Za první tři měsíce letošního roku se odehrálo téměř k 23 tisícům kyberútoků na klienty bank. Ve srovnání s loňskem jde o 11procentní nárůst. Společně s vyšším počtem útoků mírně vzrostla i celková škoda, která letos dosáhla 364,5 milionu korun. Uvedla to Česká bankovní asociace (ČBA).
Přitom už loni se škody plynoucí z útoků na účty vyšplhaly jednu miliardu korun. A počet útoků stoupl na bezmála 70 tisíc. Problémy s útoky na účty klientů se přitom nepotýkají pouze banky, ale i pojišťovny, brokeři, státní instituce nebo firmy na zajištění infrastruktury.
„Je proto velmi důležité vzdělávat veřejnost, protože v celém řetězci těchto útoků je bohužel nejslabším článkem,“ říká Tomáš Stegura, předseda Pracovní skupiny pro kyberbezpečnost ČBA. Dodává, že online útoky stále častěji doplňují i související podvodné telefonáty.
A tak si v médiích můžete přečíst například takovouto zprávu: Čeští a ukrajinští policisté zadrželi 70 lidí z rozsáhlé zločinecké skupiny působící na území Ukrajiny, která podle kriminalistů tvořila a spravovala podvodné investiční platformy. Zaměřovala se na oběti z České republiky i dalších evropských zemí. Čtyři hlavní organizátoři jsou ve vazbě. V případě prokázání viny jim hrozí až 12 let vězení nebo propadnutí majetku.
„Online spravování bankovních, investičních účtů, ale i dalších online platebních platforem se stalo normou. Všichni se snaží o to, aby bylo co nejjednodušší. To je v pořádku, ale první problém je četnosti útoků, které jsou například prostřednictvím mailů na denním pořádku, a pak v digitální a finanční gramotnosti uživatelů,“ hodnotí aktuální situaci finanční poradce Partners Vladimír Weiss. Přidává i důležitou radu: „Pokud si nejste jistí, nebo vnímáte nějaké problémy, než něco uděláte, obraťte se na klientskou podporu vaší firmy.“
Na otázku, proč jsou klienti finančních institucí často tím nejslabším článkem v celém řetězci útoků na účty Tomáš Stegura odpovídá: „Klient, ať už vědomě nebo nevědomě, pomůže e-šmejdům získat citlivé údaje. Přitom často stačí zavěsit a ověřit si telefonát v bance.“
Hesla a dvoufázové ověření
Analytik společnosti XTB David Zeman říká, že dříve hackeři napadali hlavně velké firmy, ale dnes už připadá až 43 procent útoků na malé firmy a jednotlivce. Tvrdí, že vůbec nejčastější příčinou úspěchu hackerů je prolomení hesla. „Přičemž ne vždy ho musí lidé přímo nadiktovat podvodníkovi do telefonu,“ doplňuje.
Jak vytvořit silné hesloMinimálně 12 znaků Kombinace malých a velkých písmen, číslic a speciálních znaků Vyhněte se osobním údajům, jménu, datu narození, názvu města či mazlíčka |
Odvolává se na nedávné šetření společnosti Verizon, podle kterého více než 80 procent úspěšných hackerských útoků způsobí takzvaná kompromitovaná hesla. Útočníci často využívají rozsáhlé databáze uniklých hesel, které jsou snadno dostupné na darknetu. Tyto databáze obsahují miliony záznamů z dřívějších úniků dat a útočníci je kombinují s automatizovanými nástroji. Ty během několika sekund zjistí, zda je takto nelegálně získané heslo použitelné i jinde.
„Přesto mnoho lidí stále používá kombinace jako „123456“, „admin“ nebo „qwerty“. A to i pro přístup k investičním účtům,“ vysvětluje Zeman. Také říká, že loni společnost Digital Shadows zaznamenala přes 24 miliard kompromitovaných přihlašovacích údajů v online oběhu.
Heslo musí být silné
Jak David Zeman upozorňuje, používat stejné heslo na více místech je jako mít jeden klíč ke všem dveřím. Řešením je podle něj využití hesla správce přístupové stránky. Jejich systémy generují a ukládají silná hesla. Rovněž automaticky vyplňují přihlašovací údaje. A jsou většinou docela zdarma.
„Úplným základem je pak volba takzvaného dvoufázového ověření přístupu či transakcím na účtu. Po zadání hesla je třeba zadat i jednorázový kód zaslaný na telefon nebo jinak generovaný aplikací,“ vysvětluje David Zeman s tím, že třeba Google uvádí, že dvoufázové ověření zablokuje 96 procent všech útoků, ale podle statistik tento nástroj využívá pouhých 26 procent uživatelů.
Někteří proto doporučují i web Have I Been Pwned. Ten umožňuje ověřit, zda váš e-mail nebyl součástí úniku dat. Veřejnou databázi spravuje bezpečnostní expert Troy Hunt. V případě pozitivního nálezu je třeba změnit hesla a aktivovat 2FA.
Útoky, jak je známe
Podle Vladimíra Weisse se útoky na účty dnes zaměřují hlavně na zařízení klientů, nikoli systémy bank. Do jejich bezpečnosti banky investují přece jen nějaké peníze. U statistiky ČBA o počtu útoků si není jistý, zda opravdu věrně odráží realitu.
„Zde je důležité, že jde pouze o přiznané škody, tedy ty, které klienti řešili se svými bankami. Velmi pravděpodobně jde jen o část celkové škody, protože klienti nemuseli některé případy nahlásit nebo o nich ještě neví, tady se jedná zejména o investiční podvody, kdy se oběti ještě stále domnívají, že výhodně investovaly,“ upozorňuje Weiss na to, co rovněž stojí v informacích od bank.
Doplňuje, že hlavní klíč k úspěchu spočívá v odpovědném využívání technologií uživateli. A ta se snad lepší, jak by mohla naznačovat statistika ČBA. I když i letos v prvním čtvrtletí opět došlo k nárůstu útoků, tak průměrná škoda na klienta pokračovala v poklesu, a to na 15 854 korun. Loni v prvním čtvrtletí to bylo 17 236 korun. V roce 2023 tato částka dosáhla 22 080 korun. Přesto e-šmejdi v prvních třech měsících letošní roku i tak napadli 22 995 klientů bank. A mnoho z těchto útoků bylo úspěšných, i když nakonec nedošlo k digitální loupeži peněz.
„Došlo ke kompromitaci klienta a ze strany útočníků bylo provedeno alespoň úspěšné přihlášení do elektronického bankovnictví nebo zneužití platební karty. Jde o jakýkoliv způsob napadení – tedy i manipulace, kdy klient zadává nebo autorizuje platbu sám,“ vysvětlil Tomáš Stegura.
