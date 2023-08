U čím dál více bank v Česku si lidé mohou rychle ověřit, jestli jim skutečně volá zaměstnanec banky. Banky při tom využívají mobilní autorizační aplikace, které jejich klienti mají pro autorizaci transakcí v elektronickém bankovnictví nebo potvrzení platby kartou na internetu.

Už více než rok tuto službu nabízejí Česká spořitelna a Raiffeisenbank, od loňského října také Max banka.

Jak to funguje? Když bankéř telefonuje, může ho klient během hovoru požádat, aby mu do autorizační aplikace poslal požadavek k ověření. Klientovi se pak zobrazí v aplikaci údaje volajícího bankéře – jeho jméno, příjmení a telefonní číslo odchozího hovoru z banky.

Klient si tak může ověřit, zda se mu bankéř představil pod stejným jménem a volá z telefonního čísla, které se mu ukázalo v jeho mobilní aplikaci. U spořitelny je součástí informace i čtyřmístný kód – klient následně vyzve bankéře k jeho přečtení a může tak dokončit ověření, že skutečně volá bankéř.

„Naši klienti si mohou ověřit volajícího ze zákaznické linky Max banky. Operátor či bankéř má možnost zaslat na vyžádání zabezpečenou zprávu do autorizační aplikace a do internetového bankovnictví, kterou si klient v reálném čase může v mobilu či na počítači přečíst a bez obav v hovoru pokračovat,“ upřesňuje mluvčí Max Banky Anna Bakošová.

S podobnou novinkou přišla koncem června mBank. Klientům oznámila, že ve většině případů jim už rovnou pošle do mobilní aplikace žádost o autorizaci hovoru. Pracovník kontaktního centra mBank volá na telefonní číslo klienta (které je v bance registrované) a pošle mu do mobilní aplikace notifikaci. Klient uvidí požadavek na ověření hovoru se jménem a příjmením pracovníka. Když údaje souhlasí, v aplikaci klient spojení potvrdí a s ověřeným zaměstnancem může mluvit bez obav o bezpečnost.

Novinka pomůže i opačným směrem. „Díky ní už se klient nemusí ověřovat prostřednictvím standardních údajů, jako je datum narození nebo část rodného čísla,“ vysvětluje Lukáš Kiac, vedoucí oddělení rozvoje mobilního a internetového bankovnictví mBank.

Zdroj: mBank

Podle mluvčí mBank Kristýny Dolejšové klienti na tuto službu reagují velmi pozitivně. „Hodnocení v našem formuláři zpětné vazby je 4,57 z 5 hvězdiček. Ceníme si, že nemáme žádnou negativní reakci,“ říká.

Podobná ověření nicméně fungují jen prostřednictvím mobilních aplikací. Ty sice pro přístup ke svému účtu a k potvrzování transakcí využívá čím dál více klientů, někteří ale aplikaci v chytrém telefonu dál odmítají.

Podvodů je čím dál víc

Telefonátů, kdy se podvodníci vydávají za bankéře a snaží se lidi přesvědčit, že jejich účet nebo karta jsou v ohrožení, přibývá. Falešní bankéři se snaží přístupové údaje k účtu, nutí klienty přeposlat peníze na jiný účet nebo si je vybrat hotově a vložit do bitcoinmatu. Policie letos hlásí rekordní počet kybernetických podvodů.

Podvodníci navíc zkoušejí čím dál rafinovanější metody: mezi nejvíce nebezpečné patří napodobení telefonního čísla banky, různých infolinek nebo police. Mobilní operátoři v Česku teprve nedávno začali zkoušet první opatření, která mají zákazníky ochránit – zatím ale fungují jen pro jejich vlastní síť. Pokud podvodník volá ze zahraničí, což je nejčastější případ, tak ochrana nefunguje.

Operátoři nemají povinnost ověřovat, zda je telefonní číslo pravé – ani to neumějí. O účinnější obraně se teprve diskutuje. „Problematika to není vůbec jednoduchá. Pro funkční a smysluplné řešení by bylo nutné zavést technická opatření nejen na straně českých mobilních operátorů, ale i na straně všech fixních operátorů, které provozují takzvané propoje do českých sítí z mezinárodního prostředí,“ řekl letos na jaře Jiří Grund, šéf Asociace provozovatelů mobilních sítí. Ta začala jednat s Českým telekomunikačním úřadem s cílem nalézt řešení, na kterém se shodne celý trh.

