Každý sedmý se chytí. Útoků na bankovní účty prudce přibylo

Olga Skalková | rubrika: Co se děje | 9. 12. 2021 | 23 komentářů
Už to nemusí být jenom hloupý e-mail se špatnou češtinou. Zavolají vám z čísla, které vypadá jako bankovní. Pokusy o podvod jsou čím dál chytřejší. Oproti loňsku je jich i několikanásobně víc, přiznávají banky.
Každý sedmý se chytí. Útoků na bankovní účty prudce přibylo

Zdroj: Shutterstock

Banky v Česku mají čím dál větší starosti s pokusy podvodníků, jak připravit klienty o peníze. Podvodné e-maily, jejichž cílem je vylákat přístupová hesla ke kartě či účtu a vybrat z nich peníze, se v posledních letech staly už obecně dost známým trikem. Přesto se na ně někteří lidé stále nechají nachytat. Podvodníci jsou totiž čím dál vynalézavější, používají přesvědčivější a důvěryhodnější metody. Ve výsledku se jim letos podařilo připravit o peníze výrazně více lidí než v minulých letech.

Už nejde jenom o e-maily nebo SMS. Letos prudce stoupl počet telefonátů, kdy se podvodníci vydávají za bankéře. Takzvaný vishing se začal výrazněji objevovat teprve ve druhé polovině loňského roku. Mezi veřejností ještě není v tak širokém povědomí jako podvodné e-maily, kde navíc mohla varovat třeba i špatná čeština.

Haló, tady spoofing

„Počet vishingových útoků stoupá a tím i četnost těch, které jsou úspěšné. Vishingové útoky sice stále nejsou co do počtu tak masivní jako klasické útoky formou phishingových e-mailů, nicméně finanční ztráty klientů jsou často velmi vysoké a rostou,“ potvrzuje Pavel Kolář, gestor Komise pro bankovní a finanční bezpečnost České bankovní asociace.

„Navíc útočníci používají nejen různé manipulační techniky, které neustále vylepšují, ale dokáží i simulovat volání tak, jako by bylo prováděno z oficiálních telefonních čísel bank,“ vysvětluje Kolář. Jde o takzvaný spoofing: volající se snaží vzbudit důvěru, že jde o zástupce banky nebo třeba policie, a pod záminkou ochrany klientových peněz po něm chce jeho hesla k bankovnímu účtu, aby ho mohl zablokovat kvůli údajnému napadení.

„Na hovor jsou podvodníci dobře připraveni, protože často znají i klientovo jméno a adresu. Cílem je zmocnit se peněz na klientově účtu, případně si jako bonus ještě útočník vezme peníze z půjčky, o kterou požádá klientovým jménem a klient ji bude muset splácet,“ upřesňuje Kolář. „Pokud se to podvodníkovi podaří, peníze si s pomocí klienta přepošle na jiný, velmi často kryptoměnový účet, nebo klienta požádá o jejich vyzvednutí v hotovosti a o vložení na údajně bezpečný účet prostřednictvím některého kryptoměnového bankomatu,“ dodává.

Výrazný nárůst potvrzuje i policie, na kterou se okradení klienti obracejí. „V posledním roce evidujeme stovky trestních oznámení na takové platební podvody. Reálně jich však bude ještě mnohem víc,“ říká Jakub Vinčálek z tiskového oddělení Policejního prezidia. Podle něj letos podvodníci využívají nejen jednotlivé metody útoků jako je už zmíněný phishing, vishing či spoofing, ale často je i kombinují. Tím se jim daří oklamat více klientů než v minulosti.

Policie v poslední době zaznamenává také víc a víc případů, kdy se útočníci chtějí dostat k účtu klienta, aniž by od něj potřebovali přístupová hesla. Pod různými záminkami – třeba kvůli nabídce zajímavé investice – klienta přesvědčí, aby si sám nainstaloval do počítače program, který mu umožní podrobnější náhled na investiční produkty. Tímto způsobem pak podvodníci mohou ovládat i klientův účet a vybrat si z něj peníze.

Mnohonásobně víc pokusů

Celková statistika počtu a objemu těchto platebních podvodů zatím chybí, ale jejich nárůst potvrzují prakticky všechny banky.

Tohle je vishing

Zdroj: Shutterstock

Poslechněte si, jak vishing probíhá v praxi. Jde o nahrávku neúspěšného pokusu, který mířil na klientku České spořitelny. Hovor s podvodníkem proběhl v nočních hodinách (okolo půl druhé ráno). Pro vishing je typické, že útočníci volají v pozdních večerních nebo brzkých ranních hodinách, kdy lze předpokládat, že klient bude nejméně obezřetný.

