Kyberšmejdi útočí. Každý rok ukradnou miliardy
Podvodů v kyberprostoru přibývá a jsou čím dál sofistikovanější. Obětí se při troše nepozornosti může stát skoro každý
redaktor
Čtyřicátník Jiří není žádný internetový začátečník a dává si pozor, aby nenaletěl nějakým podvodníkům, kteří by se například po mailu snažili dostat k přístupovým údajům k jeho bankovnímu účtu. Přesto chybělo málo, aby se stal dalším ze stovek Čechů, kterým kybernetičtí podvodníci každý měsíc „vyluxují“ účet.
Začalo to vcelku banálně: Jiří se chtěl zbavit ultrazvukového zubního kartáčku pro psy. Nabídl ho na jednom internetovém bazaru za poloviční cenu, než za jakou ho před časem pořídil. Doslova pár vteřin poté, co svou nabídku zveřejnil, se mu prostřednictvím globální komunikační sítě WhatsApp ozvala zájemkyně o zboží. Vystupovala pod jménem Amalia, na svém profilu měla dokonce fotku s dítětem na klíně. Psaný rozhovor vedla v čisté češtině bez gramatických chyb. Začala tradiční otázkou, jestli je nabízený kartáček ještě k dispozici, že by o něj měla velký zájem.
Jiří nabídl, že by jí kartáček mohl předat osobně někde v Praze, kde žije, nebo zaslat na dobírku. Jenže Amalia tvrdila, že je z Třebíče, a požádala Jiřího, jestli by šel obchod uskutečnit přes zásilkovou službu. Že je to jednoduché a že už vložila příslušnou částku na účet této společnosti, stačí jen potvrdit nějaké údaje, včetně údajů o jeho platební kartě, aby se ověřil jeho účet. A dokonce přes WhatsApp poslala formulář, který byl dokonalou kopií internetové stránky zásilkové služby.
Ačkoli Amalia tvrdila, že je všechno naprosto legální a bezpečné, Jiří se v tuto chvíli zarazil. Měl totiž potvrdit částku 10 159 korun, ačkoli cena kartáčku byla několikanásobně nižší. Amalia uvedla, že jde jenom o virtuální platbu, která má pouze ověřit jeho účet. Jiřímu se do toho moc nechtělo, psal, že v takový postup nemá důvěru, byť už některé údaje ze své karty vypsal. Chyběl jen poslední krok, kterým by platbu potvrdil. V tu chvíli začala Amalia na Jiřího tlačit, ať už to konečně udělá, že ona už vložila peníze na účet zásilkové služby, že je všechno bezpečné, že si to klidně může ověřit u své banky a zásilkové služby. Jenže konverzace se odehrávala v deset hodin večer.
A Amalia nadále tlačila, aby se udělal poslední krok k dokončení obchodu s psím kartáčkem. „Proč mi nevěříte, vypadám snad jako podvodník?“ psala například Amalia. V tu chvíli se Jiřímu ozvala jeho banka, že zaznamenala pokus o podvodnou transakci a zablokovala mu kartu. Jiřímu okamžitě všechny Amaliiny kroky zapadly do sebe a uvědomil si, že stačilo opravdu málo, aby přišel možná až o desítky tisíc korun.
„Celý život si dávám na takové věci majzla, a nakonec jsem naletěl jako malý kluk. Naštěstí mě zachránila banka,“ vzpomínal na nedávnou událost Jiří. „Celou noc jsem kvůli tomu skoro nespal a pořád jsem kontroloval účet, jestli mi z něj přece jen nějaké peníze nezmizely.“
Tím to ovšem neskončilo. Jiří posléze podal svou nabídku na jiný internetový bazar, načež následoval úplně stejný scénář. Jen s tím rozdílem, že podvodník nabídl transakci přes jinou zásilkovou službu. „Okamžitě jsem mu odepsal, že jeho telefonní číslo předávám policii, načež naši konverzaci na WhatsAppu dotyčná osoba na druhé straně začala rychle mazat,“ říká Jiří.
Promyšlené metody
Podobných internetových útoků na bankovní účty obyvatel rok od roku přibývá. Podle Jakuba Ptáčníka, experta na kybernetickou bezpečnost v bance Moneta, tomuto nárůstu napomohla koronavirová pandemie, kdy se mnozí lidé přesunuli do online prostředí. Internetoví podvodníci, kteří třeba sedí na druhém konci zeměkoule, využívají toho, že jsou „ukrytí za počítačem“ a mnozí zákazníci v kyberprostoru nejsou tak ostražití. „Neuvědomují si, že na internetu nemusí být každý kamarád, chovají se někdy až příliš důvěřivě a lehkomyslně. Pro útočníky je pak až neuvěřitelně snadné se k penězům dostat,“ poznamenal Ptáčník. Proto ostatně útočníci často míří na důchodce. Na druhou stranu jsou některé podvody poměrně promyšlené a působí natolik důvěryhodně, že se nechá napálit i obezřetný uživatel internetu.
