Článek
Článek si také můžete poslechnout v audioverzi.
V bankovním světě se rozhořel nový „kybernetický požár“. Zločinci přišli na další cestu, jak ukrást peníze bankovních klientů. Používají k tomu kombinaci několika manipulativních technik, na jejichž konci si na dálku „zkopírují“ platební kartu a dojdou si pak sami pro peníze do bankomatu.
Policie už na konci března dokonce chytila cizince, který si z bankomatu odnesl více než 160 tisíc korun, které vybral na dálku od několika podvedených klientů, kteří mu poskytli své údaje.
„Poškozeným přijde SMS, v níž mají informaci například o přeplatku na daních a odkaz na stránku, kde mají zadat své údaje k bankovnictví, aby jim mohly být tyto peníze vyplaceny. Po zadání jim zavolá údajný pracovník banky, který ale již má všechny údaje k účtu poškozených a přístup do něj. Sdělí jim, že mají napadený účet a k záchraně jejich finančních prostředků je zapotřebí změnit jejich PIN na kartě a mají si ji připravit k sobě,“ popisuje na stránkách Policie ČR poručík Richard Hrdina způsob, jakým se podvodníci dostávají k penězům.
Vyděšení klienti následují instrukce podvodníka, který jim radí, že nejprve musí zadat stávající PIN, pak nový a pak změnu ve falešné aplikaci potvrdit. Někdy se kyberšmejdům povede navíc „majstrštyk“, kdy oběť přimějí k tomu, aby si ještě nevědomky navýšila limit výběru na kartě.
To se jim podaří tak, že oběti poradí, aby si limit snížila, čímž si získají její důvěru, protože to z ní logicky. Ve skutečnosti však sami limit navýší (protože už mají přístup do bankovnictví) a jen potřebují potvrzení transakcí a změn přes telefon oběti. S tou si mezitím povídají, aby odvedli její pozornost, a když přijde potvrzení změn do mobilu, oběť ji jen odklikne a nevšimne si textu zprávy, že místo snížení limitu na výběr z bankomatu potvrzuje jeho navýšení.
Podvodník dále klientovi radí, jak pomocí falešné aplikace účet „zabezpečit“. Klienta přesvědčí, aby si v telefonu aktivoval NFC technologii a přiložil k mobilu kartu. „V tomto okamžiku dojde k přenesení signálu NFC do jiného mobilního zařízení, se kterým je další podvodník u bankomatu a může tak v klidu vybírat peníze,“ dodává poručík Hrdina.
Anketa
Česká bankovní asociace (ČBA) potvrzuje, že se tento nový trik na okradení klientů objevil v bankovním světě. „Víme o tom. Objevilo se to u klientů několika bank zhruba před měsícem. Intenzivně to řešíme v naší pracovní skupině pro kyberbezpečnost, aby se tyto podvody nešířily dál. Zatím evidujeme několik desítek případů,“ uvedl mluvčí ČBA Radek Šalša.
Podvod je podle něj nebezpečný tím, že je velmi sofistikovaný, ale z pohledu škod zatím naštěstí tolik zla nenadělal. „Za nás jsou stále nejvíce palčivé investiční podvody, kde dochází k velkým škodám v řádu statisíců až milionů korun,“ dodává Šalša.
Několik bank potvrdilo, že se s novým podvodem už setkaly. „V posledních dnech jsme zaznamenali novou kombinaci podvodu spojující známé techniky phishingu a falešného bankéře s už méně obvyklou podvodnou aplikací George klíč a zneužitím platební karty. Klienti, kteří podvodu prozatím podlehli, stáhli si falešnou aplikaci a poskytli údaje z karty, přišli o finance v řádech nižších desetitisíců korun,“ říká Petr Zíma, manažer pro klientskou bezpečnost a bankovní identitu České spořitelny.
Spořitelna také detailně popsala, jak k podvodům dochází a jak zachytila postup podvodníků – viz fotogalerie. Před podvodníky varovala své klienty už také Raiffeisenbank. „Podvodník po Vás může chtít, abyste si do mobilu pomocí falešného odkazu nainstalovali aplikaci, která se propojí s NFC Vašeho telefonu, a následně k telefonu přiložili svoji platební kartu. Kartu přikládejte pouze k platebním terminálům obchodníků nebo bankomatům. Banka Vás k přiložení své karty k Vašemu telefonu nikdy vyzývat nebude,“ napsala svým klientům.
Zároveň jim v interní komunikaci připomněla bezpečnostní zásadu, aby nikdy nestahovali aplikace pomocí speciálního odkazu, ale výhradně jen přes oficiální obchod Google Play (Android), App Store (iOS) nebo Huawei AppGallery.
