Otevřený rozhovor s Janem Dachovským z České spořitelny jsme rozdělili na dvě části. První část se věnovala mobilním platbám a najdete ji v článku Co o vás banka ví? Vše o platbách přes mobily a hodinky. Rozdíly mezi Apple a Google.

Tato druhá část se věnuje otázkám bezpečnosti.

Podvodníci „vyluxují“ účet a vezmou i úvěr

Jaké podvody na lidi z oblasti plateb nyní nejčastěji řešíte?

Lidé jsou od přírody hodně důvěřiví. Teď v rámci covidu se to ještě zvýšilo. Jak jsme byli zavření doma, tak nám chyběl sociální kontakt, jsme náchylnější podlehnout nějakým svodům. Korunu tomu nasadily kryptoměny. Lidé vidí, jak roste bitcoin a další kryptoměny o desítky procent – a pak zase spadne. Ale na to lidé velmi rychle zapomenou, vidí jenom zázračné růsty a toho si samozřejmě všimli i podvodníci.

Máte na mysli stále aktuální vlnu vishingových útoků?

Ano, jsou to aktuální podvody, ze kterých mám velký respekt. Někdo zavolá na telefon, nabídne vám nějaký úžasný obchod, třeba že vám zprostředkuje nákup bitcoinů. Útočník ukázkově zmanipuluje zákazníka tak, že si na svůj počítač nainstaluje software pro vzdálené ovládání. Útočník mu následně reálně demonstruje a provádí převod prostředků a zákazník mu všechno potvrzuje, jakože tohle je ta ukázka, takhle to uděláme – a přijde o peníze.

Případně druhý případ, kdy útočník zákazníka přesvědčí, aby poslal peníze na nějakou existující virtuální peněženku kryptoměn, zákazník tam peníze odešle a následně bohužel o peníze přijde, protože k té peněžence mají přístup i podvodníci, kteří mu ty peníze vezmou.

Přitom banky lidi edukují. A děláme to i my novináři.

Pro banky je to hodně problematické. Neustále se snažíme zákazníky edukovat a vysvětlovat, čeho se vyvarovat, aby se nestali obětí podobných útoků. Je to ale nelehký a nikdy nekončící úkol i s ohledem na to, že i útočníci neustále vylepšují své postupy, jak zákazníky obalamutit.

Daří se vám takové transakce zablokovat?

V některých případech jsou banky schopny samy detekovat znaky podezřelého chování a podezřelé platby zablokovat. Stávají se i případy, kdy banka podezřelou transakci zablokuje, kontaktujeme zákazníka a ten si i přes varování a vysvětlení bezpečnostních expertů výslovně přeje platbu povolit. Podvodníci s tímto i počítají, používají různé způsoby manipulace a třeba zákazníkům řeknou „určitě vám budou volat z banky, kryptoměny se bankám nelíbí, protože je obchází a přichází o zisk. Budou vás přesvědčovat, že je to podvod, atd.“ A zákazníci tomu bohužel opravdu věří.

Komu není rady… marný boj. Co se pak děje dál?

Zákazník je chvíli spokojený a následně za dva tři dny má pouze oči pro pláč, když zjistí, že přišel o peníze. Následně kontaktuje banku a stěžuje si, banka ale jasně doloží, že to bylo i přes několikeré varování jeho výslovné přání rizikovou transakci udělat.

Tohle je věc, s kterou se opravdu strašně těžko bojuje. Banka je schopna v některých případech potenciálně podvodné transakce detekovat, zastavit, ale dokud zákazníci budou schopni tyto věci dělat a nebudou nad nimi přemýšlet, bude trvat ještě strašně dlouho, než tyto útoky zmizí.

Jak banka „zablokuje“ platbu? Co to znamená v praxi a co je na pozadí? Děje se to automatizovaně, kdy to vyhodnocuje systém, sleduje podezřelé transakce, ty vyřadí a přehodí na ruční kontrolu?

