Článek
V kultovním filmu Equilibrium se na konci ptá záporák hlavního hrdiny, jestli ví, jak nejlépe od skvěle vytrénovaného bojovníka získá zbraň. „Řeknete si o ni,“ zní prostá - a výsměšná - odpověď.
Stejný princip bohužel platí i v oblasti kybernetických podvodů. Manipulace fungují tak dobře, že podvodníky skoro nemusí trápit, jak dobré je zabezpečení. Letošní první čtvrtrok tak byl, co se týká způsobené škody, rekordní.
Pokud bychom si měli představit situaci mimo svět jedniček a nul, je to podobné, jako kdybychom investovali do lepších zámků, kamer a vysokého plotu okolo domu. Zloději ale budou stále „vydělávat“ víc, než kdy dřív. Tyto překážky totiž za ně oběti zpravidla překonají samy a peníze jim pak – velmi zjednodušeně řečeno – dobrovolně pošlou.
Hra na „hodného policajta“
Podvodníci hrají zejména na emoce svých obětí. Mnoho scénářů totiž pracuje se strachem. „Ano, tento typ, takzvaný vishing (voice phishing čili podvodný telefonát – pozn. red.), patří dlouhodobě k těm nejčastějším,“ reaguje mluvčí České bankovní asociace Adam Duffek na otázku, jestli jsou obvyklé podvody, kdy má oběť pocit, že si naopak peníze chrání.
„Má různé varianty, kdy se e-šmejdi vydávají za bankéře, policistu nebo za neziskovou organizaci pod EU,“ popisuje Duffek s tím, že cíl je stejný: vyvolat v oběti strach a časovou tíseň, že musí rychle jednat, jinak o peníze přijde. Domnělá „záchrana“ spočívá v tom, že je převede na jiný účet. Ten ale patří podvodníkům.
Banky se snaží těmto technikám předcházet a školí zaměstnance, aby podezřelé transakce ověřovali a s klienty se snažili dopátrat možného pokusu o podvod. Varování je i na bankomatech. Útočníci ale o obraně vědí a přizpůsobují se. V případě podvodu, kde se staví do role „zachránců“, dokonce začali posílat oficiálně vypadající dokumenty, kterými vmanipulují oběti do chování, kvůli kterému je prakticky nemožné podvodu zabránit.
To je například případ dvaačtyřicetileté ženy, která se od domnělého policisty dozvěděla, že do banky přišel muž s jí ověřenou plnou mocí a žádal na její jméno úvěr. Po manipulaci, jejíž součástí byl i dokument, ve kterém pod záštitou České národní banky ženě vysloveně říká, že pokud chce své peníze zachránit, tak nesmí spolupracovat se zaměstnanci banky. Konkrétně i předpovídají jejich chování. Žena postupně podvodníkům poslala bezmála 400 tisíc korun.
Falešný dokument nabádající podvedenou k nedůvěře vůči zaměstnancům banky.
Varování před podobným nebezpečím se v posledních letech hrnou ze všech stran, na rizika upozorňují banky, policie, média i influenceři. Mnoho lidí je přesto vnímá tak, že jim by se nic podobného stát nemohlo a oběť mnohdy ještě odsoudí, že si za ztrátu může sama.
Jenže situace jsou zpravidla nesrovnatelné - lidé při sledování těchto varování obvykle vědí, že to, co sledují, je podvod, jejich racionalita v té chvíli funguje tak, jak má. Informace vyhodnocují v klidu a bezpečí, nejsou přitom vystavení stresu, emocím a strachu.
Což je přesně stav, do kterého se snaží podvodníci vmanévrovat oběti. Schopný manipulátor je dostane do stavu, kdy jsou přesvědčení, že právě v té chvíli přichází o všechny úspory a čelí okamžité hrozbě zadlužení. Pokud navíc útočník zavolá ve chvíli, kdy člověk není úplně soustředěný, šance na úspěch se zvyšuje. Strach zvítězí nad racionalitou. Co se jindy může zdát jako jasný signál podvodu, nyní kontrolku v hlavě nerozsvítí.
Celý příběh podvedené oběti
Poškozené 42leté ženě zavolal muž, který se představil jako policista z Děčína. Oznámil jí, že se neznámý člověk dostavil na pobočku banky, ve které žádal o úvěr na její jméno, a předložil její plnou moc. Údajný policista dodal, že banka úvěr schválila, ale zatím nevyplatila.
