Seznam Talks ve spolupráci s
seznam TALKS

Nejslabším článkem kybernetické bezpečnosti je člověk, říká ředitel divize řízení rizik v Air Bank Martin Popík

Jiří Blatný

Mít bankovnictví v mobilu na pár kliknutí, to je dnes normální věc. Stejně běžné ale jsou i bankovní podvody. Aby měl člověk peníze v bezpečí, stačí přitom myslet na pár základních pravidel.

aside

Martin Popík. V Air Bank už dva roky řídí divizi, která se zabývá různými druhy rizik v bankovní sféře. Pod jeho vedením se stále více zaměřuje na automatizaci a prediktivní riziková schémata a modely. Do skupiny PPF přišel před deseti lety. Nejprve působil jako externí konzultant a v lednu 2015 nastoupil do filipínské pobočky Home Creditu, kde měl na starosti řízení úvěrového procesu a následně datovou analytiku klientského portfolia. Z Asie se přesunul do české a slovenské části Home Creditu, kde řídil rizika a CRM. Aktuálně se jím čtvrtým rokem zabývá ve skupině Air Bank, pod kterou v rámci skupiny PPF patří i Zonky a HomeCredit.

Banky a jejich klienti patří k častým cílům kybernetických útoků. Z logických důvodů – peníze na účtech lidí jsou v očích podvodníků lákavou kořistí. Klasickými typy útoků jsou phishing a vishing. „Klientům přijde e-mail nebo SMS zpráva, které se tváří jako autentický vzkaz od jeho banky. Ve skutečnosti je to ale podvodník, který chce z člověka dostat přihlašovací údaje,“ vysvětluje Martin Popík, ředitel divize, která má ve skupině Air Bank takové hrozby na starosti.

Kvíz o základech kybernetické bezpečnosti

Používání vlastního počítače k práci je většinou

a

Rizikovější než používání zařízení od zaměstnavatele

správně
b

Stejně rizikové jako používání zařízení od zaměstnavatele

špatně
c

Méně rizikové než používání zařízení od zaměstnavatele

špatně

Které z následujících hesel je pravděpodobně nejbezpečnější

a

BrnoJeNej123

špatně
b

4321

špatně
c

Xau2eq-@8!9Fs-91gHs

správně
d

ABCD1234

špatně

Banka na vašem účtu zaznamenala podezřelou transakci. Nedovolala se vám, ale platební kartu zablokovala a zaslala vám SMS. Co by v takové zprávě bylo napsáno?

a

Informace o zablokování karty s tím, že více informací najdete v internetovém bankovnictví, mobilní aplikaci, na pobočce nebo u zaměstnanců banky na call centru.

správně
b

Informace o zablokování karty s telefonním číslem, na které musíte během 30 minut zavolat.

špatně
c

Informace o zablokování karty se žádostí o zaslání PIN kódu k vaší platební kartě pro kontrolu.

špatně
d

Informace o zablokování karty s odkazem, kde se musíte přihlásit a transakci můžete ověřit.

špatně

Jak nejlépe uchovávat hesla, když si je nepamatuji?

a

Psát si je do poznámkové aplikace ve svém mobilním telefonu

špatně
b

Napsané na papírku, který nosím vždy s sebou

špatně
c

Uložit do internetového prohlížeče

špatně
d

Použít generátor/správce hesel stažený z oficiálního obchodu s aplikacemi (Google Play, Apple AppStore)

správně

Jaké z následujících opatření nejvíce zvýší bezpečnost vašeho internetového bankovnictví?

a

Používání stejného hesla jako pro osobní e-mailovou adresu

špatně
b

Přihlašování se pouze z veřejných počítačů

špatně
c

Zapnutí dvoufázového ověřování

správně
d

Sdílení přihlašovacích údajů s rodinnými příslušníky pro případ nouze

špatně

Obdobně fungují podvrhy, které se snaží z lidí bankovní údaje vymámit v klamné roli státních úřadů. Jen zprávy v takových případech změní záminku, proč by člověk měl s podvodníky spolupracovat: peníze zpravidla chtějí jako údajnou pokutu za špatné parkování nebo překročení povolené rychlosti. „Protože se zpráva tváří závažně, někteří klienti, ovlivnění strachem z případných problémů s úřady, naletí. Paradoxně se na tento typ podvodu nachytají i lidé, kteří jsou jinak obezřetní,“ vysvětluje Martin Popík.