Číslo jako z banky Zdroj: Shutterstock Podvodníci dokážou zfalšovat telefonní číslo tak, aby vypadalo třeba jako z vaší banky nebo z úřadu. Takové triky jsou mnohem nebezpečnější, než když vám někdo špatnou češtinou píše nelogické pokyny z podivné adresy. Mobilní operátoři teď zkoušejí první řešení, jak hovorům z podvržených čísel zabránit. Podvodník volá s číslem banky. Rodí se první obrana

Banky se shodují, že při podezření na podvodný telefonát by měl klient ukončit hovor a pak zavolat do banky přímo z čísla uvedeného v mobilní aplikaci.

„Pokud má náš klient během hovoru s kolegy z kontaktního centra jenom stín pochybnosti o tom, jestli mu skutečně volá někdo z banky, vždy mu doporučujeme hovor ihned ukončit a neprodleně zavolat na naši blokační linku na které mu naši kolegové pomohou situaci prověřit,“ říká Roman Macháček z Air Bank.

Nejlépe lze podvodný telefonát poznat podle toho, co podvodník od klienta požaduje. „Aby sdělil přihlašovací údaje do internetového bankovnictví, číslo karty nebo třeba potvrzovací kód z SMS zprávy a notifikace, popřípadě aby převáděl peníze na údajně bezpečný účet. Skutečný pracovník banky to po klientovi nikdy chtít nebude,“ připomíná Macháček.

Na citlivé údaje se neptáme

Snadné ověření bankéře chystá také Komerční banka. „Uvědomujeme si, jak je důležité klientovi umožnit ověřit si telefonát z naší banky. Intenzivně nyní pracujeme na tom, abychom tuto novinku spustili na podzim letošního roku,“ potvrzuje mluvčí Šárka Nevoralová.

Také v UniCredit jsme zjišťovali, jestli banka chystá podobné řešení. Podle mluvčího Petra Plocka „jde o jednu z inovací, kterou by banka v budoucnu mohla nabídnout“.

Ověřování pomocí mobilní aplikace využívá i ČSOB, ale jen směrem od bankéře ke klientovi. „Klient může být během hovoru s bankéřem klientského centra kdykoliv ověřen přes aplikaci Smart klíč. Obecně platí, že úroveň autentizace volíme podle požadavku, který s klientem potřebujeme řešit. V rámci autentizace se ale nikdy klienta na rodné číslo neptáme,“ říká mluvčí Patrik Madle, mluvčí ČSOB. Opačně – tedy aby si klient sám řekl volajícímu bankéři o ověření jeho identity prostřednictvím aplikace – to ČSOB zatím nenabízí.

Možnost ověřit si volajícího pracovníka nenabízí ani mobilní aplikace Monety. „Snižuje sice riziko podvodu, když se útočník vydává za zaměstnance banky, na druhou stranu jsou útočníci velmi přizpůsobiví a pokud toto nevyjde, velmi rychle volají jménem jiných institucí – například polici nebo ČNB,“ vysvětluje mluvčí Zuzana Filipová.

Podle ní proto Moneta zvolila jinou cestu. „Důsledně ověřujeme identitu volajících při příchozích hovorech na naše call centrum. Pokud chce klient například provést citlivější operaci v nastavení svých produktů, odesíláme mu pak také notifikaci do naší aplikace mobilního bankovnictví, kterou musí potvrdit. Pokud se tak stane, my klienta považujeme za ověřeného a klient má zase informaci o tom, že mluví s bankéřem,“ říká Filipová.

Tohle je vishing Zdroj: Shutterstock Poslechněte si, jak vishing probíhá v praxi. Jde o nahrávku neúspěšného pokusu, který mířil na klientku České spořitelny. Hovor s podvodníkem proběhl v nočních hodinách (okolo půl druhé ráno). Pro vishing je typické, že útočníci volají v pozdních večerních nebo brzkých ranních hodinách, kdy lze předpokládat, že klient bude nejméně obezřetný.

