Prodáváte něco na internetu, ozve se zájemce, s tím, že je zdaleka. A navrhne řešení, že mu stačí poslat peníze prostřednictvím platební brány, pak jen přijede kurýr, zboží vyzvedne a o nic se nemusíte starat. Vy ušetříte čas i náklady za poštu, a tak souhlasíte – to je reverzní podvod. Spočívá v tom, že vy nic neprodáte, naopak o peníze ještě přijdete, vysvětluje Petr Vosála, specialista na kybernetickou bezpečnost skupiny ČSOB.
„Podle dat Policie České republiky opravdu dochází k prudkému nárůstu případů,“ otevírá poněkud zostra rozhovor Petr Vosála. „Od roku 2012 to vypadá jako exponenciála křivka. Za loňský rok policie evidovala v kyberprostoru přes 18 000 trestných činů, o rok dříve to bylo jenom 9000. A to není jen tzv. phishing – podvodné e-maily a esemesky –, ale třeba i podvodná volání nebo inzertní bazarové podvody.“
Poznáme podvodný e-mail?
A tím to samozřejmě zdaleka nekončí. „Teď evidujeme nový druh, kterému říkáme SIM swap, převzetí SIM karty. Útočník vás prostřednictvím aplikace mobilního operátora připraví o důvěrná data, která potom zneužije k vydání tzv. elektronické SIM karty, a tím pádem získá vaše telefonní číslo. Fyzická SIM karta vám v telefonu přestane fungovat a všude tam, kde máte nastaven jako záchranný prvek telefonní číslo, ať už to jsou třeba e-mailové účty, Facebook nebo Google, je útočník schopen se dostat,“ líčí hororový scénář expert z ČSOB.
Odpověď na zdánlivě jednoduchou otázku „Pozná člověk podvodný e-mail?“ zas tak snadná být nemusí. „Podvodné e-maily jménem banky, se kterou klient komunikuje pravidelně, velmi pravděpodobně poznáte,“ nabízí aspoň nějakou útěchu Vosála. „Jsou ale i podobné e-mailové, SMS nebo whatsappové zprávy od přepravních společností, České pošty nebo Ministerstva práce a sociálních věcí a s těmi tak běžně nekomunikujeme. Na první pohled tedy nemusí být patrné, že se jedná o podvodnou zprávu.“ Jeden úspěšný phishingový útok přitom připraví Čechy průměrně o cca 161 000 korun. V celkovém objemu to pak činí stamilionové ztráty pro bankovní sektor.
Základní otázka, kterou je z hlediska vlastní bezpečnosti si potřeba klást, zní: O co hackerovi vlastně jde? „Vždycky mu jde o to, aby získal přístup k našim důvěrným údajům nebo penězům,“ nenechává nás na pochybách expert na kyberbezpečnost. „Osobní data zahrnují zcela určitě rodné číslo, přístupová hesla, PINy, čísla platebních karet apod. Jakmile jmenované přístupy má, otevírá se mu pole působnosti.“
Proaktivní a reaktivní část
Obrana před útoky je někdy velmi komplikovaná, to vědí v ČSOB sami nejlépe. „Rozdělil bych to na proaktivní a reaktivní část,“ vyjmenovává Vosála. „Proaktivní část se týká všeho, co se děje před podvodem. Klienty se proto snažíme dostatečně informovat. Na podzim jsme třeba měli velikou internetovou kampaň na téma Volač a Klikač, kde jsme relativně jednoduchou, vtipnou a pochopitelnou formou ukazovali všechny nejčastější druhy internetových podvodů, aby se klient dokázal efektivně bránit.“
Poněkud jiné je to v reaktivní části. „Každá banka, ČSOB nevyjímaje, samozřejmě disponuje spoustou různých mechanismů, ať už kontrolních, nebo procesních, kterými si dokáže ověřit, zdali platba, která se vyskytla na vašem účtu, je pro vás typická, zdali předtím nebo potom není v rozporu s tím, jak běžně jednáte,“ líčí vzorovou situaci specialista na kybernetickou bezpečnost. A rovnou předestírá možný příklad: „Pokud třeba si koupíte teď oběd tady v Praze a za hodinu je vaše platební karta použita v Bangladéši, je to hodně zvláštní. A je velmi pravděpodobné, že se vám ozveme a budeme se ptát, co se stalo.“
Dopadnout pachatele banky ale samy neumí. „To bohužel nedokážeme,“ potvrzuje Vosála. „Ani to nespadá do naší kompetence, jde o záležitost Policie České republiky a orgánů činných v trestním řízení. Samozřejmě jim předáváme veškerá možná data, velmi úzce spolupracujeme – cokoliv od nás chtějí, jakékoliv podklady jim poskytujeme. A na základě toho se potom pachatelé hledají.“ Každopádně neveřejné statistiky naznačují, že chytit pachatele je velmi obtížné, komplikované a nákladné.
