Článek
Začátkem roku přišla Lence (jméno bylo redakcí změněno) od její banky esemeska, že překročila limit pro platby u obchodníka. Hned se podívala do svého bankovnictví a s hrůzou zjistila, že během pouhých pár minut jí z účtu odešlo několik karetních plateb na zahraniční účet v hodnotě blížící se stu tisíc korun.
Lenka přitom seděla doma u televize a kartu měla ve své peněžence. Kartu okamžitě zablokovala a platby u banky reklamovala. Vše také oznámila na policii.
Co se stalo? To Lenka dodnes neví. Jediné, co je jisté, je, že někdo její kartu na dálku zneužil. V digitalizované podobě si ji nahrál do svého zařízení a nějak získal i potvrzovací kód, který banka posílá klientovi, jenž si chce svou kartu nahrát do Apple Pay nebo Google Pay, aby mohl platit telefonem.
Banka původně reklamaci zamítla s tím, že bylo povinností klientky jednat tak, aby nedošlo ke zneužití platební karty a dalších bezpečnostních prvků. Když se na případ v bance dotázala redakce SZ Byznys, přístup bankovního domu se změnil. Klientce nabídl, že jí odcizené peníze vrátí. Ovšem výměnou za mlčenlivost. To je i důvod, proč redakce jméno ženy změnila a neuvádí žádné další konkrétní parametry případu. Má je však k dispozici včetně policejních protokolů.
O jméno klientky ani banky tu však nejde. Případ totiž není ojedinělý a stává se v bankách napříč trhem.
V poslední době banky i Policie ČR registrují nejen zvýšený počet útoků, ale i řadu nových metod, kterými se útočníci snaží dostat k finančním prostředkům na účtech klientů bank. Patří mezi ně právě i digitalizace (tokenizace) platebních karet. „I když co do četnosti útoků a výše škody není tento typ útoku natolik ‚zásadní‘, jako tomu je v případě vishingu či mailového phishingu, jejichž počet v poslední době opravdu výrazně narostl,“ informoval Petr Barák, předseda Komise České bankovní asociace (ČBA) pro bankovní a finanční bezpečnost.
„Tento typ podvodů evidujeme v podstatě od té doby, co jsme tuto službu začali klientům nabízet a má rostoucí tendenci. Za 2021 už evidujeme více případů než v 2020,“ konstatovala mluvčí Raiffeisenbank Petra Kopecká.
Banky klienty před tímto jednáním důrazně varují. „Bohužel se setkáváme s případy, kdy klient předá pachateli všechny své bankovní údaje (číslo karty, hesla do bankovnictví) a také ještě platbu či přístup potvrdí,“ uvedla mluvčí Air Bank Jana Pokorná.
„Je to proti základním bezpečnostním pravidlům a zároveň tím klient porušuje bankovní podmínky. Kdybych to měla přirovnat k nějaké analogii, tak mě napadá, že je to stejné, jako kdyby daný člověk dal zloději do ruky klíč od svého bytu a pak se divil, že ho zloděj vykradl a že mu pojišťovna škodu nechce zaplatit,“ zdůraznila Pokorná.
Reklamace řeší banky individuálně, rozhodně ne vždy vrací ukradené peníze klientovi. Čím větší je pochybení na straně klienta (= čím víc sám, byť nevědomky, citlivých údajů útočníkovi prozradí), tím menší pravděpodobnost, že mu banka vyjde vstříc.
Mluvčí Monety Zuzana Filipová tvrdí, že v naprosté většině případů jde o pochybení klienta a porušení podmínek služeb přímého bankovnictví a podmínek platebních karet, které se zavázal dodržovat. „K porušení smluvních podmínek dojde tím, že klient vyzradí třetí osobě citlivé údaje: číslo karty, CVC/CVV kód, autorizační kód, přihlašovací údaje apod.“ popsala.
Podle Petra Baráka z ČBA banky chtějí tento typ útoků řešit se společnostmi Apple a Google, které by měly navrhnout řešení, jež by bylo v souladu s platnými zákony. Řeč je o autorizačních SMS při nahrávání karty na mobil, o nichž klienti často tvrdí, že je neobdrželi.
„V prvé řadě je ale nutné, aby si vážnost situace uvědomili především klienti. Malware se jim do jejich zařízení nedostane sám od sebe, a pokud se v online prostředí nechovají obezřetně a nedodržují základní bezpečnostní zásady, tak je banky prakticky nemají možnost ochránit,“ varuje expert.
Banky mají na odhalování podvodů bezpečnostní systémy. Každou podvodnou transakci ale neodhalí.
