Kyberzločinci napadají stovky klientů, říká bankovní analytik

  13:00
Z hackingu se stal byznys jako každý jiný. V temných zákoutích internetu se dají koupit přístupová jména k internetovému bankovnictví nebo čísla karet. „Kradená čísla karet se prodávají po balíčcích. Ceny se na černém trhu pohybují v jednotkách až desítkách dolarů za jednu kartu,“ říká manažer operačních rizik Komerční banky Tomáš Doležal.

Tuzemské banky čelí útokům na webu téměř nepřetržitě. Tomáš Doležal proti nim hledá obranu | foto:  František Vlček, MAFRA

Kasařům s páčidlem odzvonilo. Elektronizace plateb je na postupu, takže bankéřům dělají stále větší starosti kybernetičtí zločinci. Proniknout do banky přímo je však pro ně kvůli stále silnějšímu zabezpečení složité, a tak to raději zkoušejí přes klienty. Je to totiž nejslabší místo.

Mohou banky zaručit stoprocentní bezpečí uložených peněz?
To asi nelze nikdy, úroveň bezpečí v bankách je ale v současnosti velmi vysoká. Vedle jednoduchých ataků se samozřejmě čas od času objevují sofistikované útoky, při nichž útočníci vyvinou enormní úsilí, aby do banky pronikli. Příprava takových útoků trvá i měsíce.

Lovec kyberzločinců

Tomáš Doležal spravuje v Komerční bance oblast operačních rizik, mezi která patří například výpadky systémů, vnitřní podvody, spory s regulátorem či podvody u vkladů. V případě technických selhání připravuje „katastrofické scénáře“ vypořádání se s následky. Dohlíží také na zabezpečení proti hackerským útokům včetně podpory klientů v oblasti ochrany proti kybernetickým zločincům.

V Komerční bance pracuje na různých pozicích ve financích a řízení rizik už od roku 2002. V roce 2008 vedl integraci finančního oddělení ruské Rosbank do skupiny Société Générale. Vystudoval Vysokou školu báňskou – Technickou univerzitu Ostrava.

Řeknu dva konkrétní příklady. V roce 2015 odcizili útočníci z bank miliardu dolarů. Zaútočili na velké množství bank, dokázali podvrhnout řadu transakcí a odeslali platby mimo banky. Loni zase pronikli do centrální banky v Bangladéši, odkud chtěli ukrást 850 milionů dolarů. Dlouho zkoumali, jak banka funguje, postupně napadli počítače uvnitř, až se dostali k serveru, kde se zpracovávají příkazy k platbám do zahraničí. Přišlo se na to jen díky tomu, že popis jedné z transakcí obsahoval pravopisnou chybu. Přesto dokázali odeslat pryč kolem 80 milionů dolarů.

Řídíte v bance operační rizika, co to přesně obnáší?
Z pohledu regulace tvoří banky kapitálový požadavek na tři typy rizik. Největší část tohoto požadavku představuje kreditní riziko, jde asi o osmdesát procent. Jde o rizika spojená s úvěry v případech, kdy by lidé nebo firmy přestali splácet.

Pak jsou tu tržní rizika, která plynou z operací na mezibankovním trhu. V Česku jsou na ně požadavky nízké, tvoří zhruba do pěti procent z celkového kapitálového požadavku, protože české banky je dělají jen omezeně.

A pak jsou tu operační rizika, kam spadají vnitřní selhání – třeba výpadky systémů, vnitřní podvod, spory s regulátorem či jakékoliv podvody u vkladů. Kapitálový požadavek pro tato rizika se pohybuje kolem deseti procent. V našem případě jde konkrétně o rezervu ve výši zhruba tří miliard korun.

Jak jste tuto částku určili?
Kapitálový požadavek se může vypočítat buď základním přístupem, kdy se jeho výše určí procentem z čistých bankovních příjmů, nebo využíváme takzvaný pokročilý přístup. To se kapitálový požadavek vypočte na základě matematického modelu, do něhož se zahrnou historické ztráty, to jsou ty očekávané, a pak řada různých scénářů s malou či mizivou pravděpodobností. I tak na ně ale musíme být připraveni.

Člověk, co takové scénáře vytváří, asi musí mít velkou představivost...
Na základě pravidelného hodnocení rizik vytváříme scénáře pro každou významně rizikovou oblast, například výpadek bankovních systémů v pobočkové síti či výpadek internetového bankovnictví. Hledáme, kde jsou úzká hrdla, snažíme se je odstranit, ale zároveň vytváříme katastrofické varianty, které mohou nastat. Musíme vědět, jak reagovat, když třeba shoří datové centrum nebo kdybychom kvůli výbuchu přišli o nějakou klíčovou budovu.

