Kyberpodvodníci loni vytáhli z klientů českých bank stamiliony korun

Zdroj: Grafika e15

Desítky tisíc podvedených, kteří přišli skoro o miliardu, takový je podle agregovaných dat České bankovní asociace výsledek útoků kyberpodvodníků na klienty tuzemských bank, a to jen za první tři čtvrtletí roku 2023. Co dělají finanční domy pro osvětu mezi zákazníky a ochranu jejich financí?

Z pohledu statistik kyberkriminalita zaměřená na klienty českých bank v posledních třech letech neustále roste. Podvodníci přitom cílí na peníze zákazníků všech bank na trhu. „Ke konci třetího čtvrtletí jsme na základě dat z bank zatím evidovali přibližně 50 tisíc případů a celkovou škodu za téměř jednu miliardu korun,“ informuje Markéta Dvořáčková, tisková mluvčí České bankovní asociace (ČBA).

„V porovnání s listopadem 2022 jsme byli v listopadu 2023 přibližně na dvojnásobných hodnotách v počtu útoků, z hlediska objemu sumy podvodně zadaných plateb jsme zaznamenali 60procentní nárůst,“ potvrzuje neblahý trend tiskový mluvčí Fio banky Jakub Heřmánek a upřesňuje, že zvyšující se suma zachycuje všechny podvodné pokusy, ať už skončily zcizením, nebo je banka překazila.

Kyberpodvodníci „pracují“ každý den

Ve snaze ukrást peníze klientů finančních ústavů jsou podvodníci neúnavní. „Přes internetové bankovnictví jde každý den o desítky, u platebních karet o stovky pokusů,“ vypočítává Michal Teubner, tiskový mluvčí Komerční banky. Dokonaných phishingových útoků, jak se tomuto kyberkriminálnímu jevu také říká, je ale jen zlomek. Banky dělají vše pro to, aby se klienti nenechali nachytat a aby byly jejich systémy stále odolnější.

„Klienti nás kontaktují dennodenně s dotazy na podvodné zprávy e-maily, SMS nebo volání. Učíme je, aby se při jakémkoliv podezření ozvali, abychom mohli podvodu, ať už je v jakémkoliv stádiu, co možná zabránit,“ říká Teubner a doplňuje, že z komunikace s klienty banka získává cenné informace o nových metodách, které podvodníci používají.

„Podvody nám hlásí sami klienti, část z nich odhalíme také prostřednictvím detekčního nástroje, který jsme v nedávné době nasadili,“ sděluje za Trinity Bank její tiskový mluvčí Kamil Chalupa a upřesňuje, že zmiňovaný nástroj se zaměřuje na monitoring potenciálně podezřelých plateb.

Podle zkušeností České spořitelny bylo v roce 2023 nejčastější metodou phishingu přímé oslovení klientů. Při něm se útočníci vydávají za bankéře nebo investiční makléře a manipulují klienty k odeslání velkých finančních částek online do podvržených investičních produktů. „Trojici nejčastějších podvodů doplňují bazarové v online prostoru,“ doplňuje Petr Zíma, šéf klientské bezpečnosti v České spořitelně.

Vynalézavost kybernetických podvodníků tím však zdaleka nekončí. ČSOB nedávno varovala před další praktikou, kterou nyní často využívají: vydávají se za hlasový automat, který volá jménem banky a vyzývá k důležité aktualizaci bankovní mobilní aplikace. Pokud se lidé nachytají a s automatem spolupracují, končí to krádeží přihlašovacích údajů k jejich účtům nebo platebním kartám a jejich následnému zneužití k odcizení peněz.

Dokonalý trik

Ještě o krok dál jde další finta, na kterou se snadno nachytají i ti, kteří hlasovému automatu neuvěří. „Tento podvod je už skutečně sofistikovaný. Zazvoní vám telefon, po jeho zvednutí se ozve hlasový automat vydávající se za banku s upozorněním, že vaše bankovní mobilní aplikace potřebuje nutně update a pokud ho chcete provést, máte stisknout jedničku. Pokud jedničku skutečně na svém mobilním telefonu stisknete, hlasový automat oznámí, že vám do mobilu posílá SMS zprávu s odkazem pro stažení nové verze, poděkuje vám za spolupráci a zavěsí,“ popisuje začátek tohoto podvodu Petr Vosála, manažer bezpečnosti digitálních kanálů skupiny ČSOB.

Hlasový automat působí velmi přesvědčivě a zdánlivě nic nenasvědčuje tomu, že by se mohlo jednat o podvod. V SMS zprávě přijde slibovaný odkaz, ten ale ve skutečnosti vede na podvodnou webovou stránku, která člověka vybízí k vyplnění přihlašovacích údajů. Včetně hesel a citlivých údajů, jež pak útočníkům otevřou přístup do internetového bankovnictví nebo umožní zneužít jejich platební kartu pro online nákupy.

