Článek
„Toto jsme ještě nezažily,“ zní jedním hlasem z tuzemských bank. Na twitteru se před několika dny objevilo video, v němž se údajný pracovník Fio banky snaží upozornit klienta, že nedokončil transakci k nákupu cenných papírů energetické společnosti RWE ve výši 4500 korun.
Klient banky dostal na začátku příběhu odkaz na video v e-mailu pár dní poté, co na sociálních sítích reagoval na nabídku koupi akcií firmy. E-mailová zpráva mu byla podezřelá a ačkoli se společností komunikoval a poskytl jí své údaje, protože ho oslovovala jeho jménem, upozornil na ni hned svou banku.
„To, že se podvodník vydává za banku, je vcelku časté. Zatím to ale bylo hlavně ve formách e-mailů nebo SMS (phishing). Někdy útočníci zase klientům telefonují (vishing), a dokonce i číslo, které se klientům zobrazí, vypadá jako naše. Tento případ, kdy podvodník vytvoří videovýzvu, v níž se zaštiťuje naším jménem, je ale zcela nový,“ říká Jakub Heřmánek, mluvčí Fio banky.
❗️ Ne, ne, ne. Ano.
— Fio banka (@Fio_banka) January 20, 2023
❌ Tohle není náš kolega.
❌ Tohle nechodí v e-mailu od nás.
❌ Tohle není způsob, jak s námi investovat.
‼️ Tohle je podvod! pic.twitter.com/EnYW2w8svJ
Banka podle něj považovala za nutné, aby lidé o takovémto způsobu podvodného jednání věděli a měli možnost se na něj připravit a nenaletět na něj, a proto sama příspěvek umístila na twitter a distancovala se od něj.
„Podvodníci v tomto případě nejspíš použili některou ze služeb na generování tzv. mluvící hlavy. Vybrali nějakou postavu, která vyhovovala představám o reprezentatovi banky a vypadala důvěryhodně. Pak napsali text, který může být snadno upraven na míru příjemci,“ domnívá se kolega Pavel Kasík, který se generátorům fungujících na principu neuronových sítí dlouhodobě věnuje. „Počítač se postará o syntézu hlasu i o to, aby pohyb vygenerovaných úst odpovídal jednotlivým slabikám.“ Vytvořit takové video je skutečně otázkou necelé minuty.
Tuto krátkou ukázku jsme vytvořili pomocí služby D-ID. Podobných nástrojů jsou na webu desítky. Ne všechny si ale poradí s češtinou.Video: Pavel Kasík, Seznam Zprávy
Přestože výsledek zdaleka není dokonalý, může někoho zmást. „Lidé už obvykle vědí, že nemohou věřit každé e-mailové zprávě. Ale u takovéto zprávy mohou zaváhat. Nejspíš si nebudou myslet, že jde o reálného člověka – na to působí celý projev moc roboticky,“ myslí si Kasík. „Ale mohli by třeba získat dojem, že banka experimentuje s nějakým novým hlasovým automatem. Lze předpokládat, že podobných pokusů bude přibývat s tím, jak se generování realistických videomontáží zjednodušuje a zlevňuje.“
Zatím velmi neobvyklý podvod
S podobnou formou podvodu se dosud nesetkaly ani ostatní banky. „Žádné takové video jsme dosud nezaznamenali,“ uvedl Lukáš Kropík z tiskového oddělení České spořitelny. V minulosti se podvodníci snažili nalákal lidi na investice pomocí falešných bannerů s podobou generálního ředitele banky, ale o falešný spot se zatím nikdo z nich nepokusil.
Videopodvod nezachytily zatím ani Raiffeisenbank, Moneta Money Bank, UniCredit Bank, Air Bank, Hello bank! ani Creditas. „S podvodem obohaceným o AI (umělou inteligenci) jsme se zatím v našem prostředí nesetkali. Zrovna tento pokus (Fio) nepatří k těm nejzdařilejším, ale s rychlým rozvojem v této oblasti se dá očekávat, že podobné podvrhy budou v dohledné době pro uživatele na první pohled věrohodné,“ říká mluvčí banky Creditas Lucie Brunclíková.
Využití umělé inteligence v sociálním inženýrství je podle ní další směr útoku a vede k rozšíření a bohužel i zkvalitnění podvodů. „Jediná skutečná ochrana je kontinuální vzdělávání klientů a pracovníků banky, abychom byli schopni na toto dynamické odvětví správně reagovat a tím minimalizovat škody,“ dodává Brunclíková.
Max banka je novou formou podvodu překvapena. „Zatím jsme se s tím nesetkali. Uvedené podvodné jednání patří do kategorie takzvaného „Deepfake“, což je relativně nový způsob podvodu založený na syntetickém, uměle vytvořeném multimediálním obsahu, který zneužívá již existující audio/video prezentace osob či institucí. Zatím se používal spíše pro cizojazyčné hoaxy či politicky motivované dezinformační kampaně,“ říká mluvčí banky Anna Bakošová.
