Podvodné reklamy, které nabízí investovat do veřejně známých firem nebo kryptoměn, SMS zprávy zasílané jménem Ministerstva práce a sociálních věcí, nebo telefonáty falešných zaměstnanců banky kvůli napadení vašeho účtu. To jsou jen vybrané způsoby podvodníků, které směřují k jedinému – obrat lidi o peníze. Jaké praktiky podvodníci používají a jak proti nim bojuje Česká spořitelna, jsme se zeptali šéfa bezpečnosti Josefa Recha.
Jaké věkové skupiny jsou nejvíce ohroženy čím dál častějšími podvody v on-line prostředí?
Nelze říci, že by byla nejvíce ohrožena nějaká věková skupina. S podvody na Internetu se mohou setkat všichni, od studentů až po seniory. Když se díváme na rozložení poškozených klientů, vidíme, že je tam průřez celým zastoupením.
Jde spíše o ženy nebo muže? A plyne z výzkumů i proč?
Z našich dat vidíme, že o něco náchylnější uvěřit podvodům jsou ženy. Z celkového počtu kybernetických útoků je podíl můžu a žen v poměru 40 ku 60%. Pokud bychom se dívali na to, v jaké životní fázi se zrovna oběti útoku nachází, jedná se zejména o klienty středního věku, kteří nemají děti. V naprosté většině jsou útoky podvodníků cílené na občany ČR (86 %), evidujeme ale větší míru phishingových útoky na klienty ukrajinské národnosti (tvoří téměř 10 %). Celkově 6 z 10 klientů mají středoškolské vzdělání zakončené maturitou.
Z hlediska geografického, dá se říct, odkud jsou lidé, kteří jsou vůči podvodům méně odolní?
Z geografického pohledu jsou zastoupeny všechny regiony stejně. Naprostá většina klientů využívá digitální bankovnictví George, to platí i pro starší věkovou kategorii.
Jak je to s mladší generací? Jsou i oni náchylní na podvody tohoto typu?
Pokud jde o samotnou formu podvodu, vidíme, že mladší generace je více náchylná podlehnout různým druhům phishingu, kdy se útočník snaží získat citlivé údaje k platební kartě nebo přihlašovací údaje k internetovému bankovnictví. K prvnímu kontaktu obvykle dochází na sociálních sítích.
Mezi pojmy spojenými s podvody se objevují názvy phishing a vishing – o co jde?
Phishing je podvodná technika v on-line prostředí s cílem získat a následně zneužít bezpečnostní údaje k internetovému bankovnictví nebo k platební kartě. Cílem podvodu je předstírat, že jde o komunikaci kurýrní nebo doručovací služby, bank, on-line platebních portálů či úřadů státní správy. Nejčastěji phishing probíhá prostřednictvím e-mailů, SMS zpráv nebo sociálních sítí. Pachatel v podvodné zprávě informuje například o potřebě zadání údajů platební karty, aby se zmiňovaná transakce dokončila, blokaci nebo zneužití internetového bankovnictví, o podezřelých transakcích, a podobně. Snaží se na klienta vyvíjet tlak, aby klikl na daný odkaz, ze kterého se dostane například na falešnou přihlašovací stránku do internetového bankovnictví.
Vishing je v principu podobný útok jako phishing, ale probíhá po telefonu (z anglického voice-phishing). Je to poměrně nový typ podvodu, jejichž počet se v posledním roce více než zdvojnásobil. Nejčastější scénář probíhá tak, že pachatel volá klientovi, přičemž se vydává buď za zaměstnance banky, zaměstnance Česká národní banky nebo příslušníka Policie a snaží se klienta pod nějakou záminkou přimět, aby svou hotovost vybral a následně ji vložil na jiný “bezpečný” účet nebo do kryptoměnového bankomatu. Evidujeme i případy falešných nákupů akcií. Klient je v těchto případech směrován na připravenou webovou stránku, kde jsou připravené rostoucí akciové grafy, ale s investicí klienta nemají nic společného, k žádnému nákupu akcií nedojde.
Jaké jsou nejčastější příčiny, proč se inteligentní člověk nechá „napálit“ a přijde o své peníze?
Jednotlivé útoky jsou stále sofistikovanější, pracují s momentem překvapení nebo apelují na autoritu. Útočníci se představují jako pracovníci bezpečnostního oddělení, oddělení řešení podvodů nebo policie. Volaný pak má pocit vyšší potřeby spolupráce, než kdyby přijal hovor z call centra. Jedné klientce, která si telefonát shodou okolností i nahrála, volali po půlnoci. Byla tak zaskočená, že jim údaje z platební karty málem nadiktovala. Pokud reagujete na zaslaný link z SMSky nebo e-mailu, je nutné dobře zkontrolovat, kam své údaje vyplňujete. Přihlašovací stránky do internetového bankovnictví lze napodobit a stejně tak různé internetové evidenční formuláře. Klíčové je vždy na přihlašovací stránku do svého internetového bankovnictví přistupovat výhradně přes oficiální webovou adresu banky, u nás je to www.csas.cz nebo george.csas.cz.
