„Bylo pozdě odpoledne, už jsem chtěla vypnout počítač a zařizovat další záležitosti ve městě. Příchozí e-mail měl absolutně identickou podobu, jako stránky banky. Žádná chyba, skvělá čeština. Jen na vrchním řádku, byla jiná adresa, kterou jsem nikdy předtím nekontrolovala,” říká paní Leona z brněnské daňové poradenské firmy.
Na základě instrukcí v e-mailu paní Leona vyplnila heslo do internetového bankovnictví. Následně okolo půlnoci útočníci v Holandsku vybrali hotovost v hodnotě řádově vyšších stovek tisíc korun.
Co je MFA?Vícefaktorové ověřování (MFA) přidává do procesu přihlašování další vrstvu ochrany. Při přístupu k účtům nebo aplikacím provádějí uživatelé dodatečné ověření identity, například nasnímají otisk prstu nebo zadají kód, který jim přijde na telefon. |
Co se týká phishingu (podvodných e-mailů), tak stoupá frekvence a propracovanost phishingových kampaní. Tyto e-maily se objevují stále častěji a pro běžné klienty je stále těžší rozlišit, díky jejich vzhledu a znění, zda se jedná o legitimní zprávu či nikoliv.
„Důležitou roli mohla sehrát nepozornost na konci pracovní doby. Paní Leona neměla aktivované ověření MFA, které je již dnes povinné a banky by neměly svým klientům umožnit volbu ho nemít,” říká Petr Samek ze společnosti CNS a.s., která se věnuje odborným konzultacím a řešením v oblasti IT bezpečnosti.
Podobnou zkušenost má i podnikatel z pražské firmy RHA. „Přišel mi věrohodný e-mail z banky s informací o nutnosti ověření účtu elektronického bankovnictví z důvodu zablokování bankou kvůli podezřelým transakcím, prostřednictvím vložení hesla do internetového bankovnictví,“ říká podvedený pan Roman.
Přes odkaz „Ověřit účet online“ vstoupil na podvodnou webovou stránku, vypadající jako ta bankovní. Během noci pak došlo k neoprávněnému vstupu, převodům z jiného účtu a následným výběrům hotovosti v hodnotě řádově v desítkách tisíc korun, které se také uskutečnily v Holandsku.
Panu Romanovi ve večerních hodinách přišel email, který vypadal věrohodně jako z Fiobanky. Adresa odesílatele však byla Smartbanking@radioct.gr a předmět zprávy Upozornění - kontrola aktivity, čehož si příjemce nevšiml. Ve spodní části bylo také velmi podezřelé odhlašování začínající Můžete se odhlásit - http://radioct.gr...
„Bezprostředně po zjištění útoku je zásadní ihned kontaktovat své IT oddělení nebo banku, které se útok týká. Je důležité na daném zařízení neprovádět přihlášení do žádných dalších služeb. Pokud je to možné, na jiném zařízení doporučuji změnit hesla do důležitých služeb jako například mail, firemní síť, online banking a další,” radí expert Petr Samek.
Na Sbazaru se rozmohl phishing, jde po bankovních účtech, varuje Avast |
Na základě vyšetřování oba případy byly uzavřené bez nároku na odškodnění s následným písemným vyjádřením banky. „Případné útoky se vždy snažíme zachytávat, ale bohužel nemůžeme být stoprocentní, i když naše úspěšnost je vysoká. K zamezení těchto útoků je také potřeba dodržování bezpečnostních pravidel na straně klienta, tedy neklikat na podezřelé odkazy, mít nainstalovaný antivirus, neinstalovat neznámé aplikace a podobné,“ obsahovalo vysvětlení.
Zodpovědnost má vždy klient
V zásadě platí, že dojde-li k neautorizované platební transakci (tedy převodu peněžním prostředků, k nimž klient nedal souhlas), je banka povinna částku platební transakce vrátit. Tuto povinnost však banka nemá, pokud klient úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností.
Jednou z takových povinností klienta je zabezpečit ochranu přidělených osobních bezpečnostních prvků (například PIN a jiných hesel). Je to tedy klient, kdo je odpovědný za bezpečné nakládání s přístupovými údaji do internetového bankovnictví, tedy že se jeho přístupové údaje a hesla nedostanou do rukou cizí osoby.
„Zjednodušeně řečeno, pokud se platební transakce a převod peněžních prostředků uskuteční na základě platně zadaných přístupových údajů a banka nijak nezanedbala své povinnosti, ve většině přístupů nebude mít banka povinnost poškozeného klienta kompenzovat,“ dodává advokát a partner společnosti V4 Group Miroslav Šperka.
Propracovanější fígle hackerů
Útočníci jsou velmi zdatní v tom, jak uživatele oklamat a získat jeho důvěru, a stále se zlepšují. Vzhledem e-mailu, adresou odesílatele i podobou odkazu a webových stránek napodobují instituce, firmy nebo i osoby, které uživatel zná, proto může být na první pohled těžké podvod rozeznat.
„Často se v něm navíc snaží vyvolat pocit urgence či obav, a tím jej přinutit k rychlému, bezmyšlenkovitému jednání. Ačkoli konečnou chybu udělá sám uživatel, útočníci neustále přicházejí s novými kampaněmi a své podvody vylepšují,“ upozorňuje odborník na phishing v Avastu Alexej Savčina.
Sedm signálů, že se vám do počítače naboural hacker |
Novinkou nabývající v poslední době na popularitě, jsou vishingové neboli hlasové kampaně, kdy útočník klientovi volá telefonicky a snaží se jej přesvědčit k převodu peněz pod smyšlenou záminkou například záchrana peněz z účtu napadeného hackerem a převod jinam.
„Také tyto útoky bývají poměrně propracované, útočníci dokážou často podvrhnout i telefonní číslo banky, takže klient má skutečně dojem, že mu volá někdo z banky,“ upozorňuje senior manažer kybernetické bezpečnosti Moneta Bank Josef Muknšnábl.
Podle tiskového mluvčí skupiny ČSOB podvodníci v posledních měsících hojně začali využívat motivaci lidí zainvestovat do kryptoměn. Vytváří falešné investiční stránky. Pokud se na nich oběť podvodu zaregistruje, tak pak zavolají a přesvědčí k převedení částky nebo aktivaci vzdáleného přístupu na počítači.
„Aktuálně jsme také zaznamenali inovativní phishing, ve kterém je klientovi oznámeno, že mu přes Českou poštu budou vyplaceny peníze od finančního úřadu. Před vyplacením ovšem musí vyplnit údaje k elektronickému bankovnictví, což vede k jejich zneužití,“ dodává Patrik Madle.
Policie zahájí kyberbezpečnostní kampaň. Útoky jsou obří byznys, říká expert |
Před podvodnými maily i podezřelými transakcemi varují banky velmi často buď hromadným upozorněním na svých stránkách, nebo i adresně.
„V naší bance se snažíme klienty o možných hrozbách informovat, aby je uměli identifikovat a věděli, jak se bránit. I z toho důvodu jsme na našem webu připravili sekci Bezpečnost, kde uvádíme jednoduché a praktické rady, jak se můžou klienti chránit nejen proti online podvodům, a jak jejich finance chrání banka,“ uvádí příklad specialista na bezpečnost v mBank Aleš Gill.
