Podvodníci už 20 let cílí na internetbanking a problémy zůstávají.

  Už je to 20 let co jsem s kriminalisty z 2. oddělení PČR vyšetřoval vykradený bankovní účet přes internetové bankovnictví. Od té doby je vidět jasný tlak bank, aby klienti obsluhovali své bankovní účty přes internetová bankovnictví.

  Proto jsem byl velmi překvapený, že se i po 20. letech objevují názory, že hlavní slabinou je uživatel – platící klient banky. Naposledy o tom psali v Lidových novinách 11. února 2022 a následně několik dalších vyjádření, ze kterých je cítit jak autoři opakují staré názory.

   Homebankingu, tedy obsluze bankovních účtů na dálku jsem se začal věnovat již v 90. letech minulého století. Později přišla obsluha účtu přes internet a ještě později přes mobilní telefon. Již od počátku bylo jasné, že ovládání bankovního účtu „na dálku“ je a bude pro banky velmi výhodné. Současně bylo zřejmé, že taková služba bude lákat různé podvodníky a skupiny profesionálních podvodníků.

  První velká lavina, velký útok podvodníků nebyl v letech 2001-03 zaměřen na bankovní účty, ale na telefonní vyúčtování. Tehdy se pro připojení do internetu používalo ještě připojení přes pevnou linku a uživatelé se do internetu připojovali přes připojení na konkrétní telefonní číslo. Ano, jedná se o pravěk internetu. Pro pochopení tehdejších a dnešních chyb nejsou důležité technologie, ale jednání lidí, kteří z titulu své funkce mohou včas a rázně vyřešit vznikající problém.
  Podvod spočíval v tom, že se uživatelům do počítačů dostal virus, který jednoduše změnil telefonní číslo pro připojení. Uživatelé pak surfovali přes telefonní čísla s předvolbou 906, apd. Tedy klidně i 50-70 korun za minutu, místo tehdejšího tarifu 18Kč / hodinu. Poškozených bylo jen České republice několik TISÍC.
   Já jsem tehdy dělal školení pro řadové úředníky ČTÚ, kteří hledali informace jak mají reklamace, zjevné podvody řešit.
   Celou diskusi, ale utnul tehdejší předseda ČTÚ, který řekl, že když jsou uživatelé hlupáci a nedokáží si počítač ohlídat, tak jim to patří. Jen pro úplnost doplním, že se jednalo o cca 4 500 poškozených v ČR, kteří nenašli zastání a pomoc při řešení zjevného podvodu a škoda dosahovala stovek milionu korun.

   Do podmínek, které v odborné komunitě nastavily případy „Dialery – drahé připojení do internetu“, tedy názoru, že "uživatelé jsou hlupáci, kteří si nedokáží ohlídat počítač", tak do těchto podmínek přišly zhruba v roce 2002 první případy vykradených bankovních účtů přes internetová bankovnictví. Z té doby pochází i jeden případ, kdy se majitel malé firmy vrátil z dovolené, chtěl zaplatit nějaké faktury a zjistil, že je účet prázdný. Ihned druhý den šel na pobočku své banky a chtěl řešit reklamaci, protože konkrétní transakce nezadal. Banka jej odmítla s argumentem, že je u všech příkazů jeho elektronický podpis. Tento pán se nevzdal a podal trestní oznámení na PČR.

   Při vyšetřování jsem nejprve v počítači s pomocí několika různých antivirů nenašel žádný počítačový virus a žádné změny v konfiguraci operačního systému, atd. Počítač jsem vypnul a odložil do regálu. Po několika týdnech jsem jej znova prozkoumal s nejnovějšími antiviráky. V tomto případě již antiviry nalezly virus. Jak je to možné, když byl počítač vypnutý??? Virus (trojský kůň), který podvodník použil, byl v počítači již před prvním zkoumáním, ale byl tak nový, že jej v době vykradení účtu a ještě několik dnů potom nebyly schopné antivirové programy odhalit. Pachatele jsme vypátrali, on nahradil škodu, ale minimálně zvláštní bylo, že banka se o výsledek šetření a způsob útoku nezajímala.

