Zuzana už niekoľko dní prehľadávala internet a plánovala pre rodinu vysnívanú dovolenku. Konečne ju našla. O pár hodín neskôr jej na email prišla správa od hotela, aby zaplatila zálohu. Na prvý pohľad jej nič neprišlo zvláštne a email vyzeral dôveryhodne. Klikla na odkaz a postupovala podľa pokynov, aby zálohu uhradila.
V druhej miestnosti sa ozval zvuk telefónu s notifikáciou z banky o pohybe na účte. Ignorovala ju. Vzápätí však telefón pípol ešte dvakrát. Keď ho Zuzana vzala do rúk, zistila, že z účtu jej odišli platby v sume jej denného limitu 2 500 eur. Namiesto úhrady zálohy za hotel sa stala obeťou podvodu.
Podobné príbehy sa dejú denne. Prečo sú podvodníci stále úspešnejší vysvetľuje JOZEF ÚRODA, vedúci oddelenia manažmentu bezpečnostných rizík Tatra banky.
V médiách odzneli mnohé informácie o podvodoch v digitálnom priestore, či už zneužitím mena kuriérskych služieb, pošty alebo iných inštitúcií. Napriek tomu sa stále objavujú príbehy ľudí, ktorých podvodníci obrali o peniaze. Čo je za úspechom týchto podvodov?
Dôvodov je viacero. Jedným môže byť aj presvedčenie, že „mne sa to nemôže stať“. Útočníci sú veľmi dobrí manipulátori a niekedy stačí len trafiť správny moment, kedy vyrušia potenciálnu obeť a ideálna pôda na podvod je na svete. Takou situáciou môže byť aj každodenný zhon a povinnosti, na ktoré sa potrebujeme sústrediť. Vtedy je náročné upriamiť svoju pozornosť a začať uvažovať nad možno banálnou požiadavkou, ako je napríklad platba kuriérovi.
Za úspechmi podvodníkov sa skrýva najmä to, že je pre nás prirodzené reagovať emocionálne. Či už ide o radosť zo sľubovaného obrovského zárobku z ponúkanej investície alebo strach zo správy, že náš bankový účet mohol byť napadnutý. V návale emócie namiesto dodatočného overenia začíname diskusiu s útočníkom.
Jozef Úroda, vedúci oddelenia manažmentu bezpečnostných rizík Tatra banky (zdroj: Tatra banka)
Kto je najčastejšie cieľom útokov, jednotlivci alebo inštitúcie?
Útoky zamerané priamo na ľudí sú pre útočníkov omnoho efektívnejšie. Stačí jeden typ útoku nasmerovaný na veľkú časť populácie a ak sa chytí hoci len jedno percento, útočník bol úspešný.
Útoky na inštitúcie sú náročnejšie, pretože treba brať do úvahy zložitejšie technické bezpečnostné opatrenia a celé tímy ľudí zaoberajúce sa ochranou, bezpečnosťou a prevenciou. Napriek tomu vidíme vo svete mnoho úspešných pokusov zameraných na firmy.
Pomerne častým typom útoku na inštitúcie je takzvaný DDoS útok (z anglického Distributed Denial of Service). Tento typ útoku slúži buď ako návnada na odpútanie pozornosti, zatiaľ čo súbežne prebieha aj iná hackerská činnosť, alebo ako reputačná hrozba. Útočník sa snaží podkopať dobré renomé inštitúcie a zároveň si tým robí aj vlastné promo.
Zaznamenali ste v ostatnom období výrazný nárast niektorého konkrétneho typu podvodu? Mení sa niečo v type alebo intenzite útokov?
Útoky na klientov sú tu neustále, a zrejme ich bude stále viac. Menia sa ich scenáre, ale väčšinou odrážajú to, čo sa aktuálne deje. Pred obdobím vianočných nákupov sa roztrhne vrece s podvodnými e-shopmi a pred letom zase podvody kopírujúce rezervačné platformy hotelov.
Ako najnebezpečnejšie vnímam investičné podvody. Obeť je opantaná sľubovaným zárobkom a v domnienke, že investuje, sprístupňuje svoje peniaze útočníkom.
Ako fungujú takéto investičné podvody?
Nebezpečné sú najmä využívaním silnej manipulácie obetí, ktorá postupne narastá. Podvodník obeť namotáva, sleduje, čo funguje a postupne rozhoduje o ďalších krokoch vo svojej taktike. Takýto podvod často trvá aj mesiace. Ľudia vo vidine zisku nechcú veriť ani svojim najbližším a kým sa vymania z fiktívneho investovania, často prídu o väčšie sumy peňazí.
