Praha - Česká spořitelna, banka s největším počtem klientů v zemi, zaslala v úterý svým zákazníkům upozornění na novou vlnu podvodných e-mailů (phishing), které se snaží vylákat od lidí přístupové údaje k jejich účtům. Banka zachytila dvě verze e-mailů. Obě se tvářily, že je rozesílá sama banka a žádá v nich klienty o spolupráci při zajištění větší bezpečnosti jejich účtů.
"Odhadujeme, že podvodné e-maily směřovaly na vyšší desítky tisíc až stovky tisíc e-mailových adres v České republice. V tuto chvíli prošetřujeme případy 14 klientů, u nichž existuje podezření, že se stali obětí tohoto phishingového útoku," řekl Aktuálně.cz mluvčí České spořitelny Filip Hrubý.
Banka v dopise svým klientům radí, jak si mají na podivné e-maily dávat pozor. Upozorňuje je také na to, že pokud už na odkaz klikli a vyplnili požadované údaje, mají okamžitě kontaktovat klientskou linku České spořitelny na bezplatném telefonním čísle 800 207 207.
Současná podoba útoku je podle mluvčího banky velmi propracovaná. Zákazník, který klikne na odkaz v e-mailu, je přesměrován na stránky, které se tváří jako stránky České spořitelny. Pro zvýšení důvěryhodnosti dokonce obsahují upozornění "Ujistěte se, že jste se na tyto stránky nedostali odkazem z e-mailu".
Kdo se nechá nachytat a vyplní přihlašovací údaje, je přesměrován na další stránku, kde dále vyplní mimo jiné i své telefonní číslo. Po stisknutí tlačítka "pokračovat" je pak podvedený člověk přesměrován na oficiální stránky České spořitelny, aby se uklidnil, že vše proběhlo v pořádku.
Podvodník má tak vše, co potřeboval, a teď jen vyčkává na vhodný okamžik. "Když má na účtu hodně peněz. Zavolá mu někdo na mobil a tváří se jako zaměstnanec České spořitelny. Otázkami na jeho spokojenost se službami banky si získá jeho důvěru a nakonec ho požádá o spolupráci s větším zabezpečením účtu," vysvětluje postup Hrubý.
Spolupráce spočívá v tom, že klient má podvodníkovi říci kód, který mu za chvíli přijde na mobil (podvodník mezitím provede transakci, jež vygeneruje SMS kód pro její ověření a právě ten má klient šejdířovi přečíst). "Kód je napsán anglicky a některé klienty to zmate natolik, že si ani neověří, co se v potvrzující SMS píše," dodává mluvčí.
Česká spořitelna letos čelila zhruba čtyřem phishingovým útokům, výraznější z nich byly dva, mezi něž patří i ten současný. Loňský rok byl s jedním zaznamenaným útokem klidnější. Naopak v letech 2015 a 2016 čelila Česká spořitelna spolu s dalšími finančními ústavy novému typu phishingových útoků, kde útočníci pro vylákání autorizačních SMS z klientů využívali falešné profily jejich facebookových přátel.
"Organizovanou skupinu pachatelů se podařilo odhalit a usvědčit a k opakování tohoto typu phishingového útoku na naše klienty zatím nedošlo," uvedl mluvčí s tím, že ačkoliv banky zpevňují svou ostrahu a snaží se dělat mezi klienty osvětu nelze opakování tohoto typu útoků 100% zabránit.
"Klíčová se ukazuje zejména spolupráce s policií, protože phishingové útoky jsou vždy realizovány organizovanými skupinami pachatelů. Všechny klienty, u nichž existuje podezření, že se stali obětí phishingového útoku, vždy nabádáme, aby podali trestní oznámení na neznámého pachatele a sami samozřejmě s policií velmi úzce spolupracujeme," dodává Hrubý.
Podvodným útokům čelí i ostatní banky. Vedle phishingu zaznamenaly nedávno pokus získat data klientů i pomocí zavirované aplikace oficiálním obchodě Google Play pod názvem QRecorder.
Aplikace se tvářila jako pomocník pro zobrazování hovorů, ale pachatelé pomocí falešné přihlašovací obrazovky "odposlouchávali" důvěrné údaje těch, co si ji stáhli (např. přihlašovací údaje k internetovému bankovnictví). Následně si také aplikace nechávala přeposílat autorizační SMS zprávy a tím se podvodníci pomocí ní mohli snadno dostat k cizím penězům.
Jak si bránit bankovní účet
Obecné bezpečnostní zásady:
- Buďte k podezřelým e-mailům velmi obezřetní. Nikdy neotevírejte žádné podezřelé přílohy ani odkazy z neznámých zdrojů. Nereagujte na výzvy, které se vás snaží přesvědčit, abyste zadaly své přístupové nebo jiné citlivé údaje jako například údaje z platební karty.
- Do internetového bankovnictví se přihlašujte vždy jen z oficiálních stránek banky. Nechoďte do něj přes vyhledávače, sociální sítě, nebo výzvu z e-mailu.
- Před zadáním osobních údajů v on-line bankovnictví si zkontrolujte, že v horním řádku prohlížeče vidíte symbol zámečku (bezpečnostní certifikát) a adresa začíná https://.
- Všechny zprávy od banky, které vidíte u svého účtu, si vždy pozorně přečtěte.
- Buďte velmi obezřetní před zadáním jakéhokoliv SMS kódu a vždy pečlivě čtěte obsah potvrzovacích (autorizačních) SMS zpráv. Před potvrzením operace pomocí SMS se vždy ubezpečte, že se kód vztahuje k právě provedené akci.
- Nikomu nepřeposílejte žádné kódy z SMS a nepotvrzujte nic, co jste v internetovém bankovnictví sami nezadávali.
- Nepoužívejte pro přístup do bankovnictví stejné heslo, které už používáte u nějaké jiné online služby. Pravidelně ho měňte.
- Používejte antivirový program a všechny své operační systémy pravidelně aktualizujte.
- K elektronickému bankovnictví nebo ke svým účtům (nejen bankovním) se nepřihlašujte z veřejně přístupných nebo nedůvěryhodných počítačů, které nemáte pod kontrolou.
- Pokud máte podezření, že jste podvodný e-mail obdrželi, přepošlete ho bance, která upozorní například ostatní klienty na další podobu phishingového útoku.
- Jestliže jste již na odkaz klikli a vyplnili požadované údaje, ihned kontaktujte svou banku. Banku kontaktujte i při jiném podezření na zneužití vašich dat.
Jak chránit mobily:
- Nainstalujte si antivir a pravidelně jej aktualizujte
- Provádějte pravidelnou aktualizaci software Vašeho chytrého telefonu
- Neprovádějte žádný zásah do operačního systému (jailbrake, root)
- Před stahováním si pročtěte recenze - pokud uživatelé nemají kladnou zkušenost, raději se instalování aplikace vyhněte
- Pozorně čtěte informace při instalování různých aplikací - především u aplikací, které vyžadují příliš mnoho povolení k přístupu.
- Většina malware si žádá, aby se stal administrátorem Vašeho zařízení - takovéto povolení nedávejte a aplikaci neinstalujte.
Zdroj: Česká spořitelna, mBank, Air Bank