Článek
Redakce SZ Byznys v pondělí zveřejnila reálnou nahrávku podvodného telefonátu, v němž se útočník vydávající se za pracovníka banky pokoušel z klientky České spořitelny vylákat data o její kartě. Analytička klientské bezpečnosti České spořitelny Martina Kadlecová popisuje, na co si mají bankovní klienti dávat pozor.
Proč zveřejňujete nahrávku až teď, když se případ stal na začátku loňského srpna?
Museli jsme dát prostor klientce, aby to oznámila policii. Pak probíhalo nějaké šetření u nás. Než jsme získali povolení tu nahrávku použít, než jsme ji upravili, nějakou dobu to trvalo. Je kolem toho trocha administrativy.
Podařilo se tento případ nějak došetřit nebo odhalit toho, kdo volal?
Klientce jsme doporučili podat trestní oznámení, otázka by měla tedy směřovat spíš na ni. Když jí nevznikla škoda, mohla se rozhodnout trestní oznámení nepodat.
Trend vishingu (podvodných telefonátů) se podle toho, co říkají banky, objevil loni. Jak to pokračuje, narůstá počet případů?
Řekla bych, že je to konstantní, držíme se na podobné úrovni. Objevily se ale nové typy podvodů, kterými se teď zabýváme více.
Jaké nové typy podvodů? Policie zhruba před měsícem varovala právě před vishingem a spoofingem, což je napodobování například telefonních čísel. Před čím varujete vy teď?
My jsme v pátek vydávali varování před tím, kdy klienti umožňovali pachateli vzdálený přístup do počítače. On si potom sám zadal platbu nebo si požádal o úvěr. Klienti buď předali S kódy z esemesky nebo potvrdili v naší bezpečnostní aplikaci operaci, kterou ale prováděl pachatel přímo před jejich zraky.
Našla jsem už nějaké články na Týdeníku policie, který právě před tímto způsobem varoval. Jedná se o investování do bitcoinů. Buď na klienty někde vyskočí reklama nebo si to někde sami najdou a kontaktují ty pachatele sami. Oni jim pak zavolají a na základě hovoru je přinutí k tomu umožnit jim vzdálený přístup do počítače.
Když jsme mluvily o spoofingu, kdy útočník umí napodobit e-mailovou adresu nebo telefonní číslo banky – dá se dnes ještě vůbec poznat, že mě kontaktuje banka, a že to není útočník?
Základním pravidlem je, že banka nikdy nechce znát žádné bezpečnostní údaje. Nikdy nechce znát číslo karty, platnost, jméno, ona to nepotřebuje, banka tyto údaje zná. A klient by je nikdy neměl sdělovat do telefonu. To se týká i internetového bankovnictví: nikdy by neměl sdělovat hesla, přihlašovací jména a podobné věci.
Co třeba rodné číslo nebo datum narození? Je to podle vás citlivý údaj, který se dá zneužít?
Sám o sobě ne – podle mého názoru. Možná z hlediska GDPR. Musíte k tomu znát spoustu jiných údajů, jméno, adresu apod. Všechny banky musí už využívat druhý faktor ověření, ať už je to esemeska nebo bezpečnostní aplikace.
Jmenujte prosím situace – když pominu ty, kdy mi banka nabízí nějaké své produkty – kdy banka potřebuje klientovi zavolat nebo napsat. Kdy od něj potřebuje nějakou okamžitou reakci?
Je to například v monitoringu transakcí, kdy zjistíme, že je nějaká transakce karetní nebo přes internetové bankovnictví podezřelá. Kontaktujeme klienta s tím, zda je ta transakce v pořádku. Ale ptáme se na tu konkrétní transakci, ne na nic okolo. Nechceme číslo karty, kód z esemesky nebo přihlášení do internetového bankovnictví. Chceme jen vědět, jestli je zadávaná transakce v pořádku, jestli je to správně do té dané země nebo banky, ptáme se třeba na částku. Nebo se klient kontaktuje z oddělení vymáhání pohledávek nebo s upozorněním třeba na splátku úvěru.
Jak si můžu při přihlašování do mobilního nebo internetového bankovnictví pohlídat, že se přihlašuji do vaší aplikace nebo vašeho formuláře, že to není nějaký podvržený formulář, jehož prostřednictvím se ze mě útočník snaží vylákat přihlašovací údaje?
U aplikace jednoznačně platí, že je třeba ji stahovat jen z oficiálního zdroje: Apple App Store nebo Google Play. Pokud jde o web, radíme pohlídat si certifikát. Na začátku příkazového řádku (kam se zadává internetová adresa – pozn. red.) máte zámeček, na který když kliknete, zobrazí se vám, čí je certifikát. Zda je opravdu vaší banky, kdy byl vydán a dokdy je platný.
U webu je také dobré hlídat si přihlašovací stránku – zda souhlasí. My jsme ji třeba nedávno měnili. V Georgi si také můžete změnit pozadí podle sebe. Když se přihlašujete na podvodnou stránku, pozadí se vám nezobrazí, protože podvodník neví, jaké pozadí máte a většinou tam nechává to univerzální.
Tedy personalizace prostředí je i nástroj proti zneužití.
Ano.
Je stále „v kurzu“ phishing, kdy se kliká na falešné odkazy?
To byla druhá věc, před kterou jsme v pátek varovali. Klientům byly rozesílány hromadné e-maily s falešným odkazem. Klient měl zadat své bezpečnostní údaje, dál měl zadat veškeré údaje ke kartě. Phishing je tedy stále aktuální, chodí ve vlnách. Jeden týden se zaměří na nás, druhý týden to bude jiná banka.
Dalšími typy útoků jsou třeba ty karetní, před kterými varovala Česká pošta už před Vánoci. Přijde e-mail s tím, že vám přišel balíček a je potřeba něco doplatit. Vy kliknete a vyplníte veškeré údaje o kartě. To je také stále aktuální, jen to třeba není už Česká pošta, ale jiný dopravce.
Jak postupujete v případech, kdy se něco takového stane. Kdy se klient nechá obelstít a pak vám reklamuje, že transakci neprováděl? Vracíte peníze nebo ho pošlete na policii s tím, že porušil bezpečnostní pravidla a je to jeho smůla?
Je to velmi individuální. Každý případ šetříme zvlášť a díváme se na míru pochybení klienta. Podle toho se rozhodujeme. Kompenzovali jsme v jednotkách případů, většinou klienty odkazujeme na policii.