Z dat České bankovní asociace (ČBA) vyplývá, že útoky na klienty bank, kteří z pohledu kybernetické bezpečnosti představují „zranitelný“ článek, výrazně narůstají.
Naštěstí se díky aktivitě bank a obezřetnosti klientů daří naprostou většinu útoků zastavit. Zbývající – dokonané – útoky, při nichž dojde k odčerpání peněz klientovi z účtu, a vznikne škoda, se často řeší ve spolupráci s Policií ČR. Současně je třeba si uvědomit, že útoků, respektive pokusů o útok, je ve skutečnosti daleko více, a banky se o některých vůbec nemusí dozvědět. Například v případě phishingových e-mailů postupují útočníci metodou „kobercového náletu“ a jeden podvodný e-mail tak mohou poslat až na statisíce e-mailových adres svých potenciálních obětí. Nicméně mají-li klienti svá zařízení dobře zabezpečena, skončí tyto útoky v e-mailové schránce klienta mezi spamy.
Autor: Česká bankovní asociace
Nejčastější hackerské triky
- Telefonáty podvodných bankéřů či policistů (vishing + ukázka reálného podvodného telefonátu)
Útočník vás chce vystrašit a zároveň vzbudit důvěru, že je tím, kdo vám pomůže ochránit peníze na účtu. Pod záminkou napadení vašeho účtu či podezřelé transakce vám zavolá v nezvyklý čas a představí se jako pracovník banky, či policista. Na hovor se dobře připraví – zná vaše jméno, adresu nebo číslo bankovního účtu. Může volat z čísla podobného či stejného, jako má vaše banka, dokonce vás vyzve k identifikaci, jako to dělají banky. S vaší získanou důvěrou pak může požadovat – okamžitý převod zůstatku na bezpečný účet, který je ale ve skutečnosti jeho; vaše přihlašovací údaje, údaje z vaší platební karty či potvrzovacích SMS, případně umožnit vzdálený přístup k vašemu PC. Závěr je ale stejný – své peníze již pravděpodobně nikdy neuvidíte.
- Podvodné mobilní aplikace
Jedním z velmi aktuálních triků útočníků jsou i malwarem infikované mobilní aplikace či jejich aktualizace, které si nejčastěji stáhnete z neoficiálních obchodů s aplikacemi a webových stránek. Výjimkou ale nejsou ani podvodné aplikace nainstalované přímo z oficiálního obchodu. Pokud v telefonu nemáte nainstalovaný bezpečnostní software, který by vás varoval, a při instalaci aplikaci udělíte vysoká oprávnění – například aplikaci pro nahrávání hovorů i přístup k fotoaparátu či SMS – dokáže odcizit vaše přihlašovací údaje do bankovnictví, obejít dvoufázové ověření či získat potvrzovací SMS zprávy. Aplikace proto nakupujte nejlépe jen na Google Play či App Store, čtěte jejich recenze a nedávejte jim více oprávnění, než potřebují.
- Falešné stránky internetového bankovnictví
Jedná se již o známou útočnou metodu, přesto se může stát, že se díky své nepozornosti nachytáte. Útočník chce získat vaše přihlašovací údaje s pomocí falešné webové stránky banky. Ta může na první pohled vypadat úplně stejně jako skutečný web vaší banky, včetně loga a barev. Na druhý pohled ji ale odhalit lze – URL adresa webu se bude odchylovat od oficiálního názvu či zkratky banky, na stránce jsou překlepy, v řádku s adresou nebude visací zámeček označující bezpečnostní certifikát webu, nýbrž upozornění apod. Pokud se přes takové stránky přesto přihlásíte, získá útočník vaše přihlašovací údaje do internetového bankovnictví. Pomocí dalších podvodných technik mu pak stačí získat váš potvrzovací kód či autorizační SMS a cestu k vašim penězům na účtu má volnou.
- E-maily plné virů a podvodných odkazů
V tomto případě jdou útočníci cestou kvantity nad kvalitou – rozešlou podvodné e-maily na mnoho adres včetně té vaší, kterou získali například z vašeho profilu na sociálních sítích, a čekají, kdo se chytne. Dávno už se nejedná jen o výzvy k převzetí dědictví po vaší zapomenuté tetičce či nabídky k sňatku od nigerijských princů, plné překlepů a gramatických chyb. E-maily se tváří jako oficiální zprávy banky, pošty nebo třeba obchodního řetězce. Obsahují odkazy na falešné stránky, kde máte zadat platbu či se přihlásit do internetového bankovnictví, případně vyzývají ke stažení přílohy, která je ale samozřejmě infikovaná virem či malwarem. Pokud trik včas neodhalíte, útočníci získají vaše přihlašovací údaje či údaje z platební karty.
- Falešné profily na sociálních sítích
Útočníci typicky vytvoří falešný profil osoby, kterou znáte. Z tohoto profilu vás pak žádají o vyplnění formuláře či zaslání finanční částky na pomoc, případně pod záminkou výhry v soutěži posílají odkazy směřující na falešné stránky, kde již jen čekají, až zadáte vaše údaje z platební karty či jiné důvěrné údaje. Pokud podobnou výzvu obdržíte, raději si ji s danou osobou telefonicky ověřte. Podvodníci mohou ale falšovat i profilové stránky bank, přes ně se můžete dostat na falešné internetové bankovnictví či podvodnou platební bránu.
- Získání nadvlády nad vaší platební kartou v mobilu
Získá-li útočník vaše údaje o platební kartě, pokusí se ji pravděpodobně tzv. digitalizovat, tedy ji nahrát do svého telefonu, resp. do Google Pay či Apple Pay. Pokud se mu následně podaří registraci potvrdit aktivačním kódem (zasílaným do internetového bankovnictví či SMS), ke kterému se dostane pomocí nějaké podvodné techniky, bude již moci „vesele“ platit svým telefonem a odčerpávat vám peníze z účtu, dokud si toho nevšimnete.
Autor: Česká bankvní asociace
Kyberkampaň: Cílem hackera můžete být i vy!
Bohužel veřejnost stále není na všechna rizika spojená s pohybem v kyberprostoru připravena. Potvrzuje to index Kyberbezpečnosti ČBA z loňského roku, který dosáhl průměrných výsledků, celkem 61 %. Na druhou stranu kybernetičtí zločinci se neustále zdokonalují a k penězům klientů se již dávno nesnaží dostat jen s pomocí e-mailů slibujících snové dědictví či falešných stránek plných gramatických chyb a překlepů. Jejich metody jsou dnes daleko sofistikovanější a kombinují nedostatečné zabezpečení chytrých telefonů a PC, znalosti osobních dat, umění manipulace a momentu překvapení.
Proto se Česká bankovní asociace rozhodla spojit síly s Policií ČR a společností ESET a spustila osvětovou edukační „Kyberkampaň“, zaměřenou na širokou veřejnost. Hlavním sdělením je „Cílem hackera můžete být i vy!“ a stěžejním prvkem je online interaktivní kvíz Kybertest.cz, který si můžete vyzkoušet i vy.
