Klienti bank v Česku jsou stále častěji terčem útoků internetových podvodníků. Ti využívají nejen rostoucí přítomnosti lidí v online prostoru, ale i toho, že stále více z nich – a to napříč generacemi – se zajímá o investování. Takové prostředí představuje pro útočníky doslova zlatou žílu. I proto je to motivuje se zdokonalovat a používat stále vyspělejší techniky podvodů.
Nejčerstvější data přinesla Česká bankovní asociace (ČBA), která v posledních letech případy detailně monitoruje. V letošním prvním čtvrtletí došlo ke 20,7 tisíce útoků, což je meziročně asi o 3,7 tisíce více. Celkový objem škod pak poklesl. Zatímco vloni kyberzločinci během prvních tří měsíců roku odcizili 375,5 milionu korun, letos to bylo „jen“ 357,2 milionu. Průměrná škoda na jednoho klienta nyní dosahuje zhruba 17,2 tisíce korun, vloni to bylo o necelých pět tisíc víc.
„Systémy bank na detekci podvodů se vylepšují. Pro útočníky je tak často snazší udělat více menších podvodů než jen pár opravdu větších. Podvody s nižšími částkami je totiž těžší v systémech detekovat,“ říká Marek Macháček, supervizor prevence platebních podvodů v Komerční bance.
Osudová aktualizace
Mnohem podstatnější ale je, že útoky na klienty bank se po technické stránce posunují výrazně kupředu. Poslední novinkou je podvod související s údajným přeplatkem na dani z příjmu. Načasování není náhodné, zločinci se snaží využít aktuální situace, kdy živnostníci, podnikatelé i někteří zaměstnanci podávají online daňová přiznání. Potenciální oběti přijde SMS, jež má vyvolat dojem, že ji posílá buď ministerstvo financí, anebo práce a sociálních věcí. V ní je uvedeno, že aby bylo možné přeplatek přijmout, musí poplatník aktualizovat aplikaci mobilního bankovnictví. K tomu má dojít po kliknutí na externí odkaz přiložený k zaslané zprávě.
Aplikace sice vypadá jako ta, kterou klient banky běžně používá, ve skutečnosti je však podvodná. Postižený je následně vyzván, aby v rámci bezpečnosti aktualizoval své přihlašovací údaje, včetně PIN kódu, čímž tyto informace vyzradí útočníkovi.
„Oběť je následně útočníkem telefonicky vyzvána, aby přiložila svou platební kartu ke svému mobilu, který pokud umí využívat NFC technologie na přenos dat, převede údaje z karty do telefonu útočníka. Ten vzápětí přiloží svůj mobil k terminálu, kde provede platbu za zboží. Anebo k bankomatu, ze kterého po zadání PIN (který mu klient dříve vyzradil) vybere peníze,“ přibližuje detaily Pavel Šašek, vedoucí oddělení kartových služeb a prevence podvodů v KB.
Fakt, že k podobným případům v posledních týdnech dochází, potvrdila na dotaz HN například ČSOB či Raiffeisenbank. Až desítky případů jen v Praze zaznamenala i policie. Oslovení oborníci klientům radí, aby v žádném případě neklikali na odkazy v SMS či e-mailech a své mobilní aplikace aktualizovali pouze prostřednictvím ověřených digitálních obchodů, jako jsou App Store či Google Play.
Být více obezřetný se pak vyplácí po celý rok, nejen v době, kdy se platí daně. Útočníci svou aktivitu běžně zvyšují i v období Vánoc, kdy letí takzvané bazarové a balíčkové podvody. A na menší bdělost sází podvodníci i během letních prázdninových měsíců. Obecně tak platí, že lidé by nikdy neměli nikomu po telefonu, e-mailem či pomocí SMS sdělovat citlivé údaje o svých bankovních kontech.
Deepfake podvody
Nejde ale jen o zdokonalování po technické stránce. Dávno pryč jsou hovory, kdy na klienty mluví člověk s tvrdým přízvukem a lámanou češtinou se z nich snaží dostat citlivé informace. Podvodníci jsou důkladně školeni a svým vystupováním si nezadají s profesionály z běžných firemních call center.
Své techniky sociálního inženýrství, kdy se klienty snaží dostat do časového presu a pracují s jejich emocemi, jako je strach, ale i chamtivost, využívají útočníci hlavně při takzvaných investičních podvodech. Při nich slibují nesmyslné výnosy u investic do různých aktiv, nejčastěji kryptoměn.
Vybílil účet svůj, manželčin i celého SVJ. Kyberpodvodníkům poslal 4,1 milionu s vírou, že výhodně investuje
Na „zhodnocování“ peněz lákají často prostřednictvím sociálních sítí, kde využívají deepfake technologií. V poslední době jsou častá videa, kde na investice falešně lákají osobnosti veřejného života, například Petr Pavel, Andrej Babiš či Elon Musk. Po kliknutí na přiložený odkaz u videí lidé předají svůj e-mail a telefonní číslo podvodníkům. Ti se pak snaží s oběťmi manipulovat i několik měsíců. Výjimečné nejsou případy, kdy klienti posíláním peněz na neexistující investiční platformy přišli o vyšší jednotky milionů korun.
Lidé jsou ale schopni na pokyn podvodníků vložit až stovky tisíc korun v hotovosti i do vkladomatů na kryptoměny. Ať už v domnění, že investují, nebo proto, aby své úspory „ochránili“ před útočníky.
To potvrzuje i Petr Špiřík, partner pro kybernetickou bezpečnost v poradenské společnosti PwC. „Snahou je vyhnout se fyzickému kontaktu s obětí, vše tedy běží přes telefonní hovor (vishing) , SMS (smishing) nebo počítač (phishing),“ říká.
Novinkou je také pomstychtivost zločinců. Ti v některých případech přesměrovávají hovory z telefonních čísel, z nichž prováděli podvody, na mobily klientů, které se jim nepodařilo zmanipulovat. Výsledkem tak je, že obezřetným lidem následně chodí nenávistné SMS od dříve podvedených klientů (ti případně i volají), protože si myslí, že kontaktují útočníky.
Banky jsou tak nuceny mnohem více své klienty vzdělávat. Do toho je tlačí jednak snaha vyhnout se reputačním problémům, ale také zpřísňující se evropská regulace. Ta možná do budoucna přenese velkou část odpovědnosti za podobné podvody přímo na banky. Ty by tak musely klientům zcizené peníze za určitých podmínek vracet.
Chcete vědět, co se děje v české a světové ekonomice? Co si o aktuálních trendech myslí lidé z byznysu, majitelé firem a jejich šéfové? Každý týden v pátek vám naši top autoři přinášejí výběr toho nejlepšího a pohled z byznysové strany. Odebírejte Byznys newsletter.
Chcete dostávat investiční texty do e-mailové schránky?
Přihlaste se pravidelnému odebírání investičního newsletteru Peníze HN, kde naleznete naše původní analýzy, tipy na dobré čtení nebo glosy analytiků.