A kterou z těch oblastí vidíte jako nejrizikovější?
Obecně největší část kapitálového požadavku souvisí s riziky v informačních technologiích. Kdybychom třeba nebyli schopni v případě nějakého velkého kybernetického útoku týden provozovat platební služby, nejenže by to kvůli licenci musel řešit regulátor, ale zároveň by to mělo fatální dopad na banku. A zřejmě by to znamenalo odchod klientů.

Útok na klienta je jednodušší

Představme si hypoteticky, že takový týden trvající útok přijde. Co přesně budete dělat?
Dopředu se snažíme definovat záložní plány, podle nichž budeme postupovat. Pokud bychom například nebyli kvůli vyhořelé výrobní lince v Česku schopni vydávat nové platební karty, přesune se výroba k partnerskému dodavateli do Polska. Máme čtyři datová centra, dvě jsou v Česku, dvě ve Francii, kde využíváme kapacity mateřské banky. V těch budovách je většina věcí zdvojená, například přívod elektrické energie či chlazení. Pro kritické bankovní systémy využíváme datová centra v aktivním režimu, to znamená, že v případě výpadku jednoho datového centra je provoz systému automaticky odkloněn do druhého datového centra, aniž by došlo k jakémukoliv přerušení provozu.

Zažili jste už takový útok?
Jednou došlo k soustředěnému útoku na jedno z našich datových center, přehltily se vstupní linky, trvalo to do patnácti minut. Dokázali jsme ale škodlivý provoz odfiltrovat od toho skutečného, technologie, které to umějí, tu jsou. Jsou to věci, které se ve světě dějí běžně.

Kolik do zajištění bezpečnosti dáváte?
Jako komerční instituce poměřujeme objem rizik s výší investice. Obecně je možné říci, že investice jdou do stovek milionů korun. Částka se neustále zvyšuje, jak hrozby narůstají. Ale myslím, že úroveň bezpečnosti bude do budoucna jednou z věcí, kterých si klient bude vážit nejvíc. Platební styk, vydání platební karty – to umí každý. Trochu se ale v této souvislosti obávám nové regulace, která přinutí banky otevřít své komunikační rozhraní třetím stranám. Pro klienty to bude výhodné, protože z jedné aplikace budou schopni ovládat všechny své účty bez ohledu na to, v jaké bance budou. Klíčové ale bude zabezpečit úroveň ochrany tak, aby nešlo provádět podvodné transakce.

Antivirové firmy říkají, že nejslabším článkem z hlediska bezpečnosti je klient. Platí to i v případě bank?
Pro útočníky je obvykle jednodušší nabourat klientovi počítač nebo telefon než proniknout do banky, která má několik vrstev zabezpečení. Setkali jsme se s konkrétní formou útoků na internetové bankovnictví, Komerční banku nevyjímaje, jak na korporátní, tak na retailové klienty. Útočníkům se podařilo zavirovat počítač a následně telefon klienta, kam banky posílají ověřovací SMS pro potvrzení platby.

Útoky na banky a klienty

„Falešný prezident“
Podvodník se vydává za pracovníka vrcholového vedení firmy. Kontaktuje pracovníka s patřičnými oprávněními provádět bankovní převody a pod smyšleným důvodem udělí pokyn k úhradě ve prospěch podvrženého účtu.

„Odklon plateb“
Podvodník se vydává za dodavatele a informuje o změně bankovního účtu, kam se posílají peníze z faktur. Oběť poukazuje platby ve prospěch podvrženého účtu.

DDos útok
Jednoduchý útok vedený s cílem zahltit webové stránky služby a zajistit její nedostupnost pro klienty.

Phishing
Podvodná technika používaná k získávání citlivých údajů, například přihlašovací údaje k internetovému bankovnictví či kreditních karet.

Jaký je počet napadených klientů?
Klientů, kteří jsou napadeni, ale třeba ten útok nakonec není realizovaný, jsou stovky, ne-li tisíce. Snažíme se klienty aktivně chránit, mohou si nainstalovat aplikaci, kterou ve spolupráci s IBM nabízíme zdarma. Funguje to jako antivir, ale je to program specializovaný na bankovní malware – umí totiž detekovat škodlivé kódy. V případě internetového bankovnictví je nutné program instalovat na PC. V mobilním operačním systému Android je součástí aplikace a brzy bude i na iOS. Jednoduchý sken počítače na přítomnost virů proběhne i během přihlášení do internetového bankovnictví.

A když je najde, nepustí pak klienty dovnitř?
To jsme sice technicky schopni udělat, ale těžko bychom klientovi vysvětlovali, že ho nepustíme do garáže, protože má díru ve výfuku. Ale téměř okamžitě mu zavoláme a vysvětlíme, co se u něj děje na počítači. Zároveň mu poradíme, jak lze škodlivé kódy odinstalovat. A umožňuje nám to ještě jednu věc: díky množství dat vidíme, jaké vlny útoků se Českem ženou, jak se malware chová, na co útočí a podobně. A můžeme se na něj připravit.

