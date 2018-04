Zaznamenali jste případ, kdy držitel karty přišel o peníze tím, že se nechal zlákat v e-shopu na velké slevové akce. Jakou fintu piráti použili, že přišel o více než 85 tisíc korun?

Jde o případ ze Slovenska. Podvodník si udělal webové stránky a otevřel e-shop. Zaplatil si na Facebooku reklamu a spousta lidí se nechala na reklamu zlákat. V e-shopu byly k dostání značkové brýle za skvělé ceny. Když si je někdo rozhodl koupit, dal do košíku a chtěl zaplatit platební kartou, musel zadat předepsané údaje, které obchodník potřebuje vědět (číslo karty, platnost, CVC, nebo CVV kód). Šlo ale o podvod. Data byla odeslána přímo k podvodníkovi. Ten data obratem použil na jiném e-shopu k nákupu.

Jestli tomu správně rozumím, piráti si vyrobili platební terminál ve svůj prospěch.

V podstatě ano, bylo to stejné, jako byste někomu dala do ruky kartu, aby si nakoupil.

Je těžké odhalit takové případy?

Na tento se přišlo poměrně rychle, informace se šířily prostřednictvím sociálních sítí. Spousta lidé, v dobré víře, šířila nejprve informaci, že jde o super nabídku za super ceny. Ale když přišla druhá fáze, kdy lidé přišli o peníze, začali se varovat navzájem. Způsob a princip, jak to měli piráti vymyšleno, byl nový a nečekaný.

Pokud se člověk stane obětí internetových pirátů, nebo má podezření, že něco není v pořádku, jak by měl postupovat? Co byste doporučil jako odborník?

Vždycky říkáme, že je potřeba okamžitě kontaktovat banku, v případě, že se vám něco nezdá, potřebujete poradit, nebo se vám jen něco nelíbí. V každé bance je odborník, který zná na takovou situaci odpověď a má radu. Pokud dorazí podezřelá nabídka prostřednictvím sociální sítě, je dobré dát ostatním najevo, že není v pořádku. To ostatně zafungovalo i v případě podvodného e-shopu, takže se orgánům v trestním řízení podařilo nechat zablokovat podvodnou adresu velmi brzy.

Setkáváte se s nejrůznějšími útoky na bankovní konta klientů. Často se ale ukáže, například u platebních karet, že šlo o planý poplach. V čem držitelé platebních karet zpravidla chybují?

Obecně platí, že platební karta je instrument, který by měl sloužit výhradně majiteli nebo správněji držiteli. Stává se ale, že platební karta je vnímána jako rodinný prostředek – je sdílená a sdílený je i PIN, což by nemělo být. V takových případech je nebezpečí, že proběhne transakce, o které držitel karty nic neví. Když majitel účtu kontaktuje banku, aby na takovou transakci upozornil, rozjedeme analýzu a vyšetřování. V některých případech pak zjišťujeme, že nešlo o krádež, ale že třeba potomek zapomněl rodičům říct, že si vybral peníze, nebo s kartou platil v obchodě.

A jsou i případy, kdy nešlo o planý poplach?

Když nám klient hlásí neautorizovanou transakci, tak ho žádáme, aby kromě reklamace zadal i podnět k trestnímu oznámení na policii. Podněty, kdy šlo skutečně o krádež, se pak k nám dostávají.

A co nošení PINu v peněžence spolu s kartou, už se lidé poučili, že je to obrovské riziko?

Stává se to stále, ale musím říci, že těchto případů ubývá. Velmi dobře funguje osvěta. Lidé si už mnohem víc uvědomují, že karta a PIN jsou stejně cenné a je třeba je chránit. Od doby, kdy banky umožnily nastavit si vlastní PIN, odpadla nezbytnost pamatovat si zcela cizí číslo, to vlastní se dá snadněji zapamatovat. Na druhou stranu to ale může vést ke snížení úrovně bezpečnosti, protože každý z nás má nějaké oblíbené číslo, které je snadnější odhalit než to, které přidělí banka.

Když si PIN nedokáže někdo zapamatovat, co byste doporučil, kam ho uložit, aby byl relativně v bezpečí?

