Článek
S postupující digitalizací narůstá i počet útoků na bankovní klienty. „Stále si myslíme, že se nás to netýká. Že my bychom se nenechali nachystat a odhalili bychom, že jde o podvod. Ale známe spoustu případů, kdy se to stává lidem v aktivním věku, vysokoškolsky vzdělaným, dokonce i třeba vzdělaným v oblasti IT bezpečnosti. Přesto naletěli a přišli o své peníze, když uvěřili, že jim volá domnělý bankéř, a přistoupili na hru, kterou s nimi podvodníci začali hrát,“ řekl pro SZ Byznys Petr Barák, předseda Komise České bankovní asociace pro bankovní a finanční bezpečnost.
Jak časté byly útoky na bankovní klienty v loňském roce ve srovnání s předchozími lety?
Počet útoků mnohonásobně stoupl, dá se říct, že i stonásobně. Loni to byly tisíce i desetitisíce útoků různých typů. Toto je jedna z velkých změn dnešní doby – pachatelé se přesunuli do kyberprostoru.
Byla i způsobená škoda v penězích větší než dříve?
Mnohonásobně. V případě dokonaných podvodů jde o škody v řádech desítek i stovek milionů korun.
Dokážete říct průměrnou škodu na jednoho klienta?
Z čísel, která mám k dispozici, jsou to desítky a stovky tisíc korun. Záleží na tom, kam se pachatelům podaří dostat. Když se na nějaký účet dostanou, berou všechno.
Trendem je mít banku v mobilu, tím se ale klienti stávají zranitelnější. Co je nejhorší věc, kterou mohou u mobilního bankovnictví udělat?
Nedbají na zabezpečení samotného mobilu. Stejně jako počítač potřebuje mít nějakou ochranu. Když se třeba studentů na našich osvětových akcích Bankéři do škol ptám, kdo má v mobilu nainstalovaný antivirový software, jsou jich jednotky.
Stále si myslíme, že se nás to netýká. Že my bychom se nenechali nachystat a odhalili bychom, že jde o podvod. Ale známe spoustu případů, kdy se to stává lidem v aktivním věku, vysokoškolsky vzdělaným, dokonce i třeba vzdělaným v oblasti IT bezpečnosti. Přesto naletěli a přišli o své peníze, když uvěřili, že jim volá domnělý bankéř, a přistoupili na hru, kterou s nimi podvodníci začali hrát.
Petr Barák
- Od roku 2004 předsedou Komise pro bankovní a finanční bezpečnost České bankovní asociace.
- Vystudoval Policejní akademii ČR v Praze a následně nejprve jako specialista odboru finančního zpravodajství Ústředny kriminální policie Praha a poté jako ředitel expozitury Středočeského kraje Služby pro odhalování korupce a závažné hospodářské trestné činnosti absolvoval řadu speciálních kurzů k otázkám boje s organizovaným zločinem, prevence legalizace výnosů pocházejících z trestné činnosti a boje s mezinárodním terorismem.
- Od roku 1996 do současnosti působí v oblasti bankovnictví, kde v pozici specialisty pro oblast prevence legalizace výnosů z trestné činnosti a boje s mezinárodním terorismem, manažera bezpečnosti a specialisty řízení operačních rizik uvádí do praxe nové právní normy a bezpečnostní standardy přijímané jak v rámci ČR, tak i legislativy EU.
Banky možnost obsluhovat peníze přes telefon podporují a neustále své aplikace inovují. Posilují ale také adekvátně zabezpečení systémů?
Určitě, banky vynakládají každoročně opravdu velké prostředky na zabezpečení svých systémů. Existují případy, kdy útočníci vedou útoky přímo na bankovní systémy. Pachatelé ale vědí, že nejslabším článkem je klient, proto cílí zejména na ně, chtějí si udělat práci co nejjednodušší.
Která ta slabá místa jsou a na jaké skupiny obyvatel podvodníci cílí?
Podvodníci vědí, že klienti nevěnují bezpečnosti dostatečnou pozornost. Využívají také tzv. sociálního inženýrství, tedy cílí na lidi s informací, že jejich peníze jsou v ohrožení. To způsobuje pocit, že je třeba rychle jednat, a klient také přestane být obezřetný.
Pachatelé klientovi třeba tvrdí, že narušuje vyšetřování policie, když odmítá udělat to, co po něm chtějí.
