Úterý 22. června 2021, svátek má Pavla
  • schránka
  • Přihlásit Můj účet
  • Úterý 22. června 2021 Pavla

Kyberzločinci napadají stovky klientů, říká bankovní analytik

  13:00
Z hackingu se stal byznys jako každý jiný. V temných zákoutích internetu se dají koupit přístupová jména k internetovému bankovnictví nebo čísla karet. „Kradená čísla karet se prodávají po balíčcích. Ceny se na černém trhu pohybují v jednotkách až desítkách dolarů za jednu kartu,“ říká manažer operačních rizik Komerční banky Tomáš Doležal.

Tuzemské banky čelí útokům na webu téměř nepřetržitě. Tomáš Doležal proti nim hledá obranu | foto:  František Vlček, MAFRA

Kasařům s páčidlem odzvonilo. Elektronizace plateb je na postupu, takže bankéřům dělají stále větší starosti kybernetičtí zločinci. Proniknout do banky přímo je však pro ně kvůli stále silnějšímu zabezpečení složité, a tak to raději zkoušejí přes klienty. Je to totiž nejslabší místo.

Mohou banky zaručit stoprocentní bezpečí uložených peněz?
To asi nelze nikdy, úroveň bezpečí v bankách je ale v současnosti velmi vysoká. Vedle jednoduchých ataků se samozřejmě čas od času objevují sofistikované útoky, při nichž útočníci vyvinou enormní úsilí, aby do banky pronikli. Příprava takových útoků trvá i měsíce.

Lovec kyberzločinců

Tomáš Doležal spravuje v Komerční bance oblast operačních rizik, mezi která patří například výpadky systémů, vnitřní podvody, spory s regulátorem či podvody u vkladů. V případě technických selhání připravuje „katastrofické scénáře“ vypořádání se s následky. Dohlíží také na zabezpečení proti hackerským útokům včetně podpory klientů v oblasti ochrany proti kybernetickým zločincům.

V Komerční bance pracuje na různých pozicích ve financích a řízení rizik už od roku 2002. V roce 2008 vedl integraci finančního oddělení ruské Rosbank do skupiny Société Générale. Vystudoval Vysokou školu báňskou – Technickou univerzitu Ostrava.

Řeknu dva konkrétní příklady. V roce 2015 odcizili útočníci z bank miliardu dolarů. Zaútočili na velké množství bank, dokázali podvrhnout řadu transakcí a odeslali platby mimo banky. Loni zase pronikli do centrální banky v Bangladéši, odkud chtěli ukrást 850 milionů dolarů. Dlouho zkoumali, jak banka funguje, postupně napadli počítače uvnitř, až se dostali k serveru, kde se zpracovávají příkazy k platbám do zahraničí. Přišlo se na to jen díky tomu, že popis jedné z transakcí obsahoval pravopisnou chybu. Přesto dokázali odeslat pryč kolem 80 milionů dolarů.

Řídíte v bance operační rizika, co to přesně obnáší?
Z pohledu regulace tvoří banky kapitálový požadavek na tři typy rizik. Největší část tohoto požadavku představuje kreditní riziko, jde asi o osmdesát procent. Jde o rizika spojená s úvěry v případech, kdy by lidé nebo firmy přestali splácet.

Pak jsou tu tržní rizika, která plynou z operací na mezibankovním trhu. V Česku jsou na ně požadavky nízké, tvoří zhruba do pěti procent z celkového kapitálového požadavku, protože české banky je dělají jen omezeně.

A pak jsou tu operační rizika, kam spadají vnitřní selhání – třeba výpadky systémů, vnitřní podvod, spory s regulátorem či jakékoliv podvody u vkladů. Kapitálový požadavek pro tato rizika se pohybuje kolem deseti procent. V našem případě jde konkrétně o rezervu ve výši zhruba tří miliard korun.

Jak jste tuto částku určili?
Kapitálový požadavek se může vypočítat buď základním přístupem, kdy se jeho výše určí procentem z čistých bankovních příjmů, nebo využíváme takzvaný pokročilý přístup. To se kapitálový požadavek vypočte na základě matematického modelu, do něhož se zahrnou historické ztráty, to jsou ty očekávané, a pak řada různých scénářů s malou či mizivou pravděpodobností. I tak na ně ale musíme být připraveni.

