Váš účet je v ohrožení. Nové triky digitálních zločinců

Naposledy se mi to stalo před pár dny. Volá české mobilní číslo, a když hovor přijmu, ozve se hlas se zřetelným přízvukem, představí se, řekne jméno nějaké firmy a spustí něco o tom, že mi zachrání peníze prostřednictvím blockchainu.

Obvykle bývám docela zdvořilý, nicméně jsem zrovna měl dost práce, tohle byla zjevná pitomost, tak jsem jen řekl, ať se nezlobí, že to není nic pro mě, na shledanou, a zavěsil jsem.

Za pár vteřin další hovor, z české pevné linky. „Co vy mně pokládate telefon? Ja vam mužu zachranit penize v blokčajnu,“ spustil ten samý muž mnohem agresivnější formou. „Co prosím? Už jsem vám řekl, že ne,“ na arogantní tón některých volajících umím díky své práci reagovat celkem klidně. „Když neuslyšite, přidete o hodně,“ pokračoval podobnou kadencí volající muž. „Fakt ne, na shledanou,“ přestalo mě to bavit. Potřetí už nezavolal.

Vzpomněl jsem si na asi měsíc starou podobnou scénku, kdy se mě nějaký anglicky mluvící chlapík z belgických a nizozemských čísel asi čtyřikrát zkoušel přesvědčit, že jsem projevil zájem o investice do kryptoměny. A když slyšel, že ne, strategii upravil a říkal, že požádá šéfa, aby mě mohl na ten seznam investorů pro tuhle skvělou příležitost dopsat. A i když jsem mu řekl, že o to nestojím a investovat nehodlám, druhý den mi hrdě, zase z jiného čísla, hlásil, že se to povedlo a může mě nechat zaregistrovat. Dál už jsme nepokročili, i moje trpělivost má své meze.

Oba pokusy byly dost zfušovanou verzí toho, oč se teď nejčastěji pokoušejí kybernetičtí podvodníci. Aby přiměli oběti spolupracovat a aktivně se podílet na vlastním okradení.

Technické zabezpečení digitálního bankovnictví nebo třeba plateb kartou je už na takové úrovni, že zločincům prakticky nedává smysl, aby investovali úsilí a peníze do pokusů o jeho prolomení. Proto se soustředí na ten nejzranitelnější prvek v celém finančním systému – na lidi samotné. A v mnoha případech, bohužel, také uspějí.

Příjem peněz se nepotvrzuje

Česko se v posledních dvou letech dostalo naplno do centra zájmu kybernetických finančních gangů. Loni dramaticky poskočily nahoru způsobené škody a dostaly se ke dvěma miliardám korun. V letošním roce je podle Petra Zímy, manažera klientské bezpečnosti České spořitelny, situace o něco lepší – škody by snad nemusely přesáhnout jeden a půl miliardy. Pořád je to ale třikrát více, než tomu bylo ještě v roce 2020. 

Podvody si můžeme rozdělit do dvou základních skupin. Tou první je takzvaný phishing, tou druhou pak manipulace klientů k platbám.

V případě phishingu jde o to, že podvodníci přivedou člověka na nějakou falešnou internetovou stránku, přimějí ho zadat údaje o svém bankovním účtu a následně i autorizovat platbu. Příkladem může být loni velmi rozšířený podvod, kdy zločinci využili jednorázově vypláceného státního příspěvku pět tisíc na dítě. Posílali lidem SMS zprávy s tím, že pro vyplacení této dávky mají vyplnit své bankovní údaje, a pak je naváděli k tomu, aby potvrdili údajnou příchozí platbu. 

Na stejném principu fungují takzvané „bazarové podvody“. Zločinci předstírají, že chtějí koupit zboží, které člověk nabídne na internetovém bazaru. „Využívají toho, že lidé mají radost, jak rychle našli kupce, že se té věci zbaví a dostanou peníze. A v téhle chvilce někteří ztratí obezřetnost,“ říká Petr Zíma.

Útočníci je navedou na falešné stránky banky a nechají je, aby tam zadali své přihlašovací údaje do internetového bankovnictví s tím, že pak mají potvrdit příchozí platbu. Což je samozřejmě nesmysl, protože příchozí platba se nepotvrzuje. To si ovšem nemusí každý hned uvědomit.