Na webu jsou ceníky ukradených čísel karet podle zemí

Nemají klienti obavy, že o nich budete sbírat údaje, když si aplikaci nainstalují, a že je využijete k marketingovým účelům?
Nechceme vydělávat na poskytování získaných dat. Bankovnictví se staví na konzervativnější stranu barikády. V reálném čase zkoumáme i všechny transakce, a pokud objevíme něco podezřelého, něco, co neodpovídá profilu klienta, upozorní to analytiky. A když zjistí, že je to opravdu podezřelé, hned klientovi volají a ptají se, zda tu transakci dělá skutečně on. Jsou to stovky hovorů měsíčně a v řadě případů skutečně zabráníme podvodné platbě.

Jedna věc je zabezpečení účtu, ale co zneužití platebních karet?
Skimming, tedy instalace čtecího zařízení do bankomatu, které ukradne údaje o vaší kreditní kartě, je už na ústupu. Občas ale takové podvody proběhnou. Nedávno byla odhalena skupina, která se zaměřovala na bankomaty, které ne- jsou provozované bankami. Možná proto, že podvod nelze tak rychle odhalit. Naopak roste počet zneužití karet při platbě v e-shopech, a to i v souvislosti s tím, jak Češi více platí kartami a jejich čísla jsou pak u obchodníka uložena.

Jak se proti tomu bránit?
Jednou ze základních věcí, kterou by si měl každý klient hlídat, je nastavit si přísné limity, kolik lze z karty vybrat či kartou zaplatit. Většina bank také implementovala službu 3D Secure, což je mechanismus, který ověřuje transakci, podobně jako při přihlášení k účtu. Obchodník se navíc nedozví číslo karty, dostane se k němu zašifrovaná. Když jeho systémy napadne hacker, nic se nedozví. To ale platí, jen když 3D Secure používá jak banka, tak obchodník. Jinak platba probíhá v běžném režimu.

Dalo by se říci, že platit v zahraničí je větší riziko než v České republice?
Tak bych to neřekl, i když jsou samozřejmě země, kde to rizikovější je. Třeba počátkem roku jsme identifikovali podvody u karet, jimiž bylo placeno v různých čínských e-shopech, které nepoužívaly 3D Secure. Nechci tím říci, že si tyto obchody svůj byznys postavily na tom, že něco prodaly levně a ještě přeprodaly dál čísla karet. Karetní podvody jsou obecně nejrozšířenějšími podvody co do počtu, nicméně co do objemu to není významné. Kradená čísla se prodávají po balíčcích a podvodníci zdaleka nedokážou vybrat všechny.

Kolik podvodníci za jednu takovou kartu zaplatí?
Pohybuje se to v jednotkách až desítkách dolarů za jednu kartu. Na takzvaném dark webu existují ceníky podle zemí, podle typu karty, zda jde třeba o zlatou kartu, podle toho, jaký limit by na nich mohl být. A platí, že balík například německých karet gold je mnohem cennější než třeba balík českých karet.

Teplo z uhlí podraží o deset až třicet procent, říká zástupce tepláren

  • Nejčtenější

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

27. března 2024  17:29

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu...

Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

25. března 2024  11:54

Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Seznam zakázaných kotlů. Co vám od září hrozí, když v nich budete dál topit

23. března 2024

Premium Češi stále provozují nejméně 150 tisíc starých neekologických kotlů na tuhá paliva 1. a 2. emisní...

Loď v Baltimoru měla potíže už dřív, most si o nehodu říkal, soudí odborníci

27. března 2024  11:17

Bezprostředně po úterní nehodě lodi v americkém Baltimoru vedení společnosti, která loď provozuje,...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Bankrot zažehnán, zatím. Saúdové nalijí do luxusních elektroaut miliardu dolarů

25. března 2024  18:42

Americký výrobce luxusních elektromobilů Lucid získá od divize saúdskoarabského státního...

Nezdravé pryč. Komika donutili stáhnout z londýnské dopravy plakát s hotdogem

28. března 2024  18:51

V londýnském metru se nevyplácí utahovat si s hotdogů. Své o tom ví populární britský komik Ed...

Do dobíječek dá stát dalších šest miliard. Už jich je víc, než auta potřebují

28. března 2024

Dalších šest miliard korun plánuje ministerstvo dopravy v příštích letech využít na výstavbu nových...

Kryptopodvodník Bankman-Fried dostal 25 let. Zpronevěřil osm miliard dolarů

28. března 2024  17:07,  aktualizováno  17:43

Americký soud poslal zakladatele zkrachovalé kryptoměnové burzy FTX Sama Bankmana-Frieda na 25 let...

Palubní personál rakouských aerolinek stávkuje, dotýká se to i spojů s Prahou

28. března 2024  16:39

V Rakousku ve čtvrtek začala 36hodinová stávka palubního personálu aerolinek Austrian Airlines...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...