Peníze pod palbou: Hackeři útočí devětkrát častěji. Jak ochránit peníze?

21. 5. 2021
Doba čtení: 10 minut

Sdílet

Autor: Shutterstock
Počet uživatelů, kteří se stali cílem online podvodníků, se oproti loňsku zvýšil o 92 %. Počet pokusů o útok vzrostl devětkrát. Jsou sofistikovanější, kombinují analýzu ukradených dat i psychologické triky. Pomocí jakých nástrojů se jim bránit?

Pandemie nás přesunula před počítače, což mělo za důsledek i nárůst počtu hackerských útoků. Hackeři jednoduše pojali přesun lidí do online světa jako příležitost si přilepšit. Výrazně se zvýšil počet jejich útoků na firmy i soukromé osoby. Bohužel pro nás vzrostla i sofistikovanost, s jakou je dělají.

Podle České bankovní asociace (ČBA) se útočníci u institucí zaměřují hlavně na krádeže osobních a obchodních dat, u obyčejných lidí cílí na citlivá data (nejčastěji na přihlašovací údaje do internetového bankovnictví), která jim pomohou vyluxovat naše účty.

Útočí ale také na technologie, které umožňují napojit interní systémy firem směrem k zaměstnancům, kteří pracují z domova. Jen v lednu a únoru letošního roku zachytili bezpečnostní analytici společnosti ESET v ČR přes 800 milionů pokusů o prolomení protokolu pro práci na dálku. Celkově se jedná o více než 15 tisíc unikátních počítačů, na kterých se podařilo včas útok detekovat a zastavit jej, uvedl Petr Barák, předseda Komise ČBA pro bankovní a finanční bezpečnost.

Meziročně sledujeme jednoznačný nárůst. Pokud srovnáme data za první čtvrtletí loňského a letošního roku, počet uživatelů, kteří byli cílem těchto aktivit, se v ČR meziročně zvýšil o 92 %, ale počet pokusů o útok se za stejné období zvedl bezmála devětkrát. Svědčí to o výrazném zvýšení intenzity aktivity útočníků na české uživatele, potvrdil Ondřej Šafář, manažer PR a komunikace společnosti ESET.

V případech, kdy bezpečnostní systémy institucí a firem neodolaly, často nabízí hackeři možnost data odkoupit draze zpět, což se v minulosti dělo i u soukromých osob. Firemní budgety ale nabízí zajímavější alternativu. To nic nemění na tom, že ukradená firemní data obsahují údaje i o soukromých uživatelích (telefonní čísla, adresy, hesla), které útočníci přeprodávají pro další využití jiným hackerům, kteří je následně využijí zase pro své útoky. Přeprodávané informace útočníci vkládají do propracovaných databází a s využitím nejpokročilejší umělé inteligence si pak vybírají co nejsnazší cíle, což jsou v případě bank klienti, zdůraznil Barák.

V současné době jsou přitom podle něj útoky sofistikovanou kombinací analýzy ukradených dat, psychologických triků a vhodného načasování. Čím více o vás útočník ví, tím větší šanci má vás zaskočit ve slabý okamžik a vymámit z vás přístupové údaje.

Proto asi nikdy nebude zbytečné opakovat, že banky přihlašovací údaje, PINy, potvrzovací kódy z SMS nebo údaje z platebních karet od svých klientů nikdy nevyžadují telefonicky ani e-mailem. Stejně tak neposílají elektronickou poštou nebo přes SMS odkazy na stránky, kam byste tyto citlivé údaje měli zadávat.

Barák také uvedl, že od začátku roku roste objem bankovního malware v mobilních telefonech (hlavně bankovní trojský kůň Cerberus). V únoru analytici zachytili 40% nárůst jeho detekcí. Tento škodlivý kód přitom dokáže pomocí vysokých oprávnění udělených uživatelem odcizit přihlašovací údaje do internetového bankovnictví a také obejít dvoufázové ověření přihlášení. Proto je důležité dbát také na bezpečnost našich telefonů. Ke škodlivým kódům náš mobilní telefon přijde nejčastěji přes infikované aplikace z neoficiálních zdrojů. Ačkoli v minulosti bylo několikrát zjištěno, že malware byl objeven i v řadě aplikací přímo na Google Play. Proto je lepší to s nimi obecně nepřehánět a mít v chytrém telefonu bezpečnostní software.

Slovníček

S růstem počtu hrozeb se objevila i jejich nová pojmenování, která zatím nejsou tak známá. Pojďme si je zopakovat:

phishing – snaha získat citlivé osobní informace (hesla, údaje o platebních kartách, rodná čísla nebo čísla účtů). Šíří se podvodnými e-maily nebo přesměrováním na falešné webové stránky.

vishing – v současnosti hodně využívaný – útočník se s vámi spojí telefonicky, vydává se za zástupce banky a oznamuje napadení vašeho účtu. Cílem je vyvolat ve vás strach a získat vaši důvěru znalostí osobních údajů z ukradených databází či sociálních sítí. „Bankéř“ nabízí záchranu vašich financí jejich přeposláním na sdělené číslo účtu. Celá akce je rychlá, dokud jste na telefonu, může vás zpracovávat a vy nemáte čas nic ověřit. Útočníci často volají v noci nebo brzy ráno a využívají rozespalosti.