Také vymáhání vzniklých ztrát je obdobně náročné, ale to by nás podle Petr Vosála od něj nemělo odrazovat. „Pokud ČSOB vznikne škoda jako taková, samozřejmě podáváme trestní oznámení. My se k finančním prostředkům od našich klientů musíme chovat s péčí řádného hospodáře. Pokud vznikne škoda klientovi, vždycky mu důrazně doporučujeme, aby i on podal trestní oznámení. My jako banka se k němu třeba připojíme,“ nabádá.
Phishing, vishing nebo reverzní podvod
Nejčastější druhy podvodů? „Phishing, tedy podvodné e-maily,“ má jasno specialista na kyberbezpečnost. „Přijde nám e-mail pod hlavičkou nějaké důvěryhodné instituce, třeba banky,“ rozvádí to dále, „a je tam vždy odkaz, na který když klikneme, dostaneme se na nějakou stránku, která může napodobovat elektronické bankovnictví. Podvodník nás tak nutí zadávat důvěrné údaje, které následně zneužije. Phishingu my česky říkáme klikač, protože se nás někdo snaží napálit tím, že klikneme špatně.“
Volač je český termín, který banka používá pro vishing. „Princip je odlišný v tom, že vám nepřijde žádný e-mail, ale někdo vám fyzicky volá,“ vysvětluje na srovnání s phishingem Vosála. „A volá vám typicky v okamžiku, kdy nejste úplně připravení – může to být velmi brzo ráno nebo naopak pozdě v noci. Funguje to potom tak, že se z vás pod nějakou smyšlenou historkou – třeba že váš účet je v ohrožení – snaží vymámit fyzické peníze a uložit je na svůj účet. Pokud je vložíte na účet útočníka, je pak velký problém získat je zpátky.“
Fenoménem posledního roku jsou inzertní bazarové podvody. Odborník z ČSOB přibližuje typický případ takto: „Prodáváte něco na internetu, po vložení inzerátu se vám ozve zájemce, že má určitě zájem, ale že je bohužel někde zdaleka. A navrhne řešení, že stačí když mu pošlete peníze třeba prostřednictvím platební brány – potom k vám už jen přijede kurýr, zboží vyzvedne a o nic se nemusíte starat. Pro vás to může znamenat úsporu času i nákladů za poštu, a tak na to kývnete. Hackeři totiž potřebují právě jen údaje z platební karty – to znamená, že se z vás zase snaží vymámit peníze. Policie tomu říká reverzní podvod. Spočívá v tom, že vy nic neprodáte, naopak o peníze ještě přijdete.“
Na vzdělání tolik nezáleží
Částky, o které phishingem, vishingem nebo jiným způsobem přijde, mohou u jednotlivce klidně šplhat až do milionů. A to za rohem číhá umělá inteligence i technologie deep fake. „Před měsícem jsem viděl video, kde falešný bankéř z jiné banky vybízel klienty k vložení peněz do naprosto bezpečné investice. Působilo to velmi autenticky. Obávám se, že pro nás i pro klienty všechno bude ještě daleko obtížnější,“ nedělá si iluze specialista na kyberbezpečnost.