Zajištění bezpečnosti a prevence podvodů je součást DNA všech bank, navíc je to i součást mandatorních požadavků regulátorů, které slouží jako součást boje proti praní špinavých peněz. Banky tedy před odesláním transakcí ze své infrastruktury provádí komplexní set kontrol, a když dojde k nějakému podezření nebo jistotě, že se jedná o podvod, platba neopustí banku. Nastupuje bezpečnostní protokol, kdy nejprve dochází k vnitřnímu šetření a případně se zákazník kontaktuje pro ověření platby. Složitost a pracnost takové prevence samozřejmě ovlivňují i nové technologie/služby, třeba instantní platby, při nichž je garantováno, že platba dorazí do jiné banky v řádech sekund. Požadavky na monitorovací a bezpečnostní nástroje se tak stávají výrazně komplexnější.

(Ne)bezpečnost okamžitých plateb

Instantní platby nelze kontrolovat?

V porovnání s historií, kdy si banky platby vyměňovaly přes clearingové banky pouze několikrát denně, je to u nových technologií opravdu náročnější. Banky dříve měly větší manévrovací prostor platbu zastavit, případně kontaktovat zákazníka a potenciální problém řešit. V okamžiku, kdy na všechno máte sekundy, nebo spíš desetiny sekundy, tak infrastruktura banky a použité technologie musí být opravdu hodně pokročilé.

Kontroly proběhnou, jako u každé platby, ale může se stát, že platba dle systémů není podezřelá a opustí banku. Pak je těžší platbu zachytit na cestě nebo ještě v bance příjemce.

Může se proto stát, že platba se zdá bezpečnostnímu systému bezpečná a povolí její realizaci. Nicméně i takovéto případy jsou zpětně analyzovány. Systém detekce se je naučí rozpoznávat a příště obdobný typ blokovat.

Chápu-li to správně, už nemáme problém s nigerijskými obchodníky, kteří nám zavolají a lámanou češtinou nebo anglicky něco zkouší. Tady jde o česky mluvící podvodníky, kteří lákají lidi na bitcoiny a jiný typ podvodů.

Nigerijci jsou tady pořád, stále se nachází skupina lidí, kteří tomuto podvodu věří. Už to není třeba dědictví anebo love scam, ale třeba že pošlou balíček, který bude obsahovat peníze a cennosti anebo velkou výhru. Zjednodušeně mají několik připravených scénářů. Když jeden selže, jdou na druhý. Zkusí realizovat tuzemskou platbu, když se jim to nepodaří, zkusí zneužít údaje platební karty. A já se ani těm lidem nedivím. Když vám někdo pozdě večer zavolá a ještě vpadne zrovna do vaší noty, že můžete snadno vydělat peníze třeba nákupem kryptoměn, má pro vás připravené řešení, je to velmi lákavé.

Podvody tohoto typu jdou primárně přes okamžité platby, nebo přes karty?

Je to různé, podvodníci zkouší úplně všechno. A dokonce jsou i případy, kdy vezmou jak kartu, tak normální platební příkaz, protože u karty máte nastavené limity a ne vždy se jim podaří zákazníka ke změně limitů přesvědčit. Takže oni to vezmou opravdu z gruntu, vezmou vám úplně všechno, a ještě jako bonus založí úvěr.

Aha, takže když některé banky samy dobrovolně snížily limity pro okamžité platby, tak za tím bylo mj. i toto bezpečnostní riziko?

Určitě. Tato rizikovost je jedním z atributů, který za tím logicky je.

Jan Dachovský

Autor: Česká spořitelna, a. s. Jan Dachovský, specialista na bezpečnost platebních systémů, Česká spořitelna (11/2021) Absolvent ČVUT v Praze.

V průběhu 90. let mu učarovaly počítače a rané fáze zavádění internetu pro první komerční subjekty.

Později se věnoval inovačním produktům v mobilním operátorovi Eurotel (dnes O2).

Posledních 12 let pracuje v bankovním sektoru, kde se primárně věnuje implementaci nových systémů pro digitální bankovnictví.

Poslední 2 roky se v České spořitelně zaměřuje na oblast plateb, zejména jejich zabezpečení.

Spolupracujete v této oblasti i s ostatními bankami? Například, máte podezření na nějakou proběhlou transakci směřující do Komerční banky, můžete tam zavolat? Spustí se na pozadí nějaký ověřovací proces?

