„Obětí kyberútoku se dnes může stát kdokoliv,“ varuje Jakub Ptáčník, bezpečnostní expert banky MONETA. Nač si dát pozor?
V poslední době rapidně přibývá různých typů kyberútoků na banky a především jejich klienty. Jaké strategie podvodníci nejčastěji využívají?
Scénářů evidujeme několik. Tím – z pohledu podvodníků – nejúspěšnějším je investiční podvod. To znamená, že útočníci pod záminkou výhodné investice přimějí člověka k tomu, aby své peníze investoval do různých známých společností, nabízí mu třeba akcie ČEZu nebo dluhopisy Agrofertu. Právě výběr firem se známým jménem u obětí podvodu budí zdání věrohodnosti. Své peníze pak skrze tyto podvodníky „investují“, ti s nimi ale namísto investování nakládají dle vlastního uvážení.
Aktuálně se objevují i zprávy o podvodech na různých bazarových portálech. S řešením jejich následků se v Monetě také setkáváte?
Ano, setkáváme, právě bazarové podvody tvoří další skupinu častých způsobů, jak dnes lidé mohou přijít o své peníze. Prakticky to probíhá tak, že jakmile člověk začne prodávat nějaké zboží na bazarových platformách, záhy po zveřejnění inzerátu dostane SMS zprávu nebo zprávu na WhatsApp od potenciálního kupce. Ten píše, že má o zboží zájem, ale chtěl by jej poslat na dobírku. Proto pošle link od (údajné) dopravní společnosti vedoucí k platební bráně, a to s informací, že prodávající se musí přihlásit, aby on mohl zaslat na daný účet peníze. Platební brána je samozřejmě falešná, takže když prodávající vyplní údaje o své kartě, vlastně je poskytne podvodníkovi, který s nimi opět může začít libovolně nakládat.
Když už člověk své údaje o kartě nebo přihlašovací údaje k bankovnímu účtu prozradí útočníkům a ti na jeho účtu začnou „operovat“, jak by měl postupovat?
Čas v těchto případech hraje kritickou roli. Jakmile si oběť uvědomí, že udělala chybu a citlivé údaje sdělila nějaké „třetí straně“, bez ohledu na to, zda na svém účtu vidí nějaké nečekané pohyby, nebo ne, musí okamžitě začít jednat. To znamená zavolat na call centrum své banky a informovat o situaci její pracovníky. Ti jsou pro podobné případy proškoleni a provedou monitoring, prověří aktivity, případně zablokují prostředky a pomohou s obnovou údajů, aby je neměl někdo jiný.
Jaká je šance na opětovné získání ukradených finančních prostředků v případě, že již k pohybům na účtu dojde? A o kolik peněz kvůli podvodům lidé v průměru přicházejí?
Pokud už peníze z účtu odejdou, opět je nejdůležitější čas. Dokud jsou peníze ještě v ČR na bankovních účtech – protože nezřídka si je podvodníci přelévají mezi několika účty obětí, než je následně vyberou – nebo jsou alespoň na účtech v rámci EU, je možné zadržet je v řádu několika hodin. Koordinace a kooperace mezi bankami fungují velmi dobře. Pokud ale peníze odejdou někam mimo EU, už je v podstatě nemožné získat je zpět. Dle naší interní analýzy sestavené v rámci skupiny Moneta se nám podaří zachránit přibližně polovinu podvodných transakcí. V takových případech ale dochází k souhře rychlé reakce klienta s rychlou detekcí ze strany banky. Ačkoliv „průměrná“ škoda se určuje poměrně obtížně, podle dat České bankovní asociace připadá aktuálně na jednoho podvedeného škoda cca ve výši 160 tisíc Kč.
Oběti kyberútočníků si následně nepochybně vyčítají vlastní naivitu, a třeba i hloupost. Je sebeobviňování namístě a lze útoky snadno prohlédnout, nebo jsou naopak dnes již tak rafinované, že obětí se může stát i sebeopatrnější člověk?
Setkáváme se dnes s velmi rozmanitými typy útoků. Častá jsou také volání podvodníků, kteří se vydávají za bezpečnostní pracovníky z banky a přesvědčí klienta, že se mu někdo snaží peníze z účtu ukrást. Tato volání jsou velmi věrohodná, útočníci mluví plynulou češtinou a znají české reálie. Vedle toho vznikají také podvodné weby, které vypadají velmi podobně jako webové stránky státních institucí, aktuálně České pošty či MPSV. Na ně jsou lidé podvodníky přesměrováni s tím, že jim budou po zadání osobních údajů a třeba prokázání se bankovní identitou poskytnuty výplaty různých sociálních dávek. Útočníci tak dnes umí být opravdu vynalézaví a své podvody mají do detailu promyšlené. Takže ano – existují podvody, které lze snadno prohlédnout, ale jsou i takové, které svou rafinovaností mohou překvapit i ostřílené profesionály. Sebeobviňování tak dle mého názoru namístě není. Problémem spíš je, že mnozí si stále nepřipouštějí, že by se obětí podobného podvodu vůbec mohli stát.