Některé příklady z praxe znějí až neuvěřitelně. Člověku někdo zavolá, že jeho peníze jsou v ohrožení a že je musí vyzvednout v nejbližším bankomatu a ochránit tím, že je převeze do 80 kilometrů vzdáleného bankomatu, který je promění na bitcoiny. To se opravdu stalo, s klientkou jel v autě její syn a za celou dobu jízdy si nepoložili otázku, co to vlastně dělají, že to není normální. Až teprve když peníze vložili do bankomatu, volali své bance. Že jim volal někdo, kdo se představil jako její pracovník a toto chtěl, tak to udělali.
Jde o moment překvapení, scénáře jsou promyšlené, aby člověk ztratil zábrany. Když se to pachatelům nepovede v prvním kole, klientovi třeba tvrdí, že narušuje vyšetřování policie, když odmítá udělat to, co po něm chtějí. Mají to dotažené až tak daleko, že za minutu dvě po ukončení hovoru volá další člověk, který se představí jako konkrétní příslušník policie. S tím, že se dozvěděl od klientovy banky, že klient odmítl spolupracovat. Začne mu vykládat, do čeho se tím klient dostal, které zákony a paragrafy porušil a znovu ho zastrašuje. Jsou lidé, kteří se nechají napálit a začnou spolupracovat.
Co byste v takové situaci radil dělat? Když už je zapojená domnělá policie, podlehnout může leckdo.
Zamyslet se hlavně nad tím, co po člověku volající chce. Banky nikdy po klientech nebudou chtít takové věci jako vyzvednout peníze v hotovosti nebo je někam převést. Dokážou peníze klientů ochránit samy.
Zároveň nikomu neprozrazovat citlivé údaje, jak přistupuju do bankovnictví, jaké mám heslo, nebudu nikam přeposílat nebo někomu diktovat ověřovací esemesky. Tím zloději v podstatě umožníte, aby si sám odeslal z vašeho účtu nějaké peníze. Banky nepotřebují ani přístupy do klientova počítače přes vzdálenou plochu.
Pokud po vás někdo něco takového chce, je potřeba hovor ukončit a sám zavolat do banky a vše ověřit a nahlásit. Pokud klient řekne, že něco prozradil, banka přístup a hesla nebo platební karty zablokuje a tím peníze ochrání.
Pokud ztratíte kartu, je třeba ji hned telefonátem do banky nechat zablokovat, protože se hraje o čas. Když kartu někdo najde a chce ji zneužít, udělá to okamžitě.
S vysokou inflací se také rojí podvodné nabídky údajně výhodných investic. Například do kryptoměn. Na co byste upozornil v této souvislosti?
Když už bych se rozhodl investovat do kryptoměn, obrátil bych se na standardní renomované firmy, a ne jen na někoho, kdo mi zavolá s geniální nabídkou zhodnocení peněz. A nabídne, že vše nastaví, když ho pustím do svého internetového bankovnictví.
Bohužel tyto případy nemusí mít okamžitý projev v tom, že vím, že jsem udělal něco špatně. Klient třeba někam pošle peníze a pak na různých stránkách, které podvodníci vytvoří, sledují domnělý vývoj své investice. Poškození třeba rok sledují krásné grafy, jak se mu peníze údajně zhodnocují. Když chce peníze vybrat, teprve zjistí, že nemá nic.
Zaplétají se do podvodu, na který sami naletěli
Další riziko, se kterým se setkáváme poměrně často, je, že takto poškozený klient banky dostane za úkol od podvodníků spolupracovat jako tzv. peněžní mula (z anglického money mule - pozn. red.). Tím, že jim bude za provizi nahánět další klienty. Zapojuje se do podvodného chování třeba tím, že přes jeho účet jdou platby, které pachatelé vylákají z jiného klienta. On je pak vyzvedne v hotovosti a třeba vloží do kryptomatu.
Klient si myslí, že díky tomu peníze získá po částech zpátky a že si legálně vydělává provizemi, ale peníze nezíská. Přitom je zapojen do procesu legalizace výnosů z trestné činnosti a dostává se sám do konfliktu se zákonem.
