Jaká je podstata phishingových útoků? Které praktiky jsou aktuálně nejnebezpečnější? Dají se získat peníze zpět?
Setkáváte se s praktikami podvodníků často? Kterou z těchto praktik jsou aktuálně nejnebezpečnější? Jaká je podstata phishingových útoků? Kdy by měla člověku zablikat bezpečnostní kontrolka? Jaké podvody se dějí v reálném, fyzickém světě? S jakými konkrétními případy jste se setkali v poslední době? Podařilo se získat peníze zpět? Jak dělat prevenci? Není problém ve zvyku poslouchat autority? Jaké jsou základní atributy manipulativního útoku? Jaké jsou trendy? S čím se dalo setkat v minulosti a s čím dnes? Zvýšil home office množství lidí poškozených phishingem? Existují otázky, které si mohu položit a které indikují, jestli jsem náchylnější se nechat podvést? Záleží na technologiích, které používáme?
Diskutovali:
Ľubica Sobihardová, riaditeľ odboru firemných klientov Tatra banky,
Jaroslav Oster, súdny znalec, zakladateľ, predseda OZ Preventista,
Vojtěch Hájek, šéf security UniCredit Bank.
Mohu na online podvod naletět i já?
Ľubica Sobihardová:
Žiaľ, áno. Online útočníci sú čoraz sofistikovanejší. Čo ale môžme urobiť, je:
- vzdelávať sa v oblasti prevencie voči online útokom, a tým znížiť pravdepodobnosť, že sa to stane práve nám;
- minimalizovať výšku potenciálne vzniknutej škody vhodnými nástrojmi (nastavenie denných limitov transakcií a pod.);
- v prípade napadnutia čo najskôr kontaktovať políciu a svoju banku.
Jaroslav Oster:
V princípe áno. Online podvody sú postavené na metódach sociálnej manipulácie a tak riziko „naletenia“ na podvod je otázkou odolnosti jednotlivca voči takejto forme komunikácie – schopnosti rozpoznať podvodný zámer, kritičnosti jeho myslenia, opatrnosti a v neposlednom rade aj znalostí a skúseností.
Vojtěch Hájek:
Vzhledem k neustále se vyvíjejícím technikám podvodníků, může naletět téměř kdokoliv. Samozřejmě poučený uživatel má mnohem větší pravděpodobnost podvod odhalit a nenaletět.
Co mám dělat, abych snížil riziko?
Ľubica Sobihardová:
- neposkytovať svoje vstupné údaje do internet bankingu, čísla platobných kariet, bezpečnostné kódy do Google/Apple Pay druhým ľuďom (banka/polícia nikdy nepožaduje tieto údaje prostredníctvom mailu/sms/telefonátu);
- pri potvrdzovaní platieb cez internet banking si vždy skontrolovať platenú sumu a názov obchodníka, v prospech ktorého má byť platba zrealizovaná;
- ak vám pri nákupe v rámci inzertných spoločností (napr. Bazos) niekto pošle link na úhradu platby za daný tovar, ukončite komunikáciu;
- vždy si overiť z nezávislého zdroja, či osoba (obvykle nejaká autorita = polícia, banka, šéf), ktorá od mňa požaduje citlivé údaje alebo vykonanie nejakej platobnej transakcie, je naozaj pravá;
- kontrolovať, či stránka, na ktorej realizujem platbu, je pravá (všímať si URL adresu), byť obozretný v prípade komunikácie, kde druhá strana hovorí/píše s gramatickými chybami;
- byť obozretný, ak ma druhá strana vystavuje časovej tiesni, resp. používa iné manipulatívne techniky (nehoda blízkeho, ohrozenie bezpečnosti môjho účtu, majetku)
Jaroslav Oster:
Vzdelávať sa a najmä rozmýšľať. Pri podvodoch v digitálnom svete je základným nástrojom znižovania rizika uvažovanie pri komunikácií. Platí akési nepísané pravidlo, že čo vyzerá príliš lákavo, sľubuje ľahko dosiahnuteľný príjem alebo iný bezpracný benefit je podozrivé.
Vojtěch Hájek:
V první řadě se „vzdělávat“ v oblasti bezpečnosti, ale hlavně používat „selský rozum“. Pokud uživatel zná případy podvodů z minulosti, je mnohem obezřetnější pokud se vyskytne v „podvodné situaci“. Poučený uživatel by například pro ochranu svých peněz v bance vše nevybral a nevložil do bitcoinmatu (obzvlášť pokud nemá s investicemi do kryptoměn zkušenosti). Dále je možné snížit riziko nastavením rozumných limitů – na kartě, v internetovém nebo mobilním bankovnictví. I když se útočníkovi podaří ovládnout klientovu kartu nebo účet, nastavený limit může výši výsledné škody výrazně omezit
Existuje šance získat peníze zpět?