Ve Fio bance a Creditas řeší problém klientů s podezřelými hovory možností zpětného volání na infolinku.

„Voláním přímo ze své mobilní aplikace si klient ověří, že při řešení svého problému mluví se skutečným zaměstnancem banky,“ říká mluvčí Fio banky Jakub Heřmánek. „Podstatné je, že banka po klientovi nikdy nebude požadovat přihlašovací hesla do jeho bankovnictví, ani všechny údaje z platební karty. Jestliže toto volající po klientovi žádá, doporučujeme okamžitě zavěsit – a hlavně žádné údaje po telefonu, ale ani e-mailem, SMS zprávou, či na sociálních sítích nesdělovat,“ upozorňuje.

„Klient na ni může zavolat ze své mobilní aplikace a následně situaci dořešit s operátorem na lince,“ říká mluvčí Creditas Lucie Brunclíková.

Co když volá externí call centrum?

Lidé často řeší, jak postupovat, když jim nevolá přímo pracovník banky, ale někdo jejím jménem – typicky z externího call centra nebo marketingové agentury.

Jednoduché to mají třeba klienti České spořitelny. V aplikaci George je možné ověřit i identitu pracovníků, kteří volají z externích call center jménem České spořitelny, říká mluvčí Filip Hrubý.

Také mBank většinu těchto případů zajišťuje právě novým způsobem ověření hovoru do mobilní aplikace. „V ostatních situacích se volající nikdy nesmí zeptat na rodné číslo klienta, jen na datum narození,“ zdůrazňuje mluvčí mBank Kristýna Dolejšová. K ověření volajícího ze strany klienta poslouží i seznam telefonních čísel, z nichž mBank klienta oslovuje: vedle kontaktního centra jsou na webu mBank telefonní čísla poboček a partnerů, říká mluvčí.

Obdobné informace jsou dohledatelné i na webech ostatních bank – pokud externí spolupracovníky používají. Některé z oslovených bank – Air Bank, UniCredit a Fio – potvrdily, že pro telefonické hovory s klienty žádná externí call centra nevyužívají.

„Když klientovi voláme my, zpravidla jde o případy, kdy potřebujeme kvůli jeho bezpečnosti ověřit, zda nějakou platbu zadávat skutečně on. Určitě ale po klientovi nikdy nechceme žádné citlivé ani osobní údaje,“ zdůrazňuje mluvčí Fio banky Jakub Heřmánek.

Základní pravidla podle Air Bank Zdroj: Shutterstock Nikdy nikomu neříkejte své přihlašovací údaje do internetového bankovnictví, číslo platební karty nebo třeba potvrzovací kód z SMS zprávy.

Do svého internetového bankovnictví vstupujte jen z ověřených přístupů, třeba z oficiálních stránek banky, a nikoliv na základě odkazu, který vám někdo pošle.

Nenechte se dotlačit do způsobů plateb, které neznáte, nebo jednat podle pokynů, které vám nedávají smysl, jako je třeba vklad peněz na jiný údajně zabezpečený účet.

Do telefonu ani počítače si neinstalujte neznámé aplikace pro vzdálený přístup.

ČNB radí nespěchat, ověřovat a chránit nespěchat – na základě nevyžádané komunikace nedělat unáhlená rozhodnutí, ověřovat – vždy zvážit možnost podvodu a chránit – svá data a citlivé údaje. Česká národní banka připravila stručný video návod, jak rozpoznat podvodné volání. Doporučuje dodržovat základní pravidla:– na základě nevyžádané komunikace nedělat unáhlená rozhodnutí,– vždy zvážit možnost podvodu a– svá data a citlivé údaje.

Olga Skalková O bankách a finančních institucích píše od 90. let. Byla součástí ekonomického týmu Hospodářských novin, psala i na weby iHNed.cz a Aktuálně.cz. Teď píše externě pro Peníze.cz. Ráda tráví čas s rodinou a přáteli, chodí do... Další články autora.