Drzost podvodníků tím ale ještě nekončí. Navozené situace zneužívají ještě jednou a pokoušejí se napálit opět jak ty, kteří se nachytali, tak i klienty, kteří na první dvě fáze podvodu – hlasový automat a falešnou SMS – nereagovali. „Lidem zavolá tentokrát živý kyberpodvodník vydávající se za zaměstnance banky a varuje je před podvodem, který přitom sám vymyslel. Varovaného člověka pak snáze přesvědčí, že je na jeho straně, a přiměje ho buď k další, nebo nové spolupráci, která končí další ztrátou citlivých údajů či peněz,“ uzavírá příběh nejnovějšího kyberpodvodu Petr Vosála z ČSOB.

Největší úspěchy nepoctivci slaví, když jednají s klienty v časové tísni.  Do té se snadno dostávají třeba v období zvýšeného nakupování, například během Black Friday, v období adventu nebo při povánočních výprodejích. „Platíme častěji než obvykle, nakupujeme na e-shopech, a je tedy uvěřitelnější, že zrovna naše karta byla zneužita a je třeba udělat cokoliv pro ochranu svých úspor, například vybrat zbývající peníze a vložit je do bankomatu na kryptoměnu,“ uvádí jeden z příkladů podvodného jednání Markéta Dvořáčková z ČBA.

Osvěta má výsledky

Úspěšnost nebo naopak překažení takového nekalého pokusu vždy závisí na tom, jak rychle si člověk uvědomí, že jde o podvod. „Ten, kdo může podvodu zabránit, je totiž právě sám klient, který by proto nikdy nikomu neměl sdělovat své přihlašovací údaje do internetového bankovnictví, číslo platební karty nebo třeba potvrzovací kód z SMS zprávy a notifikace,“ připomíná základy bezpečného jednání Jana Pokorná, tisková mluvčí Air Bank.

Mnozí klienti na ně ale stále zapomínají, většina bank a také Česká bankovní asociace se proto aktivně věnují informační osvětě. Například mBank klienty informuje v průběhu roku o hrozbách, které jsou v danou chvíli ty nejčastější, nebo v momentě, kdy se objeví nový druh podvodu či způsob útoku na klienta. Mailem, na webových stránkách nebo přímo v internetových aplikacích své zákazníky na nebezpečí upozorňují i ostatní banky.

„Naší nejrozsáhlejší akci je vzdělávací kampaň #nePINdej!, jejímž klíčovým prvkem je hravý edukativní kybertest na www.kybertest.cz, který reálně simuluje hrozby v online prostoru,“ představuje inciativu ČBA Markéta Dvořáčková. „Každý dostává do hry 100 tisíc korun, které musí ochránit před e-šmejdy. Ve hře se setkává s deseti typy nejčastějších podvodů a učí se, jak je rozpoznat a nenaletět.“

A vzdělávání klientů nese ovoce, jak potvrzuje Petr Zíma z České spořitelny: „Z našich aktuálních dat vyplývá, že zatímco počet nahlášených kybernetických podvodů v roce 2023 stagnoval a pohyboval se okolo 300 až 400 nahlášených podvodů měsíčně, celková klientská škoda se meziročně snížila přibližně o polovinu, a to zhruba ze 40 milionů korun měsíčně v roce 2022 na loňských zhruba 20 milionů. Je to způsobeno zejména kombinací vzdělávacích kampaní a průběžnou edukační komunikací přímo s klienty, do které jsme letos investovali desítky milionů korun.“ Zíma také zmiňuje, že do detekce potenciálně podvodných plateb v této činnosti zapojují nové technologie, včetně umělé inteligence.

Co vykryje pojištění

Jako způsob ochrany je možné vnímat i některé pojistné produkty, které banky nabízejí. „Už před rokem jsme vylepšili Pojištění osobních věcí a karet, které chrání klienty až do částky 400 tisíc korun před podvodnými útoky,“ uvádí Petr Zíma. Zájem o toto pojištění vzhledem k přibývajícím útokům podvodníků roste a aktuálně je má sjednáno zhruba 460 tisíc klientů České spořitelny, přibližně čtvrtina těch, kteří využívají mobilní bankovnictví George. „Tento rok pojištění pomohlo 5500 našich klientů,“ pochvaluje si Zíma.

Obdobný produkt, Pojištění internetových rizik, nabízí také ČSOB a také o ně je zájem. „Nyní je má uzavřeno už více než 300 tisíc našich klientů a plně ho využívají. V jakých případech dochází na pojistné plnění, nelze předjímat, vždy záleží na konkrétní pojistné události,“ podotýká Patrik Madle, tiskový mluvčí ČSOB.

Mbank má v nabídce pojištění platební karty, které se mimo jiné vztahuje i na její zneužití při internetové transakci v případě odcizení nebo ztráty karty. Kryje do výše 30 tisíc korun. Komerční banka platební karty pojišťuje produktem Merlin, který ale pokrývá pouze fyzické pokusy o zneužití, nikoliv online podvody. Fio banka podobné pojištění zatím nenabízí, podle tiskového mluvčího Jakuba Heřmánka je ale plánuje klientům v budoucnu nabídnout.