smishing – forma phishingu, kdy se útočník snaží vylákat citlivé údaje prostřednictvím SMS

doxing – forma kyberšikany, kdy útočníci získávají a zveřejňují osobní údaje, kontakty, adresy, fotky apod. bez souhlasu majitelů nebo obětem v případě zcizení interních údajů, obchodních tajemství, dat z výzkumu apod., vyhrožují jejich zveřejněním či ztrátou

Hlavním rizikem jsme si sami

Bezpečnostní experti pravidelně upozorňují na to, že nejslabší místo z hlediska bezpečnosti bývá mezi židlí a klávesnicí, tedy že jsme si největší hrozbou my sami. Ostatně pro útočníky je jednodušší cílit na soukromou osobu než se snažit prolomit zabezpečení banky. A nějakou formu pokusu o útok ve formě phishingu, smishingu nebo vishingu na své klienty v poslední době potvrdila většina bank.

Bohužel se setkáváme s tím, že klienti neznámému člověku nadiktují své přihlašovací údaje do internetového bankovnictví, číslo karty, a ještě potvrdí platbu, kterou sami nezadávali, v aplikaci či nadiktují neznámému volajícímu potvrzovací SMS kód. V tom případě se jedná ale o platbu, kterou klient sám potvrdil a pak se musí klient obrátit na policii, které samozřejmě poskytneme maximální součinnost, uvedla například Jana Pokorná, mluvčí Air Bank.

Další hrozbou v posledních týdnech je podvodné vylákání peněz – falešné investování, klienti se nechají zlákat reklamou na internetu nebo nějakým e-mailem, který slibuje rychlý a snadný výdělek, a to formou investování do kryptoměny, prozradila serveru Martina Kadlecová z týmu bezpečnosti klientských transakcí České spořitelny s tím, že potom, co klient klikne na odkaz a vyplní údaje o sobě, je kontaktován jménem investiční společnosti, že mu byl založen investiční účet a je třeba na něj poslat nějakou drobnější částku. Dále je upozorněn, že bude tak za 2 dny kontaktován opětovně operátorem. Což se stane. Tentokrát mu vysvětlují, jak funguje účet, na kterém má své investice. Nabádají, že pro lepší vysvětlení je jednodušší, když si nainstalujete program, kterým by se mohl operátor vzdáleně připojit na PC. Pokud to uděláte, umožníte vzdálený přístup ke svému počítači. Následně je podle operátora ještě nutné ověřit platební kartu, takže operátor poprosí o přihlášení do internetového bankovnictví. Pachatel si pak v aplikaci zadá platbu a žádá o její potvrzení buď kvůli ověření bonity s tím, že se peníze vrátí zpět, nebo kvůli stornu platby. Podle Kadlecové klienti v 90 % případů platbu potvrdí.

Množí se podle ní i případy, kdy klient poskytne údaje z platební karty v rámci transakce na různých bazarových portálech a „zájemce“ nabízí zaslání peněz přímo na kartu prodávajícího, „jen“ potřebuje potvrdit připojení karty.

Možnosti tu jsou

Na téma obezřetného chování existuje spousta rad o zdravém selském rozumu a zdrženlivosti v online prostoru nebo různá „desatera“, jedno z nich je třeba na konci tohoto článku. Kromě toho se ale můžete snažit jít štěstíčku naproti a využít maximum z toho, co vám z hlediska zabezpečení nabízí banka.

Kromě standardních služeb, jako je nastavení limitů u karty, využití biometrických údajů v mobilní aplikaci nebo bezkontaktních výběrů, ale existuje řada služeb, o kterých se tolik nemluví. Ty méně známé jsme se rozhodli u jednotlivých bank vypíchnout.