Několik útoků zaznamenala už také Komerční banka a ČSOB, která na svých webových stránkách veřejně nabádá své klienty, před čím se mají mít na pozoru a co nedělat. „O novém typu podvodu víme. Případů zatím evidujeme jednotky a jsme poměrně efektivní v ochraně klientů, na které je takto zaútočeno. V každém případě ale obecně nabádáme k opatrnosti. Druhy podvodů se často mění, ale základ mají vždy podobný – dostat oběť pod tlak a do stresu, a tím ji donutit jednat iracionálně,“ říká mluvčí skupiny ČSOB Petr Milata.
Útočníci přidávají na razanci
Digitální útoky nejsou ve finančním světě žádnou novinkou. Už v roce 2011 jich Policie ČR řešila přes 1500. Od té doby jejich počet narůstá. K obrovskému skoku došlo mezi lety 2021 a 2022, kdy se jejich počet takřka zdvojnásobil.
Ještě horší nárůst však banky zaznamenávaly v míře napáchaných škod. „V roce 2021 dosahovaly škody vzniklé kybernetickými podvody nižších stovek milionů korun. O rok více narostly zhruba šestinásobně a pohybovaly se kolem dvou miliard korun. Banky pak posílily své bezpečnostní týmy a investovaly do ochrany velké prostředky. Tím se podařilo snížit škody téměř o polovinu. I letos se nám tento trend daří snižovat, ale je to neustálý boj a je stále sofistikovanější,“ říká bezpečnostní manažer České spořitelny Zíma.
Lidé by si podle něj měli pozorně číst veškeré zprávy, které dostávají od banky na potvrzení, a ne je pouze automaticky odkliknout (tím mohou zjistit například to, že se jim limit na výběr z bankomatu navyšuje, a ne snižuje, jak jim bylo řečeno, a mohou zpozornět, že je něco špatně) a dále si ověřovat, s kým lidé mluví.
„Pokud kdokoli tvrdí, že je zaměstnancem České spořitelny, požádejte o ověření přes George nebo zavolejte pro ověření situace na linku našeho klientského centra 800 207 207, a tam se zeptejte, zda vám někdo zrovna volal a v jaké to bylo záležitosti,“ radí Zíma.
Jak funguje phishing? A jak se bránit?
Anglický novotvar phishing označuje oblíbenou techniku internetových útočníků a zločinců. Má mnoho podob a forem: Může jít o e-mail tvářící se jako upozornění na nedoplatek, zprávu varující, že byl zablokován váš účet, nebo třeba SMS od zájemce o bazarové zboží.
Cíl je ale vždy stejný: Dostat oběť na falešnou internetovou stránku, která se tváří jako oficiální web důvěryhodné instituce. Pokud sem oběť zadá své přihlašovací údaje nebo číslo karty, útočník je má okamžitě k dispozici a může je zneužít. V ohrožení jsou tak nejen soukromá data, ale často i finanční prostředky.
Jak se bránit? Nejdůležitější je být ostražitý a neklikat na odkazy z neznámých zdrojů. Pokud po vás nějaká stránka chce přihlašovací údaje, heslo nebo číslo kreditní karty, vždy raději dvakrát zkontrolujte, že jste skutečně na stránce dané instituce.
Pozor si dejte zejména na „podobné“ domény, které například zaměňují malé písmeno M za písmena RN (m – rn), nebo písmeno L za číslici jedna (l – 1). Často také nesedí národní doména (.cn místo .cz apod.). Jasným varovným signálem je i přeškrtnutý nebo červený zámek vlevo vedle adresy v adresním řádku, který signalizuje, že komunikace neprobíhá po zabezpečeném kanále.
Kdykoli po vás někdo – třeba i váš dlouhodobý známý – žádá o nějaké přeposlání kódu, zpozorněte. Chtějte s ním mluvit (textová komunikace může být podvržená). Pokud se někdo vydává za zástupce banky, zavěste a místo toho zavolejte do své banky. Pokud se někdo vydává za zástupce policie, požádejte o identifikační údaje a zavolejte na policii, abyste ověřili pravost.
Další varovné signály, které mohou (ale nemusejí) phishing provázet:
- Podivná gramatika, lámaná čeština,
- zprávy jsou velmi neurčité a vágní,
- zpráva se snaží vyvolat dojem urgence,
- zpráva obsahuje oslovení vaším jménem získaným z vaší e-mailové adresy.
Nikdy neklikejte na přílohy ani na odkazy v takovýchto e-mailech. Pokud jste již klikli, požádejte o pomoc odborníka nebo firemní IT podporu. V případě napadení je také vhodné zavolat do banky a změnit svá hesla.
