Útočníkům se letos daří lidem krást výrazně větší částky než v minulých letech. Průměrná škoda na podvedeného klienta stoupla z loňských šestnácti tisíc na letošních 33 460 korun.
Centrum pro výzkum online rizik, se kterým bankovní asociace spolupracuje, zachytilo za první kvartál letošního roku jen na platformách společnosti Meta 22 tisíc reklam z účtů, které systematicky provozují podvodné inzertní kampaně. Meta vlastní mimo jiné sociální sítě Facebook a Instagram a aplikaci WhatsApp, ale odmítá proti podvodníkům zakročit a zablokovat jim účty nebo jim zakázat reklamu. Banky proto spolupracují Českým telekomunikačním úřadem, který se snaží problém řešit na celoevropské úrovni.
Na oběť mohou podvodníci zaútočit v jejím volném čase, ale i v práci. „Zatímco firmy samotné se už proti útokům docela dobře zabezpečily, slabým článkem jsou jednotliví pracovníci. Útočníci se tak nyní soustřeďují na ně. Kontakty snadno najdou na internetu. Donutí pak třeba jednatele nebo účetní, aby odeslali prostředky z účtu. O peníze takto přicházejí firmy, obce, charitativní organizace ale i sdružení vlastníků,“ varuje expertka na digitální a karetní podvody z ČSOB Andrea Komárková.
Podvodníci už ve většině případů peníze nekradou, ale donutí manipulativními technikami oběť, aby jim peníze sama vydala. Ta se pak stydí, že se nechala napálit a nenahlásí podvod na policii. Podle ČBA jen loni na policii vůbec nešlo asi 70 tisíc podvedených.
Zatímco dříve chodily do schránek e-maily od afrických princů psané špatnou češtinou, v současnosti už podvody vypadají velmi reálně. Podvodníci mluví dobře česky, mají sofistikované scénáře, realisticky vypadající služební průkazy a dokážou volat z čísel vypadajících jako úřední.
„Útočníci testují nové cesty, jak si klienta získat. Právě proto je tak důležité každou neobvyklou žádost o peníze nebo citlivé údaje vždy zastavit a ověřit jinou cestou,“ dodává expert na kyberbezpečnost Pavel Šašek z KB. Urgentní zprávu od šéfa k milionovému převodu je tedy nejlépe ověřit přímo u něj.
Na starší funguje deepfake, na mladší autenticita
Podvodníci si potenciální oběť vždy napřed oťukají. „Nejprve pomocí reklam vytvoří bublinu a zajistí, že téma vám bude připadat všudypřítomné, zvyknete si a normalizujete si ho,“ upozorňují odborníci na kyberbezpečnost a varují, že podvodníci následně dokážou odhadnout která taktika zabere. Pak teprve přijde útok.
Zatímco na starší lidi dobře funguje vydávání se za známé osobnosti, mladší zase snáze naletí na autentické profily údajně úspěšných podnikatelů a investorů. První používají ukradenou identitu, například guvernéra národní banky. Díky umělé inteligenci dokážou napodobit hlas i vzezření. Druzí zase na sociálních sítích pečlivě budují komunitu lidí, kterým slibují tajný recept na luxusní životní styl. Oběti, které podvodníkům uvěří, jsou pak ochotné jim poslat veškeré své peníze.
Umělá inteligence na jedné straně pomáhá podvodníkům zvyšovat důvěryhodnost podvodů, na druhé straně pomáhá také firmám, které se snaží útoky blokovat. Bezpečnostní řešení hlídá každou transakci a analyzuje obvyklé chování držitele karty. Dokáže pak odhadnout, jestli je transakce podvodná nebo reálná a podle toho ji buď pustí nebo zastaví.
Lidé často na transakcích trvají
Bankám se daří naprostou většinu klientů včas varovat. Někteří ale na provedení nebezpečné transakce trvají. „Když jim voláme, že provádějí nebezpečnou transakci, často nám nevěří a trvají na tom, že ji provést chtějí,“ říká Zdeňka Hildová, ředitelka ČBA Educa. „Klienti jsou v celém tom bezpečnostním řetězci nejslabším článkem, který má ale vždy poslední slovo. E-šmejdi si to moc dobře uvědomují.“
Každý rok se v důsledku online podvodů celosvětově ztratí v přepočtu 21 bilionů korun. Kyberkriminalita se tak brzy stane třetí největší „ekonomikou“ světa. Podle propočtů už v roce 2029. A to navzdory tomu, že banky i karetní firmy drtivou většinu podvodů zvládají včas odhalit a stopnout. Bez větší informovanosti veřejnosti o tom, jak podvodné útoky vypadají, tak snížit objem podvodů nepůjde.