Školení pro účetní - podzimní novinky

Prvky zabezpečení, které banky nabízí svým klientům
Banka Linka pro blokaci karet Příklady možností zabezpečení
Air Bank +420 547 134 134 -dočasná úprava limitů pro kartu,
-vydání náhradní karty přes aplikaci,
-dočasné zamknutí platební karty v obou aplikacích
-digitalizace karty.
Banka Creditas +420 267 197 018 -dočasné zamčení karty,
-autentizační aplikace,
-vydání virtuální karty,
-Apple Pay, Google Pay, Garmin Pay,
-odpojení aplikace na dálku přes IB.
Česká spořitelna 800 207 207 -autentizační aplikace George klíč,
-blokace DCC v aplikaci George
-dočasná blokace karty v IB,
-kontrola, na jakých zařízeních je George klíč registrován a možnost blokace pro konkrétní zařízení,
-přidání platební karty do mobilu,tabletu, hodinek,
-virtuální platební karta.
ČSOB +420 495 800 111 -nastavení limitů na autorizační metodu, transakci, den,
-autorizační ap. Smart klíč a digitální certifikát na čipové kartě,
-dočasná blokace karty v IB a MB.
Equa bank +420 222 010 222 -dočasná blokace karty v MB a IB,
-změna limitů přes IB a MB,
-blokace karetních transakcí v IB,
-blokace DCC přes bankomat
Expobank +420 267 197 197 -autorizace pomocí hardwarového tokenu nebo autorizační aplikace, 
-změna limitů přes IB a MB,
-blokace DCC přes IB,
blokace surcharge – výběry přes ATM s dodatečným poplatkem – přes IB,
-blokace magnetického proužku – přes IB.
Fio banka +420 224 346 777 -blokace DCC,
-blokace dle konkrétní země,
-blokace dle obchodníka,
-blokace výběrů z bankomatu s dodatečným poplatkem,
-blokace provozovatele nebo internetové transakce bez dodatečného ověření 3D Secure,
-blokace magnetického proužku.
Hello bank! +420 257 080 555 -nastavení limitů v IB a MB,
-podpora tokenizace na straně internetových obchodních míst.
Komerční banka +420 955 551 552 -nastavení limitů a blokace karty přes IB a MB,
-autorizační aplikace KB klíč,
-Trusteer Rapport – ochrana proti hrozbám zdarma,
-v MB Ukazatel bezpečnosti – nabídka bezp. prvků.
mBank +420 222 111 999 -mobilní autorizace mKlíč,
-odpojení aplikace z IB,
blokace bezkontaktních, zahraničních plateb,
-blokace výběrů z ATM,
-blokace plateb na terminálech u obchodníků,
-blokace magnetického proužku v MB,
-dočasná blokace karty v IB a MB,
-dočasné odkrytí údajů platební karty v MB,
-blokace služby DCC,
-blokace výběrů z ATM s dodatečným poplatkem (surcharge fee) v MB,
-Google Pay, Apple Pay, Garmin Pay, Fitbit Pay.
Moneta Money Bank +420 224 443 636 -anti-malware v MB,
-nastavení limitů v MB a IB,
-dočasná blokace karty v MB,
-diskrétní mód v MB pro skrytí informací,
-odpojení aplikace na dálku přes IB,
-zobrazení zůstatku ve widgetu na mobilu.
Oberbank +420 495 800 111 -změna limitu (kromě plateb na vlastní účty) je možná pouze přes poradce,
autentizační aplikace,
-po 90 dnech při zadání přihlašovacích údajů nutné ověření pomocí Oberbank Security App.
Raiffeisenbank 800 900 900 -autentizace přes RB klíč,
-Apple Pay, Google Pay, RaiPay,
-zobrazení PIN v IB a MB,
-ochrana před malware Promon shield,
-skrytí citlivých dat na hlavní stránce MB.
Sberbank 800 133 444 -autorizační nástroj Sberbank M-Token,
-nastavení limitů v IB a MB,
-vzdálené nastavení aplikace a zařízení z IB,
-příprava dočasné blokace karty přes IB a MB.
Trinity Bank 800 678 678
nebo volat osobního bankéře
nabízí pouze IB:
-notifikace o provedených platbách.
UniCredit Bank +420 221 210 012 -dočasná blokace přes MB,
-autorizační aplikace Smart Klíč,
-nastavení limitů v IB a MB,
-změna limitu počtu transakcí za den u ATM / obchodní sítě – na pobočce,
-Apple Pay, Google Pay,
-zobrazení PIN v MB,
-zůstatek účtu na widget,
-dočasná blokace karty.

Zdroj: weby bank a vyjádření bank

Technika bez selského rozumu neobstojí

Rozmanité volitelné prvky zabezpečení, které banky nabízí, nemohou uspět, pokud nezapojíte i vlastní rozum. Proto je fajn mít na paměti následující:

  • nikdy nikomu nesdělujte po telefonu, do SMS či přes e-mail přihlašovací údaje do internetového bankovnictví, čísla platebních karet ani nepřeposílejte nikomu žádné potvrzovací kódy z příchozích SMS,
  • v mobilním bankovnictví nepotvrzujte platby ani žádná nastavení, která jste neprovedli,
  • máte-li jakékoli podezření, vyhledejte přes vyhledávač (nikoli přes žádný odkaz) web banky a kontaktujte ji
  • při podezření na zneužití karty nebo účtu hned kartu dočasně zablokujte, snižte všechny limity na nulu a změňte si hesla,
  • pokud si chcete uložit kartu na nějakém e-shopu, ideálně ne tu, která je připojena k vašemu hlavnímu účtu,
  • používejte virtuální kartu, pracujte s limity nebo mějte ještě jeden nějaký bezpoplatkový účet s kartou pro platby na internetu, kde nebude celý váš příjem,
  • aktualizujte si mobilní telefon a počítač,
  • používejte na všech zařízeních antivirový program, který taktéž aktualizujte,
  • programy a aplikace instalujte jen z ověřených a známých zdrojů,
  • nepoužívejte jedno heslo pro mnoho aplikací, silná hesla (kombinace velkých, malých písmen, čísel a znaků) si ukládejte do správce hesel,
  • používejte dvoufaktorové ověření,
  • neotevírejte neznámé přílohy v e-mailech,
  • čtěte, co potvrzujete v aplikacích.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).