Když zločinci získají přihlašovací údaje, bleskově se přihlásí už do skutečného bankovního účtu své oběti a zadají tam platbu, jenže odchozí. A pokud je člověk v tu chvíli trochu nepozorný – a navíc ví, že má něco potvrdit –, může platbu autorizovat a peníze jsou pryč.

Podvody tohoto typu se v různých obměnách vracejí, bankám se ale v posledním roce podařilo jejich počet výrazně snížit. Podle Petra Zímy k tomu vedla kombinace několika druhů opatření. Tím prvním je prevence, tedy vzdělávací kampaně a informace klientům, které před různými typy podvodů varují. Druhým je pak samotný proces potvrzování plateb. „V naší potvrzovací aplikaci George klíč vám v každém okamžiku viditelně říkáme, co právě děláte. Že se přihlašujete do svého účtu, že potvrzujete odchozí platbu a v jaké výši a podobně,“ popisuje Petr Zíma. Pomohlo prý i to, že v potvrzovací aplikaci přibylo asi vteřinové zdržení s varováním před podvody. Klienti tak neudělají jen rychle klik, klik, klik… Řadu z nich to prý zachrání od falešné platby. Výrazně se pak podle Petra Zímy zvýšila třetí vrstva ochrany, kterou představují vnitřní bezpečnostní systémy bank, jež vyhodnocují podezřelé transakce. Podrobnosti o jejich vylepšování banky pochopitelně nezveřejňují, ale účinkem bylo, že počty dokonaných phishingových transakcí klesly o vysoké desítky procent.

„Musíte si ten úvěr vzít“

V současné době tak hraje prim jiný druh podvodů, manipulace klientů tak, aby peníze sami dobrovolně posílali. Sem patří zejména podvodné investice, falešní bankéři, ale také falešné charitativní sbírky nebo citová vzplanutí, kdy se lidé seznámí na internetu s někým, kdo z nich pak vyláká peníze. „Osmdesát procent všech současných podvodů tvoří dvě hlavní kategorie, podvodné investice a falešný bankéř,“ popisuje Petr Zíma.

Scénářů s falešnými bankéři, ale i policisty a podobně existuje bezpočet. Zločinci se snaží lidem vsugerovat, že jsou jejich peníze v ohrožení, a přimět je, aby je „převedli na bezpečný účet“ nebo „vložili do bezpečného bankomatu“, kterým ale bývá bankomat na bitcoiny.

Často jsou to vícestupňové manipulace s velmi propracovaným scénářem. A dovedou okrást i lidi, kteří toho ani na účtu moc nemají. Jedním takovým byl třeba případ mladé pražské cukrářky. Jednoho dne jí zavolal falešný bankéř a říkal jí, že pro ni má připravený úvěr, o který si zažádala. Ona popravdě řekla, že o úvěr nežádala. Falešný bankéř se tedy zeptal, zda to má stornovat, a poslal potvrzení o stornování úvěru. Pak se ozval falešný bezpečnostní manažer s tím, že se zřejmě jednalo o pokus o podvod, kdy se někdo snažil využít částku, na kterou má takzvaný předschválený úvěr. A aby se to nemohlo opakovat, musí si ten úvěr skutečně vzít a peníze bance zase poslat zpět na „zabezpečený účet“. Žena si tak vypůjčila půl milionu a poslala celou sumu podvodníkům. Druhý den jí zavolali s tím, že to, co se jí dělo v bance, se teď děje u splátkové společnosti, a že by si tedy měla vzít ještě další půjčku. To ji stálo dalších sto tisíc korun…

Důvěryhodnost triku ještě umocňuje další vrstva podvodu, které se říká spoofing. V takovém případě podvodníci dovedou skutečné číslo, ze kterého volají, maskovat za jiné, které skutečně patří bance nebo policii. Pokud ale člověk to číslo nevyťuká znovu, ale jen na mobilu zmáčkne zpětné volání, dovolá se zase zpátky k podvodníkům. 

Zázračně rostoucí… průšvih

Obdobně rozmanité jsou i podvody s falešnými investicemi. Od primitivních, jaké jsme popisovali v úvodu článku, až po docela sofistikované. Podvodníci přilákají oběť pomocí nějaké lákavé nabídky na stránky falešné investiční platformy, která ale na první pohled působí velice seriózním a propracovaným dojmem. Často nabízejí nejprve jen malou investici na vyzkoušení. Pár tisíc, které se během krátké doby výrazně zhodnotí. V době, kdy jsou kurzy různých kryptoměn velmi pohyblivé, to nemusí působit až tak podezřele.