Dávno už navíc neplatí, že volá náhodné číslo. „Podvodníci umí napodobit číslo, které vypadá jako volání z banky, policie nebo jiného důvěryhodného zdroje,“ říká Duffek s tím, že tento typ podvodu patří mezi ty s vůbec největšími škodami.
Dokládají to i data ČBA za první čtvrtletí letošního roku, kdy se podvodníkům povedlo ukrást klientům bank už téměř 800 milionů korun. Pro srovnání - to je více, než za předchozí dva roky ve stejném období dohromady. Za celý loňský rok pak metody kyberšmejdů připravily Čechy o 2,13 miliardy, letos může být – a dost možná i bude – škoda ještě výrazně vyšší.
Duffek pak dodává ještě jeden statistický ukazatel meziroční změny. „Podle dat z letošního prvního čtvrtletí to vypadá, že se podvodníci zaměřili na vyšší částky,“ varuje zástupce ČBA. „Průměrná škoda na jednoho podvedeného klienta letos dosáhla 33 460 korun, loni to bylo 15 854 korun. Útoků přibylo jen nepatrně, podvodníkům se tedy daří získávat výrazně vyšší částky.“
Konkrétně u takzvaného falešného bankéře nebo policisty – metod cílících na strach oběti – je pak dopad výrazně horší. „Průměrná škoda u tohoto typu podvodu se pohybuje kolem 600 až 700 tisíc korun na jednoho klienta,“ říká expertka na digitální a karetní podvody ČSOB Andrea Komárková. Oběť navíc může zůstat i zadlužená: „Klienti převedou veškeré úspory, někdy si dokonce na pokyn podvodníků vezmou úvěr, aby své peníze ‚ochránili‘.“
Známý hlas i tvář
Osvědčené postupy navíc podvodníci vylepšují s pomocí nových technologií. „Umělá inteligence jim umožnila věrohodně napodobit například hlas nebo tváře známých osobností, které ve falešných videích například lákají na investice s vysokým výnosem,“ varuje Duffek. „Řada lidí potom snáze podvodu podlehne, když to ve videu ‚říká‘ jejich oblíbený politik nebo sportovec.“
„Pokud se někdo vydává za policii, banku nebo vašeho známého, hovor raději před jakýmkoli důležitým krokem nebo sdělením citlivých informací položte a zavolejte dané instituci nebo osobě napřímo a ověřte si pravost předchozího telefonátu,“ doporučuje David Řeháček z kyberbezpečnostní společnosti Check Point Software Technologies. Podle něj totiž ani známý hlas nebo známá tvář v dnešním kybernetickém světě nic neznamenají.
„Obyčejné služby napodobující něčí hlas nebo obličej v reálném čase si lze na Telegramu koupit za pár dolarů,“ dodává s tím, že z veřejných videí a komentářů, statusů a reakcí jde odvodit chování a s pomocí AI vytvořit věrohodnou kopii uživatele.
„Řada podvodů dnes využívá umělou inteligenci a kyberzločinci jsou schopni připravit podvody šité na míru, ve vašem jazyce, napodobující vaše město a se zakomponovanými osobními prvky na základě veřejných informací ze sociálních sítí, aby se zvýšila šance na úspěch,“ přidává příklady Řeháček. „Proto v mnoha případech nemusí ani zkušený uživatel past odhalit.“
Levná data, která přijdou draho
Lidé navíc podvodníkům práci usnadňují i tím, jak se na internetu chovají. Pokud totiž mají možnost propojit například email, telefon, nebo dokonce banku s konkrétním jménem, pravděpodobnost úspěšného podvodu dramaticky stoupá.
„Tyto informace útočníkům pomáhají, zejména pokud jsou v nějakém komplexnějším balíku, který obsahuje jméno, adresu a třeba číslo účtu,“ říká Duffek. „Tím, že o vás útočník zná víc informací, působí důvěryhodněji.“
Takový balíček přitom útočníky skoro nic nestojí. „Podobné seznamy se na kyberzločineckých fórech prodávají velmi běžně a často se jedná o seznamy s miliony dat. Ceny jsou relativně nízké, protože to není nijak výjimečná komodita,“ upozorňuje Řeháček. Zneužití je ale podle něj časově náročné, proto častěji vidíme plošné phishingové e-maily, které se snaží nachytat nepozorné uživatele.
