útočníka můžete být i vy!. Jejím stěžejním prvkem je webová aplikace Kybertest.cz.

„Jedná se o speciálně připravený online interaktivní kvíz, ve kterém si může uživatel otestovat, zda při reálně vypadajících simulacích zvládne rozpoznat podezřelé prvky naznačující, že se stal terčem online podvodníků. Kvíz mu v závěru nabídne porovnání s ostatními účastníky, případně více informací k problematice,“ říká Šuman.

Kampaň bude vedena zejména formou edukativních videí či bannerů na sociálních sítích, upozornění na bankomatech a obrazovkách na pobočkách bank. Osvěta o problematice bude veřejnosti přibližována i prostřednictvím plakátů a letáčků, které distribuují do vybraných míst regionální preventisté policie. Do kampaně se kromě ČBA, Policie ČR a společnosti ESET zapojí i členské banky ČBA, společnost Zásilkovna, Hospodářská komora ČR a další.

„Útočníky je ve chvíli, kdy jsou útoky dokonány, velmi obtížné odhalit a sankcionovat, natož od nich získat zpět zcizené finanční prostředky jejich obětí. Věříme, že s pomocí této kampaně a další preventivní činností se nám podaří rozšířit povědomí o nebezpečích, která číhají na internetu, a předejít tak škodám a nepříjemnostem, které podvodné vishingové a phishingové útoky způsobují,“ shodují se zástupci asociace, policie a společnosti ESET.

Jiří Hovorka O osobních financích píše od roku 2009. Začínal v Měšci, pak se stejným tématům věnoval v Aktuálně.cz, po sloučení s vydavatelstvím Economia se jeho texty objevovaly i v Hospodářských novinách. Dlouhodobě se věnuje důchodům,... Další články autora.