„Někdy dokonce klientovi pošlou tu malou úvodní investici zpátky na účet, čímž posílí dojem serióznosti. To je ten moment zaseknutí háčku,“ popisuje Petr Zíma. Budoucí oběť ještě o nic nepřišla a podvodníci chvíli dál domněle zhodnocují jen ty „vydělané peníze“. A pak nabídnou, že by se takhle dal znásobit i mnohem vyšší vklad. Místo původních pěti tisíc je to třeba dvě stě padesát nebo pět set tisíc, záleží na tom, co je kdo ochotný vložit. Když je oběť pošle, udělají z nich za pár týdnů virtuální milion nebo i víc, klienti na svých obrazovkách vidí, jak ta čísla pěkně rostou. Tato fáze se může opakovat vícekrát, například s nabídkou jiné příležitosti, nového fondu a tak dále, variant je bezpočet.

Zajímavé bývá i finále. Ve chvíli, kdy chce klient peníze vyplatit, řeknou třeba, že ano, samozřejmě, ale že tak přijde o „investiční skóre“. Takže je nejprve potřeba vložit nových dvě stě tisíc do dalšího investorského kola, což je „podmínka pro vyplacení plného zisku“. Velmi časté je, že i tu poslední platbu vymámí, protože se lidé nechtějí vzdát části z toho čísla, které vidí na svém virtuálním účtu. Konec bývá ovšem stejný. Na účet nepřijde nic, všechny odchozí transakce byly provedeny s plným vědomím a na přání klienta, takže nelze ani nic nikde reklamovat.

Banky dovedou docela výraznou část podvodných investičních schémat identifikovat. Své klienty v takových případech vždy varují a snaží se je od dalšího „sebeokrádání“ odrazovat. Podvodníci s tím ale počítají, a tak někdy svým budoucím obětem rovnou namlouvají, že je chamtiví bankéři nechtějí nechat vydělat na skvělých příležitostech, které si schovávají sami pro sebe. Lidé pak nechtějí upozorněním na možný podvod věřit. U jiných se zase stává, že si nechtějí připustit, že by zrovna oni mohli naletět podvodníkům. Případně se nechtějí smířit s tím, že by k nim nedoputovaly peníze, na které se už těšili.

Proto někteří i přes upozornění banky ve svém domnělém investování dál pokračují. „K opuštění podvodných schémat se nám podaří přesvědčit zhruba sedm z deseti obětí,“ říká Petr Zíma z České spořitelny s tím, že se vyplácí speciální tréninky komunikace pro tyto situace; ještě nedávno byl totiž poměr těch, kdo si nenechali sebe-okrádání rozmluvit, zhruba poloviční.

 

Zamaskované karty

Jestliže pokusů o manipulace bankovních klientů přibývá, u bankovních karet je to jiné. „V Česku je obecně velmi nízké procento krádeží na kartách, a to i ve srovnání se západními evropskými zeměmi,“ říká Petr Polák, country manažer společnosti Visa pro Českou republiku. Z dlouhodobého hlediska podle něj navíc ještě spíše klesá.

K bezpečí českých karet přispívá, že Češi méně nakupují v rizikových internetových destinacích. Přibližně polovina karetních transakcí se podle Petra Poláka odehrává v domácích e-shopech, kde je bezpečnost mimořádně vysoká. Ta zahraniční polovina transakcí se z velké míry děje v internetových obchodech na území EU, případně u velkých globálních gigantů.

Ta podstatnější část ale souvisí s technologiemi. 

Už před dvaceti lety se v Česku začaly vydávat karty s takzvanou čipovou technologií, které jsou rychlejší a bezpečnější než karty postavené na principu magnetického proužku. „Další pokrok přišel s nástupem plateb mobilem nebo chytrými hodinkami,“ říká Petr Polák. Češi obecně rádi a rychle akceptují technologické novinky a ani platby telefonem a hodinkami nebyly výjimkou. V mobilech, hodinkách, ale i v moderních nástrojích pro platby na internetu se používá princip takzvané tokenizace, která je výrazně bezpečnější než všechny předcházející technologie.

