Zvýšila se četnost internetových podvodů a útoků v době války na Ukrajině?
Určitě bych to nespojoval s ruskou invazí, ale ten počet útoků, alespoň o kterých víme, dramaticky narostl. Množství za první čtvrtletí je srovnatelné s celým loňským rokem.
Týká se to i přímých kyberútoků na banky?
Pokusy tu vždycky jsou, ale není jich mnoho a nejsou úspěšné. Banky jsou na ně připravené, mají týmy IT specialistů, kteří sledují situaci a odráží útoky, aby nedošlo k zahlcení například kvůli DDoS útokům.
Nepamatuji případ, kdy by banka byla v situaci benešovské nemocnice, do jejíž systému se dostali hackeři kvůli špatnému zabezpečení. Na rozdíl od státní správy banky investují do kybernetické ochrany hodně peněz už kvůli regulaci ze strany České národní banky, ale také proto, že si uvědomují rizika.
Benešovskou nemocnici ochromil počítačový virus, několik pacientů odvezli |
Útočníci využívají celkový zmatek v souvislosti s válkou a také nárůstem inflace, je to tak?
Ano. Spíš to souvisí se strachem lidí o znehodnocení či ztrátu peněz. Lidé hledají investice a uložení úspor a obavy o ně pomáhají internetovým loupežníkům.
Petr BarákPředseda komise pro bankovní a finanční bezpečnost České bankovní asociace. Deset let působí v AirBank jako vedoucí oddělení řízení operačních rizik. Zabývá se i bojem proti legalizace výnosů z trestné činnosti. Předtím působil patnáct let jako šéf bezpečnosti u GE Money Bank (dnes Moneta). |
Co obětem nabízejí za „produkty“?
Využívají hrůzné scénáře kolem nás a nabízejí výdělek v nákupu virtuálních měn či akcií, protože úrokové sazby na spořících účtech ve srovnání s mírou inflace jsou velmi nízké. Lidé jsou vyděšení a zároveň je láká něco, čemu ani nerozumí.
Jakou formou útočníci oběti kontaktují?
Záleží na typu podvodu. V poslední době se v bankovním světě nejčastěji objevuje útok s názvem vishing. Podvodník telefonicky kontaktuje klienta a představí se jako zástupce banky s tím, že nabízí možnost lepšího zhodnocení peněz na účtu, anebo jako investiční bankéř a zasype je masáží o růstu kryptoměn.
Útočníci také požadují po obětech nainstalování aplikace pro vzdálený přístup do počítače, aby se mu podíval do bankovnictví, kde si pak dělá podvodník, co chce. Lidé slepě důvěřují a ani nechápou, co se před jejich očima děje.
Pak tu máme klasický a velmi rozšířený phishing skrze podvodné e-maily a SMS zprávy. Klientovi přijde zpráva pod hlavičkou České pošty, že balíček nemohla doručit nebo ho brzdí platba cla. Také bylo nedávno vyúčtování daní, takže chodí zprávy typu „Máte přeplatek na daních, zašlete prosím údaje kreditní karty“.
Aktuálně jsou také velmi rozšířené bazarové podvody. Útočníci sledují, co lidé prodávají na doménách jako Vinted, Sbazar a dalších. Ozvou se prodejci se zájmem o předmět, ale mohou za něj „zaplatit“ pouze z karty na kartu.
Podvodníci vytáhli z lidí čísla karet i kódy, vzápětí vybrali stovky tisíc |
Jak pobízejí své oběti k akci?
Zprávy vždy obsahují nějaký odkaz a po jeho rozkliknutí vidí oběť loga bank, kde si má zvolit tu svou. Link ho přesměruje na podvrženou vstupní stránku, kam vyplní login, heslo, anebo údaje kreditní karty. Takto se přístup dostane do rukou útočníků.
Klient jim tak umožní spárovat třeba telefon s jeho účtem a tak nad ním získají úplnou kontrolu. Chodí mu pak potvrzovací SMS zprávy o platbách, které odcházejí z jeho účtu, v domnění, že potvrzuje úplně něco jiného. Chodí mu opakovaně s tím, že se akce nezdařila, a takto odtečou peníze z účtu oběti.