„V porovnání s předchozím rokem registrujeme několikanásobný nárůst těchto incidentů. Jednoznačně převládají vishingové podvody za účelem investice do kryptoměn. Dřív jsme se s nimi u nás v bance setkávali jen výjimečně, od roku 2020 vishingových podvodů lavinově přibývá. Jen my v ČSOB jsme řešili několik desítek takových případů, podobně jsou na tom i další české banky,“ říká Patrik Madle, mluvčí ČSOB.

Ve Fio bance letos evidují více než dvojnásobek úspěšných případů, kdy klient naletěl útočníkovi. „Jde o vyšší stovky případů. Stále převažuje phishing, tedy podvodné e-maily nebo jiné zprávy. Telefonické podvody jsou na vzestupu, ale okradených klientů jsou spíš jednotky případů,“ upřesňuje mluvčí Jakub Heřmánek.

Podobně mluví i Komerční banka. „Počet pokusů o podvody se zvyšuje s rostoucím využíváním služeb v online prostředí. Kromě vishingu se v poslední době setkáváme i se snahou o zneužití digitální platební karty. Celkově řešíme desítky případů okradených klientů ročně,“ upřesňuje mluvčí Michal Teubner.

Nárůst platebních podvodů, nejčastěji podvodných e-mailů a telefonátů, potvrzuje i Raiffeisenbank. „U vishingu jsou klienti nejčastěji oslovování na „výhodné“ investice, dovolí přístup do svého počítače a ještě všechno podvodníkům certifikují. Vedle toho jsou častým typem reakce na SMS zprávy, které se tváří jako od České pošty a klienti si myslí, že jim přijde platba na účet. Místo toho je jim ale platba odečtena,“ říká mluvčí Petra Kopecká.

Česká spořitelna se v poslední době nejčastěji setkává s phishingovými útoky, při nichž podvodníci lákají klienta na údajné investice, nebo se snaží napadnout jeho internetové bankovnictví. Další častou metodou útoků jsou podvodné telefonáty. Množí se i případy, kdy klient poskytne údaje z platební karty v rámci transakce na různých bazarových portálech: „zájemce“ nabízí poslání peněz přímo na kartu prodávajícího – jen potřebuje potvrdit připojení karty.

Celková úspěšnost podvodných útoků na klienty se podle spořitelny pohybuje okolo pěti procent; v případě phishingových útoků je trojnásobná, tedy 15 procent. „V mnoha případech nemůže banka zabránit i opakovanému schvalování podezřelých transakcí klientem, který na provedení plateb – s vidinou velkého zisku nebo návratu již vydaných peněz – stále trvá,“ vysvětluje Filip Hrubý, mluvčí České spořitelny.

Volá známá firma

Zdroj: Shutterstock

Tohle je bohužel hrozba i pro klienty, kteří by na jednodušší trik jen tak nenaletěli. Podvodníci už umějí nastavit číslo, aby vypadalo jako zákaznická linka. Operátoři ani zákony s tím zatím nic nezmohli. Služba, která to umožňuje, byla až doteď užitečná.

Pozor, volá banka. Vylepšený podvod ukáže správné číslo

„Meziročně evidujeme přibližně stejný počet phishingových útoků, které cílí na získání údajů o platební kartě klienta. Jejich počet se pohybuje v řádu nižších jednotek tisíc. Částky, které útočníci z klientů vylákají, dosahují nicméně nižších hodnot než v případě phishingových útoků na internetové bankovnictví. Výraznější pokles zaznamenáváme v případě podvodných kartových transakcí,“ říká Hrubý.

Kvůli phishingovým útokům na internetové bankovnictví a na karty a kvůli podvodům na falešných e-shopech přijdou klienti České spořitelny ročně o vyšší jednotky milionů korun. „Celkově však počet podvodů v meziročním srovnání poklesl. Hlavním důvodem je uplatňování evropské regulace – směrnice PSD2, která požaduje dvoufaktorové ověření při přihlašování do bankovnictví a při potvrzování plateb kartou na internetu,“ konstatuje mluvčí.

Nárůst počtu podvodů o jednu pětinu letos zaznamenala Moneta. „Vhishingové podvody jsou stále poměrně časté. V poslední době však došlo k jejich poklesu a na první místo se vrátily phishingové pokusy s využitím podvodných stránek, které mají vizuální podobu internetového bankovnictví a útočníci se tímto způsobem snaží získat neoprávněný přístup k účtům svých obětí,“ upřesňuje mluvčí Zuzana Filipová.