Časté typy útoků

  • Phishing: Útok s cílem získat citlivé údaje, jako jsou hesla a přihlašovací jména

  • Vishing: Telefonická forma phishingového útoku

  • Investiční podvody: Na první pohled lákavá investiční nabídka, která má ale opět za cíl získat přístup k bankovnictví oběti.

Právě psychologický nátlak je společným jmenovatelem kybernetických podvodů nejen v bankovnictví. Platí to i v případě, kdy se útočník v telefonu vydává za bankéře. Klient si myslí, že investuje nebo si výhodně vkládá peníze, anebo chrání svůj „napadený“ účet, ale útočníci ho opět jen zneužívají.

Naletí i mladí

V době, kdy bankovnictví většina lidí nosí ve svém chytrém telefonu, by se nabízelo, aby útočníci cílili na lidi, kteří nejsou v digitálních technologiích zběhlí. Neplatí to ale vždy. Podle Martina Popíka jsou poslední dobou terčem i mladí, kteří se v digitálním prostředí cítí jako doma a denně tam tráví spoustu času. Právě toho dokážou podvodníci využít.

„Klienti sdílejí statusy a lajkují příspěvky klamných stránek a profilů. Velmi často se to odehrává v chatovacích aplikacích, jako je Telegram nebo WhatsApp. Mohou se tvářit jako reklamy, trailery k filmům nebo třeba investiční příležitosti. Nabízí lákavý výdělek za lajkování, přeposílání nebo označení a zapojení dalších lidí. Ze začátku i něco opravdu dostanou, aby uvěřili. Pak jim ale přijde zpráva, že aby mohli vydělávat dál, musí si zaplatit členství,“ popisuje manažer Air Bank jeden z častých scénářů. Jednotlivé platby jsou sice v těchto případech jen v řádech stovek korun, klienti jsou jich ale s vidinou zisku ochotni provést stovky denně, čímž může výsledná ztracená částka výrazně narůst.

Platby pod drobnohledem

Aby všem popsaným podvodům předcházely, sledují dnes banky u každé platby různé příznaky: od samotné částky přes čas, kdy ji člověk provedl, až po to, z jakého zařízení ji uživatel zadal. Díky tomu mohou následně rozpoznat transakci, která působí podezřele. Ať už svou výší, účelem nebo neobvyklostí. „Třeba klientů ve vyšším věku, kteří v noci kupují kryptoměny nebo investují na akciových trzích, jsou řádově promile z celé klientské báze. Pokud tedy takovou platbu zaznamenáme u klienta, který předtím nikdy takovou transakci neprovedl, naše automatizované modely ji vyhodnotí jako podezřelou s tím, že ji pravděpodobně neprovádí klient. Zablokujeme ji a s klientem se spojíme, abychom si ověřili, že ji opravdu chce provést,“ přibližuje Popík.

Bohužel má podle něj taková snaha často háček. Člověk může být falešným bankéřem tak zmanipulovaný, že opravdovým zaměstnancům banky nevěří, když se jej snaží na probíhající podvod upozornit. V Air Bank mezi podvedenými evidují vyšší desítky procent zpočátku nevěřících klientů, se kterými dál aktivně pracují.

Zásady online bezpečnosti

1

Zabezpečte si počítač a mobilní telefon. Mějte nainstalovaný a aktualizovaný antivirus.

2

Ověřujte si původ aplikací. Stahujte je jen z oficiálních obchodů, jako je Google Play nebo Apple App Store

3

Chraňte své přihlašovací údaje. Nikomu je neříkejte a zadávejte je jen na bezpečných serverech.

4

PIN od platební karty chraňte jako oko v hlavě. Také ho nikomu nesdělujte. Chtít ho po vás nikdy nebude ani vaše banka.

5

Mějte bezpečné heslo. Mělo by být náhodné, kombinovat velká i malá písmena, čísla a speciální znaky. Pokud je to možné, používejte dvoufaktorové ověřování.

6

Pozor na neznámé přílohy. Vždy zkontrolujte adresu odesílatele, vodítkem může být i špatný pravopis.

7

Nakupujte online jen u ověřených prodejců. Orientujte se podle ikony zamknutého visacího zámku u URL adresy stránky.