Ľubica Sobihardová:
Áno, ale je to skôr náhoda. Veľkú úlohu hrá v tomto prípade čas, preto je dôležité čo najskôr kontaktovať banku a políciu. V dnešnej dobe, keď väčšina finančných prevodov trvá len niekoľko sekúnd, je pravdepodobnosť vzniku nenávratnej škody veľmi vysoká.
Jaroslav Oster:
Toto je otázka na bankový sektor. Vo všeobecnosti však platí zásada, že konať treba okamžite.
Vojtěch Hájek:
Pokud peníze odejdou z účtu nebo z karty, je velmi obtížné je získat zpět. Šance ale existují a jde primárně o čas. Čím dříve klient nahlásí podezření na zneužití nebo i podvodné transakce své bance, tím je větší pravděpodobnost, že se peníze (nebo jejich část) podaří zachránit.
Jaké případy podvodů jste v poslední době registrovali?
Ľubica Sobihardová:
- Podvodné SMS, ktoré navodzujú pocit, že klienta kontaktuje jeho banka s cieľom ochrániť klienta od ohrozenia bezpečnosti jeho účtu. Požaduje zadať údaje do internet bankingu alebo k platobnej karte kliknutím na priložený link;
- podvody na online bazároch, kde fiktívny kupujúci požaduje zadať údaje do internet bankingu resp. pre platbu platobnou kartou;
- podvodné telefonáty (banka, polícia, IT spoločnosť) vyvolávajúce pocit ohrozenia a požadujúce zadanie citlivých údajov k internet bankingu/karte;
- nabúranie sa do mailovej komunikácie s obchodným partnerom/zamestnancom - informácia o náhlej zmene čísla účtu, na ktorý má byť platba poukázaná alebo časovo naliehavý pokyn autority čo najskôr zrealizovať platbu;
- podozrivo nízke ceny na e-shopoch, nechcená zásielka od kuriéra - stačí už len zaplatiť poštovné/DPH;
- maily informujúce o nečakanom dedičstve, žiadosti o pomoc spojené s prevodom vysokých čiastok;
- online "priatelia" prezentujúci nadštandardný životný štýl vďaka zbohatnutiu investíciami do cryptomien, fondov.
Jaroslav Oster:
Je ich mnoho. Pre mňa vážnym mementom v oblasti podvodov je dynamický nárast ich počtu (samozrejme aj škôd), nárast ich sofistikovanosti. Momentálne asi aktuálnou témou sú rôzne formy manipulatívnych podvodov voči seniorom a to nie len v online priestore, ale aj vo fyzickom svete.
Vojtěch Hájek:
V poslední době se rozmáhají podvody na klienty, kteří prodávají zboží na internetových bazarech. Podvodník napíše prodávajícímu zprávu většinou přes WhatsApp, že o nabízené zboží má zájem a chce provést platbu z karty na kartu (tedy způsob, který rozhodně není běžný). Podvodník zašle odkaz na podvodnou stránku, která se podobá běžné platební bráně. Často podvodníci zneužívají i loga známých společností (např. Česká pošta, DHL, PPL). Pokud prodávající zadá údaje o své platební kartě, podvodníci pokračují v komunikaci a vylákají další potřebné údaje (např. PIN kód, autorizační kódy) nebo přimějí prodávajícího pod nějakou záminkou, aby platbu zadanou podvodníkem potvrdili sami svým bezpečnostním klíčem. Podvodníci se v těchto případech snaží vylákat od prodávajícího i přístupové údaje do internetového bankovnictví, kde mohou pokračovat ve své nekalé činnosti.
Objevily se i více sofistikované podvody, kdy podvodníci nastaví své telefonní číslo tak, aby vypadalo stejně jako zákaznická linka banky. Podvodníci se snaží pod záminkou „rozpracované žádosti o úvěr“ v bance vylákat od klienta co nevíce údajů. Následně se do případu zapojí falešný policista (který rovněž telefonuje z podvrženého telefonního čísla), aby útočníci získali důvěru klienta. Poté již pokračují např. žádostí o poskytnutí vzdáleného přístupu na počítač klienta, žádostí o převedení peněz nebo žádostí o vybrání peněz a vložení do bitcoinové peněženky