Jak může moderní banka pomocí svým klientům v boji proti podvodům?
Možnosti banky jsou zejména v oblasti edukace klientů. Nejslabším článkem obrany proti phishingu je bohužel lidská důvěřivost. Dlouhodobě klientům v přímé komunikaci vysvětlujeme, s jakými hrozbami se mohou setkat, zároveň se pravidelně zapojujeme do komunikačních kampaní s cílem co nejvíce klienty o kyberhrozbách informovat. Nedávno jsme například spustili velkou kampaň ve spolupráci s ČBA, ve které si mohou lidé i otestovat své znalosti v oblasti kyberbezpečnosti (www.kybertest.cz), Klíčové doporučení, jak se bránit proti phishingu zní „používat selský rozum, být obezřetný, kde vyplňuji své bezpečností údaje a vždy důkladně číst text, který je uveden v SMS nebo aplikaci”. Například pro přijetí peněz není potřeba kamkoliv zadávat bezpečnostní údaje nebo detaily platební karty, stačí protistraně sdělit číslo účtu.
V odpovědích jak se vyzbrojit na bezpečnost na síti (týká se všech bank a jejich klientů) se objevuje umět tzv. desatero. O co jde?
Bezpečnosti a ochraně dat se věnujeme velmi podrobně na webové stránce www.csas.cz/bezpecnost, kde je vytvořen pěkný rozscestník. Snažíme se zde jednak popisovat veškeré praktiky útočníků a přinášet rady, jak se ubránit podvodníkům. Připravili jsme rovněž řadu vzdělávacích videí a ukázek, jak jednotlivé útoky v praxi probíhají. Již před několika lety vznikla myšlenka sepsat tzv. Bezpečnostní desatero, což je takové minimum informací, které by si měl každý uživatel internetu přečíst.
Jakými moderními prostředky bojuje proti podvodům Česká spořitelna?
Klientské bezpečnosti se věnuje u nás v bance hned několik týmů. Máme celou řadu podpůrných nástrojů, díky kterým dokážeme klientům pomoci. Jedním z vysoce účinných nástrojů je využívání naší aplikace pro potvrzování plateb George klíč. Se zavedením dvoufaktorového potvrzování plateb jsme rovněž přišli s tzv. behaviorální analýzou přímo v digitálním bankovnictví George. Dokážeme tak snižovat počet podvodných kartových transakcí v online prostředí. Zajímavou novinkou je George klíči funkce, díky které si nyní klienti jednoduše ověří, zda jim volá bankéř ze Spořitelny. Věříme, že tak významně snížíme počet podvodných telefonátů, kdy se útočníci vydávají za naše zaměstnance. Obecně ale platí, že i když neustále naše systémy vylepšujeme a hledáme cesty, jak známým podvodům zabránit a klienta včas varovat, pořád platí, že ať budeme mít sebelepší technologie, které zaručí bezpečnost klientů, nejslabším článkem zůstává lidský faktor.
Nabízíte klientům ještě nějaké další služby, které jim mohou pomoci chránit je před kyberhrozbami?
Za zmínku stojí například využívání virtuálních platebních karet při nákupech na internetu. Klientům umožňujeme přímo v mobilním bankovnictví si vytvořit jednorázovou platební kartu, která se po zaplacení zruší a nelze ji tak znovu použít. Klientům přináší jistotu zejména při placení na neprověřených internetových obchodech nebo tam, kde obchodníci nevyžadují dvoufaktorovou metodu potvrzování plateb. Vrátím-li se ještě k aplikaci George klíč, nedávno jsme do něj přidali nový bezpečnostní prvek, který zase o něco více klienty chrání před phishingem. Instalaci této aplikace na dalším zařízení umožňujeme pouze za určitých podmínek. Klient musí mít bluetooth zapnutý na obou mobilních zařízeních, která od sebe nesmí být vzdálena víc než pár metrů.
Dá se vlastně proti phishingu pojistit?
Lze to. V letošním roce jsme vylepšili pojištění osobních věcí a karet a nově se tak mohou klienti pojistit i proti zneužití karty či účtu. O službu sledujeme velký zájem a využívá ji už okolo 300 tisíc našich klientů. Ti jsou tak chráněni proti neoprávněným platbám kartou a z internetového bankovnictví, včetně phishingu.
