Článek
Článek si také můžete poslechnout v audioverzi.
Počet podvodných telefonů s cílem okrást lidi o peníze roste, potvrzují oslovené bankovní společnosti. Takzvaný vishing, jak se takovým podvodům říká, funguje již řadu let, podle odborníků se pachatelé ale rychle přizpůsobují a upravují své taktiky. Denně se podle odhadů odehrají tisíce takových „vishingových“ útoků – většinu z nich ovšem podle bank lidé nehlásí.
Vždy ale hraje hlavní roli sociální inženýrství a vyvíjení emočního nátlaku, pod kterým jsou pak lidé schopni svěřit své úspory cizím lidem. V posledních týdnech jde o scénář, kdy se pachatel vydává za bankéře a tvrdí klientovi, že si na něj někdo chce sjednat úvěr.
„Tento nový typ vishingového útoku jsme zaznamenali zhruba tři týdny zpátky, útoky vždy přichází ve vlnách,“ říká Pavel Šašek, manažer karetního servisu a prevence podvodů Komerční banky (KB). Upozorňuje, že podstata útoků se nemění. „Variant takových napadení je několik, klient bývá osloven falešným bankéřem, že se na jeho jméno zakládá nový úvěr a je potřeba tento proces nějak dokončit,“ popisuje základní scénář podvodného telefonátu. Zdůrazňuje, že cílem pachatelů je člověka znejistit, vyvolat v něm strach a pod tímto nátlakem z něj peníze dostat.
Co je phishing, smishing a vishing?
Phishing je typ kybernetického útoku pomocí technik sociálního inženýrství, kdy se útočník snaží získat důvěrná data oběti nebo spustit na zařízení oběti škodlivý kód. Nejčastěji probíhá phishingový útok pomocí podvodného e-mailu s žádostí o informace k naší platební kartě nebo o přihlašovací údaje do našeho internetového bankovnictví. Výjimkou ale není ani výzva v chatovacích aplikacích či nabídky a inzeráty umístěné na sociálních sítích.
Smishing je mixem slov SMS a phishing a jde o formu útoku, která je prováděna prostřednictvím textových zpráv. Podvodníci se z obětí snaží vylákat citlivé údaje k účtům (přihlašovací ID, heslo, mobilní klíč apod.) nebo kartám (celé číslo karty, datum platnosti, kód CVC, kód 3D Secure atd.).
Vishing (voice phishing, podvodné volání) je typ útoku, který používá hlasový hovor a techniky sociálního inženýrství. Útočníci se prostřednictvím telefonního hovoru snaží z oběti vylákat osobní nebo platební údaje, nebo ji rovnou přimět k převodu peněz.
„Aktuálně připadá zhruba 40 % kyberpodvodů na podvodníky, kteří se vydávají za pracovníky banky,“ komentuje rozložení variant jednotlivých útoků tiskový mluvčí Lukáš Kropík z České spořitelny. Podle něj dalších zhruba 40 % podvodů spáchají podvodníci, kteří se vydávají za investiční makléře. A zbytek případů pak tvoří tzv. romantické podvody, kdy se pachatelé na internetu vydávají například za válečné veterány, bohaté vdovce nebo dědice, kteří hledají lásku a s ní potom i peníze obětí.
Situaci podobně vnímá i tiskový mluvčí ČSOB mimo jiné pro oblast kybernetické prevence Petr Milata. „Princip těchto podvodů zůstává stále stejný, jenom finta je trochu jiná,“ komentuje vývoj útoků. „Podvodníci se stále snaží dostat z lidí citlivé informace jako například přihlašovací údaje, nebo je přinutit přeposlat peníze na tzv. bezpečný účet.“
Přesný počet útoků navíc není možné zjistit. Řada lidí je totiž nehlásí. „Řeknou nám o tom třeba se zpožděním, nebo to kvůli studu radši zatají.“
Stává se, že se pachatelům dokonce daří přesvědčit oběť, aby své peníze někomu předala v hotovosti. Milata upozorňuje, že jsou podvodníci schopni klienty přesvědčit, aby svou banku o situaci vůbec neinformovali. A to i pod záminkou, že by to (pachatelé) mohli zjistit. „Je opravdu důležité zachovat chladnou hlavu a nikdy ničemu takovému nevěřit, protože je to nesmysl,“ doporučuje, jak se v takovém případě zachovat.
A úspory jsou pryč
Jeden ilustrační příběh poskytla redakci SZ Byznys Komerční banka. Jednu z jejích klientek, které bylo 33 let, kontaktoval člověk vydávající se za zástupce České národní banky. Tvrdil jí, že je její účet ohrožený a může přijít o veškeré své peníze. Samotný telefonát trval několik hodin, kdy pachatel na klientku vyvíjel silný psychologický nátlak a doporučil jí převést peníze právě na chráněný účet.
