Zdroj: Shutterstock
Banky v Česku mají čím dál větší starosti s pokusy podvodníků, jak připravit klienty o peníze. Podvodné e-maily, jejichž cílem je vylákat přístupová hesla ke kartě či účtu a vybrat z nich peníze, se v posledních letech staly už obecně dost známým trikem. Přesto se na ně někteří lidé stále nechají nachytat. Podvodníci jsou totiž čím dál vynalézavější, používají přesvědčivější a důvěryhodnější metody. Ve výsledku se jim letos podařilo připravit o peníze výrazně více lidí než v minulých letech.
Už nejde jenom o e-maily nebo SMS. Letos prudce stoupl počet telefonátů, kdy se podvodníci vydávají za bankéře. Takzvaný vishing se začal výrazněji objevovat teprve ve druhé polovině loňského roku. Mezi veřejností ještě není v tak širokém povědomí jako podvodné e-maily, kde navíc mohla varovat třeba i špatná čeština.
„Počet vishingových útoků stoupá a tím i četnost těch, které jsou úspěšné. Vishingové útoky sice stále nejsou co do počtu tak masivní jako klasické útoky formou phishingových e-mailů, nicméně finanční ztráty klientů jsou často velmi vysoké a rostou,“ potvrzuje Pavel Kolář, gestor Komise pro bankovní a finanční bezpečnost České bankovní asociace.
„Navíc útočníci používají nejen různé manipulační techniky, které neustále vylepšují, ale dokáží i simulovat volání tak, jako by bylo prováděno z oficiálních telefonních čísel bank,“ vysvětluje Kolář. Jde o takzvaný spoofing: volající se snaží vzbudit důvěru, že jde o zástupce banky nebo třeba policie, a pod záminkou ochrany klientových peněz po něm chce jeho hesla k bankovnímu účtu, aby ho mohl zablokovat kvůli údajnému napadení.
„Na hovor jsou podvodníci dobře připraveni, protože často znají i klientovo jméno a adresu. Cílem je zmocnit se peněz na klientově účtu, případně si jako bonus ještě útočník vezme peníze z půjčky, o kterou požádá klientovým jménem a klient ji bude muset splácet,“ upřesňuje Kolář. „Pokud se to podvodníkovi podaří, peníze si s pomocí klienta přepošle na jiný, velmi často kryptoměnový účet, nebo klienta požádá o jejich vyzvednutí v hotovosti a o vložení na údajně bezpečný účet prostřednictvím některého kryptoměnového bankomatu,“ dodává.
Výrazný nárůst potvrzuje i policie, na kterou se okradení klienti obracejí. „V posledním roce evidujeme stovky trestních oznámení na takové platební podvody. Reálně jich však bude ještě mnohem víc,“ říká Jakub Vinčálek z tiskového oddělení Policejního prezidia. Podle něj letos podvodníci využívají nejen jednotlivé metody útoků jako je už zmíněný phishing, vishing či spoofing, ale často je i kombinují. Tím se jim daří oklamat více klientů než v minulosti.
Policie v poslední době zaznamenává také víc a víc případů, kdy se útočníci chtějí dostat k účtu klienta, aniž by od něj potřebovali přístupová hesla. Pod různými záminkami – třeba kvůli nabídce zajímavé investice – klienta přesvědčí, aby si sám nainstaloval do počítače program, který mu umožní podrobnější náhled na investiční produkty. Tímto způsobem pak podvodníci mohou ovládat i klientův účet a vybrat si z něj peníze.
Celková statistika počtu a objemu těchto platebních podvodů zatím chybí, ale jejich nárůst potvrzují prakticky všechny banky.
Poslechněte si, jak vishing probíhá v praxi. Jde o nahrávku neúspěšného pokusu, který mířil na klientku České spořitelny. Hovor s podvodníkem proběhl v nočních hodinách (okolo půl druhé ráno). Pro vishing je typické, že útočníci volají v pozdních večerních nebo brzkých ranních hodinách, kdy lze předpokládat, že klient bude nejméně obezřetný.
„V porovnání s předchozím rokem registrujeme několikanásobný nárůst těchto incidentů. Jednoznačně převládají vishingové podvody za účelem investice do kryptoměn. Dřív jsme se s nimi u nás v bance setkávali jen výjimečně, od roku 2020 vishingových podvodů lavinově přibývá. Jen my v ČSOB jsme řešili několik desítek takových případů, podobně jsou na tom i další české banky,“ říká Patrik Madle, mluvčí ČSOB.
Ve Fio bance letos evidují více než dvojnásobek úspěšných případů, kdy klient naletěl útočníkovi. „Jde o vyšší stovky případů. Stále převažuje phishing, tedy podvodné e-maily nebo jiné zprávy. Telefonické podvody jsou na vzestupu, ale okradených klientů jsou spíš jednotky případů,“ upřesňuje mluvčí Jakub Heřmánek.
