Článek
Rozhovor si můžete poslechnout i v audioverzi.
Lidé chtějí své úspory ochránit před inflací a chtějí je investovat. Tato touha otevřela dveře útočníkům, kteří potenciálního investora nalákají na zajímavé zhodnocení, aby na konci celého procesu zbyl jen vysátý účet a oči pro pláč.
To vše se souhlasem klienta, který netuší, že platforma, na které obchoduje, je falešná. Netuší, že program, který si s pomocí podvodníka nainstaloval do počítače, zpřístupnil útočníkům internetové bankovnictví…
A když už to vše klientovi dojde a chce podvod ukončit a nahlásit, ozve se bezpečnostní pracovník banky, který ho uklidní, slíbí nápravu a jediné, co chce, je autorizace příchozí platby, aby se peníze mohly vrátit na účet. Jenže tento pracovník je také falešný.
Petr Zíma, manažer pro klientskou bezpečnost a bankovní identitu v České spořitelně, rozebírá v pořadu Agenda SZ Byznys nejnovější kybernetické podvody a způsoby, jak se útočníkům bránit.
Kolik podobných podvodů Česká spořitelna řeší?
Měsíčně jsou to tisíce pokusů o útok na naše klienty. Ty dokonané útoky, kdy se nám nepodaří klienty ochránit, těch jsou měsíčně stovky. Konkrétně u tohoto typu útoků, který se týká podvodných investic, máme zhruba dvě stě podvedených klientů měsíčně.
Dá se proti takovému podvodu nějak pojistit?
Proti typu útoku, kdy vás útočník zmanipuluje a vy vědomě investujete, nebo spíš si myslíte, že investujete, a platby plně autorizujete, tak takový pojistný produkt jsem na českém ani zahraničním trhu nezaznamenal. Proti čemu se ale pojistit dá, to jsou phishingové útoky, kdy zadáváte přihlašovací údaje do podvodných internetových stránek.
SMS od ministerstva, hit loňska
Jsou právě podvodné investice aktuálně největší hrozbou? Na co si dát pozor?
Co se týká útoků na banky, tak ty můžeme rozdělit na útoky na infrastrukturu a klienty. Útok na bankovní infrastrukturu je vlastně snaha odstavit český bankovní systém. To je útok vedený ze zahraničí a jeho snahou je paralyzovat ekonomiku.
Druhá kategorie útoků cílí na nejslabší článek – a to je klient. Tam bych to rozdělil na dva typy. První je phishingový útok – tedy klient zadá na podvodných stránkách své přihlašovací údaje do internetového bankovnictví – z této kategorie je třeba podvod, který byl populární loni, kdy klienti dostávali SMS od „Ministerstva práce a sociálních věcí“, mysleli si, že dostanou třeba pětitisícový příspěvek, ale ve skutečnosti předali přihlašovací údaje a autorizovali odchozí platby. Tento typ útoků nás teď tolik netrápí, to se nám podařilo výrazně eliminovat.
Druhý typ jsou právě tyto čistě manipulativní útoky, které jsou zaměřené na falešné investice. Nebo vám zavolá falešný bankéř, řekne vám, že vaše peníze jsou v ohrožení a rychle je musíte zachránit tak, že je vložíte do bitcoinmatu nebo převedete na „bezpečný“ účet.
Jak poznat, že nemluvím s reálným bankéřem, ale podvodníkem? Na co se zaměřit?
Ve veškeré komunikaci si ověřujte, s kým telefonujete, s kým si píšete, na jakých stránkách jste. Samozřejmě je to někdy trochu složitější a zdlouhavější, ale tohle je asi nejuniverzálnější rada. Platí i v případě, kdy vás kontaktuje vaše banka.
Vím, že je to těžké, útočníci vás rozhodí, dostanou do emocí, do strachu a prostě je těžké zachovat chladnou hlavu. Zkuste si ověřit, jestli opravdu ten, kdo je na druhé straně telefonu, mailu nebo whatsappu je za naši banku. Když my klienty kontaktujeme, nabízíme možnost vyžádat si ověření našeho bankéře pomocí aplikace. Bankéř musí nadiktovat kód, který klient v mobilní aplikaci vidí.