Žena následně poslala 150 000 Kč ze svého online bankovnictví a pak šla a vybrala hotovost z bankomatu a několika poboček a vše odevzdala v obálce nějakému muži na skútru. Údajně šlo o kurýra, který měl hotovost bezpečně uložit. Pachatelé tak využili kombinaci manipulace, falešné identity a logicky působících argumentů, přičemž klientka přišla o své úspory. Situaci teď řeší policie.
Banky i policie se snaží takovým případům předcházet i pomáhat poškozeným. „Pravidelně se nám daří odhalovat často mezinárodní organizované skupiny, které podobnou trestnou činnost páchají,“ říká Ondřej Moravčík, vedoucí oddělení tisku Policie ČR. Někdy se podaří alespoň část peněz poškozeným vrátit. „Daří se nám zajišťovat i výnosy z této trestné činnosti a další majetek, proto umoření byť jen části škody není nereálné,“ vysvětluje.
Například případ falešného bankéře nedávno včas odhalila bankéřka hlučínské pobočky České spořitelny Petra Kačmaříková, díky čemuž se zachránilo něco přes půl milionu korun: „Na pobočku k nám přišla klientka s tím, že si chce v hotovosti vybrat veškeré své úspory z běžného a spořicího účtu. Nechtěla sdělovat žádné informace a byla na ní znát určitá nervozita. Nakonec se mi ji podařilo rozpovídat, upozornit na praktiky podvodníků, kteří se z klientů pod různými záminkami snaží vylákat peníze, a zachránit jí tak částku ve výši 550 tisíc Kč. Tu by jinak předala v hotovosti přímo do rukou podvodníků,“ popsala incident.
Propracovaný systém
Oslovené bankovní společnosti potvrzují, že se snaží monitorovat chování svých klientů, aby v podezřelých situacích mohly případně zasáhnout. „Zabezpečujeme aplikace a stále inovujeme svoje prevenční a detekční systémy,“ vysvětluje Milata. „Neexistuje způsob, jak by se podvodník mohl v České republice do účtu nějaké banky nabourat, k penězům se může dostat jen přes klienta, který je bohužel nejslabší článek ochrany peněz,“ vysvětluje. Důležitá je podle něj prevence a edukace veřejnosti.
Díky monitorování transakcí si pak banky mohou všimnout podezřelých převodů například kvůli neobvykle vysoké částce, změně zařízení nebo nezvyklé lokaci, kam peníze posílají. „V takovém případě klienta kontaktujeme, platbu pozastavíme a ověříme ji. V tom máme 90procentní úspěšnost,“ říká Milata.
Druhým způsobem vishingových podvodů jsou falešné investice. „To je asi největší problém, manipulace typu: budeme všichni bohatí, pojďme investovat do kryptoměn,“ říká Pavel Šašek. Tentokrát nejde o emoci strachu, ale vidinu výhodnějšího zhodnocení peněz než u banky.
„Samozřejmě ta investice je falešná a peníze odchází úplně někam jinam,“ vysvětluje. Podle něj jde o nejčastější typ útoku z pohledu vishingu. Problém je podle něj hlavně v tom, že podvodník s klientem udržuje komunikaci a manipuluje ho tak po delší dobu. Navíc lidé si pak mnohdy vezmou půjčku ve víře, že díky úspěšnému investování se jim peníze zase vrátí. Ve výsledku se ale jen o to více zadluží.
Více útoků, méně škod
Podle dat České bankovní asociace (ČBA) počet napadených klientů skrze kybernetické útoky každoročně přibývá, za minulý rok jich banky evidovaly lehce přes 87 tisíc. Meziročně tak počet napadených stoupl o zhruba 18 tisíc. Celková škoda za minulý rok činila 1,39 miliardy korun, přestože se tato hodnota oproti tomu předešlému roku zvýšila z 1,35 miliardy korun, průměrná škoda na osobu klesla z 19 357 korun na necelých 16 tisíc korun.
Průměrně každý den došlo minulý rok k 51 případům, kdy podvodníci někoho o peníze připravili, jak vyplývá z dat ČBA. „Informování veřejnosti je důležitou cestou, jak pachatelům ztěžovat jejich činnost. Velmi nám pomáhá i to, že si informace a zkušenosti předávají rodinní příslušníci a navzájem se tak chrání. Děkujeme za to,“ uvedl pro ČBA Ondřej Penc z Odboru prevence Policie ČR. Z dat vyplývá, že se loni podařilo zachránit z hlediska kyberpodvodů téměř 8 miliard korun.
Policie doporučuje na podezřelé hovory nereagovat a nikdy nikomu nesdělovat žádné citlivé údaje, bezpečnostní údaje k platební kartě či přístupy k online bankovnictví. Mimo jiné je dobré aktualizovat software na svých zařízeních i antivirový program.