Podobně mluví i Komerční banka. „Počet pokusů o podvody se zvyšuje s rostoucím využíváním služeb v online prostředí. Kromě vishingu se v poslední době setkáváme i se snahou o zneužití digitální platební karty. Celkově řešíme desítky případů okradených klientů ročně,“ upřesňuje mluvčí Michal Teubner.
Nárůst platebních podvodů, nejčastěji podvodných e-mailů a telefonátů, potvrzuje i Raiffeisenbank. „U vishingu jsou klienti nejčastěji oslovování na „výhodné“ investice, dovolí přístup do svého počítače a ještě všechno podvodníkům certifikují. Vedle toho jsou častým typem reakce na SMS zprávy, které se tváří jako od České pošty a klienti si myslí, že jim přijde platba na účet. Místo toho je jim ale platba odečtena,“ říká mluvčí Petra Kopecká.
Česká spořitelna se v poslední době nejčastěji setkává s phishingovými útoky, při nichž podvodníci lákají klienta na údajné investice, nebo se snaží napadnout jeho internetové bankovnictví. Další častou metodou útoků jsou podvodné telefonáty. Množí se i případy, kdy klient poskytne údaje z platební karty v rámci transakce na různých bazarových portálech: „zájemce“ nabízí poslání peněz přímo na kartu prodávajícího – jen potřebuje potvrdit připojení karty.
Celková úspěšnost podvodných útoků na klienty se podle spořitelny pohybuje okolo pěti procent; v případě phishingových útoků je trojnásobná, tedy 15 procent. „V mnoha případech nemůže banka zabránit i opakovanému schvalování podezřelých transakcí klientem, který na provedení plateb – s vidinou velkého zisku nebo návratu již vydaných peněz – stále trvá,“ vysvětluje Filip Hrubý, mluvčí České spořitelny.
Tohle je bohužel hrozba i pro klienty, kteří by na jednodušší trik jen tak nenaletěli. Podvodníci už umějí nastavit číslo, aby vypadalo jako zákaznická linka. Operátoři ani zákony s tím zatím nic nezmohli. Služba, která to umožňuje, byla až doteď užitečná.
„Meziročně evidujeme přibližně stejný počet phishingových útoků, které cílí na získání údajů o platební kartě klienta. Jejich počet se pohybuje v řádu nižších jednotek tisíc. Částky, které útočníci z klientů vylákají, dosahují nicméně nižších hodnot než v případě phishingových útoků na internetové bankovnictví. Výraznější pokles zaznamenáváme v případě podvodných kartových transakcí,“ říká Hrubý.
Kvůli phishingovým útokům na internetové bankovnictví a na karty a kvůli podvodům na falešných e-shopech přijdou klienti České spořitelny ročně o vyšší jednotky milionů korun. „Celkově však počet podvodů v meziročním srovnání poklesl. Hlavním důvodem je uplatňování evropské regulace – směrnice PSD2, která požaduje dvoufaktorové ověření při přihlašování do bankovnictví a při potvrzování plateb kartou na internetu,“ konstatuje mluvčí.
Nárůst počtu podvodů o jednu pětinu letos zaznamenala Moneta. „Vhishingové podvody jsou stále poměrně časté. V poslední době však došlo k jejich poklesu a na první místo se vrátily phishingové pokusy s využitím podvodných stránek, které mají vizuální podobu internetového bankovnictví a útočníci se tímto způsobem snaží získat neoprávněný přístup k účtům svých obětí,“ upřesňuje mluvčí Zuzana Filipová.
Také podle Air Bank pokusy o podvod, v poslední době zejména vishing a spoofing, rostou. „Přicházejí ve vlnách a může se jednat o jednotky, anebo také o desítky pokusů denně. K nám se však dostává jen zlomek těchto pokusů, a to až ve chvíli, kdy si v lepším případě chce klient informace ověřit, v tom horším se jedná už o stav, kdy klient sám poskytl podvodníkovi všechny údaje a součinnost a dal mu tak přístup ke svým penězům,“ vysvětluje mluvčí Jana Pokorná.
Banky se podvodům snaží bránit hlavně opakovanými výzvami k obezřetnosti. Uživatelé internetového a mobilního bankovnictví proto letos po přihlášení zaznamenali větší počet e-mailů či upozornění na novou vlnu útoků. Banky také opakovaně zdůrazňují, že klienti nemají nikomu vyzrazovat přístupová hesla a že v žádné situaci je od nich nikdy nepožaduje ani jejich banka. Pokud klienta s takovou žádostí někdo osloví, neměl by na ni reagovat – a když jde o telefonát, měl by ho ihned ukončit a pak o tom nejlépe informovat svou banku.
