Podle IT společnosti ESET nastal loni vlivem celospolečenské situace stoprocentní meziroční nárůst detekcí phishingu. "V loňském roce útočníci reagovali v Česku například na vyhlašování nouzového stavu a rozvolnění. V návaznosti na tyto události jsme sledovali výrazné nárůsty phishingu," uvedl na úterní tiskové konferenci vedoucí pražského výzkumného oddělení ESET Robert Šuman.
Jedním z velmi aktuálních triků útočníků jsou infikované mobilní aplikace či jejich aktualizace, které si nejčastěji stáhnete z neoficiálních obchodů s aplikacemi a webových stránek. Výjimkou ale nejsou ani podvodné aplikace nainstalované přímo z oficiálního obchodu.
"Pokud v telefonu nemáte nainstalovaný bezpečnostní software, který by vás varoval, a při instalaci aplikaci udělíte vysoká oprávnění - například aplikaci pro nahrávání hovorů i přístup k fotoaparátu či SMS - dokáže odcizit vaše přihlašovací údaje do bankovnictví, obejít dvoufázové ověření či získat potvrzovací SMS zprávy," upozornil Šuman ze společnosti ESET.
Počet vishingových (hlasových) útoků, kdy se útočníci během telefonického hovoru vydávají za bankéře či policisty, stoupl šestinásobně. "Klientovi útočník často volá v neobvyklý čas. S pomocí osobních údajů o klientovi, které získal například v internetovém prostředí, mnohdy ze sociálních sítí, si získá jeho důvěru," popsal Luděk Fiala z Policejního prezidia ČR.
Scénáře se mohou lišit - útočník často požaduje přihlašovací údaje, údaje z platební karty či potvrzovacích SMS, případně umožnit vzdálený přístup počítači. Podle Fialy se objevují i případy, kdy útočník svou oběť přesvědčí, aby ze svého účtu vybrala hotovost a vložila ji vkladomatem na bitcoiny. Závěr je ale stejný - oběť své peníze již pravděpodobně nikdy neuvidí.
"Snadno uvěří, že jeho účet byl napaden a jediné, co jeho peníze 'zachrání', je jejich odeslání na účet, který mu falešný bankéř sdělí. Útočník klienta následně instruuje, jak transakci autorizovat," dodal Fiala.
Vishingové útoky podle něj sice nejsou co do počtu tak masivní, ale finanční ztráty klientů jsou často vysoké.
Bankovní asociace proto s policií spouští osvětovou kampaň. "Dlouhodobě představují vysoké riziko phishingové e-maily a SMS, podvodné aplikace a různé druhy škodlivých kódů, které cílí jak na osobní počítač, tak chytrý telefon uživatele. Samostatnou a mimořádně nebezpečnou kapitolu představuje tzv. vishing, který z logiky věci obchází veškeré bezpečnostní mechanismy. Klíčová je proto neustálá edukace veřejnosti," uvedl za ESET Šuman.
"Banky tyto útoky sice evidují, každá ale za použití různé metodiky. Vzhledem k tomu, že o přesnější data má zájem i policie, začaly konzultace, jejichž cílem bude i sladění metodiky vykazování útoků na klienty," upozornil předseda komise ČBA pro bankovní a finanční bezpečnost Petr Barák.
Díky aktivitě bank a obezřetnosti klientů se daří zastavit 86 procent útoků. Zbývající útoky, při nichž jsou odčerpány peníze klientovi z účtu, řeší policie. Podle Baráka se útočníkům daří dokončit zejména útoky mířící na karetní údaje, které jim oběti 'prozradí' při on-line nakupování na stránkách, kde platební brána není zabezpečena skrze 3D Secure.
5 rad pro bezpečný pohyb v kyberprostoru
1. Nikdy nikomu nesdělujte své přihlašovací údaje do internetového bankovnictví ani čísla ze své platební karty. Banky se na ně opravdu nikdy neptají, a to ani telefonicky, ani e- mailem, ani SMS či jinými zprávami. Zároveň nikdy neposílají odkazy na weby, kde jsou údaje vyžadovány. Ani policie nikdy občany nevyzývá k provádění bankovních transakcí nebo poskytování osobních údajů dalším osobám.
2. Nereagujte na telefonní hovory, e-maily ani zprávy, kde se vás někdo pokouší vmanipulovat do situace, že jsou vaše finanční prostředky v ohrožení a vy musíte udělat další kroky pro jejich záchranu. Kdyby byly vaše peníze skutečně v ohrožení, banka by již zareagovala dávno a bez vaší pomoci.
3. Nezadávejte ani v aplikaci nepotvrzujte platby, které by vám někdo chtěl diktovat po telefonu. Stejně tak nedávejte nikomu vzdálený přístup do vašeho počítače.
4. Mějte aktualizovaný software a antivirus v PC i telefonu. Aplikace stahujte jen z oficiálních zdrojů a nedávejte jim více oprávnění, než potřebují.
5. Buďte vždy v pozoru, nenechte se zviklat ani nalákat. V případě pochybností vždy kontaktujte svou banku či volejte policii (158).
Zdroj: Česká bankovní asociace