Ptáčník uvedl, že podobný postup jako u pana Jiřího, kdy se podvodník pokusil dostat k jeho penězům přes internetový bazar, patří mezi kybernetickými zločinci v poslední době k velmi využívaným. K tradičním metodám se řadí to, že se někdo snaží vylákat od klienta přihlašovací údaje k jeho bankovnímu účtu – například mailem, který se tváří, že je od České pošty. V mailu je oznámení o tom, že je potřeba doplatit určitou částku za doručovaný balíček. Pak jsou útoky, které míří přímo na platební karty. Zločinná skupina se třeba dostane k údajům velkého počtu platebních karet, ale nemá čas a motivaci jednu po druhé zneužívat. Tento dlouhý seznam, který může obsahovat i desítky tisíc údajů, prodá jiné skupině, která se pak pokouší karty „vysát“.
Do kategorie sofistikovaných útoků patří ten, kdy zločinci vystupují jako smyšlení policisté a pracovníci banky. Počínají si natolik důvěryhodně, že není těžké jejich „pohádce“ uvěřit. Dotyčné osobě zavolá podvodník vydávající se za policistu. Svou důvěryhodnost zvyšuje tím, že zná celé její jméno, bydliště nebo to, kolik jí je let. A oznámí jí, že se někdo pokusil zaútočit na její bankovní účet, ale že se ničeho nemusí bát. Za chvilku se telefonicky ozve smyšlený pracovník banky, který osobě řekne, že jí pomůže vybrat peníze ze zablokovaného účtu, aby byly v bezpečí a šlo s nimi nakládat. Vystresovaný zákazník pak jde do banky, vybere ze svého účtu klidně i všechny své peníze a vloží je tam, kam ho nasměroval podvodník vydávající se za pracovníka banky. Pokud je to bankomat na kryptoměny, podvedený klient své peníze už nikdy neuvidí.
Existují rovněž investiční podvody, které napadenému majiteli bankovního účtu slibují rychlé zbohatnutí a odvolávají se například na různé známé bohaté lidi, jako jsou třeba Leoš Mareš nebo Petr Kellner – samozřejmě než tragicky zahynul. Druhou variantou je zneužití dobrého jména úspěšné firmy, kupříkladu společnosti ČEZ, a nabídka investice do jejích akcií nebo dluhopisů. Objevit se ale mohou různé modifikace těchto metod nebo úplně jiné varianty. Podvodníci jsou obvykle o krok napřed a policie nebo bezpečnostní experti je neustále dohánějí.
Průměrná škoda 161 500 korun
Že těchto podvodů přibývá, dokládá i policejní statistika. Do konce loňského října evidovali vyšetřovatelé bezmála 15,5 tisíce trestných činů spáchaných v kyberprostoru, zatímco za celý rok 2021 jich bylo 9518 a před deseti lety pouze 2195. Okradených jsou desetitisíce a škody šplhají do stovek milionů korun, některé odhady hovoří dokonce už o miliardách. Podle České bankovní asociace připadá na jednoho poškozeného klienta škoda v průměru 161 500 korun.
„Počty online podvodů neustále narůstají, a je tedy daleko větší pravděpodobnost, že se s nějakou hrozbou setká každý z nás. Je jenom na nás, jak na to budeme připraveni. Navíc značně roste i kvalita a sofistikovanost těchto útoků. V posledních letech u online podvodů zaznamenáváme prvky organizovaného zločinu s mezinárodním přesahem. Odhalování je zde velmi složité a zdlouhavé, a proto je potřeba, aby se každý choval obezřetně a nenechal se nachytat,“ konstatoval Tomáš Kubík, náměstek policejního prezidenta pro Službu kriminální policie a vyšetřování.
„Před kyberpodvodníky se bohužel nemůže ukrýt nikdo. Jsou organizovaní, stále profesionálnější a naprosto bez zábran. Nejlepší prevencí jsou obezřetnost a informovanost,“ říká Petr Hutla, člen představenstva ČSOB. foto Martin Pinkas, týdeník Hrot
O škodách ve stovkách milionů korun u svých klientů hovoří také největší tuzemská banka, Česká spořitelna. „Měsíčně se na nás obracejí stovky klientů, kteří se stali terčem phishingových útoků, nicméně skutečné počty klientů, kteří byli měsíčně phishingovým útokům vystaveni, byly jistě násobně vyšší. Bohužel jsme v loňském roce také identifikovali každý měsíc desítky klientů, kteří phishingovým útokům podlehli. Celkové škody klientů České spořitelny způsobené phishingovými podvody se v roce 2022 pohybovaly v řádech stovek milionů korun. Ve srovnání s rokem 2021 jde zhruba o dvojnásobný nárůst aktivity phishingových podvodníků,“ řekl mluvčí banky Filip Hrubý.