Také podle Air Bank pokusy o podvod, v poslední době zejména vishing a spoofing, rostou. „Přicházejí ve vlnách a může se jednat o jednotky, anebo také o desítky pokusů denně. K nám se však dostává jen zlomek těchto pokusů, a to až ve chvíli, kdy si v lepším případě chce klient informace ověřit, v tom horším se jedná už o stav, kdy klient sám poskytl podvodníkovi všechny údaje a součinnost a dal mu tak přístup ke svým penězům,“ vysvětluje mluvčí Jana Pokorná.

Nižší limity a chytrá analýza

Banky se podvodům snaží bránit hlavně opakovanými výzvami k obezřetnosti. Uživatelé internetového a mobilního bankovnictví proto letos po přihlášení zaznamenali větší počet e-mailů či upozornění na novou vlnu útoků. Banky také opakovaně zdůrazňují, že klienti nemají nikomu vyzrazovat přístupová hesla a že v žádné situaci je od nich nikdy nepožaduje ani jejich banka. Pokud klienta s takovou žádostí někdo osloví, neměl by na ni reagovat – a když jde o telefonát, měl by ho ihned ukončit a pak o tom nejlépe informovat svou banku.

Česká bankovní asociace podepsala s Policií ČR memorandum o spolupráci a společně s ní rozjela kampaň proti kyberútokům. „Právě osvěta může významně napomoct snížit procento úspěšných útoků. Aktivity asociace v oblasti rozvoje digitální gramotnosti, kam samozřejmě bezpečnostní zásady patří, jsou však pouze doplňující ke komunikaci bank vůči svým klientům,“ podotýká Kolář.

Proti podvodům banky bojují i dalšími nástroji. Mnohé z nich letos snížily maximální limit pro odchozí okamžitou platbu, přestože teoreticky by ji naopak mohly zvýšit. Významnější zbraní jsou různé technologické nástroje, o nichž ale nechtějí prozrazovat podrobnosti, protože by to mohlo nahrát podvodníkům.

Například spořitelna mimo jiné už rok využívá behaviorální detekci podvodných transakcí. „Významně nám to pomáhá identifikovat potenciálně podezřelé transakce, a tak přispívá k ochraně před phishingem,“ potvrzuje Hrubý.

„Pro automatizovanou detekci podezřelých plateb využíváme speciální systém, který je založený na strojovém učení a profilování chování. Systém shromažďuje stovky informací od parametrů dané relace, využitého zařízení, detailů plateb až po specifické behaviorální biometrické údaje – jak uživatel píše, jezdí myší po obrazovce a podobně,“ říká i mluvčí Monety Zuzana Filipová.

„V karetním sektoru používáme systém, který porovnává transakce oproti nastaveným pravidlům. Ta jsou nastavována tak, aby reagovala na současné trendy podvodníků. Zároveň systém prostřednictvím strojového učení zkoumá transakční chování klienta a na základě přiřazeného skóre poukazuje na vyšší podezřelost transakcí. Kombinace obou prvků nám umožňuje omezit činnost podvodníků ještě před samotným provedením platby,“ upřesňuje Filipová.  Pokud jsou některé platby vyhodnoceny jako podezřelé, banka platbu pozdrží a přes call centrum u klienta ověří, zda platbu skutečně autorizoval.

„Nedávno jsme navázali spolupráci se španělskou společností specializující se na detekci kybernetických hrozeb. Tímto jsme mimo jiné schopni odhalit případy, kdy jsou klientům ukradeny přihlašovací nebo platební údaje z jejich zařízení, například škodlivým malwarem, nebo v důsledku úspěšného phishingu, a následně tyto údaje útočníci prodávají na takzvaném darknet marketu. V okamžiku, kdy takový případ odhalíme, přístup do internetového bankovnictví nebo platební kartu preventivně blokujeme, aby nemohlo dojít ke zneužití. Klienta kontaktujeme, abychom mu situaci vysvětlili a obnovili přístup k jeho penězům. Nové platební karty v těchto případech vystavíme klientům zdarma,“ dodává Filipová.

Podvržené číslo projde

Co dělají banky pro to, aby podvodníci nemohli klientům volat z čísla, které se tváří jako informační linka? Podle bankéřů by pomohla změna legislativy a tlak na telefonní operátory. Ti dnes nemají povinnost ověřovat, zda je telefonní číslo, které volající uvedl, pravé. A podle Jiřího Grunda, výkonného ředitele Asociace provozovatelů mobilních sítí, to ani neumějí.

„Většina operátorů se o odhalování podvodných telefonátů snaží, ale pokud byť jediný tuto činnost nevykonává, útočníci mohou veškeré hovor směřovat přes něj. S operátory se tuto situaci snažíme proaktivně řešit, tak aby nemohlo docházet ke zneužívání našich telefonních čísel. Nicméně: situace, kdy útočníci využijí libovolné mobilní číslo a důvěřivého klienta přesvědčí, není možné dostatečně rychle odhalit a blokovat,“ říká Filipová z Monety.


