Hlavní obsah

Podvodníci připravili klienty bank už o stovky milionů. Vrátil se zlomek

Foto: Shutterstock.com

Ilustrační foto.

Aktuálně probíhají smishingové i phishingové „kampaně“ na klienty různých bank s různými scénáři. Cíl je však vždy stejný – dostat se k vašim penězům. Vzniklé škody jdou většinou za klienty, vyzradili totiž údaje, které neměli.

Článek

Ověření identity selhalo. Přihlaste se zde a zkuste to znovu, jinak bude účet zavřen a prostředky zmrazeny.

Kliknete na odkaz, který vám přišel v SMS zprávě s tímto zněním? Pokud ano, udělali jste první krok k tomu, abyste o své peníze skutečně přišli.

Na přiloženém odkazu se vám otevře stránka s políčky pro vyplnění přihlašovacích údajů do internetového bankovnictví. Je to však falešná stránka útočníků, která napodobuje web vaší banky. Podvodníci díky tomu sledují, jaká hesla zadáváte a okamžitě je přepisují do skutečného přihlašovacího okna internetového bankovnictví vaší banky.

Systém po nich chce ještě přihlašovací kód, ten přijde na mobil vám. Protože nemáte tušení, že jde o podvod, přepisujete kód na domnělou stránku vaší banky, kde ho ovšem vidí útočník. Ten ho přepisuje do skutečného internetbankingu, a je to. Je na vašem účtu a může ho vyluxovat.

Naletěli jste na smishing (čtěte smišink). Slovo, které jako by mělo něco společného se smíchem. Když je však smishing úspěšný, je to spíš k pláči. Jde o takzvaný SMS phishing – esemesky s odkazem na podvodné stránky, zatímco klasický phishing jsou podvodné maily.

Aktuálně probíhají smishingové i phishingové „kampaně“ na klienty různých bank s různými scénáři. Cíl je však vždy stejný – dostat se k vašim penězům.

„Detekujeme několik variant. Cílem jsou přihlašovací údaje do internetového bankovnictví,“ potvrdil mluvčí ČSOB Patrik Madle.

„Největší vlnu těchto podvodných SMS jsme registrovali během února a března, nyní se sice také ještě občas vyskytují, ale už ne tak masově,“ sdělil mluvčí Fio banky Jakub Heřmánek. „Zdá se, že to útočníci nyní zkoušejí jmény jiných bank. Tyto zprávy jsou totiž očividně rozesílány naprosto náhodně, klientům i neklientům, takže se aktuálně snaží nachytat zase jinou množinu lidí,“ dodal.

Mluvčí Raiffeisenbank Tereza Kaiseršotová podotkla, že za tři měsíce letošního roku už podvodníci napáchali tolik škod jako za celý minulý rok.

„V posledních třech letech registrujeme pět až deset vln phishingových útoků ročně, které obvykle cílí nejenom na naše klienty, ale také na klienty ostatních bank. Podle použité metody odhadujeme, že jednotlivé útoky zasahují desítky (telefon) až desítky tisíc klientů (sms, e-maily),“ konstatoval mluvčí České spořitelny Filip Hrubý. „Počty obětí jednotlivých phishingových útoků se nicméně pohybují v řádu jednotek klientů (telefon), respektive vyšších desítek klientů (e-mail, sms),“ doplnil.

Jak poznat, že jde o podvod? Třeba podle chybějící diakritiky či divné češtiny. Nebo znění webové adresy, která sice obsahuje jméno konkrétní banky, ale má například jinou doménu. Nejjednodušší je ovšem pamatovat si pravidlo, že do internetového bankovnictví se máte přihlašovat jen proklikem ze skutečné domovské stránky vaší banky. Nikdy ne přes odkaz v mailu nebo zprávě.

Když naletíte, je úplně jedno, jak robustní je bezpečnostní systém vaší banky. Je to jako s klíči od vašeho domu. Pokud je někomu dáte, můžete mít nainstalovaný sebelepší bezpečnostní alarm, ten vás však v tomto případě neochrání.

„Banka po klientech nikdy nechce žádné přístupy do bankovnictví nebo jiné citlivé údaje, které se podvodníci snaží od klientů dostat, a to ani po telefonu, ani třeba e-mailem,“ informoval mluvčí Air Bank Jana Pokorná.

„I když klient tyto údaje vyzradí, nemusí být vše ztraceno, protože pro platby nebo přístup k bankovnictví je potřeba ještě druhého potvrzovacího faktoru. Ale bohužel klienti podvodníkům i tyto informace poskytnou a přístup do bankovnictví a další potvrdí,“ dodala.

SZ Byznys oslovil banky s žádostí o součet škod, které podvodníci na jejich klientech různými formami tohoto tzv. sociálního inženýrství za posledních několik měsíců napáchali. Ne všechny bankovní domy byly sdílné, je ale jasné, že škoda jde v souhrnu až do stovek milionů korun.