Jak časté je, že se při volání podvodníků na displeji zobrazí číslo nějaké důvěryhodné instituce? Třeba policie nebo právě banky?
To je technika, kterou útočníci obohacují svůj útok. Odborně se tomu říká „spoofing“. Maskují číslo, ze kterého volají, za číslo, které patří třeba bance, na kterou útočí. My jsme se s tím výrazně potýkali v loňském roce. Náš mobilní operátor pro nás vyvinul technologické řešení, které před tímto útokem naše telefonní čísla chrání. Není to sice stoprocentní, ale to není žádná technologie. Chybovost je ale v řádu procent, takže jsme tento útok významně eliminovali.
Banka pozná, kdo ťuká do klávesnice
Spořitelna také zavedla detekci potenciálně podvodných transakcí za použití umělé inteligence. Jak to funguje?
24 hodin denně, sedm dní v týdnu monitorujeme veškeré transakce, které u nás klienti zadávají. Systém, který máme nasazený, sleduje vaše chování, a když to řeknu, učí se rozpoznávat, jak já, Petr Zíma, zadávám transakce, vstupuji do internetového bankovnictví – a naučí se můj profil. Ve chvíli, kdy dojde k nějaké anomálii, nějaké odchylce, za můj počítač si sedne někdo jiný a do mého internetového bankovnictví se začne někdo jiný hlásit, jsme to schopni detekovat. Třeba proto, že způsob, jakým lidé píšou na klávesnici, je každý jiný. To je jeden ze způsobů, jak jsme schopni poznat, že přihlašovací údaje do bankovnictví zadává někdo jiný.
To zní možná až trošku strašidelně. Vy poznáte, jakým tempem píšu, jak mám prsty rozložené na klávesnici počítače?
Je to úplně stejné jako biometrie. Třeba i chůze je biometrický prvek.
Pokud už klient podezření, že se stal cílem podvodu, má, co má dělat?
Zastavit a zklidnit se. Pokud má jakékoliv pochybnosti, že se stal obětí podvodu nebo že je na cestě se obětí podvodu stát, ať neváhá a kontaktuje svoji banku. To je úplně první krok. Jsou to lidé, kteří vám pomohou, zablokují přístupy do vašeho internetového bankovnictví, a pokud jste obětí podvodu a ty peníze už zmizely, banka udělá maximum pro to, aby se ještě někde zastavily.
Návratnost ztracených peněz? Nízká procenta
To se může podařit?
Někdy se to dá. Ale jsou to nízká procenta. Určitě doporučuji jít na policii, podat trestní oznámení. Je to důležité i z toho důvodu, že poskytnete další důkazy směrem k dopadení dané skupiny. Možná to tu nezaznělo, ale to, čemu čelíme, je organizovaný zločin.
Banky klienty varují, o podvodech píší média, jak ale ještě víc apelovat, aby byli lidé opatrnější?
Je to kontinuální práce. Čím dál víc přenášíme své životy do digitálního světa a trochu pokulhává vzdělávání, jak se v digitálním světě bezpečně chovat. Subjektů, které se o to snaží, je celá řada – od bank přes polici, školy a různé programy.
Prostředky, které teď investujeme do vzdělávání našich klientů, jsme zmnohonásobili oproti minulým rokům. Je to apel na to být pozorný, ověřovat si, s kým komunikuji a co potvrzuji v internetovém bankovnictví. Jasně se tam říká, že odesíláte platbu a komu ji odesíláte, nikoliv, že platbu přijímáte. Tohle je rada, která sem patří.
A zásadní je nesdílet žádné citlivé údaje o sobě nebo o internetovém bankovnictví, jako jsou čísla karet či piny s dalšími lidmi.
Agenda
Čtvrthodinka o byznysu z první ruky. Rozhovory s top lídry českého byznysu, zakladateli firem, odborníky.
Od pondělí do čtvrtka na SZ Byznys a ve všech podcastových aplikacích.
Odebírejte na Podcasty.cz, Apple Podcasts nebo Spotify.