Článek
Devět z deseti organizací v Česku, dotázaných Národním úřadem pro kybernetickou bezpečnost, se v roce 2021 setkalo s phishingovým útokem nebo pokusem o něj.
Podle České bankovní asociace zaznamenalo pokus o útok v loňském roce 81 procent bankovních institucí. Na klienty bank jen za prvních sedm měsíců letošního roku směřovalo přes 20 tisíc útoků, za celý rok 2020 to přitom bylo zhruba čtyřikrát méně.
„Dramaticky narostly hlavně podvodné telefonáty, tzv. vishing, které patří k těm nejzákeřnějším,“ popisuje výkonná ředitelka České bankovní asociace Monika Zahálková. Problém je navíc i to, že se zvyšuje úspěšnost útoků.
„Téměř každý druhý podvodný telefonát v současné době bohužel končí škodou pro klienta. Průměrné částka, o kterou klienti při těchto útocích přijdou, je dost vysoká, zhruba čtvrt milionu korun,“ dodává Zahálková. U jiné metody, phishingu, je průměrná škoda na jednoho klienta 73 tisíc.
„Cílem pachatelů je dostat se nejprve na účet klienta, a ten pak plně převzít pod vlastní kontrolu,“ vysvětluje pro Seznam Zprávy předseda Komise pro bankovní a finanční bezpečnost ČBA Petr Barák. Způsobů je několik.
„Získají od klienta banky pod různými záminkami jeho přístupové údaje. K účtu si pak s pomocí klienta pod falešnou záminkou spárují i svoje mobilní zařízení jako vlastní autorizační prvek,“ popisuje Barák. „Popřípadě je sám klient přes například takzvanou ‚vzdálenou plochu‘ pustí do svého bankovnictví a nechá jim pod záminkou výhodného investování, záchrany ohrožených peněz klienta nebo i jiného důvodu volný přístup ke svým penězům.“
Výsledek je podle experta vykradený účet. A to je ještě ta lepší varianta. V té horší si vezmou útočníci na klienta bez jeho vědomí úvěr. „Uvedená částka, o kterou lidé přijdou, je tedy jen jakýmsi matematickým průměrem. V mnoha případech podvodníci z účtů klientů odčerpají i mnohem vyšší částku,“ vysvětluje Barák.
Typické scénáře podle Petra Baráka
Vaše peníze jsou v ohrožení = Podvodník se vydává za pracovníka banky. Vyvolá strach na straně klienta tím, že mu tvrdí, že jeho peníze na účtu jsou v ohrožení a pokud je chce zachránit, je tady od toho, aby mu s tím pomohl, a je třeba jednat okamžitě.
Vaše peníze znehodnocuje inflace = Podvodník se vydává za investičního poradce banky / investiční společnosti. Nabízí buď jedinečnou možnost investovat a zhodnotit prostředky na účtu klienta, nebo sděluje klientovi, že se jeho předchozí investice, o které si navíc již sám klient myslel, že mu nic nevydělala, nečekaně zhodnotila a domlouvá s ním způsob jejího vyplacení. Pokud tomu klient uvěří, o své peníze přijde, a to i v druhém případě, kdy je výplata zhodnocené investice podmíněna úhradou nutných poplatků.
Snadný výdělek = Klient banky je vmanipulován do role takzvaného „bílého koně“, a to jako osoba, která za úplatu propůjčí svůj účet podvodníkům, kteří přes něj pak legalizují své příjmy z podvodů. Posílají si na takovýto účet odcizené peníze jiných klientů a jeho majitelem si je pak nechávají vybírat v hotovosti a vkládat například do bitcoinmatů – nakupují přes ně různé kryptoměny – nebo si nechávají posílat odcizené prostředky na jiné účty.
Bazarový prodej = Poté, co klient vystaví na některém bazarovém portálu svůj inzerát na prodej zboží, se mu obratem ozve na jeho telefon pachatel v roli zájemce o koupi zboží s tím, že požaduje umožnění úhrady prostřednictvím takzvané „bezpečné platby“.
Klient je nasměrován na falešné webové stránky, kde jsou od něj vyžadovány údaje k jeho platební kartě, a to včetně uvedení bezpečnostních prvků platební karty. Pokud klient toto vše vyplní, pachatelé ihned zadávají odchozí platby z jeho účtu s tím, že žádají od klienta pod záminkou, že mu již posílají peníze za zboží, aby jim tyto ve skutečnosti odchozí platby ze svého účtu potvrdil. Pokud klient nečte SMS autorizační zprávy ze své banky a jen potvrzuje to, co mu pachatelé říkají, autorizuje si tím sám podvodné platby a přichází o peníze.
Romance fraud = Nabídky na seznámení se s „důstojníkem US armády, lékařem v Africe, atraktivní dívkou ze zahraničí…“, kde je cílem z klienta vylákat postupně stále více peněz za různé nutné výdaje (celní poplatky, poplatky za letenku, poplatky za vyvázání se z vykonávané činnosti a podobně). Pokud tomu poblouzněný klient/klientka věří a platí, přichází o peníze.
Existuje bohužel velké množství osamělých lidí, kteří ani po upozornění bank, že se jedná o podvod (banka například již zná účet příjemce z minulosti a již ví, že je spojen s tímto typem podvodů), nedbají a peníze odešlou. Případně pokud banka sama peníze odmítne odeslat, jsou schopni si je převést na účet v jiné bance a odeslat je odtud, kde jim je banka ještě sama neodmítne odeslat.
„Těch scénářů je samozřejmě více. Berte tyto jen jako aktuálně nejvíce využívané,“ říká odborník. „Jak je patrné, hlavní roli sehrává nejen strach a ziskuchtivost, ale i zamilovanost, osamělost, neopatrnost nebo chybějící obyčejný selský rozum, který je mnohdy nahrazen pocitem, že mně se nic takového přece nemůže stát.“
Neplatí tedy, že by oběti byly méně finančně gramotné nebo nevzdělané. „Z vlastní praxe znám celou řadu případů, kdy se obětí stali vysokoškolsky vzdělaní lidé středního věku působící na manažerských pozicích nebo na pozicích v oblasti IT, kde by člověk předpokládal, že se budou chovat obezřetně a nenechají se na tento typ podvodu nachytat. Opak je bohužel pravdou,“ vysvětluje Barák.
„Žijeme v digitální době, která nám mnohé věci usnadňuje, ale také přináší mnohá rizika. Mezi ně patří i rostoucí počet různých kyberútoků,“ dodává ředitel NÚKIB Lukáš Kintr. „Detekujeme vysoké počty nejen podvodných telefonátů, ale i textových zpráv či e-mailů, a nelze očekávat, že by se jejich míra měla snižovat. Nejlepší obranou proti těmto pokusům nadále zůstává obecná osvěta, tedy informovanost a poučenost veřejnosti, aby byli lidé schopni vishing a podobné snahy rozpoznat.“
I proto spustila ČBA celonárodní vzdělávací kampaň, jejíž součástí je také online interaktivní kybertest. Na něm si mohou uživatelé vyzkoušet, jestli znají základní principy bezpečného chování na internetu.