Nejslabším článkem kybernetické bezpečnosti je člověk, říká ředitel divize řízení rizik v Air Bank Martin Popík
Mít bankovnictví v mobilu na pár kliknutí, to je dnes normální věc. Stejně běžné ale jsou i bankovní podvody. Aby měl člověk peníze v bezpečí, stačí přitom myslet na pár základních pravidel.
Martin Popík. V Air Bank už dva roky řídí divizi, která se zabývá různými druhy rizik v bankovní sféře. Pod jeho vedením se stále více zaměřuje na automatizaci a prediktivní riziková schémata a modely. Do skupiny PPF přišel před deseti lety. Nejprve působil jako externí konzultant a v lednu 2015 nastoupil do filipínské pobočky Home Creditu, kde měl na starosti řízení úvěrového procesu a následně datovou analytiku klientského portfolia. Z Asie se přesunul do české a slovenské části Home Creditu, kde řídil rizika a CRM. Aktuálně se jím čtvrtým rokem zabývá ve skupině Air Bank, pod kterou v rámci skupiny PPF patří i Zonky a HomeCredit.
Banky a jejich klienti patří k častým cílům kybernetických útoků. Z logických důvodů – peníze na účtech lidí jsou v očích podvodníků lákavou kořistí. Klasickými typy útoků jsou phishing a vishing. „Klientům přijde e-mail nebo SMS zpráva, které se tváří jako autentický vzkaz od jeho banky. Ve skutečnosti je to ale podvodník, který chce z člověka dostat přihlašovací údaje,“ vysvětluje Martin Popík, ředitel divize, která má ve skupině Air Bank takové hrozby na starosti.
Kvíz o základech kybernetické bezpečnosti
Používání vlastního počítače k práci je většinou
Rizikovější než používání zařízení od zaměstnavatele
Stejně rizikové jako používání zařízení od zaměstnavatele
Méně rizikové než používání zařízení od zaměstnavatele
Které z následujících hesel je pravděpodobně nejbezpečnější
BrnoJeNej123
4321
Xau2eq-@8!9Fs-91gHs
ABCD1234
Banka na vašem účtu zaznamenala podezřelou transakci. Nedovolala se vám, ale platební kartu zablokovala a zaslala vám SMS. Co by v takové zprávě bylo napsáno?
Informace o zablokování karty s tím, že více informací najdete v internetovém bankovnictví, mobilní aplikaci, na pobočce nebo u zaměstnanců banky na call centru.
Informace o zablokování karty s telefonním číslem, na které musíte během 30 minut zavolat.
Informace o zablokování karty se žádostí o zaslání PIN kódu k vaší platební kartě pro kontrolu.
Informace o zablokování karty s odkazem, kde se musíte přihlásit a transakci můžete ověřit.
Jak nejlépe uchovávat hesla, když si je nepamatuji?
Psát si je do poznámkové aplikace ve svém mobilním telefonu
Napsané na papírku, který nosím vždy s sebou
Uložit do internetového prohlížeče
Použít generátor/správce hesel stažený z oficiálního obchodu s aplikacemi (Google Play, Apple AppStore)
Jaké z následujících opatření nejvíce zvýší bezpečnost vašeho internetového bankovnictví?
Používání stejného hesla jako pro osobní e-mailovou adresu
Přihlašování se pouze z veřejných počítačů
Zapnutí dvoufázového ověřování
Sdílení přihlašovacích údajů s rodinnými příslušníky pro případ nouze
Obdobně fungují podvrhy, které se snaží z lidí bankovní údaje vymámit v klamné roli státních úřadů. Jen zprávy v takových případech změní záminku, proč by člověk měl s podvodníky spolupracovat: peníze zpravidla chtějí jako údajnou pokutu za špatné parkování nebo překročení povolené rychlosti. „Protože se zpráva tváří závažně, někteří klienti, ovlivnění strachem z případných problémů s úřady, naletí. Paradoxně se na tento typ podvodu nachytají i lidé, kteří jsou jinak obezřetní,“ vysvětluje Martin Popík.