Člověk, co takové scénáře vytváří, asi musí mít velkou představivost...
Na základě pravidelného hodnocení rizik vytváříme scénáře pro každou významně rizikovou oblast, například výpadek bankovních systémů v pobočkové síti či výpadek internetového bankovnictví. Hledáme, kde jsou úzká hrdla, snažíme se je odstranit, ale zároveň vytváříme katastrofické varianty, které mohou nastat. Musíme vědět, jak reagovat, když třeba shoří datové centrum nebo kdybychom kvůli výbuchu přišli o nějakou klíčovou budovu.

A kterou z těch oblastí vidíte jako nejrizikovější?
Obecně největší část kapitálového požadavku souvisí s riziky v informačních technologiích. Kdybychom třeba nebyli schopni v případě nějakého velkého kybernetického útoku týden provozovat platební služby, nejenže by to kvůli licenci musel řešit regulátor, ale zároveň by to mělo fatální dopad na banku. A zřejmě by to znamenalo odchod klientů.

Útok na klienta je jednodušší

Představme si hypoteticky, že takový týden trvající útok přijde. Co přesně budete dělat?
Dopředu se snažíme definovat záložní plány, podle nichž budeme postupovat. Pokud bychom například nebyli kvůli vyhořelé výrobní lince v Česku schopni vydávat nové platební karty, přesune se výroba k partnerskému dodavateli do Polska. Máme čtyři datová centra, dvě jsou v Česku, dvě ve Francii, kde využíváme kapacity mateřské banky. V těch budovách je většina věcí zdvojená, například přívod elektrické energie či chlazení. Pro kritické bankovní systémy využíváme datová centra v aktivním režimu, to znamená, že v případě výpadku jednoho datového centra je provoz systému automaticky odkloněn do druhého datového centra, aniž by došlo k jakémukoliv přerušení provozu.

Zažili jste už takový útok?
Jednou došlo k soustředěnému útoku na jedno z našich datových center, přehltily se vstupní linky, trvalo to do patnácti minut. Dokázali jsme ale škodlivý provoz odfiltrovat od toho skutečného, technologie, které to umějí, tu jsou. Jsou to věci, které se ve světě dějí běžně.

Kolik do zajištění bezpečnosti dáváte?
Jako komerční instituce poměřujeme objem rizik s výší investice. Obecně je možné říci, že investice jdou do stovek milionů korun. Částka se neustále zvyšuje, jak hrozby narůstají. Ale myslím, že úroveň bezpečnosti bude do budoucna jednou z věcí, kterých si klient bude vážit nejvíc. Platební styk, vydání platební karty – to umí každý. Trochu se ale v této souvislosti obávám nové regulace, která přinutí banky otevřít své komunikační rozhraní třetím stranám. Pro klienty to bude výhodné, protože z jedné aplikace budou schopni ovládat všechny své účty bez ohledu na to, v jaké bance budou. Klíčové ale bude zabezpečit úroveň ochrany tak, aby nešlo provádět podvodné transakce.

Antivirové firmy říkají, že nejslabším článkem z hlediska bezpečnosti je klient. Platí to i v případě bank?
Pro útočníky je obvykle jednodušší nabourat klientovi počítač nebo telefon než proniknout do banky, která má několik vrstev zabezpečení. Setkali jsme se s konkrétní formou útoků na internetové bankovnictví, Komerční banku nevyjímaje, jak na korporátní, tak na retailové klienty. Útočníkům se podařilo zavirovat počítač a následně telefon klienta, kam banky posílají ověřovací SMS pro potvrzení platby.

Útoky na banky a klienty

„Falešný prezident“
Podvodník se vydává za pracovníka vrcholového vedení firmy. Kontaktuje pracovníka s patřičnými oprávněními provádět bankovní převody a pod smyšleným důvodem udělí pokyn k úhradě ve prospěch podvrženého účtu.

„Odklon plateb“
Podvodník se vydává za dodavatele a informuje o změně bankovního účtu, kam se posílají peníze z faktur. Oběť poukazuje platby ve prospěch podvrženého účtu.

DDos útok
Jednoduchý útok vedený s cílem zahltit webové stránky služby a zajistit její nedostupnost pro klienty.