Česká bankovní asociace podepsala s Policií ČR memorandum o spolupráci a společně s ní rozjela kampaň proti kyberútokům. „Právě osvěta může významně napomoct snížit procento úspěšných útoků. Aktivity asociace v oblasti rozvoje digitální gramotnosti, kam samozřejmě bezpečnostní zásady patří, jsou však pouze doplňující ke komunikaci bank vůči svým klientům,“ podotýká Kolář.
Proti podvodům banky bojují i dalšími nástroji. Mnohé z nich letos snížily maximální limit pro odchozí okamžitou platbu, přestože teoreticky by ji naopak mohly zvýšit. Významnější zbraní jsou různé technologické nástroje, o nichž ale nechtějí prozrazovat podrobnosti, protože by to mohlo nahrát podvodníkům.
Například spořitelna mimo jiné už rok využívá behaviorální detekci podvodných transakcí. „Významně nám to pomáhá identifikovat potenciálně podezřelé transakce, a tak přispívá k ochraně před phishingem,“ potvrzuje Hrubý.
„Pro automatizovanou detekci podezřelých plateb využíváme speciální systém, který je založený na strojovém učení a profilování chování. Systém shromažďuje stovky informací od parametrů dané relace, využitého zařízení, detailů plateb až po specifické behaviorální biometrické údaje – jak uživatel píše, jezdí myší po obrazovce a podobně,“ říká i mluvčí Monety Zuzana Filipová.
„V karetním sektoru používáme systém, který porovnává transakce oproti nastaveným pravidlům. Ta jsou nastavována tak, aby reagovala na současné trendy podvodníků. Zároveň systém prostřednictvím strojového učení zkoumá transakční chování klienta a na základě přiřazeného skóre poukazuje na vyšší podezřelost transakcí. Kombinace obou prvků nám umožňuje omezit činnost podvodníků ještě před samotným provedením platby,“ upřesňuje Filipová. Pokud jsou některé platby vyhodnoceny jako podezřelé, banka platbu pozdrží a přes call centrum u klienta ověří, zda platbu skutečně autorizoval.
„Nedávno jsme navázali spolupráci se španělskou společností specializující se na detekci kybernetických hrozeb. Tímto jsme mimo jiné schopni odhalit případy, kdy jsou klientům ukradeny přihlašovací nebo platební údaje z jejich zařízení, například škodlivým malwarem, nebo v důsledku úspěšného phishingu, a následně tyto údaje útočníci prodávají na takzvaném darknet marketu. V okamžiku, kdy takový případ odhalíme, přístup do internetového bankovnictví nebo platební kartu preventivně blokujeme, aby nemohlo dojít ke zneužití. Klienta kontaktujeme, abychom mu situaci vysvětlili a obnovili přístup k jeho penězům. Nové platební karty v těchto případech vystavíme klientům zdarma,“ dodává Filipová.
Co dělají banky pro to, aby podvodníci nemohli klientům volat z čísla, které se tváří jako informační linka? Podle bankéřů by pomohla změna legislativy a tlak na telefonní operátory. Ti dnes nemají povinnost ověřovat, zda je telefonní číslo, které volající uvedl, pravé. A podle Jiřího Grunda, výkonného ředitele Asociace provozovatelů mobilních sítí, to ani neumějí.
„Většina operátorů se o odhalování podvodných telefonátů snaží, ale pokud byť jediný tuto činnost nevykonává, útočníci mohou veškeré hovor směřovat přes něj. S operátory se tuto situaci snažíme proaktivně řešit, tak aby nemohlo docházet ke zneužívání našich telefonních čísel. Nicméně: situace, kdy útočníci využijí libovolné mobilní číslo a důvěřivého klienta přesvědčí, není možné dostatečně rychle odhalit a blokovat,“ říká Filipová z Monety.
Jednodušší je prostě napsat tak ubohý mail, že na něj skočí jen skutečný trouba. Takový, u kterého už tedy existuje opravdu významná pravděpodobnost, že projde i dalšími koly komunikace a o své peníze se nakonec připravit nechá. Čtěte víc!
Olga Skalková
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
9. 12. 2021 13:18
Citace - Jirka / 09.12.2021 12:00
Jako že pokyn z telefonu, že mám ze svého účtu vybrat peníze a vložit je na účet kdo ví komu, zní poměrně věrohodně :-D? Možná tak absolventovi inkluzivního studia (dříve zvláštní školy)...
Zobrazit celé vláknoSkrýt celé vlákno
Příspěvek s nejvíce zápornými hlasy
9. 12. 2021 11:48
A nechcete i štěmpla od nějakého ouřady i na to jestli můžete jíst, vařit, chodit a spát? Přece u každé činosti se dá udělat nějaká blbost co může mít i fatalní následky, ale určitě kvůli nějaké menšíně nebudeme zavádět zbytečné zkoužky pro celou zemi. Viz řidičák sice máme autoškolu, ale silnice jsou plně blbců i přes toto opatření.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (23 komentářů) příspěvků.