Scenáre takéhoto typu podvodu sú rôzne. Napríklad, obeť nalákaná na vysoký zisk môže posielať peniaze na účet, ktorý môže byť skutočnou investičnou platformou, ale prístup k nej má aj podvodník. Inokedy je investičná platforma fiktívna a obeť dostáva len obrázky s grafmi so znázorneným vymysleným ziskom. Sú tiež prípady, keď podvodník žiada obeť, aby na svoje zariadenie nainštalovala nejakú aplikáciu. Aplikácia v skutočnosti slúži na vzdialený prístup. Inštaláciou mu obeť nevedomky sprístupní svoj mobil alebo počítač a útočník má voľný prístup k tomu, čo obeť na zariadení robí, napríklad aj zadávanie prihlasovacích údajov.
Kam až môžu zájsť investičné podvody?
Investičné podvody sú veľmi premyslené a sľubujú rýchle zbohatnutie. Často ich nájdeme v reklamách na sociálnych sieťach aj s vymyslenými pozitívnymi recenziami alebo s falošnými odporúčaniami od známych osobností.
Niekedy sa obeť môže nevedomky stať súčasťou prania špinavých peňazí. Pod zámienkou investovania po čase vidí, že na bankovom účte prebieha veľké množstvo prichádzajúcich a odchádzajúcich platieb. Podvodník mu môže platby prezentovať ako zisky z investovania a následné ďalšie investičné nákupy.
Dá sa povedať, že nejaká skupina ľudí je pri podvodoch v digitálnom priestore najzraniteľnejšia?
Nedá sa povedať, že určitá skupina je ohrozenejšia ako iná. Zraniteľný je každý. Na každú kategóriu sú cielené a účinné iné typy podvodov a iné manipulatívne techniky.
Je vôbec možné byť o krok pred podvodníkmi?
Je náročné byť o krok pred útočníkmi. Jednak využívajú najnovšie možnosti, ktoré ponúka digitálna doba. Zároveň si myslím, že všeobecné vzdelanie v oblasti informačnej bezpečnosti nejde tak rýchlo, ako narastá masívne využívanie digitálnych technológií.
Stále platí, že základným bezpečnostným prvkom je kritické myslenie, podozrievavosť a rozvážnosť. Ak sa zrazu deje niečo inak ako zvyčajne, treba spozornieť. Poštovné za zásielku predsa vždy platíme hneď pri objednávaní alebo na dobierku pri preberaní. Prečo by sme mali zrazu klikať na link cez SMS správu alebo chatovaciu službu a platiť za doručenie v strede procesu?
Alebo iný príklad, emailovú výzvu na zaplatenie pravidelnej faktúry na zmenené číslo účtu je dobré overiť iným komunikačným kanálom ako odpoveďou na daný email. Je lepšie zavolať na infolinku spoločnosti. Ak odpovieme na email a na druhej strane je útočník, bude hrať svoju hru ďalej a zmenu potvrdí.
(zdroj: Shutterstock)
Ako často by si klienti mali kontrolovať svoje bankové transakcie, aby identifikovali podozrivé aktivity?
V bankovej aplikácii je možné nastaviť notifikácie o pohyboch na účte. Vďaka nim vedia klienti ihneď zaregistrovať všetko štandardné aj neštandardné a rýchlo zareagovať.
Akým aktivitám či návykom by sa mali ľudia v digitálnom priestore vyhnúť, aby neohrozili bezpečnosť svojich bankových účtov?
Dôležité je uvedomiť si hodnotu jednotlivých údajov. Napríklad, k akým údajom sa môže útočník dostať, ak získa heslo. Treba ho chrániť a nikomu neposkytovať. Tiež je užitočné chápať, ako fungujú autorizácie v bankových aplikáciách a určite ich nevykonávať na základe komunikácie v chatovacej aplikácii. Ak sa vám niekto ozve na sociálnej sieti alebo emailom, nemáte garanciu, že na druhej strane je naozaj človek, za ktorého sa vydáva. Buďte ešte podozrievavejší, ak vám takouto formou príde požiadavka týkajúca sa financií.
Aké znaky si všímať v emailoch alebo správach, aby sme odlíšili falošné od tých skutočných? Ako zistiť, že aplikácia alebo webstránka banky je autentická a bezpečná na používanie?
V podvodných emailoch alebo správach môžeme vidieť nesprávnu gramatiku alebo grafiku, ktorá nepatrí danej firme alebo banke, ale už je to ojedinelejšie ako v minulosti. Dajte si pozor na to, čo sa od vás v správe vyžaduje. Napríklad, či je to štandardná faktúra v zvyčajnom čase alebo je niečo inak.
