Článek
Rozhovor si můžete poslechnout i v audioverzi.
Podvodníci se prostřednictvím SMS zpráv snaží z lidí získat přihlašovací údaje k jejich účtům. „Za první čtvrtletí tohoto roku v rámci všech druhů phishingových kampaní – ať jde o bazary, různé doručovací společnosti nebo vishing nebo smishing – naši klienti přišli zhruba o 11 milionů korun,“ uvedla v pořadu Agenda SZ Byznys ombudsmanka Monety Stanislava Hejnová.
Kolik Ukrajinců už získalo práci?
Popište prosím, jak smishing–phishing přes esemesky probíhá.
Je to poměrně jednoduché. Scénář se opakuje v poslední době u několika kampaní, tentokrát je to formou esemesky. Představte si, že jste bankovní klient a já podvodník. Já vám pošlu esemesku, ve které vám říkám, že pokud nekliknete na odkaz, který tam je, zablokujeme vám účet a zmrazíme vám prostředky.
Druhy podvodů
Phishing - podvodná technika používaná na internetu k získávání citlivých údajů v elektronické komunikaci. Nejčastěji e-mailem.
Smishing - forma phishingu. Jedná se také o podvodnou praktiku, která má za cíl vylákat z cílové osoby citlivé údaje, ale na rozdíl od phishingu využívá nejčastěji SMS.
Vishing - Podvody jsou založeny na principu telefonních hovorů, kdy se volající představí jako pracovník banky, který zjistil napadení účtu volaného.
A taková výzva se děje jménem banky?
Není to z konkrétního čísla, určitě ne z čísla, které by patřilo bance. Je to sběrné číslo například pod zkratkou Info.
Ale tváří se jako zpráva z banky.
Ano. Ve zprávě není použitá diakritika a čeština není úplně dokonalá. To je první věc, která vás může trknout.
Vy kliknete, protože se vyděsíte, že nebudete mít přístup ke svým prostředkům. Odkaz vás přesměruje na phishingovou schránku, která se tváří jako stránka Monety. Já jako útočník jsem ji naprogramoval speciálně pro tuto kampaň.
Když se podíváte na příkazový řádek, ve kterém je vidět adresa webu, v názvu je vidět slovo Moneta. Ale většinou je za tím třeba ještě „-bezpecnostni.info“, nebo „odblokovani.info“ či “.net“ To je další věc, která pro vás může být varovná. Banka má vždy adresu Moneta.cz, případně lomítko a něco za tím.
Přihlásíte se na této stránce, jako byste se přihlašovala do svého internetového bankovnictví. A já ta hesla okamžitě vidím. Otevřu si na jiném počítači reálnou internet banku a tam ty údaje, které jste mi právě dala, zadám. A přihlásím se do vaší opravdové internet banky.
Pak následuje ještě ověřovací zpráva – většinou pro uživatele internetového bankovnictví je to tzv. mobilní klíč. Přijde vám esemeska, ve které je číselný kód. Na phishingové stránce se otevře další okno, abyste tam kód vložila. Vy vložíte kód, já ho okamžitě vidím, zadám do reálné internet banky a pod vaším profilem se tam přihlásím. A můžu si tam dělat téměř, co chci.
Můžu si převést peníze, kam potřebuju.
Ano. I pro platební příkazy je druhý stupeň ověření, tedy mobilní klíč nebo tzv. push notifikace. Otevře se vám ještě jedno okno, dáte mi tam ten kód a já si peníze převedu.
Je tam ještě druhý způsob, trochu sofistikovanější, ale pro mě jako podvodníka výhodnější. Když už jsem ve vaší internet bance, na svém mobilu si zřídím novou mobilní banku. Vás zase požádám přes phishingovou stránku o potvrzovací kód. Výhodou oproti prvnímu scénáři: když mám mobilní banku, chodí mi na ověření plateb atd. push notifikace. Ta je založena na biometrii.
Něco na vás vyskočí a vy přiložíte prst nebo naskenujete obličej.
Přesně tak. Ale vzhledem k tomu, že jsem si jako podvodník mobilní banku stáhla na svůj telefon, bere to moji biometrii, ne tu vaši (skutečného klienta – pozn. red.). To je velký rozdíl. Podvodníci pak mají volné pole působnosti.