Časté typy útoků
Phishing: Útok s cílem získat citlivé údaje, jako jsou hesla a přihlašovací jména
Vishing: Telefonická forma phishingového útoku
Investiční podvody: Na první pohled lákavá investiční nabídka, která má ale opět za cíl získat přístup k bankovnictví oběti.
Právě psychologický nátlak je společným jmenovatelem kybernetických podvodů nejen v bankovnictví. Platí to i v případě, kdy se útočník v telefonu vydává za bankéře. Klient si myslí, že investuje nebo si výhodně vkládá peníze, anebo chrání svůj „napadený“ účet, ale útočníci ho opět jen zneužívají.
Naletí i mladí
V době, kdy bankovnictví většina lidí nosí ve svém chytrém telefonu, by se nabízelo, aby útočníci cílili na lidi, kteří nejsou v digitálních technologiích zběhlí. Neplatí to ale vždy. Podle Martina Popíka jsou poslední dobou terčem i mladí, kteří se v digitálním prostředí cítí jako doma a denně tam tráví spoustu času. Právě toho dokážou podvodníci využít.
„Klienti sdílejí statusy a lajkují příspěvky klamných stránek a profilů. Velmi často se to odehrává v chatovacích aplikacích, jako je Telegram nebo WhatsApp. Mohou se tvářit jako reklamy, trailery k filmům nebo třeba investiční příležitosti. Nabízí lákavý výdělek za lajkování, přeposílání nebo označení a zapojení dalších lidí. Ze začátku i něco opravdu dostanou, aby uvěřili. Pak jim ale přijde zpráva, že aby mohli vydělávat dál, musí si zaplatit členství,“ popisuje manažer Air Bank jeden z častých scénářů. Jednotlivé platby jsou sice v těchto případech jen v řádech stovek korun, klienti jsou jich ale s vidinou zisku ochotni provést stovky denně, čímž může výsledná ztracená částka výrazně narůst.
Platby pod drobnohledem
Aby všem popsaným podvodům předcházely, sledují dnes banky u každé platby různé příznaky: od samotné částky přes čas, kdy ji člověk provedl, až po to, z jakého zařízení ji uživatel zadal. Díky tomu mohou následně rozpoznat transakci, která působí podezřele. Ať už svou výší, účelem nebo neobvyklostí. „Třeba klientů ve vyšším věku, kteří v noci kupují kryptoměny nebo investují na akciových trzích, jsou řádově promile z celé klientské báze. Pokud tedy takovou platbu zaznamenáme u klienta, který předtím nikdy takovou transakci neprovedl, naše automatizované modely ji vyhodnotí jako podezřelou s tím, že ji pravděpodobně neprovádí klient. Zablokujeme ji a s klientem se spojíme, abychom si ověřili, že ji opravdu chce provést,“ přibližuje Popík.
Bohužel má podle něj taková snaha často háček. Člověk může být falešným bankéřem tak zmanipulovaný, že opravdovým zaměstnancům banky nevěří, když se jej snaží na probíhající podvod upozornit. V Air Bank mezi podvedenými evidují vyšší desítky procent zpočátku nevěřících klientů, se kterými dál aktivně pracují.
Zásady online bezpečnosti
Zabezpečte si počítač a mobilní telefon. Mějte nainstalovaný a aktualizovaný antivirus.
Ověřujte si původ aplikací. Stahujte je jen z oficiálních obchodů, jako je Google Play nebo Apple App Store
Chraňte své přihlašovací údaje. Nikomu je neříkejte a zadávejte je jen na bezpečných serverech.
PIN od platební karty chraňte jako oko v hlavě. Také ho nikomu nesdělujte. Chtít ho po vás nikdy nebude ani vaše banka.
Mějte bezpečné heslo. Mělo by být náhodné, kombinovat velká i malá písmena, čísla a speciální znaky. Pokud je to možné, používejte dvoufaktorové ověřování.
Pozor na neznámé přílohy. Vždy zkontrolujte adresu odesílatele, vodítkem může být i špatný pravopis.
Nakupujte online jen u ověřených prodejců. Orientujte se podle ikony zamknutého visacího zámku u URL adresy stránky.
Čtěte upozornění banky. Aktuálně probíhající podvody mají popsané na svých stránkách a pravidelně o nich informují klienty.
