„Když do deseti minut zašlete Vaše údaje, máte šanci získat finanční bonus.“ „Když bez otálení vyplníte Vaše osobní údaje, dostatnete se do slosování.“ „Vyplňte obratem registrační formulář a máte nárok na slevu.“ Podobné hlášky na internetu útočí na obezřetnost uživatelů sítí. V imaginární časové tísni lidé dokáží předat i velmi citlivé údaje, které následně internetoví podvodnící zneužijí. Bezpečí při nakládání s penězi na internetu výrazně zvýšila bankovní identita. „Případy zneužití bankovní identity jsme za dobu dvou let zaznamenali jen v řádu jednotek případů a to tehdy, kdy ke zneužití identity došlo v rámci rodiny,“ říká Petr Zíma, manažer České spořitelny pro kyberbezpečnost a bankovní identitu.
Stále více lidí začíná řešit záležitosti online. Zejména v předvánočním čase „běhá“ po síti obrovské množství transakcí i peněz. S tím jsou spojená ale i nebezpečí, zejména riziko podvodů. Jaký očekáváte vývoj v letošním roce a jak rychle se šíří kybernetické útoky?
Ano, každý z nás stále více a více přenáší řadu svých aktivit do digitálního prostoru. Bohužel, digitální svět je v hledáčku útočníků a my všichni na ně musíme být co nejlépe připraveni. Počet podvodů na klienty bank v letošním roce bohužel několikanásobně narostl oproti rokům minulým. Klienti všech bank, nejen České spořitelny, se v tomto roce dostali do hledáčku organizovaného zločinu a útoky jsou poměrně masivní. V poslední době se nám podařilo útoky výrazně zmírnit, ale neusínáme na vavřínech, ba naopak. V minulých týdnech jsme spustili rozsáhlou komunikační kampaň, kde informujeme klienty o rizicích v digitálním světě včetně toho, jak jim lze předcházet.
Jaké kybernetické útoky na klienty jsou nejčastější?
Bohužel musím říct, že všechny útoky mají společného jmenovatele a tím je zmanipulování oběti do té míry, že klient buď podlehne psychologické manipulaci útočníka, nebo se dostane na falešné webové stránky internetového bankovnictví. Tedy útok je veden přes slabiny uživatelů a jejich neschopnost rozpoznat, že se jedná o podvod.
Co bankovním klientům v případě internetových nákupů a prodejů radíte?
Typickým útokem je phishing, tedy útok, kdy se klient dostane na falešné webové stránky internetového bankovnictví. Scénáře a záminky jsou pak různé. Jedním z nejčastějších je podvod na bazaru. Klient prodává zboží, ozve se mu kupující (útočník) a s tím, že má zájem o inzerované zboží, mu zašle podvodný odkaz na internetové bankovnictví, kde se má přihlásit a má potvrdit příchozí platbu. Bohužel klient se dostane na podvodné stránky, kde předá útočníkům přihlašovací údaje a následně autorizuje odchozí platbu v domění, že se jedná o platbu příchozí. V případě České spořitelny dáváme klientům radu: kontrolujte si, že se vždy hlásíte do internetového bankovnictví George přes oficiální stránky george.csas.cz a kontrolujte, co potvrzujete.
Těch nástrah je ale podle všeho více, že?
Druhým častým útokem jsou takzvané falešné investice. Klient se přes reklamu dostane na podvodné investiční stránky lákající k investování do akcii například Škoda Auto, ČEZ, České spořitelny nebo Agrofertu. Po zadání kontaktních údajů je kontaktován útočníkem, který ho provede domnělým investováním včetně toho, že si klient nainstaluje vzdálený přístup ke svému počítači a přihlásí se do internetového bankovnictví. V tu chvíli má útočník volné pole působností. Následně dochází k převodům do investic, ale ve skutečnosti jsou peníze převáděny na účty podvodníků. I zde mám radu: nikdy si nic neinstalujte do svého počítače na radu někoho cizího.
Třetím častým útokem je takzvaný podvodný bankéř. Ozve se vám údajný pracovník banky, který tvrdí, že jste si žádali o úvěr. Sérií manipulačních hovorů, kdy s klientem hovoří domnělí zaměstnanci banky nebo Policie ČR, je klient vmanipulován do situace, kdy si opravdu v bance zažádá o úvěr, vybere ho v hotovosti a následně vloží do bankomatu na kryptoměny, nenávratně. Jednoduchá obrana proti tomuto útoku je ta, že díky aplikaci George klíč si mohou ověřit, zda jim volá opravdu pracovník spořitelny.
Existuje „neprůstřelný“ postup, jak se těmto útokům bránit? Někdy je skutečně pro běžného člověka jen obtížně rozpoznatelné, že se jedná o kyberútok.