Z principu takové doporučení dát nemohu, každý by si měl PIN pamatovat. Ale rozumím, kam míříte. Někteří lidé to dělají tak, že si ho zapíší mezi jiná čísla, třeba do mobilu. V ideálním případě bychom takové číslo měli uložit na místo bezpečné, třeba do trezoru, nebo tam, kde máme uložené důležité dokumenty.

Stávají se stále i takové případy, kdy si lidé při placení neuvědomí, že nesmí ztratit kartu z dohledu a klidně ji předají vrchnímu, aby vyrovnal jejich účet v restauraci?

Posun v tom určitě je. Každopádně pustit kartu z dohledu a ztratit nad ní kontrolu je velké riziko. Nemusí dojít ke zkopírování magnetického proužku, ale na kartě je uvedeno její číslo, platnost karty, jméno držitele a CVV nebo CVC kód. Pokud někdo tyto údaje získá, může je zneužít tak, že na internetu u obchodníka, který nepoužívá platby 3D Secure, provede transakce na vrub držitele karty. Takže v žádném případě není dobře dávat kartu z ruky.

Petr Vosála (40) Vystudoval obor Informační technologie a management na Bankovním institutu v Praze.

V bankovnictví se pohybuje od roku 1998, v ČSOB působí od roku 2001.

Je manažerem útvaru Digitální kanály, má na starost bezpečnost internetového bankovnictví a elektronických kanálů.

Co by si měl při nakupování v e-shopech každý ohlídat, aby zbytečně neriskoval?

Vždy je dobré si dopředu ověřit, jak konkrétní obchodník funguje, například z recenzí. Pokud jsou v e-shopu obrovské slevy, platí to dvojnásob. Je třeba se i podívat, zda obchodník využívá 3D Secure, což je pro klienta bezpečnější varianta placení. Většina tuzemských velkých e-shopů již tuto formu placení umožňuje, v zahraničí to ale stále není obvyklé.

Když se řekne 3D Secure, mladší generace je v obraze, starší už tak zběhlá není. Proč je tato forma platby bezpečnější?

Když platíte na internetu platební kartou, zpravidla zadáváte číslo karty, platnost karty, CVC nebo CVV kód, který je na zadní straně karty. Někde obchodníci chtějí i jméno držitele. 3D Secure znamená, že vám na mobilní telefon přijde autorizační SMS zpráva, kde je napsáno, že se snažíte zaplatit určitou částku u nějakého obchodníka. Pokud je transakce legitimní, použijete autorizační kód pro dokončení internetové transakce. Je to tedy vyšší prvek bezpečnosti, jakási třetí dimenze zabezpečení.

Banky doporučují měnit v internetovém bankovnictví heslo každého čtvrt roku, jak ukázal průzkum, řada lidí se tím ale neřídí.

Ano, je to velmi časté. Z našeho průzkumu vychází, že jen čtyři procenta lidí si mění heslo pravidelně každé tři měsíce, dalších 12 procent alespoň jednou za půl roku a 44 procent lidí PIN nemění vůbec.

Co tím riskuji, když heslo neměním, co se může stát?

Zvyšujete riziko, že útočník pronikne do vašeho internetového bankovnictví. Pokud by se někdo zaměřil na vás počítač, určitě nebudete jediná. Útoky se odehrávají vždy po vlnách, po určitých skupinách, na které se útočníci zaměřují. Nejdříve proběhne nějaká příprava, například formou rozeslání zavirovaných e-mailů na velmi širokou skupinu lidí. Potom po určitou dobu probíhá sběr údajů a jejich vyhodnocování a pak přijde fáze zneužití. V okamžiku, kdy mezi fází sběru údajů a vytěžením údajů změníte svůj PIN nebo heslo, stáváte se pro útočníky bezcennou. Proto je důležité přístupové údaje měnit, je to rozhodně snížení rizika.

Ke zlozvykům lidí patří i to, že webovou stránku svého internetového bankovnictví hledají prostřednictvím vyhledávače. Jak moc velké je to riziko?