Naši bezpečnostní pracovníci mají své kolegy v druhých bankách. Jsou tak situace, kdy jsme schopni kontaktovat banku, kam platba směřuje, a případně tam peníze dočasně blokovat. Útočníci ale nejsou hloupí, když si převádějí peníze do druhé banky, automaticky se snaží co nejdříve je vybrat třeba v ATM nebo poslat o kousek dál.

Bezpečí a rizika platebních karet v mobilních zařízeních

Mám u banky jednu kartu. Kartu si tokenizuji na svůj iPhone, Android, na hodinky, nahraji ji do mobilu i manželce, synům… Jedna karta v několika zařízeních, byť jejím držitelem jsem já. Je to v pořádku?

To, že budu mít kartu v různých zařízeních, je normální a neomezujeme to. Mohu mít svoji platební kartu uloženu iPhonu, MacBooku nebo hodinkách. Je to validní a hlavně bezpečný způsob využití platební karty.

Co by se ale opravdu nemělo dít, a snažíme se to zákazníkům vysvětlovat, je, že on bude používat vždy jenom a pouze svoji kartu nebo její digitální klon ve svém telefonu. Takže to, že přidá platební kartu vydanou na jeho jméno a dá ji své manželce, je už hrubé porušení pravidel. Je to jako když dáte svoji platební kartu včetně PINu někomu dalšímu a pak se divíte, že dojde k zneužití, ale děje se to a usilovně přemýšlíme, jak to omezit.

Tím, že budeme nově vyžadovat aktivaci Apple Pay nebo Google Pay pomocí naší aplikace George klíč, toto rizikové chování přirozeně omezíme.

Takže tím, že držitel karty tokenizuje kartu do zařízení, které není pod jeho kontrolou, porušuje podmínky vydavatele karty?

Přesně tak, neměl by to dělat, ale děje se tak.

Máte aktuální data, jak používají chytré mobily a tokenizované karty vaši klienti seniorního věku?

Naši klienti za poslední dva roky využívají více digitální kanály napříč všemi věkovými skupinami. Pokud se podíváme na klienty ve věku 65 a více let, sledujeme, že využívání mobilního bankovnictví George se u této skupiny téměř ztrojnásobilo. Zároveň počty plateb kartou vzrostly o čtvrtinu.

Bezkontaktní bankomaty, přesněji bezkontaktní snímače karet na bankomatech. Je to o komfortu, nebo je to bezpečnostní prvek?

S tím, jak lidé stále více využívají chytré telefony nebo jiná wearables zařízení, tak třeba někdy v budoucnu přijde i doba, kdy nebudou mít plastovou kartu, a tím bychom tyto lidi diskvalifikovali, protože telefon do čtečky karet nestrčíte, NFC je jediná volba.

Pro zákazníky je tento přístup bezpečnější a dobře pozorovatelné během covidu, kdy se omezují dotyky klávesnic ATM. Ale ruku v ruce s tím jde i snaha regulátora, kdy banky budou mít povinnost všechna ATM vybavit NFC čtečkou.

Podvody u obchodníků

Setkáváte se ještě s podvody ze strany obchodníků? Jsou oblasti, kde je stále vysoký počet takových podvodů?

Podvody budou stále, je to lidská přirozenost. Ona to je taková kombinace vědomých a nevědomých podvodů, kdy obchodníci se snaží jít až na pověstnou hranu. Třeba některé nízkonákladové společnosti při prodeji letenek nechají zákazníka potvrdit cenu v Kč, ale reálné použijí euro. Není to rozdíl desítky procent, ale přece jenom už tam dodatečný zisk na měnové konverzi je. Banky by na to měly být připravené a takovéto chování nepovolit.

Řekl bych, že když podvody proběhnou, tak jsou spíš takové obchodnické riziko. Nakupuji něco na internetu a nechám si platbu ověřit třeba SMS nebo v našem případě George klíčem. Když ale ověření korektně neprojde, ať už jej zákazník zakáže, nebo dojde k technickému problému, selže komunikace a obchodník nemá potvrzeno, že platba byla ověřena, platbu pošle do zaúčtování bez potvrzení a dbá na to, že ta platba projde. Když zákazník bude rozporovat, že taková platba prošla, ač ji nepotvrdil, jde tato transakce na vrub obchodníka, ale i tak se mu to pořád byznysově vyplatí. Většině případů jde opravdu o to, že zákazník nákup chtěl udělat, jenom došlo k nějakému problému a obchodník si to takhle zjednodušil, ač by neměl.