Větší je pro lupiče výhodnější
Jsou pro Monetu aktuální útoky nějak specifické?
Tušíme, že jsme jen jedna z bank, jejichž klienti jsou cílem této kampaně.
A víte o dalších bankách, na jejichž klienty by to mohlo mířit?
Jistě to nevíme, slyšeli jsme ale o velkých finančních ústavech. Ty jsou specifické tím, že působí mezinárodně. Pokud máte mezinárodní organizovanou skupinu, která cílí na klienty velkých bank, více se jí vyplatí vytvořit phishingovou stránku na mezinárodní banku, protože stránky internetových bankovnictví (v jednotlivých jazykových mutacích – pozn. red.) vypadají poměrně podobně ve všech státech. Útočníci pak už jen mění jazyk phishingové stránky a jsou schopní to použít kdekoli v Evropě.
V minulosti jsme jeden případ kompenzovali. Klient zjistil, že se stává obětí podvodu, transakci sice autorizoval, ale okamžitě volal na callcentrum. Pracovník callcentra ale udělal chybu a nezablokoval všechny kanály a odešly nějaké peníze tím nezablokovaným kanálem.
Vy ale mezinárodně nepůsobíte. Je to tedy poprvé, co útočníci takto vytvořili vaše falešné stránky?
Ano, tento typ útoku je pro nás nový, že si vzali jméno Monety do domény.
Phishingové útoky narůstají, máte spočítáno, o kolik už takto klienti přišli, respektive mohli přijít, pokud se nepodařilo ten útok zastavit?
Za první čtvrtletí tohoto roku v rámci všech druhů phishingových kampaní – ať jde o bazary, různé doručovací společnosti nebo vishing nebo smishing – přišli naši klienti zhruba o 11 milionů korun.
Ty jsou tedy nenávratně ztraceny, vysosány z účtu.
Přesně tak. Protože byly autorizovány a nahlášeny pozdě. My jsme nestihli ty platby zastavit. Na druhou stranu, tím, jak se zdokonalují útočníci, my se také zdokonalujeme v prevenci. Povedlo se nám našim klientům zachránit 10 milionů. Přestože transakce byla zadána správně, byla řádně autorizována, měli jsme už dostatek informací, abychom řekli „tohle je podezřelé“. Zastavili jsme transakci, volali klientovi, jestli transakci udělal, nebo ne. Případně řekli „ne, toto je podvod, to nepustíme dál“.
Za první čtvrtletí tedy bylo v Monetě útoků za 21 milionů a ve více než polovině případů klienti o peníze přišli. Jaké má vůbec banka možnosti tomu zabránit? To, že někdo odevzdá své přihlašovací údaje, se dá přirovnat k tomu, že dáte někomu klíče od svého domu. Pak je úplně jedno, jaký tam máte alarm.
Detaily vám samozřejmě neřeknu, protože bychom přišli o výhodu nad podvodníky. Ale obecně: máme dva typy detekce. Když se podíváme na příklad, který jsem dávala s phishingovou stránkou Monety: naše oddělení informační bezpečností na denní bázi monitoruje celý internet. Dívá se, jestli někde nevznikly phishingové stránky s naším jménem v doméně a likviduje je. To dokážeme.
Druhá část je orientovaná na klienty. Máme systém, který dokáže určit typické transakce pro naše klienty, typické příjemce. Pokud pro vás transakce není typická, je pro nás podezřelá a už se na ni můžeme podívat detailněji.
Stanislava Hejnová
- Vystudovala právo na Masarykově univerzitě v Brně a od roku 2008 se pohybuje v oblasti regulace finančních trhů a bankovnictví.
- Mezinárodní zkušenosti získala v pozici Head of Compliance ve společnosti KBC Asset Management NV v Belgii.
- V červenci 2020 nastoupila na pozici ředitelky compliance Skupiny Moneta, kde zajišťuje, aby členové skupiny postupovali v souladu se všemi právními požadavky a etickými standardy.
- Zároveň se stala ombudsmankou pro klienty skupiny.
Například když běžně platím v Praze a najednou jsem zaplatila v Ekvádoru.