   Fakt, že antivirové a jiné bezpečnostní programy nebudou schopné včas odhalovat profesionálně připravené útoky, tak na tuto skutečnost jsem upozorňoval již v roce 2002. Odpovědí bylo buď mlčení nebo přímo útoky na moji osobu. Posledních 20 let v oblasti počítačové (cyber) bezpečnosti mi dalo za pravdu. Slabiny v operačních systémech jsou stále. Navíc se objevují profesionálně připravené útoky, které takové slabiny zneužívají. Jednou je to útok na řídící systém ropovodu, jindy jde o útok na obchodní firmy, nemocnici a další skupinou potenciálních obětí jsou uživatelé internetového bankovnictví.

   Uplynulých 20 let ukázalo, že pro některé „odborníky“ je nejjednodušší svádět odpovědnost na ty neslabší, tedy na obyčejné uživatele internetového bankovnictví.

   Jasně, že jsou uživatelé naivní, nezkušení. Jenže to byli už před 20 lety a budou tací i za dalších 20 let. Prostě se s takovým chováním lidí musí skutečný profesionál počítat.

   Když někteří „odborníci“ hovoří o tom, že nejslabším bodem internetového bankovnictví je člověk- uživatel, tak by si měli tito „odborníci“ uvědomit, že uživatelé jsou do obsluhy bankovního účtu přes počítač, mobil a internet tlačeni bankami, jejich zvyšováním poplatků za klasický příkaz k úhradě a rušením poboček v menších městech.

   Za posledních 20. let se nezlepšila ani situace v případě počítačových virů. Naopak. V roce 2002 viry útočily pouze na počítače. Dnes různé podvodné appky dokáží útočit i na mobilní telefony, průmyslové systémy, atd. Hackerských útoků a virů je již tolik, že to už nezajímá ani novináře a píší teprve o skutečně velkých útocích. Útok na jeden bankovní účet dnes, bohužel, skoro nikoho nezajímá, i když tam byly vaše celoživotní úspory.

   V minulém roce jsem pomáhal řešit případ vykradeného účtu. Klientovi byly odcizeny z účtu peníze a skončily na jiném účtu zahraničního klienta, ale ve stejné bance s centrálou na Praze 4. Banka tehdy odmítala řešit reklamaci s podobným argumentem jako v roce 2002 tedy, že jsou transakce podepsány správným elektronickým podpisem, atd. Vše se pohnulo až v okamžiku kdy jsme banku upozornily na AML (Anti-Money-Laundering), legalizaci výnosů z trestnné činnosti a podezření na financování terorismu a ustanovení zákona č. 253/2008 Sb. především §18-20 tohoto zákona.

   Za posledních několik let se podvodníci velmi zdokonalili. To je fakt, který byl předvídatelný již v roce 2002, případně 2007, 2012, 2017. Za ty roky se nezlepšila situace na úrovni technologií, na úrovni bezpečnosti operačnch systémů a dalších programů. Dalším faktem bylo, je a bude, že zde stále existuje velká skupina uživatelů, kteří se mohou stát obětí sociálního inženýrství, tedy dobře nachystaného podvodu.
   To jsou oblasti, se kterými banky musí počítat, pokud chtějí ochránit účty a peníze, které jim svěřili platící klienti.

   Největší slabinou pro internetová bankovnictví, ale také například pro e-government jsou manažeři, kteří tvrdili a tvrdí svým nadřízeným, že proti profesionálně připravenému podvodu se mají ubránit sami občané. Pokud by banky sváděly odpovědnost na své platící klienty, tak se může snadno stát, že budou mít problém s důsledným uplatňováním AML (Anti-Money-Laundering) a zákona č. 253/2008 Sb., který zavedl principy AML do české legislativy. Již dnes mají banky možnost a někdy dokoce povinost neprovést neobvyklý obchod a oznámit ho příslušné instituci.