Phishing
Podvodná technika používaná k získávání citlivých údajů, například přihlašovací údaje k internetovému bankovnictví či kreditních karet.

Jaký je počet napadených klientů?
Klientů, kteří jsou napadeni, ale třeba ten útok nakonec není realizovaný, jsou stovky, ne-li tisíce. Snažíme se klienty aktivně chránit, mohou si nainstalovat aplikaci, kterou ve spolupráci s IBM nabízíme zdarma. Funguje to jako antivir, ale je to program specializovaný na bankovní malware – umí totiž detekovat škodlivé kódy. V případě internetového bankovnictví je nutné program instalovat na PC. V mobilním operačním systému Android je součástí aplikace a brzy bude i na iOS. Jednoduchý sken počítače na přítomnost virů proběhne i během přihlášení do internetového bankovnictví.

A když je najde, nepustí pak klienty dovnitř?
To jsme sice technicky schopni udělat, ale těžko bychom klientovi vysvětlovali, že ho nepustíme do garáže, protože má díru ve výfuku. Ale téměř okamžitě mu zavoláme a vysvětlíme, co se u něj děje na počítači. Zároveň mu poradíme, jak lze škodlivé kódy odinstalovat. A umožňuje nám to ještě jednu věc: díky množství dat vidíme, jaké vlny útoků se Českem ženou, jak se malware chová, na co útočí a podobně. A můžeme se na něj připravit.

Na webu jsou ceníky ukradených čísel karet podle zemí

Nemají klienti obavy, že o nich budete sbírat údaje, když si aplikaci nainstalují, a že je využijete k marketingovým účelům?
Nechceme vydělávat na poskytování získaných dat. Bankovnictví se staví na konzervativnější stranu barikády. V reálném čase zkoumáme i všechny transakce, a pokud objevíme něco podezřelého, něco, co neodpovídá profilu klienta, upozorní to analytiky. A když zjistí, že je to opravdu podezřelé, hned klientovi volají a ptají se, zda tu transakci dělá skutečně on. Jsou to stovky hovorů měsíčně a v řadě případů skutečně zabráníme podvodné platbě.

Jedna věc je zabezpečení účtu, ale co zneužití platebních karet?
Skimming, tedy instalace čtecího zařízení do bankomatu, které ukradne údaje o vaší kreditní kartě, je už na ústupu. Občas ale takové podvody proběhnou. Nedávno byla odhalena skupina, která se zaměřovala na bankomaty, které ne- jsou provozované bankami. Možná proto, že podvod nelze tak rychle odhalit. Naopak roste počet zneužití karet při platbě v e-shopech, a to i v souvislosti s tím, jak Češi více platí kartami a jejich čísla jsou pak u obchodníka uložena.

Jak se proti tomu bránit?
Jednou ze základních věcí, kterou by si měl každý klient hlídat, je nastavit si přísné limity, kolik lze z karty vybrat či kartou zaplatit. Většina bank také implementovala službu 3D Secure, což je mechanismus, který ověřuje transakci, podobně jako při přihlášení k účtu. Obchodník se navíc nedozví číslo karty, dostane se k němu zašifrovaná. Když jeho systémy napadne hacker, nic se nedozví. To ale platí, jen když 3D Secure používá jak banka, tak obchodník. Jinak platba probíhá v běžném režimu.

Dalo by se říci, že platit v zahraničí je větší riziko než v České republice?
Tak bych to neřekl, i když jsou samozřejmě země, kde to rizikovější je. Třeba počátkem roku jsme identifikovali podvody u karet, jimiž bylo placeno v různých čínských e-shopech, které nepoužívaly 3D Secure. Nechci tím říci, že si tyto obchody svůj byznys postavily na tom, že něco prodaly levně a ještě přeprodaly dál čísla karet. Karetní podvody jsou obecně nejrozšířenějšími podvody co do počtu, nicméně co do objemu to není významné. Kradená čísla se prodávají po balíčcích a podvodníci zdaleka nedokážou vybrat všechny.

