Právě teď volá několika lidem falešný bankéř či policista. Útoků nebezpečně přibývá
Jak ukázal průzkum České bankovní asociace, v červnu počet útoků již dorovnal celý loňský rok. Úspěšné jsou hlavně krádeže dat při on-line nákupech.
Publikováno: 13.7.2021
Podle IT společnosti ESET nastal loni vlivem celospolečenské situace stoprocentní meziroční nárůst detekcí phishingu. "V loňském roce útočníci reagovali v Česku například na vyhlašování nouzového stavu a rozvolnění. V návaznosti na tyto události jsme sledovali výrazné nárůsty phishingu," uvedl na úterní tiskové konferenci vedoucí pražského výzkumného oddělení ESET Robert Šuman.
Jedním z velmi aktuálních triků útočníků jsou infikované mobilní aplikace či jejich aktualizace, které si nejčastěji stáhnete z neoficiálních obchodů s aplikacemi a webových stránek. Výjimkou ale nejsou ani podvodné aplikace nainstalované přímo z oficiálního obchodu.
"Pokud v telefonu nemáte nainstalovaný bezpečnostní software, který by vás varoval, a při instalaci aplikaci udělíte vysoká oprávnění - například aplikaci pro nahrávání hovorů i přístup k fotoaparátu či SMS - dokáže odcizit vaše přihlašovací údaje do bankovnictví, obejít dvoufázové ověření či získat potvrzovací SMS zprávy," upozornil Šuman ze společnosti ESET.
Počet vishingových (hlasových) útoků, kdy se útočníci během telefonického hovoru vydávají za bankéře či policisty, stoupl šestinásobně. "Klientovi útočník často volá v neobvyklý čas. S pomocí osobních údajů o klientovi, které získal například v internetovém prostředí, mnohdy ze sociálních sítí, si získá jeho důvěru," popsal Luděk Fiala z Policejního prezidia ČR.
Scénáře se mohou lišit - útočník často požaduje přihlašovací údaje, údaje z platební karty či potvrzovacích SMS, případně umožnit vzdálený přístup počítači. Podle Fialy se objevují i případy, kdy útočník svou oběť přesvědčí, aby ze svého účtu vybrala hotovost a vložila ji vkladomatem na bitcoiny. Závěr je ale stejný - oběť své peníze již pravděpodobně nikdy neuvidí.
"Snadno uvěří, že jeho účet byl napaden a jediné, co jeho peníze 'zachrání', je jejich odeslání na účet, který mu falešný bankéř sdělí. Útočník klienta následně instruuje, jak transakci autorizovat," dodal Fiala.
Vishingové útoky podle něj sice nejsou co do počtu tak masivní, ale finanční ztráty klientů jsou často vysoké.
Bankovní asociace proto s policií spouští osvětovou kampaň. "Dlouhodobě představují vysoké riziko phishingové e-maily a SMS, podvodné aplikace a různé druhy škodlivých kódů, které cílí jak na osobní počítač, tak chytrý telefon uživatele. Samostatnou a mimořádně nebezpečnou kapitolu představuje tzv. vishing, který z logiky věci obchází veškeré bezpečnostní mechanismy. Klíčová je proto neustálá edukace veřejnosti," uvedl za ESET Šuman.
"Banky tyto útoky sice evidují, každá ale za použití různé metodiky. Vzhledem k tomu, že o přesnější data má zájem i policie, začaly konzultace, jejichž cílem bude i sladění metodiky vykazování útoků na klienty," upozornil předseda komise ČBA pro bankovní a finanční bezpečnost Petr Barák.
Díky aktivitě bank a obezřetnosti klientů se daří zastavit 86 procent útoků. Zbývající útoky, při nichž jsou odčerpány peníze klientovi z účtu, řeší policie. Podle Baráka se útočníkům daří dokončit zejména útoky mířící na karetní údaje, které jim oběti 'prozradí' při on-line nakupování na stránkách, kde platební brána není zabezpečena skrze 3D Secure.