Podle ní je to tím, že klienti nejsou na takovouto formu komunikace ve vztahu k bance zvyklí a videa působí velice uměle a nedůvěryhodně (na rozdíl třeba od vishingu).
Anketa
„Zorganizovat takovýto útok je také technicky komplikovanější než dosavadní formy podvodu (příprava videa, doručení, získání zpětné vazby od uživatele). Jsme si ale vědomi, že je jen otázkou času, kdy se podobné pokusy rozšíří. Zmíněný pokus je první vlaštovkou, podobné podvody se budou bohužel technicky zdokonalovat a pracovat s důvěryhodnějšími scénáři,“ obává se podobně jako mluvčí Creditas i mluvčí Max banky Bakošová.
Horšího dopadu nového druhu podvodu se obává i Moneta Money Bank. „U nás jsme se s tím nesetkali, ale uvědomujeme si, že tento druh podvodů může mást lidi ještě více než dosud například pomocí podvodných telefonátů. Video je podle nás názornou ukázkou Deepfake videa, které neobsahuje hlas skutečného podvodníka, jak tomu bylo v případě podvodných telefonátů, kdy hovor probíhá naživo s klientem banky,“ říká mluvčí banky Zuzana Filipová.
Zachycený hlas podvodníka například v podobě nahrávky na call centru, je podle ní totiž výborným důkazem pro následné trestní řízení, podle něhož lze identitu volajícího jednoznačně potvrdit či vyloučit. „Kriminalistická audioexpertiza je v podstatě něco jako daktyloskopie. U Deepfake videa to ale bude s identifikací podvodníka podle jeho hlasu velmi obtížné,“ uvědomuje si Filipová.
IT Expert: Podvody jsou tvrdý byznys
Podle Marka Sušického z Fakulty informačních technologií ČVUT v Praze lze z videa poznat, že údajný zaměstnanec Fio banky má uměle vygenerovaný hlas, ústa se mu téměř neotvírají a některá vyřčená slova vypadají jako nepodařený dabing.
Kdo však podle něj nemá s umělou inteligencí žádné zkušenosti, mohl by se takovýmto videem nechat zmást. „Na škále nula až 100 bych tomu dal 80 až 85 bodů,“ konstatuje Sušický z Laboratoře otevřených dat (OpenDatLab) FIT ČVUT v Praze.
O skutečný Deepfake, tedy falešné video napodobující cizí identitu, se však podle něj jedná až v okamžiku, kdy je umělé video vytvořené podle osobnosti, která je natolik známá, že její prohlášení může mít velký vliv na rozhodování ostatních.
Video imitující pracovníka Fio banky by se za tržní cenu dalo pořídit zhruba za stovky tisíc korun, vysoce kvalitní Deepfake bankovní video by stálo miliony korun.
V politice se takovéto video s podobou bývalého amerického prezidenta Baracka Obamy začalo šířit v roce 2011. V Česku se objevilo falešné video na politické úrovni před týdnem. Dnes už nově zvolený prezident Petr Pavel v něm na dotaz z davu hovořil o vstupu Česka do války s Ruskem. Ve skutečnosti však nic takového neřekl.
V bankovním světě by pak Deepfake bylo například video, kde by z důvodu dalšího nárůstu inflace doporučoval hodně utrácet falešný guvernér ČNB Aleš Michl.
Vyrobit syntetické video však není podle Sušického tak jednoduché. „Absolvent naší fakulty by to bankovní video asi dokázal vyrobit, ale jinak se na to specializují organizované skupiny a je to tvrdý byznys. Jedná se hlavně o skupiny z východu, které si to na nás zkoušejí a své znalosti „vyvážejí“ dál,“ domnívá se odborník na umělou inteligenci.
Video imitující pravého pracovníka Fio banky by se za tržní cenu, tedy cenu odborníka za 10 až 20 dní práce, dalo podle něj pořídit zhruba za stovky tisíc korun (při opakování méně), vysoce kvalitní Deepfake bankovní video by stálo miliony korun.
„Dříve bylo nutné mít nahrané stovky hodin videa a desítky hodin zvuku konkrétní osobnosti, z jejíhož hlasu mělo být video uměle vygenerováno. Vše jde ale velmi kupředu, takže dnes stačí mít i jen desítky minut zvuku,“ dodává Sušický, který se v roce 2021 dostal do žebříčku 30 TOP IT osobností světa.
Podle Dominika Hádla, odborníka na kyberbezpečnost, se sice budou technologie i schopnosti tvůrců zlepšovat, a proto budou podobná videa hůře rozpoznatelná. Není však podle něj důvod propadat obavám, přestože je potřeba být stále na pozoru."Již dnes se totiž pracuje na programech dostupných pro veřejnost, které budou obsah vytvořený umělou inteligencí odhalovat a označovat. Stejně tak tedy jako antivir ve vašem počítači vás tento plug-in upozorní, nebo dokonce zabrání podobným podvodům," říká Hádl z IT oddělení firmy Monstarlab, která se věnuje kyberbezpečnosti firem a ochraně osobních dat.