Bylo by krásné, kdyby celý svět fungoval tak, že každá jedna platba bude potvrzena, tam ale ještě nejsme. Většina regulací, které reálně banky donutí zásadně vylepšovat bezpečnost a ochranu zákazníků, platí jenom pro EU, hodně lidí nakupuje tu z Číny, tu z USA. Globálně tak striktní pravidla a snaha ochránit zákazníka, jako máme v rámci EU, ještě nejsou. Asociace se snaží, zpřísňují pravidla i pro obchodníky, je jim jasné, že tohle je ta správná cesta, ale ještě tam nejsme.

Phishing, vishing, podvody s kryptoměnami, rychlé okamžité platby, převody do zahraničí. Co ještě řešíte, před čím je potřeba lidi varovat?

Myslím, že tyto jsou nejběžnější. Pak to mohou být sofistikovanější způsoby, kdy podvodník bude útočit třeba na firmy nebo korporace. Jsou to takzvané CFO fraudy, kdy útočník podvrhne údaje na faktuře a následně v rámci podvodného e-mailu přesvědčí účetní, aby platbu zrealizovala. Ale to už jsou sofistikovanější útoky, s nimiž se běžný člověk většinou nesetká.

Pro mass market jsou to spíše podvodné masové e-maily: „Dobrý den tady DHL, máme pro vás zásilku, pošlete nám tady 15 euro pro potřebné proclení…“, nebo již popisované telefonáty: „Máme pro vás super nabídku, pojďte investovat do kryptoměn…“

To jsou dvě největší skupiny a postupně se vyvíjí. Bohužel podvodníci jsou opravdu kreativní a kořisti se nechtějí vzdát, takže přijdou určitě s dalším způsobem, jak peníze dostat.

Rychlé převody mezi mobilními čísly a z karty na kartu

Jaké bezpečnostní riziko mají připravované platby na mobilní čísla?

Mně se ta služba hodně líbí a už to tady mělo být dávno. Myslím si, že použití bude spíše pro menší částky. Jsme s kamarády v hospodě, zaplatím útratu a ostatní mi snadno převedou svoji část útraty platbou na telefonní číslo. Nemyslím si, že v případě této služby to budou používat korporace, které si budou posílat větší finanční částky. Tam se budou stále využívat stávající platební příkazy z elektronického bankovnictví.

Podobnou aplikaci máte jako Spořitelna.

Ano, aplikaci Friends 24, ale tato aplikace již byla v polovině prosince ukončena.

A používali ji lidé?

Své zákazníky si našla, ale masové to nebylo. Byly to nižší tisíce lidí. Problém je, že tyto aplikace nejsou zcela v souladu s aktuálním stavem regulace, trošku jsme předběhli dobu. Regulace vyžaduje, že již v okamžiku, kdy zadáváte platbu, musí být jasně identifikovatelný účet příjemce. Jsou alternativy, třeba převody pomocí aplikace Revolut, kde můžu peníze jednoduše poslat. Podmínkou ale je, že i příjemce musí mít tuto aplikaci. V případě Friends24 můžu poslat peníze úplně neznámému člověku jen tím, že mu pošlu link, a platba se zrealizuje.

V ruskojazyčných zemích jsou bankovní převody dlouhé a drahé, a proto tam frčí alternativní platební kanály. V Česku se dlouho mluvilo o převodech z karty na kartu, ale pak to utichlo. Jak vy vnímáte převod z karty na kartu jako vhodnou rychlou alternativu či bezpečnou platbu?

Myslím, že karetní asociace obdobnou službu připravují a nemusí to dlouho trvat. Z pohledu bezpečnosti není co vytknout. Jestliže je dostatečně zajištěno ověření při zadávání platby, tedy potvrzení, že jsem to já, oprávněný držitel karty, kdo tuto platbu odesílá, a dostatečně ji potvrdím, tak je jedno, jestli tu platbu odesílám z George, anebo je to přes platební kartu. V obou případech, ať už té domácí platby, nebo té karetní operace, je celá zapojená infrastruktura extrémně bezpečná, problémy jsou zase s těmi lidmi…

Děkuji Vám za rozhovor.