Může být poměrně velké. V okamžiku, kdy zadáte název internetového bankovnictví své banky do internetového vyhledávače, jako první se vám zpravidla nabídne placený odkaz. Nemusí se jednat o legitimní internetové stránky banky.

Takový případ jste zaznamenali, o co konkrétně šlo?

Šlo o to, že klient zadal prostřednictvím vyhledávače název svého internetové bankovnictví a na prvním místě se mu nabídla adresa, která byla podobná adrese našeho internetového bankovnictví. Nicméně stránka nebyla legitimní, ale podvodná. Klient klikl na první odkaz a vyplnil přihlašovací údaje - jméno a heslo, a tím pádem je odevzdal útočníkovi, který číhal za touto stránkou.

A co následovalo?

Útočník potřebuje k přihlášení na účet získat další přihlašovací údaj, který přijde prostřednictvím SMS. V tomto případě podvodný systém nabídl klientovi možnost instalace bezpečností aplikace na telefon a vyzval ho k zadání telefonního čísla, což klient udělal. Na telefon mu pak přišla SMS s odkazem vyzývajícím ke stažení nové verze smartbankingu, kterou si klient opravdu stáhnul. Aplikace však byla podvodná a jejím jediným cílem bylo přeposílat SMS zprávy nutné pro potvrzení platby přímo útočníkovi – to vše skrytě, aniž by to postižený věděl. V momentě, kdy útočník má přístup k vašemu internetovému bankovnictví a ovládá i váš telefon, má cestu k vašim penězům zcela otevřenou.

Co odhalil průzkum Třetina Čechů někdy půjčila svou platební kartu někomu blízkému

Necelá pětina lidí si pro své nákupy vybírá internetové obchodníky s 3D Secure zabezpečením

Heslo do internetového bankovnictví si aktivně nemění většina z nás

Limity pro transakce si nikdy nemění téměř třetina Čechů

Může se také stát, že vám útočník prostřednictví falešné stránky „hodí“ chybové hlášení, že v tuto chvíli není možné přihlášení, abyste opakovala požadavek. V oficiálním internetovém bankovnictví pak útočník zadá transakci ve svůj prospěch, nebo ve prospěch bílého koně. Tato jeho operace vyvolá zadání autorizační SMS na váš mobilní telefon. A pokud nabudete dojmu, že přišla nová SMS pro opakované přihlášení a zadáte údaj do podvodné stránky, útočník vás připraví o peníze.

O kolik peněz klient přišel, když se takto nachytal?

V jeho případě to bylo 126 tisíc korun.

Jak je ale možné, že se lidé nechají napálit?

Jednoduše proto, že ztratí obezřetnost a nepřečtou si SMS zprávu, kterou jim banka pošle. Útočníci s tím počítají. Každou zprávu, kterou banka pošle, je proto potřeba pečlivě číst. Není pak možné, aby došlo k záměně přihlašovací a autorizační SMS.

Pokud se lidé stanou terčem útoku pirátů, jak většinou reagují?

V první řadě se snaží zjistit, co se stalo. Když rozklíčujeme, že šlo o útok internetových pirátů, říkají, že to snad ani není možné, slyšel jsem o tom, ale nikdy jsem nemyslel, že se to může stát právě mně. Takové případy však paradoxně přispívají k osvětě, dostanou se do povědomí ostatních a tyto informace fungují mnohem víc, než když je někde něco napsáno jako varování odborníků.

Když byste měl dát většině Čechů z internetové bezpečnosti známku jako ve škole, jakou byste jim dal?

Na stupnici jedna až pět? Obávám se, že tak dvě minus až tři, a to u mužů i žen. Muži jsou sice trošku techničtější, zabezpečení počítače nebo mobilního telefonu mohou mít lepší, ale méně se bojí nainstalovat do počítače program, někde něco stáhnout, což může být riskantní. Stejně tak to funguje napříč věkem. Mladí lidé jsou oproti starší generaci vzdělanější co se technologií týče, ale váhají stáhnout si nějakou aplikaci. Starší mohou mít v technologiích malé rezervy, ale umějí se zeptat a jsou obezřetnější.