Když někdy banky volají a ověřují si původ peněz, tyto muly tvrdí, že to jsou peníze, které někde samy získaly, něco prodaly. Když je banka důslednější a chce to doložit, vytvářejí falešné dokumenty. Nakonec musí přesuny peněz přes jejich účty a původ dokumentů vysvětlovat policii.
To jsme tedy v bodě, kdy podvod je dokonán: přišla jsem o peníze. Jakou jinou šanci domoci se peněz zpět, když pominu zapojení do trestné činnosti, mám? Kdy má banka povinnost mi peníze vrátit?
Každý případ banky posuzují jednotlivě. Ale obecně platí, že pokud člověk někomu sám zpřístupní svůj účet nebo peníze v hotovosti vloží do bitcoinmatu, banka za to odpovědnost rozhodně nenese. Pokud klient nic neporuší a chová se obezřetně, jsou případy, kdy banka reklamaci uzná a peníze nahradí.
Třeba u platebních karet jsou dané zákonné podmínky, kdy banka je povinna částku nahradit. Má třeba možnost prostřednictvím tzv. chargebacku stáhnout peníze od obchodníka, který jejímu klientovi nedodal zboží nebo dodal padělky apod.
Pokud je klient s rozhodnutím banky nespokojen, může se obrátit na finančního arbitra, aby výsledek reklamace zhodnotil.
Když se podíváme na nejčastější podvody, kterými jsou podvodné volání (vishing), napodobování telefonních čísel (spoofing) nebo podvodné e-maily (phishing), jsou to typy útoků, kde klienti něco vyzrazují? A kde banky peníze spíš nevrátí?
Ano. Klient totiž buď vyzradí přístupové údaje, nebo sám peníze někam odešle v domnění, že je zachraňuje. Peníze přitom odcházejí buď do zahraničí, nebo jsou proměněny do kryptoměn. Zatím jsem moc případů, kde by policie ve vypátrání byla nějak úspěšná, nezaznamenal. Končí to konstatováním, že došlo k trestnému činu, ale pachatel je neznámý, tudíž peníze se nedají od nikoho vymáhat. A pokud by byl známý, už nebude co vymáhat. Ani nějaká náhradní hodnota, majetek, který by se dal zpeněžit a z prodeje klienty odškodnit.
Co dělat, když se stanete obětí útoku
- Ihned kontaktovat své IT oddělení nebo organizaci, které se útok týká (banka).
- Na daném zařízení neprovádět přihlášení do žádných dalších služeb.
- Pokud je to možné, na jiném zařízení změnit hesla do důležitých služeb (e-mail, firemní síť, online banking).
Zdroj: Petr Samek ze společnosti CNS
To tedy nezní moc pozitivně. Co byste ještě klientům poradil?
Do internetového bankovnictví přistupovat jen ze svého zařízení, ne z cizího počítače, u kterého nevím, kde se moje informace mohou ukládat. Nepřipojovat se do internetbankingu přes veřejnou wifi třeba z kavárny.
Přihlašovat se zadáním adresy banky do adresního řádku. Viděl jsem celou řadu falešných stránek bank, na které se klient proklikl z nějakého odkazu. Vyplníte heslo a login a na druhé straně sedí pachatel, který to vidí online.
Firmy, nejen banky, dnes trénují vlastní zaměstnance, aby neklikali na něco závadného. I v Česku jsou známé případy, kdy zaměstnanec na něco klikl a spustil se škodlivý software, který zablokoval celý informační systém té instituce – v nemocnicích, na úřadech…
Stačí jedno kliknutí na odkaz v e-mailu s nějakou nabídkou nebo informací o údajně nevyzvednuté zásilce. Tím se může do počítače stáhnout něco, co ani neuvidím, ale bude to čekat na správný okamžik. Škodlivé softwary jsou kolikrát naprogramované tak, že čekají a v momentě, kdy začnete do internetového prohlížeče zadávat slova typu banka, přístup apod., se aktivují. Software pak dokáže odesílat různé informace, spouštět vaši webovou kameru, takže útočníci vás vidí. Dokáže sdílet vaši plochu, vidí vše, co na počítači děláte, na co klikáte. Nahrává videosekvence a odesílá je útočníkům.
Já se budu po dnešním rozhovoru bát otevřít počítač.
Je důležité mít tam nějakou ochranu, dbát na bezpečnost, neklikat na vše, co se mi objeví v e-mailu.
Celý rozhovor si můžete pustit v úvodu článku.