Pokud máte podezření, informujte banku. Pokud jste se stali obětí podvodu, informujte banku co nejdříve. Čím dříve, tím lépe.
Zdroj: Česká bankovní asociace
Ilustruje to příklad klientky, kterou podvodník v klamné roli bankéře navedl vybrat z jejího bankovního účtu celoživotní úspory. „Paní s nimi pak chodila po Brně od jednoho kryptoměnového bankomatu k druhému a dobrovolně do nich vkládala peníze na podvodníkův účet. A jeho lžím věřila i přes to, že jsme ji opakovaně upozorňovali, že je to právě on, kdo ji podvádí,“ vysvětluje Popík.
V Air Bank tak klientům ve snaze vzdělávat je o možných rizicích pravidelně dělají osvětu třeba pomocí e-mailů, sociálních sítí i dedikovanou sekcí na webových stránkách banky. Podle manažera rizik banky ze skupiny PPF navíc pro bezpečný pohyb v online prostředí stačí mít na paměti pár základních pravidel jako nedávat nikomu své přihlašovací údaje nebo při přihlašování do bankovnictví vždy zkontrolovat URL adresu webové stránky.
Držet krok s útočníky
Popík dodává, že banka po svých klientech při komunikaci nikdy nebude chtít, aby se někam přihlašovali. „Nikdy po vás ani nebudeme chtít PIN od platební karty nebo heslo do vašeho účtu. Nebudeme vám říkat, ať si stáhnete nějakou externí aplikaci. Nikdy vás nebudeme vybízet k tomu, abyste vybírali peníze a dávali je do kryptobankomatů a podobně,“ uvádí.
Banky v boji proti kybernetickým útočníkům vzájemně spolupracují. Vyměňují si poznatky o typech útoků a dávají si mezi sebou vědět o konkrétních případech. „Informujeme ostatní banky, pokud podezřelá platba jde z našeho účtu na jejich a naopak,“ říká Popík. To vše i proto, aby s nejnovějšími taktikami podvodníků drželi krok.
V internetovém prostředí mají totiž podvody rychlé tempo. Manažer Air Bank si vybavuje klamnou stránku na sociální síti Telegram, která měla první den jen zhruba dvacet odběratelů. Druhý den jich ale bylo dvě stě, třetí dva tisíce a čtvrtý už dvacet tisíc uživatelů. „Těch dvacet tisíc lidí navíc za den provedlo stovky tisíc transakcí,“ připomíná Popík princip, kvůli kterému výsledná škoda při takových podvodech nabývá na objemu.
Je to o lidech
Podobu útoků ovlivňuje i rychlý vývoj nových technologií, třeba umělé inteligence. Ta působí problémy v souvislosti se zmíněným phishingem a vishingem. Zjednodušuje totiž podvodníkům tvorbu obsahu včetně takzvaných deepfake videí, která umí člověku „ukrást“ obličej i hlas, a nechat ho říkat věci, které doopravdy nikdy neřekl. „Přijmete videohovor a na druhé straně je podvodník, který vypadá a mluví jako váš kamarád a chce od vás peníze, protože je prý v dalekém městě, kde měl autonehodu,“ říká Popík.
Byť útočníci na digitální technologie spoléhají, neplatí podle Martina Popíka, že čím vyspělejší techniku využívají, tím více škod napáchají. Za tu největší mohou lidé manipulující jinými lidmi. „Nejslabším článkem kybernetické bezpečnosti je člověk,“ dodává.
S případy, kdy je terčem útoku místo klienta infrastruktura banky samotné, se v Air Bank také setkávají pravidelně. Na rozdíl od klientských podvodů ale nezpůsobují tak velké škody, říká Popík. Jsou podle něj předvídatelné a banky se proti nim umí chránit.
Chraňte svoje peníze před podvodníky.
Bezpečná aplikace My Air a internetové bankovnictví
Rychlá možnost zablokování karty nebo platby
Monitoring a vyhodnocování neobvyklých transakcí
Denně odhalujeme pokusy připravit vás o peníze. Společně podvodníkům nedáme šanci.
Jak vás chráníme?