Jak se tedy potenciálním kyberútokům a dalším akcím podvodníků bránit?
Naprosto zásadní je prevence. Každý by si v dnešní době měl osvojit nějakou „bezpečnostní hygienu“. To znamená např. nepoužívat všude stejné heslo a tam, kde je to možné, využívat dvoufaktorovou autentizaci, nebo si nastavit limity pro platby. Protože když už pak někde naletíte, právě tyto mechanismy dokážou škodám předcházet, nebo je alespoň minimalizovat. Při každém podezření, že máte co do činění s podvodníkem, je vhodné okamžitě kontaktovat banku – a to i tehdy, pokud třeba volající tvrdí, že právě on z banky volá. Tehdy není nic snazšího než hovor ukončit a zavoláním do banky si vše ověřit. A pokud už se člověk obětí kyberútoku stane, spíše než aby si to vyčítal, měl by ten čas věnovat tomu, aby si dal kyberbezpečnost do pořádku od A do Z.
Zejména starší část populace prostředí internetu a kyberbezpečnost vnímá jako určitou „španělskou vesnici“. Jsou „typickými oběťmi“ kyberútoků stále právě senioři?
Tenhle stereotyp, že typickou obětí kyberútoku je velmi naivní senior, je nutné rozbít. To už dnes neplatí. Jak ukazuje i dění v posledních měsících, útočníci jsou rafinovaní. Obětí dnes může být prakticky kdokoliv. Z našich dat sice plyne, že častěji je obětí skutečně senior, ale mohou to být také velmi mladí lidé, kteří se ještě s tvrdou realitou světa nestřetli. Nevědí totiž, že internet není krásné místo zalité sluncem, ale skýtá i různé nástrahy. Naopak největší rezistence vůči podvodům je mezi ekonomicky aktivními lidmi.
Zmínil jste také, že by lidé neměli opakovaně užívat stejná hesla pro přístup k více službám. Vícestupňové způsoby zabezpečení tedy nestačí a člověk si opravdu musí pamatovat desítky složitých kombinací písmen, čísel a interpunkčních znamének?
Hesla jsou stále důležitá. Pokud je heslo krátké a slabé – což je typicky oblíbené „Heslo1234“ apod. –, útočníkům bude trvat jen pár sekund jej prolomit. To je první rovina problému. Druhou rovinou problému je, že když na více službách používáte totéž heslo, pak stačí, aby toto jedno heslo z jedné z těchto služeb uniklo, dostalo se na darknet a útočníci se jeho prostřednictvím mohou dostat ke všem dalším službám, kde jej užíváte. Dvoufaktorová autentizace je pak pro únik hesla řešením, ale já všem doporučuji používat také aplikace na správu hesel. Ano, je to – lidově řečeno – „opruz“ a ne každý těmto aplikacím věří. Ale jsou skutečně spolehlivé a slouží k tomu, že ke každé službě generují bezpečná unikátní hesla. Není třeba si je pamatovat, protože aplikace si je pamatuje za vás. Jediné heslo, které si musíte zapamatovat, je právě heslo k otevření aplikace.
Na darknetu se obchoduje s řadou citlivých údajů včetně těch o platebních kartách. V Monetě spolupracujete se španělskou firmou, která se pro vás na darknetu snaží ukradená data získávat zpět. Jak taková spolupráce vypadá a je to „běžná“ aktivita, jíž se věnují všechny banky, nebo se jedná spíše o určitý „nadstandard“?
Je to vlastně taková zpravodajská služba, která funguje na principu sběru dat. My jsme jejím pracovníkům zadali sadu údajů o Monetě a na základě toho oni hledají informace, které se nás nebo našich klientů mohou týkat. Pohybují se v online prostředí hackerů, a pokud na citlivá data někde narazí, informace nám předají – týkají-li se i našich klientů, my je informujeme a následně zahájíme potřebné kroky, např. blokaci karty, reklamaci platby apod. Přesně nevím, jak jsou v této praxi pokročilé další banky, které v Česku působí, ale pokud vím, tak Moneta je jedinou bankou, která takovou službu využívá.
Různých kyberhrozeb tedy existuje nespočet. Kdybyste měl stručně shrnout, nač by si měl běžný uživatel internetu rozhodně dávat pozor, jaké by bylo vaše doporučení?
Každý by měl zpozornět, když dojde na neočekávaný nevyžádaný hovor nebo zprávu. Pokud bude někdo chtít jakékoliv vaše heslo, odpověď by vždy měla být „NE“. V případě investičních podvodů je pravidlem nechtít všechno hned a rychle. Jednoduše za všech okolností je třeba obezřetnost a zamyšlení se, zda nastalá situace dává smysl. A při každé – byť třeba drobné – pochybnosti by mělo následovat rychlé kontaktování pracovníků banky.
Ing. Jakub Ptáčník je odborníkem na oblast aplikované informatiky a kyberbezpečnost. V MONETA Money Bank na souvisejících pozicích působí od roku 2018, od počátku roku 2022 zastává funkci Cyber Security Governance manažera.