Česká bankovní asociace odhaduje, že jen v tzv. bazarových podvodech šplhá celková škoda podvedených klientů od začátku roku 2022 do vyšších desítek, možná stovek milionů korun.

Terčem útočníků „bazarového phishingu“ jsou především prodávající, kteří si zvolí jako platební metodu „bezpečnou platbu“, tedy zaslání peněz z karty na kartu, například prostřednictvím tzv. peněženky zvoleného bazaru.

Klienti Monety přišli v prvním čtvrtletí letošního roku kvůli phishingu celkem o 11 milionů korun. Tyto peníze jsou nenávratně pryč. Klienti transakce sami autorizovali a že by mohlo jít o podvod, nahlásili pozdě, banka už nedokázala toky financí zastavit.

Deset milionů se však Monetě podařilo zachránit. „Přestože transakce byla zadána správně a řádně autorizována, už jsme měli dostatek informací, že je podezřelá. Zastavili jsme ji a volali klientovi, zda ji skutečně zadával on. Nebo jsme ji rovnou označili za podvod,“ vysvětluje ombudsmanka banky Stanislava Hejnová.

Klienti České spořitelny v důsledku phishingu ročně přijdou podle mluvčího Filipa Hrubého v souhrnu o téměř deset milionů korun. V prvním letošním čtvrtletí se však počet phishingových útoků zdvojnásobil. Vyšší tak mohou být i celkové škody.

Lidé s účtem v ČSOB přišli za posledního půl roku o jednotky milionů korun.

Banka peníze nahradí jen výjimečně

Finanční ústavy klientům ve zcela výjimečných případech ukradenou sumu vracejí.

Zpravidla jde ale o chybu klienta, který vyzradí přístupové údaje. A na náhradu tak podle finančních domů nemá právo. „V případě, že klient platby autorizoval svým zařízením nebo PINem, jde zodpovědnost vždy za klientem,“ uvedla mluvčí Creditas Lucie Brunclíková.

„Kompenzovali jsme pouze případy, kdy banka v rámci procesu udělala chybu, v jejímž důsledku přišel klient o peníze. V naprosté většině případů však klienti přišli o své peníze vlastní chybou, a tedy bohužel nemají na žádnou kompenzaci nárok,“ vysvětluje Stanislava Hejnová z Monety.

I Spořitelna většinu dokonaných případů phishingu vyhodnotí jako důsledek hrubé nedbalosti klienta. Kompenzaci vyplácí jen několika lidem ročně a celková nahrazená částka obvykle nepřekročí jeden milion korun.

Anketa

Narazili jste v poslední době na pokus dostat z vás přihlašovací údaje?
Ano
54,3 %
Ne
45,7 %
Celkem hlasovalo 427 čtenářů.

Finanční arbitr

Někteří zákazníci, kteří mají pocit, že pochybil bankovní ústav, se obracejí na finančního arbitra. Orgán mimosoudního řešení sporů s finančními institucemi aktuálně řeší zhruba sedm desítek případů různých typů zneužití platební karty nebo internetového bankovnictví.

„V žádném z vedených řízení nejsme ve fázi, že bychom předkládali jedné nebo druhé straně předběžné právní posouzení,“ informovala mluvčí úřadu Gabriela Dufková. „Zdá se však, že na začátku všeho je zpravidla neobezřetnost klienta, který nejdříve předá údaje, případně autorizuje platební transakci a až poté kontroluje, s kým vlastně komunikoval,“ dodala.

Ve sporech bude finanční arbitr (FA) posuzovat, jestli si banka s klientem řádně sjednala používání platebního prostředku (platební karta, internetového bankovnictví, mobilní aplikace). „Tedy, jak se instaluje, jak se používá, co lze přes tyto platební prostředky provádět,“ vysvětluje Dufková.

Dál bude arbitra zajímat, jestli si banka v nějakém dokumentu, který musí být součástí smlouvy, sjednala, jak má spotřebitel chránit tyto platební prostředky. „Je potřeba, aby povinnosti byly přiměřené, srozumitelné a určité,“ uvedla mluvčí FA. Přiměřené přitom například není, pokud si má klient pravost internetové stránky ověřit kliknutím na zámeček v adresním řádku a kontrolou třicetimístného čísla.

„Budeme muset vzít v potaz, zda banka klienta informovala o bezpečnostních hrozbách, které jsou jí známy. A zda banka mohla zakročit, aby snížila škodu spotřebitele – jedná se pokus o zastavení provádění platební transakce, chargeback, pokud ho lze zahájit, pokus kontaktovat banku příjemce apod.“ uzavřela Gabriela Dufková.

Doporučované