Ty nejmladší škola na nebezpečí nepřipravila
Mladí lidé se v online prostředí pohybují zřejmě nejvíce ze všech věkových skupin a zároveň patří i mezi neohroženější, a to zejména kvůli rizikovému chování, které zahrnuje častější otevírání neznámých odkazů nebo používání jednoho hesla na více důležitých účtů.
Karetní společnost Mastercard zjistila, že mladí si častěji než starší generace nemění si hesla a i když už vědí, že mluví s podvodníkem, nedokážou ukončit hovor. „Data z našeho indexu kybernetické bezpečnosti ukazují, že mladá generace, která se intuitivně jeví jako digitálně zdatnější, je v online světě výrazně ohroženější. Dvaasedmdesát procent lidí ve věku 18 až 24 let si myslí, že by dokázali kyberútok rozpoznat a ubránit se mu. Jenže 43 procent z generace Z už někdy kliklo na nebezpečný odkaz. To je nejvíce ze všech dotázaných skupin,“ říká Jana Lvová, ředitelka Mastercard pro Českou republiku a Slovensko.
„Nestačí jen říct, že podvody existují a jsou nebezpečné. Pokud chceme, aby se mladí lidé dokázali skutečně bránit, musí pochopit, proč tyto techniky fungují a jak na ně scammeři cílí. Technologie se mění, ale psychologické triky zůstávají stejné,“ uvádí Maria Šimůnková, ředitelka a zakladatelka Nekrachni. Tato vzdělávací organizace ve spolupráci s ČBA a Mastercard rozjíždí osvětovou kampaň Red Flags zaměřenou na generaci Z.
Mladým lidem bude na roadshow promítat varovný dokumentární film, který ukazuje reálné praktiky podvodníků. Chystá ale i osobní setkání středoškoláků s odborníky nebo materiály pro učitele. Komerční banka zase nejčastější typy podvodů ilustruje pomocí kampaně Kyberpříšery. Mezi další vzdělávací aktivity ČBA, které mají posílit odolnost veřejnosti patří i Kybertest , ve kterém si lze svoji odolnost vůči kyberšmejdům nanečisto ověřit.
| Falešný policista nebo bankéř | Podvod, který se snaží v oběti vyvolat strach, apeluje na autoritu a vytváří pocit časové tísně. E-šmejdi, kteří se představí jako policisté nebo bankéři, se prokazují falešnými průkazy a snaží se oběť přesvědčit, že její účet je napadený a musí urychleně odeslat peníze na určitý účet. Jiným obětem tvrdí, že jde o vyšetřování vážného zločinu. |
|---|---|
| Příběhy o rychlém zbohatnutí | E-šmejdi slibují nereálné zhodnocení, ukazují smyšlené grafy nebo celé webové stránky. První investiční poplatek jde zpravidla na transparentní účet, aby oběť viděla, že se peníze připsaly, další platby ale už míří jinam. |
| Červí díra – NFC | Falešní bankéři často podvedeného přesvědčí, aby si do telefonu nainstaloval ověřovací aplikaci nebo aktualizaci bankovnictví. Ta je ale škodlivá. Podvedený pak přiložením platební karty k telefonu a zadáním PINu předá všechny své údaje přímo podvodníkům. Ti pak mohou hned vybírat z bankomatu nebo platit jako by měli kartu fyzicky u sebe. |
| Výhodná brigáda | Za lajkování příspěvků je hlavně mladým lidem slibována odměna přes revolut nebo bitcoinové nástroje. Nejen, že peníze za brigádu často neuvidí, ale jejich účty mohou také sloužit pro praní špinavých peněz. |
| Pomoc rodině | Podvodník pomocí aplikace WhatsApp posílá členům rodiny nebo blízkým přátelům zprávy s prosbou o rychlou finanční pomoc, obvykle ve formě krátkodobé půjčky v řádu nižších desítek tisíc korun. |
| Výhodné e-shopy nebo bazary | Svůj balíček podvedení nikdy neuvidí a jako bonus jim falešný obchodník může zneužít platební údaje. Tady okradení přicházejí o nejmenší částky, proto také nemají tendenci na podvodníky upozorňovat policii. |
| Přeplatky, výzvy k úhradě, faktury | Podvodné scénáře se mění podle ročního období a aktuální situace. Na začátku roku jsou typické falešné zprávy o přeplatcích nebo daňových vratkách. V období podávání daňových přiznání se objevují výzvy k doplacení daně nebo k úhradě poplatků. Na podzim se rozjíždějí falešné e-shopy, zprávy o balíčcích na cestě nebo výzvy k doplacení cla a poplatků. |