   Takže pokud budou řádně uplatňována ustanovení zákona č. 253/2008 Sb., tak nemůže docházet k situaci, že vykradený účet přes internetové bankovnictví způsobí ztrátu celoživotních úspor. Klient v dobré víře svěřil bance své peníze. Banka jej svojí obchodní politikou tlačila k používání internetového bankovnictví. Banka má nástroje na to, aby odlišila standardní transakci od těch podezřelých. Banka má u podezřelých transakcí oporu v zákoně č. 253/2008 Sb. Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu.

   Zaklad řešení je jednoduchý, stačí chtít problém skutečně vyřešit a vážit si klientů, kteří bance svěřili své peníze. Nejnebezpečnějším článkem internetového bankovnictví není uživatel, ale je jím manažer, který přesně ví jak se mají chovat platící klienti a dlouhodobě odmítá jiný názor.

   Na počátku tohoto tisíciletí jsem pomohl PČR s vyřešením několika případů vykradených bankovních účtů přes internetová bankovnictví. Banky se tehdy o vyšetřování nezajímaly a mne si zapsaly na pomyslnou „černou listinu“, protože jsem měl jiný názor než byl mainstreamový názor. Jenže uplynulo 20 let, situace se zhoršuje, ale „odborníci“ stále tvrdí, že největší slabinou jsou jejich platící uživatelé.

   Jsem přesvědčen, že přichází doba, kdy bude třeba situaci skutečně vyřešit. Důvodem jsou jednak občané, kteří svěřili bankám peníze a pak o ně přišli. Dalším důvodem je i skutečnost, že pokud v určité zemi jsou málo chráněni běžní uživatelé, tak je to výzva pro nové a nové hackery a organizované skupiny podvodníků. Jednoduchá, ale rázná změna přístupu může podvodníky odradit a počty pokusů o podvody omezit.

   S nezkušeností, nepororností uživatelů se musí počítat. Uživatelé byli nepozorní před 20 lety, jsou dnes a budou i za dalších 20 let. Změnit se musí chování bank a konkrétně jejich „odborníků“ na počítačové podvody.

P.S.

Pár rad pro běžné uživatele

prevence

- Celoživotní úspory mějte uložené na jiném účtu než kam vám chodí výplata. Vypadá to trochu retro, ale nejlepší je účet, ke kterému není přístup přes internet.

- U počítače při práci s bankovními účty, penězi nespěchejte. Nejsnadněji se udělá chyba, nejsnadněji se stanete obětí podvodníka, když budete pod tlakem, budete spěchat.

- Pokud to je možné, tak u svého bankovnictví a platební karty nastavte limity a omezení na platbu pouze v rámci ČR nebo EU.

- Pro platby přes internet nebo pro platby v zahraničí si zřiďte jinou kartu, případně jiný účet.

Jasně, že je to komplikované, zdlouhavé a dražší než, když budete mít peníze na jednom účtu, ale je to to nejjednodušší bezpečnostní opatření.

když už se něco stane

- Pokud se vám už stane nějaká nepřijemnost, tak se nevzdávejte. Bojujete o své peníze.

- Pokud už se vám stane nějaká nepřijemnost, tak okamžite volejte do banky nebo se s bankou spojte jiným způsobem, ale hlavně rychle. Při zablokování transakce jde o hodiny, často i o minuty.

- Podejte reklamaci. Jednou variantou je reklamace z důvodu, že jste se stali obětí hackerského útoku, podvodu. Když to bankéře nebude zajímat, vyvolá to u nich pohrdavý úsměv, tak reklamujte transakci z důvodu, že jste konkrétní transakci zadali omylem.

- Když jednání banky bude pomalé, tak stejně rychle zajděte na Policii a dejte trestní oznámení.

- Připravte se na to, že se vyšetřování může táhnout dlouhé měsíce.

Vzkaz pro banky:

    Před 20 lety jsem dokázal pachatele vypátrat bez přístupu do bankovního systému a bez služebního průkazu. Není čas mne vyškrtnout z "černé listiny" a začít skutečně řešit problém?