Praha – Před časem jedno call centrum nabíralo nové lidi. Odpovědní manažeři v solidních oblecích několik dní pečlivě školili skupinu telefonistů, aby se vyznali v produktech Erste Bank. Až pak byla nová infolinka slavnostně spuštěna a začali na ni volat první klienti.
Ti se z e-mailů s hlavičkou své banky dozvěděli, že je třeba, aby se s infolinkou spojili třeba kvůli nejnovější nabídce na refinancování hypotéky. Zákazníci tedy ochotně volali. Po vytočení čísla se na druhé straně ozval hlas proškoleného operátora, který si nejprve ověřil číslo konta a přístupová hesla k internetovému bankovnictví. A když si pak náhodou nevěděl rady, přepojil volajícího na svou kolegyni sedící opodál. Všechno vypadalo profesionálně, nebyl důvod k obavám.
Ve skutečnosti ale za call centrem nestála banka ani žádný z jejích smluvních partnerů, ale skupina počítačových hackerů. "U těch nejsou podobné strategie ničím výjimečným. V tomto případě nás ale překvapilo, že telefonisté do podvodu zapojeni nebyli. Skutečně si mysleli, že pracují pro banku," říká vedoucí kybernetické obrany skupiny Erste Roland Supper.
Podle něj banka falešné call centrum odhalila včas. Krádežím peněz z účtů, k nimž poskytli přístupové údaje sami zákazníci, tedy dokázala zabránit.
Varování z Indie
Podobné štěstí ovšem neměl jeden indický brigádní generál, jemuž se podařilo své jméno před médii utajit. Ten kvůli falešnému call centru přišel celkem o dva miliony rupií, tedy asi 715 tisíc korun.
Podvodníci generála po telefonu oslovili jako zástupci vládní organizace Bima Lokpal. Už to se mohlo zdát podezřelé. Vedoucí podvodné infolinky ale věděli o existujícím pojistném účtu vojáka a nabídli mu, že když na jejich účet zašle pár desítek tisíc rupií, obdrží vysoký pojistný bonus. To se několikrát opakovalo a důvěřivý generál stále platil s vidinou milionových výdělků.
Podvod nakonec odhalil jiný z prominentů, kterého falešní telefonisté rovněž podvedli. Policie nakonec zatkla čtyři mladé vysokoškoláky, kteří si dříve přivydělávali v telefonních centrech, kde nasbírali potřebné zkušenosti.
Protože je Indie velmocí podobných telefonních ústředen, které navíc využívá řada britských či amerických korporací, nebyla podobná kauza jedinou.
Sociální inženýři v bankách
Útoky, při nichž hackeři operují s osobními daty lidí, které následně zneužijí ke krádežím peněz, nejsou jen případem falešných call center. Takzvaný sociální hacking bývá daleko častěji založen na veřejně dostupných informacích z internetu a sociálních sítí, ke kterým se útočníci snadno dostanou.
„Z Googlu sociální hackeři zjistí, třeba kam jste chodili do školy. Díky Facebooku zase vědí, s kým se přátelíte nebo s kým jste zrovna včera šli na pivo,“ vysvětluje Supper z Erste.
Podle něho se podobné útoky nevyhýbají ani vysokým manažerům bank. Do firemního e-mailu vám třeba přijde zpráva z domnělé adresy vašeho kolegy z vedení. „Ahoj Lukáši, musíme teď investovat pár milionů do tohoto fondu, abychom nepropásli příležitost. Proveď prosím celou transakci,“ píše se třeba v takové zprávě. Pak může banka čelit citelné finanční ztrátě.
„Když se tímto způsobem hackeři vydávají za vašeho kamaráda či kolegu a zmiňují přitom detaily z vašeho života, je pak těžké jim nenaletět,“ myslí si Supper.
Některé banky proto podobný sociální hacking simulují samy, aby své lidi před nebezpečnými situacemi varovaly.
„Věřím ve fenomén osobní zkušenosti,“ říká šéf oddělení Řízení nefinančních rizik českého ČSOB Josef Šedivý. „Dokud sami podobnému útoku nečelíte, tak máte tendenci podobné věci podceňovat,“ myslí si Šedivý.
Proto jeho oddělení „zaútočilo“ na vlastní vrcholový management banky. „Každému členovi vedení jsme poslali e-mail s hlavičkou univerzity, na níž studoval. Uvedli jsme v něm, že nezaplatil poslední fakturu za školné a jestli ji do pěti dnů neuhradí, začne se s ním škola soudit,“ vysvětluje princip testu bezpečnostní manažer.
Cílem zkoušky prý nebylo, aby bankéři podvodnou zprávu pouze ignorovali a neplatili. „Především jsme chtěli, aby nám takový incident nahlásili,“ uvádí Šedivý.
I když nechce zmínit přesné výsledky bezpečnostního testu, většina manažerů prý prošla.
„Když jsem pak konkrétní lidi z vedení naší banky za jejich správný postup chválil, byli sami evidentně šťastní., že takovou zkoušku zvládli,“ říká zástupce ČSOB. Podle něho bylo klíčové, že fingovaný útok cílil právě na vrcholové představitele banky, kteří pak zkušenost přetavili ve větší obezřetnost v rámci celé instituce.
Podle obou zmíněných bezpečnostních manažerů sice útokům hackerů zcela zamezit nelze. „Jejich počet lze ale citelně snížit. Klíčem k vyváženosti je společenské povědomí o takových hrozbách,“ myslí si Supper, podle něhož by měly firmy podobné útoky zveřejňovat. „Vrcholový management musí být osobně za následky takových útoků odpovědný. To firmy přiměje kybernetickou bezpečnost seriozně řešit,“ dodává zástupce Erste.