Slova token a tokenizace znějí sice značně nepřístupně, ale zase tak komplikované to být nemusí. Základní princip je následující: pro uskutečňování transakcí a přenos dat se mění citlivé údaje (o vaší kartě) za necitlivé (tokeny). Token je tak jakýmsi digitálním otiskem vaší karty – tvoří ho řetězec číslic a písmen, které jsou v jiném formátu, než je číslo karty. Takže když si například zadáte svou kartu do služby Apple Pay pro placení mobilem, v Apple Pay je uložen jen token vaší karty. Při každém placení, když přiložíte mobil k terminálu, si terminál přečte token z mobilu, ale neví, k jaké kartě patří. Údaje z tokenu pošle do karetní společnosti a ta k tokenu přiřadí tu správnou kartu a zároveň se zeptá vaší banky, zda máte na účtu peníze pro zaplacení té transakce. Pokud ano, informace o potvrzení platby se pošle zpět do terminálu, ten pípne a je hotovo. To vše se samozřejmě odehrává ve zlomcích vteřin. Podstatné ale je, že kromě karetní společnosti nikdo neví, k jaké kartě ten který token patří. 

Takže i kdyby někdo ten token teoreticky nějak okopíroval nebo ukradl – což se neděje, protože i samotný přenos tokenů je dobře zabezpečený –, nebude mu k ničemu, protože na samotný token nikde nic nevybere ani nezaplatí. 

Pro každou službu, která princip tokenizace používá, navíc vzniká jiný token. Takže máte jiný otisk své karty v Apple Pay, jiný je uložen třeba u Netflixu a ještě jiný můžete mít k dispozici pro platby v internetových obchodech. Obě hlavní karetní společnosti, Visa i Mastercard, nabízejí svým klientům službu „Click to Pay“, kdy se jejich karta tokenizuje i pro transakce v e-shopech. Tím by mělo odpadnout riziko zneužití i u méně prověřených a zabezpečených obchodníků. 

Tokeny, které má člověk v jednotlivých službách, neskončí spolu s platností karty. „Když vám vydáme novou kartu, automaticky ji propojíme s těmi tokeny, které byly spojeny s tou předchozí,“ říká Petr Polák, country manažer Visa pro Česko. Takže při změně karty není potřeba zase všude všechno znovu vyplňovat a ukládat.

Jak se bránit

Technologie ochrany jsou v bankách i u karet čím dál tím propracovanější, takže je docela logické, že nejzranitelnějším bodem celého finančního ekosystému zůstává člověk. Právě na lidské emoce, nepozornost, důvěřivost, obavy se budou zločinci čím dál více zaměřovat. 

I na jejich straně se zlepšují postupy: mívají profesionální call centra s nacvičenými variantami postupu pro jednotlivé kroky, propracované manipulativní scénáře i trénovaný personál. Používají jména skutečných bankéřů či policistů.

Proto je namístě zvýšená obezřetnost. Člověk by si měl vždy důkladně ověřit, s kým mluví. Některé banky nabízejí ověření přímo v bezpečnostní aplikaci. „Během hovoru můžete požádat bankéře, aby se ověřil. Vy pak v aplikaci George klíč uvidíte jeho jméno a telefonní číslo a požádáte ho, aby vygeneroval ověřovací kód. Ten vidíte jen vy dva, a pokud vám jej přečte, máte jistotu, že hovoříte s konkrétním bankéřem z České spořitelny,“ popisuje Petr Zíma. Podobnou službu nyní zavedla i Komerční banka v rámci své aplikace KB klíč. Trochu jiným způsobem přes aplikaci ověřují hovory například i v Raiffeisenbank nebo v Max bance.

Zároveň je dobré mít na paměti několik dalších zásad. Banky nikdy nechtějí nadiktovat celé číslo vaší platební karty. Nežádají o instalaci programů do vašeho počítače. Nechtějí potvrzení příchozí platby. Nežádají klienty o výběr hotovosti ani o přesun peněz na jiný účet. Policie nikdy nežádá o spolupráci na odhalení podvodníků běžné klienty bank, a už vůbec ne po telefonu. České banky ani policie určitě nepoužívají weby, jejichž internetové domény vypadají nesrozumitelně či podezřele a koncovky vedou do exotických zemí. Pořád platí i to, že není dobré mít napsaný PIN blízko platební karty. A také to, že zázračné cesty ke zbohatnutí zpravidla neexistují…