Kam ty peníze odtékají?
Na účty bílých koní. Ale nemusí to být jen tyto peněžní muly, ale také účty založené na zneužité identitě.
Kdo se těmito mulami stává?
Lidé, co potřebují nějaký přivýdělek. Často ženy na mateřské dovolené a v poslední době i ukrajinští uprchlíci. Osloví je s nabídkou brigády, kdy se označí za podnikatele. Řeknou jim, že potřebují účet v České republice, který si nechtějí z nějakého důvodu zakládat. Instruují je, že mají příchozí peníze, odcizené jiné oběti z účtu, vybrat a vložit na jiný účet či poslat přes Western Union. Bílý kůň tak ani neví, že je komplicem v legalizaci výnosů trestné činnosti.
Scénář zneužití identity umožňuje zákon skrze takzvanou identifikaci distančním způsobem, jejíž podmínkou je pouhé zaslání kopií dvou dokladů a aktivační platba s textem, že platbu posíláte za účelem založení nového účtu.
Zájemcům o přivýdělek řeknou, ať pošlou kopie dokladů a číslo účtu, aby je mohli vyplatit. Protože mají přístupové údaje k účtu, mohou si útočníci vytvořit virtuální kreditní kartu a peníze z účtu pohodlně ukrást pomocí bankomatu.
Aby z obětí informace vylákali, tak poskytují i nebankovní půjčky, protože dotyční na ně v bankách často nedosáhnou, na nabídku naletí a slíbené peníze stejně neuvidí. Podvodníci jdou i tak daleko, že si na oběť vezmou i úvěr.
Obětem podvodných investic se zase stává, že je útočníci „zrecyklují“. Po roce se zloději ozvou a ukážou jim vymyšlené grafy toho, kolik „vydělali“. Na účet jim přijdou peníze, které ukradli někomu jinému, a stanou se těmi mulami.
Jak podvodné phishingové zprávy bezpečně poznáme?
Podvodné e-maily jsou často doprovázeny odkazy, které vypadají jako oficiální, ale vedou po rozkliknutí na úplně jinou doménu. Také v e-mailech chybí autorizační certifikáty, i když ty dokáží útočníci napodobit.
To hlavní je, že po otevření odkazu v e-mailu po mně podvržená stránka chce uvést číslo platební karty a CVC kód, což se při takovém styku se skutečnou bankou nestane.
Vystraší klienty zprávou, že jsou jejich peníze vlivem kyberútoku v ohrožení, a aby banka mohla peníze zablokovat, musí je oběť vybrat nebo někam poslat. Pokud má banka takové podezření, nic takového by po klientovi nechtěla, protože je sama oprávněna je zablokovat.
Weby ministerstva vnitra, policie i hasičů čelily útoku hackerské skupiny |
Jak se mohou lidé před těmito útoky chránit?
Platí, že přístupové údaje do bankovnictví nikomu nesděluji.- To samé se týká údajů o kartách. Pomáhá neklikat na odkazy ve zprávách a do bankovnictví vstupovat pouze přes dohledatelné oficiální stránky banky. Nepouštět na svou plochu počítače někoho, kdo to požaduje a neinstalovat software, u kterého nevím, k čemu slouží. Pokud mám podezření na podvod, volám bance. Její pracovníci budou vědět, co dělat.
O kolik peněz lidé přijdou vlivem podvodů?
Dle mého odhadu, protože obecně banky tyto údaje neposkytují, jen za loňský rok v bankovním sektoru hackeři ukradli 1,5 miliardy korun.
Je podle vás na vině nízká finanční nebo kybernetická gramotnost?
Pachatelé vědí, že klient je nejslabší článek, protože si myslí, že se mu to stát nemůže. Když na školeních o kybernetické bezpečnosti ukazuji lidem příklady phishingu, ťukají si na hlavu, jak může někdo být tak hloupý, aby na to naletěl.
A pak se to stane jim. Nezáleží na věku, pohlaví či vzdělání. Oběti kyberzločinu jsou i vysokoškoláci a také pracovníci v informatice. Nikdy by nepřiznali, že se nechali napálit a radši ze samého studu oželí ztracené peníze.