„Při nastavení vyšší citlivosti detekce by docházelo k mnohonásobně vyššímu počtu blokací legitimních plateb (tzv. falešně pozitivní nálezy). V naprosté většině případů u tokenizace karty je s podvodnou platbou spojená chyba klienta, který vlivem technik sociálního inženýrství vyzradí detaily a údaje o své kartě či přístupové údaje do elektronického bankovnictví,“ tvrdí Zuzana Filipová.
Jak se chránit
A jak se tedy chovat, abychom minimalizovali pravděpodobnost podvodu?
V první řadě platí zlaté pravidlo, že klikat by měl člověk jen na zaručeně spolehlivé odkazy a stahovat jen důvěryhodný software.
„Většina útoků spoléhá na neznalost či nepozornost uživatelů, kdy si do svého telefonu sami nainstalují škodlivý obsah nebo zadají své údaje do podvodných formulářů,“ vysvětluje seniorní analytik malwaru v Avastu Ladislav Zezula. „Obecně proto doporučujeme stahovat důvěryhodné aplikace pouze z oficiálních obchodů, dávat si pozor na veškeré podezřelé aktivity, které uživatele vybízejí k vyplnění údajů, a vždy své zařízení chránit antivirovým programem,“ doplnil.
Další tipy přidává Ondřej Šafář z ESETu. „Na první pohled vidíme zcela jasně podvodnou adresu odesílatele, e-mail dále obsahuje neexistující datum, řadu gramatických chyb a částku v eurech, což je v našem prostředí dost nestandardní,“ popisuje nedokonalosti na phishingovém e-mailu, který má redakce k dispozici. „Nutno ale říct, že se v současné době setkáváme s kvalitnějšími phishingovými e-maily, zejména co se úrovně gramatiky týče,“ dodal.
Varovné signály podvodných zpráv
- Přišla zpráva o zásilce. Skutečně si uživatel objednal nějakou zásilku? Pokud ne, pravděpodobně se jedná o podvod.
- Většina e-shopů posílá informace o zásilce také e-mailem. Souhlasí kód zásilky, cena, objednané zboží s informacemi v e-mailu?
- Je zpráva napsaná bez gramatických chyb a v jazyce, který odpovídá e-shopu? Pokud ne, je třeba zpozornět.
- Vyzývá zpráva uživatele k zadání přihlašovacích údajů? Pokud ano, je to opravdu webová stránka internetového bankovnictví?
- Velmi podezřelé jsou různé časově omezené nebo naléhavé výzvy („máte dva dny na ověření, jinak bude přístup zablokován“). Obvykle mají za úkol snížit pozornost uživatele a donutit jej k vyzrazení přihlašovacích údajů.
Zdroj: Avast
Velkou roli v kybernetické bezpečnosti hraje také prevence, někdy i v oblastech, které mnohým nedochází. „Osobní data jsou specifickou komoditou, kterou máme tendenci podceňovat. Můžeme si říkat, k čemu útočníkovi bude to, že zná například moje datum narození. Tyto údaje ale získávají na ceně v momentě, kdy je útočník například během vishingového útoku použije pro získání vaší důvěry,“ vysvětluje Šafář.
Při dodržení základů kybernetické bezpečnosti jsou však peníze na účtu v bezpečí. „Pro útočníky je v současné době prakticky nemožné prolomit zabezpečení bankovních domů, případně by takový sofistikovaný útok byl nepřiměřeně nákladný s ohledem na prostředky, které by takto mohli získat,“ říká odborník z ESETu. I proto se útočníci spoléhají spíše na takzvané sociální inženýrství neboli určitou formu manipulace.
„Pokud vám například někdo zavolá, označí se za zaměstnance banky a informuje vás o tom, že vaše peníze jsou v ohrožení, jste přirozeně vystrašení a ztrácíte schopnost racionálně přemýšlet,“ upozorňuje Šafář. „Proto v další fázi, kdy vás uklidňuje, že vám může pomoci, pokud mu rychle nadiktujete, co potřebuje – ať už citlivá osobní data nebo třeba údaje z platební karty – vy mu přirozeně vyhovíte.“
Popisovaná metoda se nazývá vishing a prakticky jediný způsob, jak se proti ní bránit, je ostražitost a osvěta uživatelů. „V České republice je úroveň ochrany klientů bankovních domů na velice vysoké úrovni. Banky disponují kvalitními technologiemi, které postupně eliminují veškerá známá rizika. Rovněž kladně hodnotíme i osvětovou komunikaci bank, kdy se dlouhodobě snaží edukovat své klienty před různými nástrahami,“ uzavírá Šafář.