Nastavujeme řadu technicko-procesních překážek a opatření, abychom takovým útokům zabránili. Kromě toho se dlouhodobě snažíme klienty vzdělávat a informovat v této problematice. Rád bych zde zmínil to, co říkám svým rodičům. Pokud se na vás někdo obrátí v oblasti financí nebo se na počítači dostanete do situace, které nerozumíte, nebo si nejste jisti, nic nedělejte a zavolejte mi. Není to všespásná rada, ale někdy nedělat nic, je to nejlepší. Dál bych to doplnil o tři rady: nikomu nesdělujte své přihlašovací údaje do banky, vždy kontrolujte, co potvrzujete a vždy si kontrolujte, že do svého bankovnictví přistupujete přes oficiální stránky banky.
Významným prvkem při kyberútocích je vytvoření časového tlaku. Když člověk něco rychle udělá, zajistí si tím nějakou výhodu či slevu. Je to taktika podvodníků?
Ano, řada útoků je vedena tak, že klient se dostane pod časový tlak. Příkladem je právě zmíněný bazarový podvod. Něco prodávám, ozve se mi kupující, já se těším, že se zboží rychle zbavím a tak rychle klikám a klikám. Bohužel je řada klientů, kteří prodávali zboží na bazaru za 3000 korun a přišli svojí nepozornosti o statisíce. Protože nedávali pozor a klikali.
Výrazným příspěvkem k posílení kyberbezpečnosti se stalo rozšíření využití bankovní identity (BID) k plošnému prokazování totožnosti v kyberprostoru. Zaznamenali jste již zneužiti BID k podvodné identifikaci?
Bankovní identita je bezpečný prostředek prokázání své identity v digitálním prostředí. Případy zneužití bankovní identity jsme za dobu dvou let zaznamenali jen v řádu jednotek případů a to tehdy, kdy ke zneužití identity došlo v rámci rodiny.
Jaké jsou vaše zkušenosti s fungováním bankovní identity coby univerzální digitální občanky?
Bankovní identitou prokázalo svoji totožnost v digitálním světě téměř 800 tisíc klientů. Osmdesát procent přihlášení bylo vůči digitálním službám státu a dvacet procent klientů se bankovní identitou ověřilo vůči soukromým firmám. Vzhledem k tomu, že se jedná o mladý produkt, tak to jsou za mě skvělá čísla. Bankovní identita zásadně změnila možnosti digitalizace české společnosti.
Různých digitálních klíčů je v kyberprostoru celá řada. Čemu připisujete, že se právě bankovní identita České spořitelny stala vůbec nejvyužívanější při online komunikaci se státem?
Hlavním důvodem je, že pro zřízení bankovní identity nemusíte vůbec nic dělat. Většina občanů ji již má. Je to jejich způsob přihlašování do internetového bankovnictví. To, že to je právě bankovní identita České spořitelny, je dáno tím, že jsme nejsilnější retailová banka a naši identitu má více než 25 procent občanů Česka.
Evropská unie plánuje zavádění dalších digitálních identifikačních prostředků, například digitální peněženku. Neprospělo by posilování bezpečnosti a snadnější orientaci lidí spíše shoda na jednom či několika „digitálních klíčích“?
Evropská unie chystá nařízení týkající se evropské digitální identity. Cílem tohoto nařízení je, aby v každém státu mělo 80 procent občanů dostupnou digitální identitu. V případě České republiky tuto roli po určitých úpravách může převzít právě bankovní identita a tím potvrdit svoji silnou roli v digitálním ověřování identity.
Ověřování pomocí bankovní identity začínají využívat i soukromé firmy. Jaké firmy projevují největší zájem, respektive kde vidíte v soukromém sektoru největší potenciál pro její využívání?
Ověřování digitální identity již využívá řada subjektů. Jsou to firmy napříč odvětvími. Bankovní identitu využívají společnosti z odvětví energetiky, pojišťoven, sázkových kanceláří, e-commerce či zdravotnictví. V oblasti dalšího využití navážu na otázku, kdy jsme se bavili o kyberútocích. Digitální svět je stále křehký a aby bezpečně fungoval a abychom z něj mohli těžit benefity, vyžaduje to na straně všech účastníků patřičnou pozornost a dodržování pravidel. Například využití jasné identifikace obou stran prostřednictvím bankovní identity ve světě bazarů by vedlo k výrazné eliminaci podvodníků. Z mého pohledu je další bezpečný rozvoj v digitálním světě napříč odvětvími možný jen za předpokladu, že v řadě případů vystoupíme ze své anonymity a vhodným a bezpečným způsobem prokážeme svoji totožnost.
--------------------------------------------------------------------------------------------------------
Petr Zíma (38)
Vystudoval informatiku na VŠE. Je lídrem týmu Bankovní identita a klientská bezpečnost v České spořitelně. Má na starosti rozvoj a provoz služby BankID a současně klientskou bezpečnost. Před projektem BankID vedl tým, který se věnoval inovacím v platbách. Do banky nastoupil v roce 2007, kde začínal v oblasti řízení financí, dále pomáhal bývalému šéfovi Pavlu Kysilkovi se strategickým řízením a podílel se na strategii banky zaměřené na oblast finančního zdraví klientů pod názvem Moje zdravé finance. Dva roky rovněž působil jako konzultant v Capgemini Czech Republic, kde byl zodpovědný za oblast business developementu pro klienty v oblasti bankovnictví a digitalizaci maloobchodu.