„Obvolávat všechny kontakty není příliš efektivní, ale to se také mění s rozvojem AI. My jsme dokonce objevili, že jsou nabízeny telefonní systémy využívající AI, které se používají především ke krádežím přihlašovacích údajů a ověřovacích hesel a kódů,“ varuje s tím, že AI boti volají potenciálním obětem a podle předem připravených scénářů získávají hesla, většinou k finančním účtům a službám. „Je možné si i nadefinovat scénář, který AI dokáže v reálném čase na základě dynamické analýzy reakcí obětí upravovat.“
Představa, že se v online prostoru chová méně opatrně hlavně starší generace, zatímco mladší ví, na co si dávat pozor, už zdaleka neplatí. Ve věku 18 až 24 let 43 % lidí podle dat společnosti Mastercard přiznalo, že kliklo na nebezpečný odkaz či přílohu.
„Z naší zprávy Brand Phishing Report vyplývá, že kyberzločinci stále ve velkém napodobují známé značky, jako jsou Microsoft, Google, Apple nebo sociální sítě, a zkouší vylákat užitečná data,“ popisuje postup útočníků Řeháček. „Někdy straší porušováním autorských práv a že pokud nedojde k zaplacení částky nebo poskytnutí informací, bude udělena pokuta nebo zablokován účet, jindy upozorňují na nové smluvní podmínky, které je potřeba potvrdit, v dalších případech inzerují nové služby a produkty.“
Problém jsou podle něj i sezonní akce, z nich jedna běží právě teď. „Často vidíme podvody, které se tváří jako zprávy od finančního úřadu a lákají na vracení přeplatku na dani, vyzývají k návštěvě stránky imitující Správu sociálního zabezpečení, kde jde zažádat o nové dávky, nebo v aktuálním případě jsou rozesílané zprávy s oznámením o dopravním přestupku a pro platbu je nutné kliknout na zaslaný odkaz. Vždy je to nějaká kombinace technologií a připravených triků se sociálním inženýrstvím.“
A i tady pak podvodníci hlavně vytvářejí tlak, chybí čas na rozmyšlenou, vše je podle nich nutné učinit hned. Expert Check Pointu proto připomíná: „Žádná banka, instituce nebo firma takhle nekomunikuje. Je důležité myslet na to, jestli by vám finanční úřad skutečně takhle volal a psal, jestli by vám policista dal minutu na poskytnutí dat, jinak se vaše peníze ztratí.“
Člověk jako nejslabší článek
Technologie nehrají pouze na straně podvodníků, ve snaze ochránit klienty je využívají i banky a další instituce.
„Umělá inteligence dokáže velmi efektivně identifikovat hrozby a minimalizovat jejich dopady,“ říká Duffek. „Díky AI tak banky můžou analyzovat obrovské množství dat v reálném čase a identifikovat podezřelé aktivity.“
Všechny banky se také musí například řídit stejnými pravidly. „Týká se to silného ověření klienta, tedy že zná heslo, PIN kód, do bankovnictví se přihlašuje pomocí biometrických údajů a také držením platební karty, ať už fyzické nebo virtuální v nějakém zařízení (mobilní telefon, chytré hodinky apod.),“ vypočítává Duffek. „Banky také reagují a vyhodnocují platby, které provádíte, tedy pokud například budete v noci posílat větší obnos peněz na nějaký podezřelý účet do zahraničí, což normálně neděláte, banka platbu zastaví a bude vyžadovat další autorizaci, případně vás kontaktuje, abyste platbu potvrdili.“
Podle Řeháčka pak ochrana musí být kombinací technologií a vzdělávání. Znát rizika a dokázat rozpoznat varovné signály bude vždy základ, přesto v mnoha případech nemusí ani zkušený uživatel past odhalit. „Třeba naše zabezpečení právě proto využívá celou řadu AI technologií, vyhodnocuje kontext, který hraje stále významnější roli, a dokáže uživatelům zabránit v zadání osobních dat a finančních informací do podvodných formulářů, nebo jinak ochránit před celou řadou dalších triků, které si uživatel ani sám nemusí umět představit,“ vypočítává konkrétní opatření.
Zároveň ale není možné spoléhat jen na technologie a zrovna Češi by měli být na pozoru. „Z našich dat vyplývá, že české organizace čelí v Evropě jednomu z nejvyšších rizik a počtu kyberútoků. Nejinak tomu bude i u běžných uživatelů,“ varuje expert. „Ne, že by třeba na české uživatele byly útoky zcela jiné než na uživatele v Německu. Často útočí zahraniční skupiny, které jen lokalizují triky pro danou zemi.“
