České banky v krátké době už podruhé čelí útokům na účty klientů. Desítky až stovky tisíc lidí dostaly podvodný email, kterým se z nich snažili podvodníci vymámit přihlašovací údaje do internetového bankovnictví. Před útokem varovala Česká spořitelna; čtrnácti klientům z účtu zmizelo dohromady dva a půl milionu korun. Takzvaných phisingových útoků podle bank v Česku přibývá.
Pokusy využít internetové prostředí a podvodem vylákat z lidí jejich přístupové údaje k bankovním účtům se nazývají phishing. Jak se vyvíjí internet, vyvíjí se i způsoby zlodějů. Zatímco před deseti lety bylo na první pohled patrné, že se jedná o phishingový útok, protože takové nevyžádané maily obvykle nebyly napsány dobrou češtinou, dnes vypadají podle expertů naprosto věrohodně.
U nejnovějšího případu vše začalo e-mailem ve znění: „Vážený zákazníku, žádáme vás o potvrzení údajů o vašem účtu, prosím klikněte níže.“ Perfektní čeština, odesílatel „Česká spořitelna“. Přesto je to rozpoznatelný pokus o podvod. Emailová adresa, ze které zpráva přišla, začíná sice Csas, ale za zavináčem to vypadá podezřele – charquedas.rs.gov.br.
„Na tento nejjednodušší způsob podvržené zprávy se bohužel pořád někdo chytí, tak se to těm hackerům vyplatí,“ konstatuje odborník na kyberbezpečnost v České bankovní asociaci (ČBA) Tomáš Hládek.
Stránky, na které se email odkazuje, vypadají pak naprosto stejně jako originál: klientské číslo, uživatelské jméno, tlačítko „pokračovat“, ale i telefonní číslo – stejné vlevo i vpravo. Je tu jediný rozdíl – falešná stránka ukazuje, že adresát je ve skutečnosti na adrese bengalcomputers.com a ne ČS.
„Poté, co zadají své kontaktní údaje, jsou lidé přesměrováni na oficiální stránky banky, což jenom zvýší dojem oficiality a legitimity celé akce. Pak s odstupem obvykle sedmi až deseti dnů dostanou telefonát od útočníků, kteří se vydávají za pracovníky našeho klientského centra, kteří z nich získají kód autorizační sms, který slouží k potvrzení transakce,“ vysvětluje postup mluvčí České spořitelny Filip Hrubý.
Podle bank existuje hned několik pravidel, jak se takovým útokům ubránit. Nejdůležitější jsou podle nich dvě věci. Internetové bankovnictví si otevírat jen přes oficiální stránky banky, případně aplikaci v telefonu – tedy nikdy jej nenavštěvovat přes jakýkoliv odkaz v emailu. A nikomu neprozrazovat autorizační sms.
„Dá se říct, že v meziročním srovnání phishingových útoků přibývá a roste i jejich sofistikovanost. Obecně neevidujeme měsíc, ve kterém bychom se s nějakou formou toho útoku nepotkali,“ říká manažer bezpečnosti elektronických kanálů v ČSOB Petr Vosál.
Základní princip je u všech emailů stejný. „Říká se tomu sociální inženýrství – vy se snažíte přesvědčit toho uživatele, aby provedl v daný moment akci, kterou by normálně neprovedl, což znamená, že buď mu něco slíbíte, nebo mu něčím pohrozíte,“ vysvětluje technický ředitel firmy Eset Miroslav Dvořák.
Banky v takovýchto případech klientům radí, aby podali trestní oznámení na neznámého pachatele. Zároveň taky prošetřují, jestli na straně klienta došlo k hrubé nedbalosti anebo ne. Pokud zjistí, že ne, peníze vrátí.
Phishing ale není jediný způsob, jak mohou lidé přijít o peníze z účtu. Rozšířený je i takzvaný skimming, tedy okopírování karty přímo u bankomatu. Loni takových útoků bylo 83. Zloději většinou na otvor, kam se dává karta, namontovali miniaturní čtečku, která z ní okopírovala údaje, a nad klávesnici pak umístili kameru, která zaznamenala zadávaný PIN.
Před dvěma týdny taky české banky začaly čelit útokům přes mobilní aplikaci QRecorder, která původně sloužila k nahrávání hovorů. Ohrožení byli ti, kteří měli tuto aplikaci staženou a zároveň s ní i mobilní bankovnictví. Útočník se přes ní dostal k přihlašovacím údajům i esemeskám s potvrzovacími kódy. Aplikace byla po několika dnech stažena z obchodu Google Play. Banky na svých úvodních stránkách před ní však stále varují. Ti, kteří si ji dříve nahráli, jsou totiž pořád v ohrožení.
Podvody se šíří i po síti
Podvodníci k útokům také stále častěji využívají sociální sítě. Před dvěma lety reklama na Facebooku slibovala klientům mBanky 400 korun za přestup na novou verzi elektronického bankovnictví. Uživatele ale přesměrovala na stránku, která neměla s mBank nic společného a kde se snažili podvodníci získat jeho přihlašovací hesla do internetového bankovnictví.
Mnohdy přitom zlodějům lidé nahrávají sami tím, že si nemění hesla ani nepoužívají mobilní antiviry. Ukázal to třeba květnový průzkum České bankovní asociace. Více než polovina respondentů mění svá hesla méně než jednou za rok, popřípadě je nemění vůbec.
„Jedná se přitom o tu nejjednodušší a zároveň velmi účinnou ochranu, která nás, vyjma pár vteřin našeho času, nic nestojí,“ uvádí Tomáš Hládek, odborník na kybernetickou bezpečnost ČBA. Jednou za kvartál, tedy ideálně, si hesla mění pouhých 15 % populace, častěji je obměňuje jen sedm procent.
Nevyplatí se ani odbýt vymýšlení hesla. Heslo by mělo být dlouhé, kombinovat písmena velká i malá a čísla a také by se hesla neměla opakovat. Není bezpečné mít stejné heslo do internetového bankovnictví a například do e-mailové schránky, natožpak například na různá internetová fóra. Provozovatelé e-mailových služeb i internetového bankovnictví navíc doporučují hesla pravidelně měnit.
On-line jsme stále častěji na mobilu, zapomínáme ho ale chránit
Zkušenost s hackerským útokem má přitom každý desátý Čech. Nejčastějším cílem jsou e-maily (v 58 %) a Facebook (38 %). Ten je přitom nerozšířenější sociální sítí v Česku.
Zabezpečení chytrého telefonu skončilo mezi třemi nejhoršími faktory zkoumanými v rámci Indexu bezpečnosti. „Přesto, že ochrana mobilních telefonů je stále velmi špatná, je nutné říci, že oproti loňskému roku jsme na tom přeci jen o něco lépe a nějakým způsobem zabezpečený ho má 47 % respondentů,“ dodává Hládek.