Mezi hlavní cíle útočníků patří jak senioři, tak mladí lidé lehkovážně nakládající s technologiemi. „Když jsme si dělali statistiku, nejčastěji nám tam vyskočili teenageři od 15 let a senioři, kterým mohlo být třeba i 90 let,“ potvrzuje předpoklad Petr Vosála. „Úplně přitom nezáleží na úrovni vzdělání nebo jestli jste muž či žena, ani kde bydlíte. Všechna tato procenta kopírují demografické křivky, které v České republice máme – kupříkladu 13,5 % úspěšně napadených klientů má vysokoškolské vzdělání.“
„Populaci můžeme takto rozdělil na dvě části – obě mohou být napadnuté, ale každá z nich má trochu jinou motivaci,“ předestírá svou osobní teorii expert z ČSOB. „První skupina jsou lidé mladší, orientující se velmi dobře v moderních technologiích, rozumějící si s chytrými zařízeními, kteří chápou všechny souvislosti. A tito lidé mohou podlehnout z nějaké nepozornosti, dělají spoustu věcí najednou a odkliknou něco, co odkliknout nemají… A druhá skupina, to mohou být skutečně senioři nebo naopak děti. V technologiích se úplně neorientují, některé souvislosti neznají, nikdy se v tom nepohybovali. Ti zase mohou naletět spíše z neznalosti.“
Na ulici neprozradíte své důvěrná data
Světem (nejen) internetu teď hýbe kauza TikTok, která se týká hlavně mladých lidí. „Když si vezmeme teenagera, on se do digitální doby už narodil,“ dodává kontext specialista na kyberbezpečnost. „A taky často první, co jejich rodiče udělali, aby měli chvilku klidu, tak jim dali mobil nebo tablet, ať sledují na YouTube nějaká videa. Proto mají velmi kladný vztah k moderním technologiím, umí je používat, ale i trochu je podceňují.“
„Vždycky když si o tom povídáme, říkám, že každý z nás má dvě identity,“ odkrývá další ze svých teorií Petr Vosála. „Jedna je ta fyzická, to, že teď a tady spolu sedíme a povídáme si. A potom je tu internetová nebo digitální – máme účty na sociálních sítích, e-maily, komunikujeme s okolím prostřednictvím hlasu nebo telefonu, ne ale osobně.“ V čem je tento rozdíl tak důležitý? „Pokud nám hrozí nebezpečí v reálném světě, tak ho velmi dobře poznáme,“ vysvětluje Vosála. „Nikomu třeba na ulici neprozradíte svá důvěrná data – kde bydlíte, telefonní číslo, rodné číslo. V digitálním prostředí máme ale někdy tendenci toto podceňovat. Sedíme v bezpečí domova a nabýváme falešného pocitu, že se nám nemůže nic stát. Opak je ale pravdou, spíš se nám stane něco v digitálním prostoru než ve fyzickém světě.“
Kyberútok je řetězec dílčích faktů
„Snažíme se samozřejmě všechny skupiny vzdělávat,“ odpovídá expert z ČSOB na otázku, jak mohou své klienty proti zmiňovaným hrozbám chránit. „Na každou z nich cílíme trochu jinak. Takový teenager se velmi pravděpodobně nebude dívat večer na zprávy, nebude číst papírové noviny, možná ani ty elektronické. On si jede někde na na Facebooku nebo YouTubu. Takže tuto skupinu se snažíme oslovovat prostřednictvím influencerů, lidí, kterým mládež věří. Pokud je zase člověk středního věku, tam zabírají různé kampaně, besedy a podobně. Na podzim jsme publikovali velikou kampaň Volač a Klikač, kdy jsme anglickým termínům dali české ekvivalenty názvů, tak aby klient pochopil, v čem ten problém spočívá. ČSOB navíc má velmi propracovaný systém vzdělávání mládeže na základních a středních školách. Snažíme se tedy vychovávat i budoucí generaci našich klientů.“
Volač a Klikač určitě zaujali. A nejen názvem. „Ta kampaň skutečně z tohoto úhlu pohledu byla velmi úspěšná,“ souhlasí Vosála. „Protože když se řekne phishing, vishing, spoofing, ne každý, kdo se v branži nepohybuje, si dokáže pod tím něco představit. Ale když se tomu dá české jméno, on z toho potom vyplyne i způsob napadení a z něho potom zase zákonitě i třeba způsob ochrany.“
Každý kybernetický útok je podle experta z ČSOB nějaká řada dílčích faktů. „Je to řetězec, a když se ten řetězec někde přeruší, útok pak nedoběhne. Máme zakořeněné nějaké vzorce chování – typicky, pokud půjdu přes ulici, rozhlédnu se doleva, doprava, ještě jednou doleva, doprava a potom přejdu – a to se snažíme implementovat i v digitálním prostředí. Chceme klientům v rámci první signální vštípit základní fakta ve smyslu, že pokud po mně někdo chce důvěrná data, tak je to určitě špatně. Pokud se bude vydávat za banku nebo za policii, je to zcela jistě podvod. Protože banka takové údaje nepotřebuje. Buď je má, nebo je nepotřebuje. Policie je zcela určitě nepotřebuje.“
Autor: redakce
FocusOn je zpravodajský web zaměřený na nové trendy v ekonomice s důrazem na využívání moderních technologií.