8

Čtěte upozornění banky. Aktuálně probíhající podvody mají popsané na svých stránkách a pravidelně o nich informují klienty.

9

Pokud máte podezření, informujte banku. Pokud jste se stali obětí podvodu, informujte banku co nejdříve. Čím dříve, tím lépe.

Zdroj: Česká bankovní asociace

Ilustruje to příklad klientky, kterou podvodník v klamné roli bankéře navedl vybrat z jejího bankovního účtu celoživotní úspory. „Paní s nimi pak chodila po Brně od jednoho kryptoměnového bankomatu k druhému a dobrovolně do nich vkládala peníze na podvodníkův účet. A jeho lžím věřila i přes to, že jsme ji opakovaně upozorňovali, že je to právě on, kdo ji podvádí,“ vysvětluje Popík.

V Air Bank tak klientům ve snaze vzdělávat je o možných rizicích pravidelně dělají osvětu třeba pomocí e-mailů, sociálních sítí i dedikovanou sekcí na webových stránkách banky. Podle manažera rizik banky ze skupiny PPF navíc pro bezpečný pohyb v online prostředí stačí mít na paměti pár základních pravidel jako nedávat nikomu své přihlašovací údaje nebo při přihlašování do bankovnictví vždy zkontrolovat URL adresu webové stránky.

Držet krok s útočníky

Popík dodává, že banka po svých klientech při komunikaci nikdy nebude chtít, aby se někam přihlašovali. „Nikdy po vás ani nebudeme chtít PIN od platební karty nebo heslo do vašeho účtu. Nebudeme vám říkat, ať si stáhnete nějakou externí aplikaci. Nikdy vás nebudeme vybízet k tomu, abyste vybírali peníze a dávali je do kryptobankomatů a podobně,“ uvádí.

Banky v boji proti kybernetickým útočníkům vzájemně spolupracují. Vyměňují si poznatky o typech útoků a dávají si mezi sebou vědět o konkrétních případech. „Informujeme ostatní banky, pokud podezřelá platba jde z našeho účtu na jejich a naopak,“ říká Popík. To vše i proto, aby s nejnovějšími taktikami podvodníků drželi krok.

V internetovém prostředí mají totiž podvody rychlé tempo. Manažer Air Bank si vybavuje klamnou stránku na sociální síti Telegram, která měla první den jen zhruba dvacet odběratelů. Druhý den jich ale bylo dvě stě, třetí dva tisíce a čtvrtý už dvacet tisíc uživatelů. „Těch dvacet tisíc lidí navíc za den provedlo stovky tisíc transakcí,“ připomíná Popík princip, kvůli kterému výsledná škoda při takových podvodech nabývá na objemu.

Je to o lidech

Podobu útoků ovlivňuje i rychlý vývoj nových technologií, třeba umělé inteligence. Ta působí problémy v souvislosti se zmíněným phishingem a vishingem. Zjednodušuje totiž podvodníkům tvorbu obsahu včetně takzvaných deepfake videí, která umí člověku „ukrást“ obličej i hlas, a nechat ho říkat věci, které doopravdy nikdy neřekl. „Přijmete videohovor a na druhé straně je podvodník, který vypadá a mluví jako váš kamarád a chce od vás peníze, protože je prý v dalekém městě, kde měl autonehodu,“ říká Popík.

Byť útočníci na digitální technologie spoléhají, neplatí podle Martina Popíka, že čím vyspělejší techniku využívají, tím více škod napáchají. Za tu největší mohou lidé manipulující jinými lidmi. „Nejslabším článkem kybernetické bezpečnosti je člověk,“ dodává.

S případy, kdy je terčem útoku místo klienta infrastruktura banky samotné, se v Air Bank také setkávají pravidelně. Na rozdíl od klientských podvodů ale nezpůsobují tak velké škody, říká Popík. Jsou podle něj předvídatelné a banky se proti nim umí chránit.

Chraňte svoje peníze před podvodníky.

    Denně odhalujeme pokusy připravit vás o peníze. Společně podvodníkům nedáme šanci.
    Jak vás chráníme?


  • Bezpečná aplikace My Air a internetové bankovnictví

  • Rychlá možnost zablokování karty nebo platby

  • Monitoring a vyhodnocování neobvyklých transakcí