Cílem služby je podle zapojených bank zrychlit a zjednodušit platební styk – číslo účtu si totiž pamatuje jen málokdo a při jeho zadávání hrozí větší chybovost. Poslat tímto způsobem lze platby do 5 000 korun.
Podle odborníků na IT a platební metody mají ale tyto platby jednu trhlinu. Podvodníkům totiž podle nich usnadňují přístup k citlivým údajům o klientech.
„Platby jako takové bezpečné jsou. Když někomu dáte telefonní číslo, tak vám účet nevyluxuje. Nicméně jako hrozbu zde vidím sdružování soukromých údajů, které potenciální útočník může získat velmi lehce,“ uvedl pro MF DNES Matěj Novák, šéf platební společnosti EasyChange Group a člen představenstva České fintech asociace.
Znát číslo účtu už není potřeba. Šestice bank spouští platbu na kontakt |
Při zadání platby na telefonní číslo se odesílateli ještě před jejím odesláním zobrazí jméno příjemce. Poté, co platbu pošle, ve svém výpisu z účtu uvidí už i číslo účtu adresáta jeho platby. Případný útočník se tak podle Nováka snadno dostane hned ke třem citlivým údajům, a to tak, že si bude náhodně generovat mobilní čísla a ověřovat, jestli je možné peníze poslat.
Může si také vytipovat podnikatele, který má tuto službu aktivovanou, a poslat mu testovací korunu. „Tím zjistí výše zmíněné údaje a pak už je jen krůček k velmi důvěrnému telefonátu, kde potenciální útočník řekne vaše jméno, telefon a číslo bankovního účtu. Tudíž si získá vaši absolutní důvěru a pak vás může zmanipulovat k převodu prostředků, kam bude potřebovat. Právě z důvodu ochrany peněžních prostředků tyto tři údaje není možné lehce získat. To se nyní ovšem změní,“ vysvětluje dále expert.
Na toto riziko upozorňuje i odborník na oblast IT, a to šéf společnosti CloudArc Ondřej Zub, který připomíná masivní rozšíření podvodných esemesek s platebními příkazy. „Právě platba na telefonní číslo může být velmi dobrý zdroj informací, které pomohou se na tento útok připravit,“ odpověděl na dotaz MF DNES.
Od listopadu půjde poslat peníze na telefonní číslo. ČNB spouští registr |
Jako konkrétní případ popisuje situaci, kdy se podvodník o někom dozví, že zdědil finance či zrovna prodal dům – tedy že aktuálně má peníze, o které jej může zkusit připravit. „Zjistit si na danou osobu telefon pak není nic těžkého. V dalším kroku jí zkusíte na toto číslo poslat nějakou zvláštní částku, třeba 1231 korun. V okamžiku, kdy tuto platbu odešlete, získáváte informaci také o jejím čísle účtu, a především o její bance,“ upozorňuje dále Zub s tím, že podvodník tak získává kombinaci informací, které mu pomohou sestavit uvěřitelný příběh, s nímž pak může oběť kontaktovat.
„Podvodník bude mít další velmi přesvědčivý argument, a to přesnou částku, která člověku přišla na účet. Stačí se pak vydávat za oddělení dané banky, které má na starosti podvodné transakce, a oběti sdělit, že se jí někdo pravděpodobně naboural do účtu. Podvodník pak zašle odkaz, na který se má oběť přihlásit, aby banka situaci mohla okamžitě řešit. Takto snadno se pak může dostat k přihlašovacím údajům do bankovnictví, což je první úspěšný krok k vysátí účtu oběti,“ vysvětluje dále Zub.
Podezřelou aktivitu zastavíme
Pokud by někdo chtěl ve velkém zjišťovat skrze platbu na kontakt jména majitelů telefonních čísel, banky mu v tom zabrání, nicméně odchytí jen několikačetné pokusy.
Pokud si ale někdo vytipuje jeden kontakt a na ten zaútočí, banku to znepokojí jen těžko.
Podezřelou aktivitu monitorují například v ČSOB, Air Bank nebo České spořitelně. „Nastavený monitorovací proces detekuje pokusy o zneužití služby Platba na kontakt pro rozsáhlé získávání jmen majitelů telefonních čísel a máme zároveň mechanismy, kdy dokážeme tyto pokusy v zárodku efektivně zastavit,“ uvedl mluvčí České spořitelny Filip Hrubý.
K zadávání plateb bude stačit telefonní číslo. Chystá se i placení bez terminálu |
Zamezit získávání kontaktů se snaží také v Raiffeisenbank. „Podobně jako ostatní banky zapojené do plateb na kontakt máme opatření, která zabraňují systémovému a cílenému vytěžování dat z registru,“ říká mluvčí banky Tereza Kaiseršotová.
Zájemci o propojení svého účtu s telefonním číslem se o možnost musí aktivně přihlásit u své banky. Registr do služby zapojených čísel účtu a s nimi propojených čísel telefonních vede Česká národní banka. Co se týká tohoto „seznamu“ čísel, v něm větší riziko oslovení experti neshledávají. Podle Ondřeje Zuba je zkrátka stejně napadnutelný jako jakýkoli jiný zabezpečený systém – možné to tedy je, ale podobně může být napadnuta jakákoli jiná databáze s citlivými údaji.
„Klienti by vždy měli posílat peníze pouze lidem, které znají a důvěřují jim, a měli by se mít na pozoru před nevyžádanými a potenciálně podvodnými žádostmi o peníze. Jakékoli osobní údaje lze potenciálně využít pro podvodné jednání útočníka, to však už vyžaduje aktivní součinnost oběti,“ upozorňuje mluvčí ČNB Denisa Všetíčková.
To hlavní o platbách na kontakt
|
