Phishing – věrohodně se tvářící podvod
Pandemie covid-19 způsobila nárůst ve využívání elektronického bankovnictví a dalších online služeb, které finanční instituce poskytují svým klientům. Zvýšila se však bohužel také aktivita útočníků a kyberzločinců, kteří nastalé situace zneužívají. Jak nenaletět tzv. phishingu, jedné z jejich podvodných metod?
Phishing je jednou z podvodných technik tzv. sociálního inženýrství - manipulace lidí za účelem provedení nějaké akce nebo získání určité informace. Jeho cílem je vylákat z obětí útoku citlivé údaje - přihlašovací jména a hesla, čísla kreditních karet, rodná čísla atp. Jak? Napodobením oficiální komunikace příslušné finanční instituce, ať už se jedná o falešné e-maily, webové stránky, SMS nebo i telefonní hovory.
Nejedná se tedy o nijak sofistikovaný typ útoku. Útočníci se spoléhají na to, že klienti bank nebudou věnovat dostatečnou pozornost obsahu e-mailové komunikace, webové adrese internetového bankovnictví, notifikacím banky o provedení platebních operací apod.
Tváří se jako vaše banka, ale není
Typickou praxí je e-mail tvářící se jako legitimní komunikace příslušné banky (stejný vzhled, struktura, stylistika textu, doména připomínající název banky atd.), který obsahuje odkaz na podvodné webové stránky. Ty znovu vypadají obdobně jako skutečné webové prostředí dané banky a požadují po klientovi zadání přihlašovacích údajů.
Překážkou není ani dvoufaktorová autentizace, kterou dnes všechny banky používají. Nepozorný klient je mnohdy podvodníkovi schopen sdělit i potvrzovací SMS kód pro vstup do internetového bankovnictví či potvrzení transakce provedené útočníkem. Další z metod, které útočníci používají, jsou například fingované telefonní hovory z domnělého call centra či IT podpory. V sofistikovanějších případech došlo i k nákaze mobilních telefonů, především na platformě Android, které pak bez vědomí klienta samy přeposílaly potvrzovací SMS.
Klienti si pak bohužel nevšímají informací v notifikaci o provedené transakci (podezřelá částka, protiúčet obvykle v zahraničí), která jim přijde v rámci potvrzovacího SMS kódu.
Phishing jako agenda dohledu ČNB
Dohled ČNB nad finančním trhem situaci monitoruje a tato rizika nebere na lehkou váhu. Při pravidelných kontrolách bank a dalších dohlížených finančních institucí jsou prověřovány také jejich řídící a kontrolní systémy. Nedílnou součástí těchto kontrol je tedy i řízení rizik spojených s elektronickými kanály a pokročilými kybernetickými hrozbami. Banky a další finanční instituce tak musí přijmout adekvátní opatření pro snižování rizika i pro tento typ útoků.
Výčet možných opatření zahrnuje např. Fraud Detection systémy (dále jen "FDS") identifikující podezřelé transakce poté, co se útočník snaží vyvést peníze z napadeného účtu, soustavnou edukaci klientů i zaměstnanců a případné testování úrovně jejich bezpečnostního povědomí nebo dokonalejší metody dvoufaktorové autentizace, které zamezí tomuto typu útoků či jej či alespoň významně ztíží (např. softwarový token na chytrém telefonu).
Klíčová je obezřetnost klientů
Banky musí s novými phishingovými technikami neustále držet krok, ale jak jsou na tom uživatelé bankovních aplikací? I oni by měli věnovat dostatečnou pozornost bezpečnosti svých finančních prostředků a mít potřebné povědomí o rizicích spojených s využíváním elektronického bankovnictví. Sebelepší ochranná opatření na straně banky se totiž mohou míjet účinkem, pokud oklamaný uživatel zloději sám otevírá cestu.
Jestliže budou klienti bank nadále nepozorní, nebudou chránit své přístupové údaje stejně jako by chránili vlastní finanční prostředky, nebudou pozorně číst notifikační zprávy a nebudou si všímat podezřelých událostí, pak bude velmi pravděpodobně i nadále docházet k případům odcizení finančních prostředků z jejich účtů. S nástupem inovativních platebních metod se sice zvyšuje komfort klientů a zkracuje doba provedení transakce, ovšem také se tím krátí doba, za kterou mohou peníze z účtu nenávratně zmizet.
Dohled ČNB očekává, že banky věnují adekvátní úsilí zvyšování bezpečnostního povědomí klientů používajících digitální kanály, a v této činnosti je plně podporuje (viz například Upozornění České národní banky na rizika spojená s využíváním elektronického bankovnictví z roku 2016). Protože neplatí, že jsou odcizené prostředky klientům ve všech případech ze strany bank refundovány, doporučuje ČNB i jim, aby edukativní aktivity svých bank nepodceňovali.
Phishing v době fintechu
Málokdo musí inovovat své metody tak intenzivně jako podvodníci. Pro zajímavost tak na závěr uvádíme příklad útoku, který poukazuje na neustálý pokrok phishingových technik. V tomto konkrétním případě útočníci k vyvedení peněz z napadených účtů klientů nepoužili klasické příkazy k úhradě a převod na zahraniční účty, ale bezkontaktní výběr z bankomatů po celém světě pomocí globálních mobilních platebních služeb. Pro výběr hotovosti použili tokenizovanou platební kartu v mobilním telefonu, který byl spárován v napadeném internetovém bankovnictví.
Tento konkrétní útok byl zmařen jak systémem řízení IT rizik na straně banky, tak "selským rozumem" a bezpečnostním povědomím na straně klientů. Díky tomu byly přímé škody i nepřímé důsledky minimální. Nespoléhejme se tedy jen na opatření na straně bank, ale sami buďme v pozici klienta a uživatele elektronického kanálu pozorní až podezíraví a nenechme se napálit laciným trikem.