Facebook je v prvé řadě sociální síť, ale pro podvodníky to může být i cesta k cizímu bankovnímu kontu. Stále častěji se snaží vylákat od lidí přihlašovací údaje. Nejnověji se sice pokusili okrást klienty mBanky, problémy s kyberzloději ale přiznávají všechny peněžní domy. Podle průzkumu ČSOB přijde s podvodníky do styku každý pátý majitel elektronického účtu.
Pokusy využít internetové prostředí a podvodem vylákat z lidí jejich přístupové údaje k bankovním účtům se nazývají phishing. Jak se vyvíjí internet, vyvíjí se pak i způsoby zlodějů.
„Před deseti lety bylo na první pohled patrné, že se jedná o phishingový útok. Pokud vám přišel nějaký nevyžádaný mail, tak nebyl obvykle napsán dobrou češtinou. V současné době ale kampaň vypadá naprosto věrohodně,“ upozorňuje manažer bezpečnosti elektronických kanálů ČSOB Petr Vosála, který se svým týmem hlídá 24 hodin denně bezpečnost bankovních klientů.
Důvěryhodně mohl působit i odkaz inzerovaný nedávno na Facebooku. Reklama slibovala klientům mBanky 400 korun za přestup na novou verzi elektronického bankovnictví. Uživatele ale přesměrovala na stránku, která neměla s mBank nic společného a kde se snažili podvodníci získat jeho přihlašovací hesla do internetového bankovnictví.
Kvůli podobným útokům zůstávají v pohotovosti specialisté všech bank. Zloději jsou vynalézaví. „Prostřednictvím komunikátoru na Facebooku vás osloví nějaký známý, napíše, že jste se dlouho neviděli, že má drobný problém a že by potřeboval půjčit,“ popisuje jeden případ Vosála. Záminky, pod kterými zloděj z oběti vyláká údaje k účtu, se různí.
Mnohdy se přitom zloději ani tolik snažit nemusí. Průzkum ČSOB ukazuje, že 44 procent lidí si své heslo vůbec nemění, nebo že třetina lidí při internetovém nákupu nepoužívá ověřovací SMS. Málokdo ví, že po skončení transakce je nutné se nejprve z bankovnictví odhlásit, pak vypnout prohlížeč a pak teprve počítač.
Banky doporučují, jak se problémům vyhnout
Vykrádání cizích údajů prostřednictvím falešných stránek není ovšem žádná novinka. Banky jsou si hrozby vědomy a všechny uvádějí postupy, jak se ztrátě údajů o internetovém bankovnictví vyhnout.
Základním doporučením, které zdůrazňují všechny banky a lze ho vnímat jako nejjednodušší obranu proti phishingovým útokům, je vstupovat na internetové bankovnictví pouze přes oficiální stránky příslušné banky. Oficiální stránky internetového bankovnictví by měly být zabezpečené, což prokazuje certifikát – zelený proužek v adresové řádce v internetovém prohlížeči.
Odkazy na falešné přihlašovací stránky ale nepřicházejí pouze e-mailem. Například Česká spořitelna v posledních měsících opakovaně informovala o falešných facebookových profilech a také SMS, které odkazují na falešné přihlašovací stránky do internetového bankovnictví. V případě Facebooku lze podvod odhalit tak, že falešný profil nemá „fajfku“ označující ověřený profil, u SMS je potom možné zjistit, zda přišla z oficiálního telefonního čísla banky.
Jako ochrana – a případně také jako náznak, že něco není v pořádku, pokud tento prvek chybí – potom v samotném systému internetového bankovnictví slouží dvoufaktorová autentizace, kdy je třeba ke každé transakci zadat kód zaslaný SMS. Existuje také možnost aktivovat SMS potvrzení již samotného přihlášení do internetového bankovnictví. Existují navíc i další možnosti vnější autentizace, které hrozbu přihlášení do falešného internetového bankovnictví dále snižují.
Rozpoznání falešné přihlašovací stránky by ale mělo být až posledním krokem, ke kterému se většina potenciálních obětí phishingu vůbec nedostane. Odkazy na ně přicházejí například v nevyžádaných e-mailových zprávách, které lze obvykle snadno rozpoznat díky adrese odesilatele, kde doména (část za @) neodpovídá oficiální doméně banky.
Občas to však může být matoucí, Česká spořitelna před časem upozorňovala na falešné e-maily s doménou „@servis24.com“, která je výrazně podobná adrese internetového bankovnictví (oficiální doména spořitelny je ovšem @csas.cz). Zajímavé je, že takové zprávy často dostávají i lidé, kteří u příslušné banky účet vůbec nemají.
Bezpečnostní doporučení bank tak zahrnují i pravidlo na podvodné e-maily nereagovat a také neotevírat odkazy na neznámé weby.
Pozor na nezabezpečená wi-fi připojení
Další zásadou k udržení přihlašovacích údajů je nepřihlašovat se k internetovému bankovnictví na cizích počítačích, například v internetových kavárnách. S tím souvisí i doporučení vyvarovat se přihlašování při nezabezpečeném wi-fi připojení, se kterým se lze často setkat v restauracích nebo ve vlaku. Hrozbu především představuje nejistota, zda i v tomto případě nejde o podvod.
Jak před časem ukázal experiment v kavárně v pražském obchodním domě, jsou lidé ochotni připojit se k wi-fi, aniž by měli jistotu, co se za ní skrývá. Bezpečnostní expert tak během několika minut dostal příležitost dostat se k osobním údajům jedenácti lidí včetně hesel. „Jsou ochotni připojit se na cokoliv, co se v jejich okolí vyskytuje. Nepřemýšlejí nad tím, jestli to není nějaký záměrně vytvořený bod,“ podotkl publicista Daniel Dočekal.
Ačkoli se může zdát, že black hat hackeři, kteří chtějí získat přístup k cizím údajům o internetovém bankovnictví, nic nezmůžou bez aktivního přispění své oběti, není to úplně pravda. Pokud oběť sama předloží svá data útočníkovi „pod nos“, je to pro něj jednodušší, s trochou snahy ale může schopný útočník proniknout i tam, kde se většina lidí cítí bezpečně. K tomu je vhodné mít v počítači antivirový program resp. antispyware (tím je i Windows Defender zahrnutý v základní instalaci Windows) a aktivní firewall.
Jak připomněla například kauza premiéra Sobotky a jeho nabourané e-mailové schránky, je také nutné neodbýt vymýšlení hesla. Heslo by mělo být dlouhé, kombinovat písmena velká i malá a čísla a také by se hesla neměla opakovat. Není bezpečné mít stejné heslo do internetového bankovnictví a například do e-mailové schránky, natožpak například na různá internetová fóra. Provozovatelé e-mailových služeb i internetového bankovnictví navíc doporučují hesla pravidelně měnit.
