Internetoví lupiči vylákali z Čechů desítky tisíc korun
Někdo vám zavolá, představí se jako pracovník odboru kontroly vaší banky a řekne: „Zjistili jsme, že z vašeho účtu odchází transakce, která nám připadá podezřelá. Pokud totiž požadované prostředky odejdou, na účtu nic nezůstane. Chceme si jen ověřit, zda jste opravdu takovou transakci zadal.“ V té chvíli se obvykle většina klientů vyděsí a okamžitě poprosí o zablokování transakce. Tím telefonát končí. Jenže nervózní klient se přihlašuje do internetového bankovnictví své banky, aby zkontroloval, zda nějaké peníze neodešly. No, a to je přesně šance pro hackery, kteří na takovou situaci čekají. Ještě než dotyčnému zavolali, si totiž zajistili plný přístup k jeho počítači a poslali webový formulář. Těmto útokům se říká vishing a zatím pouze jedna česká banka má s tímto druhem podvodů zkušenosti. „V zahraničí už jsou ale tyto formy podvodů v mnohem pokročilejší fázi a nás to čeká také,“ prohlásil Radek Smolík, expert na ochranu dat a šéf firmy Symantec ČR, která v rámci svého celosvětového monitorovacího systému sleduje provoz na 320 milionech internetových schránek.
Rhybaření stále vede
Na rozdíl od vishingu ale mají téměř všechny větší tuzemské banky velmi pestré zkušenosti s takzvaným phishingem, při němž internetoví lupiči zlákají majitele účtu k vyzrazení důvěrných přístupových hesel formou podvodného e-mailu. Vůbec nejmasivnější útok „phisherů“ zažila zatím Česká spořitelna. Útočníci posílají tisíce e-mailů nejen klientům, ale i neklientům této banky. Zkušeným podvodníkům se už dokonce podařilo odčerpat z účtů klientů spořitelny nemalé prostředky. „Evidujeme jednotky poškozených. Jde o klienty, kteří zadali údaje ke své platební kartě, a ta byla následně zneužita na internetu. Řádově přišli o desítky tisíc korun. Plošně ale peníze nehradíme,“ uvedla Kristýna Havligerová z firemní komunikace České spořitelny. „Nelze určit, kolika lidem podvodné e-maily do schránek přišly. Víme o těch, kteří nám je pro informaci poslali nebo nás kontaktovali telefonicky či na pobočkách. Například e-mailem nám přišly desetitisíce upozornění, denně jich chodí několik tisíc. Předpokládáme však, že phishingové e-maily přišly mnohem více klientům,“ doplnila Havligerová.
Ochrana? Banky už spolupracují
Obrana přitom není nijak složitá. V Česku existuje program On-line Antifraud Service, který velmi rychle dokáže vyhledat nejen phishingový e-mail, ale i jiné formy útoku jako „vishingový“ webový formulář anebo třeba trojské koně namířené proti instituci, jež se rozhodla program využít. „Pro banky přitom nejde o drahou záležitost. Náklady se pohybují zhruba od dvou do šesti milionů korun,“ upřesnil Smolík. A dodal: „České banky začínají seriozně uvažovat o využití těchto služeb až pod tlakem událostí z poslední doby.“ Česká spořitelna zatím podala několik trestních oznámení a připravila placenou inzerci, která má před podvodníky varovat. O využití zmiňovaných služeb však uvažuje. Plán ale musí schválit představenstvo banky. Phishing přitom neušetřil ani doménu patřící České národní bance. Centrální banka proto minulý týden vydala prohlášení, aby lidé nereagovali na e-maily odeslané z internetové adresy csas@cnb.cz. Také Česká spořitelna stále dokola opakuje, že nikdy po klientech nežádá zadání citlivých údajů formou e-mailů. Podvodníci se přitom neustále zdokonalují. Zatímco v minulosti chodily e-maily v cizích jazycích, případně zkomolenou formou řeči země, v níž se šířily, některé z posledních verzí phishingu jsou napsané bezchybnou češtinou a dokonce se tváří i jako varování před sebou samým. Základem phishingu je to, že mají vzbudit dojem, že jde o autentickou zprávu banky, a právě tak vylákat z příjemců jejich přístupová hesla či údaje o kreditních kartách. Přitom nejen banky, ale třeba i telekomunikační společnosti neustále zdůrazňují, že citlivá data po klientech nikdy formou e-mailu nepožadují. Na druhé straně však stále některé banky chtějí důvěrná data pro běžný vstup do internetového bankovnictví. Za fatální chybu banky a také za napomáhání podvodníkům považují experti například to, pokud chce kvůli přihlášení do internetového bankovnictví číslo účtu.