Jako jeden z důvodů větší aktivity internetových podvodníků uvedl státní komunikační kampaně, které se týkaly výplaty sociálních příspěvků na děti a na bydlení. Útočníci díky nim dostali uvěřitelné záminky k tomu, aby mohli zákazníky banky kontaktovat.
„U každého klienta, který podlehl phishingovému podvodu, vždy individuálně posuzujeme, do jaké míry došlo na jeho straně k hrubé nedbalosti při nakládání s jeho osobními údaji,“ poznamenal Hrubý. Dodal, že většinou musí Česká spořitelna konstatovat hrubou nedbalost při nakládání s osobními údaji. „V drtivé většině případů proto bohužel nemůžeme klientům kompenzovat škody, které u nich v důsledku phishingu vznikly,“ konstatoval Hrubý.
Bezpečnostní hackeři
Banky se současně snaží své klienty ochránit. Podobně jako v případě pana Jiřího z Prahy, jehož příběh jsme popsali v úvodu textu, když jeho banka sama identifikovala pokus o krádež a zablokovala mu kartu. Prakticky každá banka se snaží hlídat podezřelé operace, a pokud se jí něco nezdá, obrací se na klienta s otázkami, jestli danou platbu skutečně zadal on, proč tak vysokou, za jakým účelem. Až když si to ověří, peníze „pustí“.
Česká spořitelna předloni dokonce inovovala systém pro posuzování platebních transakcí. Jeho součástí je automatizovaná behaviorální analýza, která rozebírá jedinečné charakteristiky platebního chování klienta a průběžně tvoří unikátní platební profil klienta. Ten se pak využívá pro potvrzení identity při online platbách a transakcích. Systém se neustále „sám učí“ a zpřesňuje profil klienta při každé online platbě, použití platební karty nebo transakci v internetovém a mobilním bankovnictví.
Behaviorální analýza prochází u každého klienta desítky až stovky parametrů, například jak pracuje se svým zařízením, jaký je jeho rytmus při psaní znaků na klávesnici, pohyb na dotykové obrazovce mobilního zařízení či pohyb kurzoru na obrazovce. Behaviorální analýzou prochází každá transakce, kterou klienti České spořitelny zadají skrze internetové či mobilní bankovnictví a při placení kartou na internetu. Systém České spořitelny v řádu milisekund vyhodnotí, zda je platba bezpečná, a danou transakci dokončí.
Součástí ochrany jsou rovněž různé informační a vzdělávací akce a kampaně, které bankovní ústavy využívají k tomu, aby klientům představily zásady bezpečného chování. „Digitální bezpečnost patří k prioritám skupiny ČSOB v péči o klienty. Na investice do bezpečnosti a prevence vynakládáme ročně stamiliony korun, ale před zákeřnými kyberpodvodníky se bohužel nemůže ukrýt nikdo. Jsou organizovaní, stále profesionálnější a naprosto bez zábran. Nejlepší prevencí jsou obezřetnost a informovanost,“ řekl Petr Hutla, člen představenstva ČSOB.
Banka ve spolupráci s policií spustila před Vánocemi, kdy se útoky kybernetických zločinců tradičně zintenzivňují, preventivní kampaň Volač a Klikač. „Základní pravidla jsou velmi jednoduchá. Chceme naučit lidi, aby si před každým kliknutím na odkaz v SMS zprávě nebo v e-mailu či před zodpovězením otázky volajícímu sami položili dotaz: Nechce mě náhodou okrást? Není to náhodou Volač nebo Klikač? Banky nikdy nepožadují citlivé osobní informace nebo data o účtech či platebních kartách, protože své klienty znají,“ uvedl Petr Vosála, manažer bezpečnosti digitálních kanálů ČSOB. Podle něho je v případě nejistoty a pochybností vždy nejlepší kontaktovat přímo klientská centra bank, která fungují nonstop a jejichž pracovníci si s takovou situací dokážou poradit.
Moneta dokonce navázala spolupráci se zahraniční zpravodajskou službou, která se primárně zaměřuje na vyhledávání ukradených platebních prostředků na internetu. Její „agenti“ prohledávají pod falešnou identitou internet a mají také přístup do neveřejných částí informační dálnice, jako je například darknet. Pokud odhalí, že se některý z klientů Monety může stát cílem podvodníků, ihned to oznámí na příslušná místa, a banka tak může svému klientovi preventivně zablokovat platební kartu a vystavit novou ještě předtím, než ji podvodníci zneužijí. „Ročně se nám díky této spolupráci podaří ochránit nižší jednotky klientů,“ konstatoval bezpečnostní expert banky Jakub Ptáčník.