Článek
Představte si následující situaci: Spíte, uprostřed noci vám zazvoní telefon. Rozespalí slyšíte, jak vám hlas do telefonu vysvětluje, že vaše peníze jsou v ohrožení. Říká, že je z vaší banky a že je třeba ihned jednat, jinak o peníze přijdete. Chce po vás nadiktovat citlivé údaje, aby ověřil vaši totožnost. Co uděláte?
Klientka České spořitelny (jejíž anonymitu banka i zvukovou úpravou nahrávky chrání), byť nakonec jen díky zásahu svého manžela, v reálném testu vůči metodě sociálního inženýrství zvané vishing obstála. Níže si můžete poslechnout autentickou nahrávku a přečíst přepis podvodného telefonátu, jehož cílem bylo získat údaje o platební kartě a následně „vysát“ klientčin účet.
„Klientka má na svém telefonu nainstalovanou aplikaci pro nahrávání hovorů a bezprostředně po tomto podvodném hovoru nás kontaktovala, aby na něj jednak upozornila a zároveň nám záznam nabídla, abychom mohli zvážit, jak s ním dál pracovat,“ uvedl Lukáš Kropík, mluvčí České spořitelny, která SZ Byznys nahrávku poskytla.
Hovor se uskutečnil na začátku loňského srpna. Útočník volal v noci s tím, že bezpečnostní systém banky vyhodnotil, že se někdo snaží zneužít klientčinu platební kartu. Chtěl okamžitou reakci – zablokovat kartu. Tvrdil, že pro ověření potřebuje nadiktovat všechny údaje z karty, včetně trojmístného kódu na její zadní straně.
Útočník ani jednou nezmínil jméno banky. Možná ho totiž ani neznal. Možná, že znal jen jméno klientky a číslo jejího telefonu. Ostatní podrobnosti mu – kdyby nezasáhl její muž – málem prozradila sama.
Vishing je podvodná technika založená na vyvolání strachu a zpanikaření oběti. Jak vysvětluje Petr Barák, šéf Komise České bankovní asociace pro bankovní a finanční bezpečnost, klientovi volá v neobvyklý čas útočník vydávající se za bankéře a s pomocí osobních údajů o klientovi, které získal například z ukradených databází či sociálních sítí, si získá jeho důvěru. Ten pak snadno uvěří, že jeho účet byl napaden.
Důležité je také vědět, že tak, jak útočník popisoval údajný proces zablokování karty, to nefunguje. „Zásadně platí, že jak údaje o platební kartě, tak ověřovací kódy, nejsou nikdy používány k zastavení platby nebo ověření klienta,“ zdůrazňuje Martina Kadlecová z týmu bezpečnosti klientských transakcí v České spořitelně.
Jak se blokuje platební karta
Lukáš Kropík popisuje tři způsoby, jak se karta telefonicky blokuje: „Buď nám klient zavolá na zákaznickou linku a proběhne jeho identifikace, tzn. chceme znát buď rodné číslo klienta, datum jeho narození, případně začátek rodného čísla. Nebo nám klient volá na zákaznickou linku prostřednictvím aplikace George klíč. Při tomto hovoru je automaticky ověřen a může rovnou kartu zablokovat. Nebo má aktivovanou bezplatnou službu ověření hlasem (Hlasová biometrie), tzn. zavolá nám na zákaznickou linku a podle vzorku hlasu je rovnou ověřen. Postupuje stejně, jako když nám volá skrze aplikaci George klíč.“
Blokovat kartu lze i z mobilního telefonu nebo v internetovém bankovnictví, ale v případě pokusu o phising nebo vishing Kropík doporučuje kontaktovat banku přes telefonního operátora.
Věrohodnost podvodných hovorů narůstá. Zatímco dříve útočník na klienta více naléhal, aby mu rychle poskytl údaje do svého bankovnictví nebo informace o platební kartě a často hovořil se silným přízvukem, v současnosti tyto hovory více připomínají hovor se skutečným klientským centrem banky.
„Hlas útočníka je klidný a vyrovnaný, hovor mívá hudební podkres a v telefonátu zaznívají přesvědčivé formulace zkušeného telefonního operátora. Nejčastěji tyto hovory probíhají buď v pozdních večerních nebo brzkých ranních hodinách, kdy lze předpokládat, že klient bude nejméně obezřetný,“ popisuje Kadlecová.
Podle mluvčího Policejního prezidia ČR Ondřeje Moravčíka je vishing nebezpečný zejména v tom, že falešní pracovníci bank mohou již před hovorem nejenom znát různé informace o lidech, kterým volají, ale hlavně při hovorech užívají takzvaný spoofing telefonního čísla. Při něm dokážou napodobit jakékoliv telefonní číslo, včetně infolinek bank.
„Rovněž bylo zaznamenáno několik případů, při kterých telefonicky kontaktují další osoby, které vystupují jako policisté, s cílem ujistit o pravdivosti tvrzení ohledně napadení bankovního účtu a nutnosti převodu peněz na „bezpečný“ bankovní účet dle předchozích instrukcí domnělých pracovníků bank.
Před podvodnými praktikami varují i ostatní banky. „Klienty neustále upozorňujeme, aby nereagovali na e-mailové ani telefonické sdělení jakýchkoli údajů o jejich platební kartě. A to ani ze strany vašich známých na sociálních sítích,“ informovala mluvčí ČSOB Michaela Průchová.
„Nikdy nemůžete s určitostí vědět, že jejich účet nebyl napaden hackerem. Neklikejte proto ani na internetové odkazy pro provedení „zaručeně bezpečné a rychlé platby“, které vám přišly ve zprávě od domnělého přítele na sociální síti,“ upozornila.
EDIT: V původní verzi bylo uvedeno, že Česká spořitelna při ověřování po telefonu nikdy nepožaduje sdělit celé rodné číslo. Mluvčí informaci později upřesnil.