Kolik podvodníci za jednu takovou kartu zaplatí?
Pohybuje se to v jednotkách až desítkách dolarů za jednu kartu. Na takzvaném dark webu existují ceníky podle zemí, podle typu karty, zda jde třeba o zlatou kartu, podle toho, jaký limit by na nich mohl být. A platí, že balík například německých karet gold je mnohem cennější než třeba balík českých karet.

  • Nejčtenější

Primark v Praze otevřel: fronta až od koně, hasiči lidi ve vedru kropili

S ročním zpožděním způsobeným koronavirovými restrikcemi se na Václavském náměstí otevřela pobočka irského řetězce s...

Nabídka lokálních potravin za hranicemi vyrazí dech, v Česku rozhoduje cena

Je všední letní den v bavorském příhraničí na německé straně Šumavy. Česká rodina si právě nakoupila v supermarketové...

Turistickým atrakcím zvoní umíráček. K radosti místních, ke zlosti majitelů

Některá donedávna uzavřená turistická lákadla, jako například muzea strašidel, sexu, tortury či komunismu, dětské herny...

Ronaldo odsunul láhve Coca-Coly. A akcie společnosti se propadly

Portugalský fotbalista Cristiano Ronaldo během pondělní tiskové konference odsunul stranou dvě láhve Coca-Coly, podal...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Už jen drobné úpravy. Podívejte se do českého Primarku den před otevřením

Irský módní řetězec Primark připravil slavnostní otevření na 17. června, redakce iDNES.cz však do prodejny nahlédla...

Feri odešel s kryptoměnou za 3 miliony. Za peníze z mandátu, tvrdí

Premium Bývalý poslanec Dominik Feri stihl od začátku letošního roku do konce květnu nakoupit kryptoměnu v hodnotě přes 3...

Sledujeme začátek rituální sebevraždy lidstva, říká Čech s IQ 206

Premium Je jedním z nejchytřejších Čechů, ale jako robot nepůsobí. Při osobním setkání je Karel Kostka, vzděláním učitel,...

Z dětství jsem si nesla zranění, rodinu chceme, říká Gregor Brzobohatá

Premium Vítězka Miss World, topmodelka, zakladatelka nadace a influencerka Taťána Gregor Brzobohatá přijala další výzvu: právě...

  • Další z rubriky

Pojišťovny zaplatí léčebné výlohy kvůli covidu v Evropě. Kromě zakázaných zemí

Řada pojišťoven v letní sezoně pojistí Čechům léčebné výlohy v souvislosti s nemocí covid-19 v celé Evropě. Některé...

Česko chce být zemí nápadů, řekl Babiš. Kulhánek ocenil tuzemské firmy

Česko musí působit jako silný tým, jedině tak se prosadí v mezinárodní konkurenci, řekl premiér Andrej Babiš. Podle...

Obrat herního byznysu v ČR překročil pět miliard, studiím však chybějí lidé

Pandemie dopadla na české vývojáře počítačových her spíše negativně, přesto se obrat herních společností loni vyšplhal...

Ministerstvo chce nahnat turisty do měst, chystá vouchery na hotely či vstupy

Ministerstvo pro místní rozvoj chce podpořit městskou turistiku vouchery na ubytování, stravování či vstupy. Od...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Primark v Praze otevřel: fronta až od koně, hasiči lidi ve vedru kropili

S ročním zpožděním způsobeným koronavirovými restrikcemi se na Václavském náměstí otevřela pobočka irského řetězce s...

Nabídka lokálních potravin za hranicemi vyrazí dech, v Česku rozhoduje cena

Je všední letní den v bavorském příhraničí na německé straně Šumavy. Česká rodina si právě nakoupila v supermarketové...

Nevěřím, že někdo dokáže být roky věrný, přiznává polyamorii Frühlingová

Iva Frühlingová (39) vydala novou píseň Moralisté, ve které se nepřímo přiznává k paralelním mileneckým vztahům....

Žena dala za dárce spermatu své úspory, teď vychovává postiženého syna

Nyní třiačtyřicetiletá Michele Elizaga z Arizony dlouhá léta čekala na pravého muže, se kterým by založila rodinu....

Dojemné parte Šafránkové. Nikde mě nehledejte, jsem všude, také tedy ve vás

Pozůstalí po herečce Libuši Šafránkové ve čtvrtek zveřejnili netradiční smuteční oznámení. Dominuje mu černobílá...