Rovnako treba vedome sledovať, ako sa dostanem na stránku poskytovateľa, ktorý ma oslovuje. Ak obdržíme odkaz, kde od nás po kliknutí požadujú prihlasovacie údaje alebo sa zobrazí podobná prihlasovacia obrazovka ako internet banking, mali by sme sa tomu vyhnúť.
Do internet bankingu je lepšie nepristupovať cez vyhľadávače. Hrozí totiž, že kliknete na falošný link, ktorý sa zobrazuje ako prvý v poradí. Preto je lepšie mať v internetovom prehliadači uloženú stránku internet bankingu ako záložku.
Čo by mal klient urobiť, ak zistí, že jeho bankový účet bol zneužitý? Dokáže banka jeho peniaze zachrániť?
Ak zistíte, že vám bola odcudzená platobná karta, v aplikácii Tatra banka je možné ju rovno blokovať. Naši klienti to aj naozaj využívajú. Ak viete, že ste niekomu poskytli svoje heslo od akéhokoľvek účtu, je dôležité zmeniť si prihlasovacie údaje. Niekedy však v strese nevieme konať presne tak, ako je to správne, preto volajte do banky. Máme systémy, procesy a tímy ľudí, ktorí robia všetko preto, aby peniaze klienta zachránili.
S rozšírením umelej inteligencie sa objavujú nové spôsoby útokov. Pozrime sa však na to z opačnej strany. Ako môže umelá inteligencia prispieť k posilneniu ochrany klientov?
Generatívna umelá inteligencia zjednodušila útočníkom vytváranie obsahu. Fotografie a videá vyzerajú veľmi realisticky. Banky na to reagujú a AI využívajú aj na ochranu a obranu proti útokom.
Využívame viaceré algoritmy bežiace na báze umelej inteligencie, ktoré nám pomáhajú napríklad identifikovať a kategorizovať podvodné transakcie. Učíme ich, ako rozoznať podvod a vďaka tomu dokážeme úspešne obmedzovať rozsah podvodov, ktoré by boli inak úspešné.
(zdroj: Shutterstock)
Ako banka zabezpečuje, aby jej klienti mali prístup k najnovším bezpečnostným opatreniam a technológiám na ochranu svojich účtov?
Manažovanie bezpečnosti má viacero oblastí a fáz. Neustále analyzujeme našu technickú infraštruktúru a podľa potrieb ju inovujeme. Zároveň ako banka, ktorá je lídrom v inováciách, zavádzame nové technické nástroje, aby sme reagovali na rýchly postup digitálnych technológií. Koncovým používateľom aplikácie sa niekedy môže zdať, že bezpečnostné opatrenia s overovaním a dodatočným potvrdzovaním uberajú komfort. Cieľom banky je však ochrana finančných prostriedkov a údajov klientov.
Vlani sme tiež zaviedli službu, vďaka ktorej si klient priamo počas hovoru overí, či mu naozaj volajú z banky, alebo ide o podvodníka, ktorý sa za banku len vydáva. Slúži na to jedinečný kód zaslaný do mobilnej aplikácie alebo internet bankingu, ktorý pozná len klient a volajúci z banky.
Zlepšilo používanie biometrických údajov bezpečnosť pri prihlasovaní sa do online bankovníctva?
Biometria je jednoduchší spôsob prihlasovania do aplikácií, pretože si nemusíme pamätať heslo. Zároveň sa vyhneme tomu, že si zapíšeme heslo na nechránené miesto vo fyzickom či digitálnom priestore a dostane sa k nemu podvodník. Okrem biometrie odporúčam nielen pri bankových službách využívať viacfaktorovú autentifikáciu, teda overovanie cez viacerými formami zároveň.
Jozef Úroda
Vedúci oddelenia pre manažment bezpečnostných rizík a biznis kontinuity Tatra banka
V Tatra banke je zodpovedný za manažment rizík v oblasti informačných a komunikačných technológií a za biznis kontinuity manažment. Implementujpe a riadi rámce a procesy zabezpečujúce súlad s novými štandardmi a požiadavkami. Taktiež nastavuje koncept vzdelávania o bezpečnosti pre zamestnancov. Je jedným z lídrov kampane na vzdelávanie klientov #predigitalnubezpecnost a spoluautorom tretej Učebnica informačnej bezpečnosti pre stredné odborné školy a gymnáziá o témach informačnej bezpečnosti.
Tento článok vám prináša Tatra banka.