Phisherům na stopě
Vystopovat podvodníky lze dle Smolíka několika způsoby. Buď zahltit zloděje daty, aby nedokázal zjistit, která jsou pravá a falešná, a musel je vyhodit. „Nebo mu můžeme poslat něco jako označené bankovky. Tedy záměrně falešně dohodnuté údaje. Pokud je použije, pak není problém ho vystopovat. A to i když je nepoužije a jen se je snaží prodat na internetových aukcích, kde se standardně a téměř nepřetržitě prodávají,“ popisuje Smolík. Samotné bance trvá vystopování a zablokování podvodných e-mailů několik týdnů, speciální program to umí do několika hodin, tvrdí Smolík.
Podvodné e-maily lze navíc snadno rozeznat. „Pokud se přenášejí bezpečné údaje, pak vždy na dolní liště svítí žlutý zámek. Jakmile chybí, jde o podvod,“ vysvětlil Josef Džubák, majitel a provozovatel serveru hoax.cz, jehož úkolem je informovat uživatele o nebezpečí při používání internetu. „Stejně tak pokud jde o bezpečnou adresu, vždy začíná zkratkou https:, a nikoli http:,“ upozornil Džubák.
Za poslední rok „phisheři“ vyzkoušeli několik bank. Například minulé léto se internetovým lupičům podařilo získat citlivé údaje od zákazníků Komerční banky. Několik z nich dokonce tímto způsobem přišlo o své peníze. S útokem, jemuž nyní čelí Česká spořitelna, se však žádná z dalších bank nesetkala. Od začátku roku už banka eviduje více než dvacet verzí phishingu.
Proč právě spořitelna, není jasné. Zástupci banky se domnívají, že kvůli tomu, že banka má zhruba milion uživatelů internetového bankovnictví. Konkurence zase namítá, že internetové aplikace spořitelny jsou snadno kopírovatelné. To však spořitelna odmítá a také experti tvrdí, že zabezpečení internetbankingu této banky patří k důslednějším.
Přestože spořitelna poškozeným klientům peníze nevrací, pomáhá s reklamací, kterou musejí uplatnit u firem vydávajících kartu, jako jsou Visa či MasterCard. „Klientům pomáháme prostřednictvím karetních asociací získat peníze od internetových obchodníků zpět. Ve většině případů je to úspěšné,“ dodala Havligerová.
Odborníci tvrdí, že dokud bude v Česku byť jen jediný člověk, který na e-maily odpoví, budou to podvodníci neustále zkoušet a také vylepšovat svoje pokusy. Už teď se přitom dějí i útoky, které jsou mnohem sofistikovanější. Kromě zmiňovaného vishingu je to takzvaný smishing, který se děje formou mobilních textových zpráv.
Co je phishing? Phishing je typ nevyžádané pošty, sloužíci ke krádeži identity. Název je odvozený od slova fishing - rybaření, česky tedy rhybaření. Princip je založený na tom, že útočník zašle e-mail, tedy návnadu. E-mail se však tváří jako zpráva z důvěryhodného zdroje - banky nebo internetového obchodu. V něm uživatele požádá, aby z nějakého důvodu zaslal svá přístupová hesla nebo číslo platební karty.
Co je vishing? Termín vishing vznikl kombinací dvou termínů - phishing a voice (v překladu hlas). Podvody odstartuje telefonát, který má motivovat člověka k připojení se přes internet na svůj účet. Počítač, ze kterého se bude klient připojovat, už přitom sleduje hacker, jenž okopíruje s pomocí webového formuláře zadané kódy a hesla. Co je SMiShing? Nejnovější hrozba pro uživatele mobilních sítí. Jde o textovou zprávu, která příjemce navede buď k zadání přístupových hesel k účtu či k platební kartě. Anebo ho navede k přihlášení do aplikace internetového bankovnictví, odkud si podvodníci přihlašovací údaje sami stáhnou.
Co je pharming? Podvodník získá citlivé údaje bez vědomí klienta banky. Využívá techniky upraveného překladu internetových adres, který přesměruje uživatele internetového bankovnictví na připravené podvodné stránky.