Obecně jsou podle mluvčí Air Bank podvodníci vynalézaví a k penězům klientů bank se snaží dostat různými způsoby. Ať už jde o falešné bankéře na telefonu, phishing napříč bazarovými portály, investiční podvody, SMS zprávy o údajném nedoplatku za přepravu balíků, anebo třeba falešné webové stránky s přihlášením do internetového bankovnictví.
„Přímo k nám se však dostává jen část takových případů. A to buď ve chvíli, kdy si chce klient v lepším případě takové informace ověřit, anebo v tom horším až ve chvíli, kdy klient podvodníkům poskytl své údaje i součinnost a dal mu tak přístup ke svým penězům,“ říká mluvčí Air Bank Jana Pokorná.
Co je to phishing
Podvodné e-mailové útoky na uživatele internetu, jejichž cílem je vylákat důvěrné informace.
Nejčastěji jsou to údaje k platebním kartám včetně PIN nebo různé přihlašovací údaje k účtům. Nemusí jít jenom o účty přímo bankovní, ale také ostatních organizací, kde dochází k manipulaci s penězi, nebo je možné jakýmkoliv způsobem zneužít jejich služeb. Příkladem může být PayPal, eBay, Skype, Google.
Jak vypadá phishingový e-mail?
Snaží se vyvolat dojem, že byl odeslán organizací, z jejíchž klientů se snaží vylákat důvěrné informace. Toho se snaží docílit grafickou podobou e-mailu a zfalšováním adresy odesílatele.
Text může vypadat jako informace o neprovedení platby, výzva k aktualizaci bezpečnostních údajů, oznámení o dočasném zablokování účtu či platební karty, výzkum klientské spokojenosti nebo jako elektronický bulletin pro klienty.
V textu zprávy je link, který na první pohled většinou vypadá, že směřuje na stránky organizace (banky). Při jeho bližším prozkoumání zjistíte, že ve skutečnosti odkazuje na jiné místo, kde jsou umístěné podvodné stránky.
Jestliže vám chodí jménem banky e-maily, které obsahují link na stránky vyžadující vaše přihlašovací údaje, či údaje ke kartě, je to phishingová zpráva. Banka takové zprávy nikdy nerozesílá a nemá důvod tyto informace od vás požadovat.
Jak se chránit?
- Nespouštějte neznámé programy, které vám přijdou e-mailem ani na které e-mail odkazuje.
- Na odkazy v e-mailu neklikejte. Přesměrují vás na podvodné stránky, které se vás mohou snažit oklamat a pokusit se vylákat důvěryhodné informace, ale také mohou obsahovat škodlivé kódy, které se vám pokusí instalovat do počítače.
- Jestliže potřebujete vstoupit na stránky internetového bankovnictví nebo na stránky příslušné organizace, raději napište internetovou adresu do prohlížeče sami.
- Používejte aktualizovaný operační systém.
- Používejte antivirový program a aktualizujte ho. Používejte antispywarové programy, využívejte firewall.
- K elektronickému bankovnictví nebo ke svým účtům (nejen bankovním) se nepřihlašujte z veřejně přístupných nebo nedůvěryhodných počítačů, které nemáte pod kontrolou.
- V případě pochybností přepošlete pochybný mail instituci, jejímž jménem jste údajně osloveni, nebo se poraďte s odborníkem.
Zdroj: hoax.cz
Počet různých podvodů navíc podle mluvčího Fio banky Heřmánka neustále sílí. Za celý loňský rok to byl několikanásobný meziroční růst. „Masivní vlny jsme registrovali už na začátku roku 2022, kdy jen za první čtvrtletí bylo útoků více než za rok 2021. A tento trend bohužel pokračoval i nadále. Útoky podvodníků jdou v různých vlnách, stále ale je nejčastější „klasický“ phishing,“ konstatuje mluvčí banky.
Podle něj je nutné si dávat pozor na jakékoliv podezřelé e-maily nebo SMS zprávy, které vyzývají k ověření účtu, totožnosti nebo odeslání nějaké platby po přihlášení na podvodnou platební bránu. Dále je důležité si pamatovat, že banka nikdy klientovi nebude posílat odkaz na přihlášení a nebude po něm vyžadovat zaslání ověřovacího kódu nebo sdělení jiných citlivých dat.
„Bezpečné přihlášení do internetového bankovnictví je pouze zadání adresy přímo do adresního řádku prohlížeče nebo uložení tohoto odkazu do záložek. Určitě nedoporučujeme přihlašovací stránku hledat přes vyhledávače, jelikož i tam se mohou objevovat podvržené odkazy, které klienta zavedou na podvodnou stránku,“ vyjmenovává další zásadu bezpečného hlášení se internetového bankovnictví mluvčí Fio banky.
Pokud by klientovi podvodníci volali, může se i číslo tvářit, jakože je opravdu z konkrétní banky a takovém případě je nejlepší hovor položit a správnost čísla zkontrolovat tím, že na něj člověk zavolá zpět.