Ano, dnes už to není ani Ekvádor nebo exotické země, ale bývají to země EU. Vídáme Itálii, Belgii. Slyšela jsem i o Španělsku. Pokud podezřelou transakci zachytíme, voláme klientovi, jestli ji provedl. Ještě je třetí typ detekce, právě u smishingových podvodů. Kde podvodníci tahají peníze z vašeho účtu po malých částkách. Podařilo se nám tyto podvody stopnout hned na začátku, kdy si klient uvědomil, že udělal chybu.
Proč po malých částkách? Nebylo by lepší vzít vše najednou?
Je to méně podezřelé. My jsme banka odesílatele, na druhé straně máte banku příjemce. Oni se snaží být nenápadní, aby to ani jedné z těch bank nepřišlo podezřelé.
Jak dlouhá je doba mezi zadáním transakce a tím, kdy podvodná platba nenávratně projde? Kolik máte času na to, abyste ji zastavili?
Útočníkům stačí třicet vteřin. Tím, že se jedná o organizovanou skupinu podvodníků, mají poměrně sofistikované nástroje a myslíme si, že na tohle mají naprogramované roboty. Důkaz pro to ale nemáme.
Jsou všechny případy opravdu pochybením klienta, nebo byste dokázali nějakou odpovědnost vztáhnout i na sebe?
Všechny případy, které jsem popsala, jsou odpovědností klienta. On je vždy slabý článek. Jedním z nástrojů, jak tomu může banka zamezit, je zvyšovat finanční a technickou gramotnost. Máme na to masivní kampaň.
V minulosti jsme zaregistrovali jeden případ, kdy banka částku kompenzovala. Klient zjistil, že se stává obětí podvodu, transakci sice autorizoval, ale okamžitě volal na callcentrum. Pracovník callcentra ale udělal chybu a nezablokoval všechny kanály a tím nezablokovaným kanálem odešly nějaké peníze. Tam jsme odpovědnost vzali na sebe – banka udělala chybu a klient byl plně kompenzován.
Právní pozice banky je velmi silná
Všichni se snaží digitalizovat a „šlapou“ do digitálních kanálů, ale člověk, aby se pomalu bál jít na internet. Když mu pak banka, která ho tlačí do používání internetbankingu a smartbankingu říká „neklikejte“.
Je to něco za něco, každý zná svoje schopnosti, stačí používat zdravý rozum. Lidé by se určitě neměli začít bát mít peníze v bankách nebo používat internetové či mobilní bankovnictví. Tyto všechny kanály máme velmi dobře zabezpečené. Když přijde útok zvenčí – ne na klienta – dokážeme je odrazit a odrážíme je každý den.
Pokud jako klient nevěříte sama sobě, že dokážete tyto kanály rozumně používat, tak to raději nedělejte. Nebo mějte přihlašovací údaje někde jinde než přímo u sebe.
Říkala jste, že ztráty klientům nekompenzujete, protože jste si zřejmě jisti, že to není vaše pochybení. Přesto si někteří klienti mohou myslet opak a mohou se domáhat nějakého narovnání nebo náhrady škody. Obracejí se na finančního arbitra nebo soud?
Máme takové případy, vidíme to i na trhu, ale není jich mnoho. Jedná se o platební transakce, platební styk jako takový je v rozhodovacích pravomocech finančního arbitra. Jsou tu i případy u soudu, my však zatím žádný nemáme.
Nicméně právní pozice bank je v tomto případě velmi silná. Obavy z toho nemáme, v tomto ohledu pro banku žádné nebezpečí není. Pokud by klient dodržel všechny podmínky a nikomu nedal své přihlašovací údaje…
V jaké fázi jsou ty případy u finančního arbitra? Předpokládám, že ještě nejsou ve finále, když jste si stále jisti svou pozicí…
Doufám, že to tak i zůstane. Jsou na začátku, zatím nemáme od finančního arbitra ani předběžné právní posouzení.
Celý rozhovor si můžete pustit v úvodním videu.
Agenda
Čtvrthodinka o byznysu z první ruky. Rozhovory s top lídry českého byznysu, zakladateli firem, odborníky.
Od pondělí do čtvrtka na SZ Byznys a ve všech podcastových aplikacích.
Odebírejte na Podcasty.cz, Apple Podcasts nebo Spotify.