Nejslabším článkem kybernetické bezpečnosti je člověk, říká ředitel divize řízení rizik v Air Bank Martin Popík

Banky a jejich klienti patří k častým cílům kybernetických útoků. Z logických důvodů – peníze na účtech lidí jsou v očích podvodníků lákavou kořistí. Klasickými typy útoků jsou phishing a vishing. „Klientům přijde e-mail nebo SMS zpráva, které se tváří jako autentický vzkaz od jeho banky. Ve skutečnosti je to ale podvodník, který chce z člověka dostat přihlašovací údaje,“ vysvětluje Martin Popík, ředitel divize, která má ve skupině Air Bank takové hrozby na starosti.

Obdobně fungují podvrhy, které se snaží z lidí bankovní údaje vymámit v klamné roli státních úřadů. Jen zprávy v takových případech změní záminku, proč by člověk měl s podvodníky spolupracovat: peníze zpravidla chtějí jako údajnou pokutu za špatné parkování nebo překročení povolené rychlosti. „Protože se zpráva tváří závažně, někteří klienti, ovlivnění strachem z případných problémů s úřady, naletí. Paradoxně se na tento typ podvodu nachytají i lidé, kteří jsou jinak obezřetní,“ vysvětluje Martin Popík.

Právě psychologický nátlak je společným jmenovatelem kybernetických podvodů nejen v bankovnictví. Platí to i v případě, kdy se útočník v telefonu vydává za bankéře. Klient si myslí, že investuje nebo si výhodně vkládá peníze, anebo chrání svůj „napadený“ účet, ale útočníci ho opět jen zneužívají.

V době, kdy bankovnictví většina lidí nosí ve svém chytrém telefonu, by se nabízelo, aby útočníci cílili na lidi, kteří nejsou v digitálních technologiích zběhlí. Neplatí to ale vždy. Podle Martina Popíka jsou poslední dobou terčem i mladí, kteří se v digitálním prostředí cítí jako doma a denně tam tráví spoustu času. Právě toho dokážou podvodníci využít.

„Klienti sdílejí statusy a lajkují příspěvky klamných stránek a profilů. Velmi často se to odehrává v chatovacích aplikacích, jako je Telegram nebo WhatsApp. Mohou se tvářit jako reklamy, trailery k filmům nebo třeba investiční příležitosti. Nabízí lákavý výdělek za lajkování, přeposílání nebo označení a zapojení dalších lidí. Ze začátku i něco opravdu dostanou, aby uvěřili. Pak jim ale přijde zpráva, že aby mohli vydělávat dál, musí si zaplatit členství,“ popisuje manažer Air Bank jeden z častých scénářů. Jednotlivé platby jsou sice v těchto případech jen v řádech stovek korun, klienti jsou jich ale s vidinou zisku ochotni provést stovky denně, čímž může výsledná ztracená částka výrazně narůst.

Aby všem popsaným podvodům předcházely, sledují dnes banky u každé platby různé příznaky: od samotné částky přes čas, kdy ji člověk provedl, až po to, z jakého zařízení ji uživatel zadal. Díky tomu mohou následně rozpoznat transakci, která působí podezřele. Ať už svou výší, účelem nebo neobvyklostí. „Třeba klientů ve vyšším věku, kteří v noci kupují kryptoměny nebo investují na akciových trzích, jsou řádově promile z celé klientské báze. Pokud tedy takovou platbu zaznamenáme u klienta, který předtím nikdy takovou transakci neprovedl, naše automatizované modely ji vyhodnotí jako podezřelou s tím, že ji pravděpodobně neprovádí klient. Zablokujeme ji a s klientem se spojíme, abychom si ověřili, že ji opravdu chce provést,“ přibližuje Popík.

Bohužel má podle něj taková snaha často háček. Člověk může být falešným bankéřem tak zmanipulovaný, že opravdovým zaměstnancům banky nevěří, když se jej snaží na probíhající podvod upozornit. V Air Bank mezi podvedenými evidují vyšší desítky procent zpočátku nevěřících klientů, se kterými dál aktivně pracují.

Ilustruje to příklad klientky, kterou podvodník v klamné roli bankéře navedl vybrat z jejího bankovního účtu celoživotní úspory. „Paní s nimi pak chodila po Brně od jednoho kryptoměnového bankomatu k druhému a dobrovolně do nich vkládala peníze na podvodníkův účet. A jeho lžím věřila i přes to, že jsme ji opakovaně upozorňovali, že je to právě on, kdo ji podvádí,“ vysvětluje Popík.

V Air Bank tak klientům ve snaze vzdělávat je o možných rizicích pravidelně dělají osvětu třeba pomocí e-mailů, sociálních sítí i dedikovanou sekcí na webových stránkách banky. Podle manažera rizik banky ze skupiny PPF navíc pro bezpečný pohyb v online prostředí stačí mít na paměti pár základních pravidel jako nedávat nikomu své přihlašovací údaje nebo při přihlašování do bankovnictví vždy zkontrolovat URL adresu webové stránky.

Popík dodává, že banka po svých klientech při komunikaci nikdy nebude chtít, aby se někam přihlašovali. „Nikdy po vás ani nebudeme chtít PIN od platební karty nebo heslo do vašeho účtu. Nebudeme vám říkat, ať si stáhnete nějakou externí aplikaci. Nikdy vás nebudeme vybízet k tomu, abyste vybírali peníze a dávali je do kryptobankomatů a podobně,“ uvádí.

Banky v boji proti kybernetickým útočníkům vzájemně spolupracují. Vyměňují si poznatky o typech útoků a dávají si mezi sebou vědět o konkrétních případech. „Informujeme ostatní banky, pokud podezřelá platba jde z našeho účtu na jejich a naopak,“ říká Popík. To vše i proto, aby s nejnovějšími taktikami podvodníků drželi krok.

V internetovém prostředí mají totiž podvody rychlé tempo. Manažer Air Bank si vybavuje klamnou stránku na sociální síti Telegram, která měla první den jen zhruba dvacet odběratelů. Druhý den jich ale bylo dvě stě, třetí dva tisíce a čtvrtý už dvacet tisíc uživatelů. „Těch dvacet tisíc lidí navíc za den provedlo stovky tisíc transakcí,“ připomíná Popík princip, kvůli kterému výsledná škoda při takových podvodech nabývá na objemu.

Podobu útoků ovlivňuje i rychlý vývoj nových technologií, třeba umělé inteligence. Ta působí problémy v souvislosti se zmíněným phishingem a vishingem. Zjednodušuje totiž podvodníkům tvorbu obsahu včetně takzvaných deepfake videí, která umí člověku „ukrást“ obličej i hlas, a nechat ho říkat věci, které doopravdy nikdy neřekl. „Přijmete videohovor a na druhé straně je podvodník, který vypadá a mluví jako váš kamarád a chce od vás peníze, protože je prý v dalekém městě, kde měl autonehodu,“ říká Popík.

Byť útočníci na digitální technologie spoléhají, neplatí podle Martina Popíka, že čím vyspělejší techniku využívají, tím více škod napáchají. Za tu největší mohou lidé manipulující jinými lidmi. „Nejslabším článkem kybernetické bezpečnosti je člověk,“ dodává.

S případy, kdy je terčem útoku místo klienta infrastruktura banky samotné, se v Air Bank také setkávají pravidelně. Na rozdíl od klientských podvodů ale nezpůsobují tak velké škody, říká Popík. Jsou podle něj předvídatelné a banky se proti nim umí chránit.