Proč jsou podvodné e-maily tak hloupé?

Zdroj: Shutterstock

Hledají hlupáky, vysvětluje Lukáš Kovanda.

Jednodušší je prostě napsat tak ubohý mail, že na něj skočí jen skutečný trouba. Takový, u kterého už tedy existuje opravdu významná pravděpodobnost, že projde i dalšími koly komunikace a o své peníze se nakonec připravit nechá. Čtěte víc!

Zdroj: Shutterstock

Ozveme se, kdyby něco!

Přidejte si Peníze.cz na Facebook nebo Twitter a přineseme vám další důležité aktuality a praktické rady. 

Olga Skalková

Autor článku Olga Skalková

O bankách a finančních institucích píše od 90. let. Byla součástí ekonomického týmu Hospodářských novin, psala i na weby iHNed.cz a Aktuálně.cz. Teď píše externě pro Peníze.cz. Ráda tráví čas s rodinou a přáteli, chodí do... Další články autora.

Srovnávat se vyplatí

Srovnávat se vyplatí

Kalkulátor.cz je srovnávač, který lidem šetří peníze ve světě energií, pojištění, telekomunikací a financí. My počítáme, vy šetříte.

Sdílejte článek, než ho smažem

Líbil se vám článek?

+76
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 23 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

9. 12. 2021 13:18

Citace - Jirka / 09.12.2021 12:00

V noci vás zastaví policista v uniformě a řekne, abyste poslechli jeho pokyny, které znějí poměrně věrohodně.

Jako že pokyn z telefonu, že mám ze svého účtu vybrat peníze a vložit je na účet kdo ví komu, zní poměrně věrohodně :-D? Možná tak absolventovi inkluzivního studia (dříve zvláštní školy)...

Zobrazit celé vlákno

+18
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

9. 12. 2021 11:48

A nechcete i štěmpla od nějakého ouřady i na to jestli můžete jíst, vařit, chodit a spát? Přece u každé činosti se dá udělat nějaká blbost co může mít i fatalní následky, ale určitě kvůli nějaké menšíně nebudeme zavádět zbytečné zkoužky pro celou zemi. Viz řidičák sice máme autoškolu, ale silnice jsou plně blbců i přes toto opatření.

Zobrazit celé vlákno

-3
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (23 komentářů) příspěvků.

A tohle už jste četli?

Banka vydává unikátní karty z keramiky a kovu. Komu je nabídne?

2. 12. 2024 | Petr Kučera

Banka vydává unikátní karty z keramiky a kovu. Komu je nabídne?

Banka Creditas přichází s exkluzivními platebními kartami z keramiky a kovu.

Bývalí klienti Equa přijdou o výhodu. Raiffka sjednotí účty s cizí měnou

26. 11. 2024 | Olga Skalková, Petr Kučera | 1 komentář

Bývalí klienti Equa přijdou o výhodu. Raiffka sjednotí účty s cizí měnou

Raiffeisenbank zpoplatní klientům s Equa účtem vedení nekorunových měnových složek, pokud je využívají. Jak se dá poplatku vyhnout?

ČSOB zpřísňuje prémiové bankovnictví. Pozor, ať neplatíte 1500 Kč

25. 11. 2024 | Petr Kučera | 4 komentáře

ČSOB zpřísňuje prémiové bankovnictví. Pozor, ať neplatíte 1500 Kč

Na klienty služby ČSOB Premium čekají od ledna nová pravidla. Kdo chce dál bezplatně využívat dosavadní benefity, nestačí mu jen vyšší příjem na účet.

Tři banky vypnou elektronické bankovnictví. Limity na víkend si nastavte včas

22. 11. 2024 | Petr Kučera

Tři banky vypnou elektronické bankovnictví. Limity na víkend si nastavte včas

Komerční banka, Raiffeisenbank a mBank o víkendu dočasně vypnou své elektronické bankovnictví. Klienti by si proto dopředu měli nastavit limity na platebních kartách, pokud například... celý článek

Raiffeisenbank změní ceny a podmínky. Prozkoumali jsme je

21. 11. 2024 | Petr Kučera | 2 komentáře

Raiffeisenbank změní ceny a podmínky. Prozkoumali jsme je

Dražší vklady a výběry hotovosti na pobočkách, levnější zahraniční platby, přísnější požadavky na operační systém v mobilu, virtuální asistentka RAIA nebo blokace SMS pro ty, kdo je... celý článek

Zjistěte zdarma cenu fotovoltaiky pro váš dům

Nezávislý srovnavač fotovoltaik Řešímto.cz

Partners Financial Services