Z údajov VÚB banky vyplýva, že za uplynulé tri roky sa počet podvodných transakcií platobnými kartami zvýšil dvojnásobne. Objem podvodov sústredených okolo internetového bankovníctva sa len v roku 2022 v rámci VÚB banky zvýšil šesťnásobne. Znamená to, že bežní klienti bánk čelia pokusom kriminálnikov výrazne častejšie. Rovnaký trend vnímajú aj iné banky, no konkrétne počty nezverejňujú. Počet útokov sa však na Slovensku počíta na státisíce ročne.
Státisíce útokov zachytáva aj spoločnosť Eset. Z jej štatistík vyplýva, že až dvadsať percent ich bolo s finančnou tematikou, pätnásť percent s témou kryptomien a deväť percent s témou doručenia zásielky. Tieto útoky majú spoločné to, že od svojich obetí sa snažia získať citlivé údaje.
Čítajte viac Podvody s bankovými kartami sú na vzostupe. Podvodníci sa tvária ako banka, kuriér či pošta, nedajte sa oklamať (+ návod)
Pri jednotlivých útokoch sú v hre stovky až tisíce eur. Sumy, ktoré zločinci pri úspešných útokoch ukradli, sa v minulom roku výrazne zvýšili. Kým v roku 2021 znamenal úspešný útok na platobnú kartu klienta VÚB banky priemernú škodu 368 eur, v roku 2022 to bolo už 514 eur. Ešte horšie čísla vykazujú útoky v prípade, že sa kriminálnici zmocnili údajov potrebných na platby v internetovom bankovníctve. V roku 2021 bola podľa VÚB banky priemerná škoda takéhoto jedného útoku 1 053 eur, no v minulom roku to bolo už 2 360 eur.
Pozorní a ostražití majitelia účtov a platobných kariet však majú šancu ubrániť sa pred takouto krádežou. Útočníci tohto druhu totiž musia útočiť vo veľkých objemoch, aby takýto útok mal pre nich význam. To znamená, že nemajú kapacitu na to, aby upravovali útok na konkrétneho jednotlivca. Preto jednotlivé podvodné stránky majú väčšie či menšie nedokonalosti – podvodnú stránku napríklad prezradí aj zvláštna URL adresa. Práve kontrola tohto riadka môže klientovi napovedať, že sa nachádza na webovej stránke, ktorá v skutočnosti nepatrí banke. V takom prípade je absolútne kľúčové nezadávať požadované citlivé údaje, pretože ich získa a zneužije útočník.
Banka peniaze vráti, no nie vždy
Ak sa klient stane obeťou útoku, banka mu za určitých okolností peniaze, o ktoré prišiel, vráti. Či sa tak stane, však závisí od toho, ako sa samotný klient správal. Banky na Slovensku používajú na potvrdenie platieb dvojfaktorovú autentifikáciu. Znamená to, že okrem prihlasovacích údajov, prípadne údajov z platobnej karty, je potrebné overenie kódom z SMS správy, prípadne iný druh overenia. Ak sa stane, že dôverčivá obeť odovzdá útočníkovi aj druhý faktor, platba je takzvane silne autentifikovaná. Klient ju teda potvrdil a takéto škody banka pravdepodobne neuhradí.
„I keď osemdesiat percent podvodných transakcií v on-line bankingu a šesťdesiat percent s platobnými kartami je neúspešných vďaka opatreniam banky, aj tak tá najväčšia obozretnosť ostáva na samotnom klientovi. Ak sa totiž rozhodne dobrovoľne odovzdať svoje osobné údaje, môže prísť už navždy o svoje finančné prostriedky na úkor podvodníkov,“ hovorí vedúci oddelenia prevencie podvodov vo VÚB banke Radomír Adamkovič.
Iná môže byť situácia v prípade, že klient takto dobrovoľne nespolupracuje a aj tak ho kriminálnici pripravia o peniaze. To sa môže stať, ak sa klient chytí do pasce napríklad v internetovom obchode, ktorý napadli hekeri.
Častou formou útoku sú takzvané web skimmery. Ide o útok, ktorý sa podobá na situáciu, keď zlodeji nainštalujú fyzickú čítačku kariet na bankomat.
Hekeri totiž môžu využiť zraniteľnosť napríklad práve elektronického obchodu a nastražiť čítačku údajov v on-line priestore. Ak sa klient rozhodne zadať údaje v legitímnom, no napadnutom e-obchode, útočník získa údaje o jeho platobnej karte. Niekedy už len to stačí na to, aby klient banky prišiel o peniaze.
Niektoré e-shopy vo svete totiž nevyžadujú overenie platby druhým faktorom a transakcia sa po zadaní údajov z karty uskutoční. Ak sa niečo také stane, banka klientovi platbu vráti a situáciu bude riešiť ďalej sama. Klient sa v tomto prípade chytil do pasce, ktorú nemohol rozpoznať, a aktívne nereagoval na podozrivé požiadavky útočníka. Práve preto sa mu peniaze na účet vrátia.
Banka citlivé údaje nikdy nechce
V roku 2022 bol najčastejším útokom phising. Teda schéma, keď útočník svoju obeť prilákal na stránku, ktorá pripomínala skutočný web banky. Táto napodobnenina si vyžiada citlivé údaje klienta, ktoré následne použije na to, aby útočník svoju obeť okradol. Typické pre útok na platobnú kartu je, že útočník chce získať citlivé údaje o karte, teda jej číslo, dátum platnosti a CVV kód. Často sa pritom vydáva za predstaviteľa finančnej inštitúcie.
Univerzálne platí, že banka od svojich klientov nikdy citlivé údaje nežiada, jednoducho ich nepotrebuje. Adamkovič upozorňuje, že ak sa objaví nejaký konkrétny problém s platobnou kartou, banka ju zablokuje a jednoducho vydá novú.
Transakčné podvody však môžu mať viacero podôb. Objavujú sa e-maily v mene banky, SMS správy aj telefonáty. Správy od podvodníka často obsahuje nejakú poplašnú správu, napríklad to, že účet sa zakrátko zablokuje. Zabrániť sa tomu, podľa textu správy od podvodníka, dá tak, že klient klikne na priložený odkaz a vyplní, čo treba. Ak kriminálnici posielajú správy, tie v podstate vždy obsahujú nejaký hypertextový odkaz, teda linku na stránku, ktorú vytvorili.
Ak podvodník telefonuje, jeho cieľom často je získať priamo citlivé údaje. Druhou možnosťou je, že sa pokúsi získať vzdialený prístup napríklad k počítaču a následne platby sám uskutoční. Podvodník sa dokonca môže vydávať za predstaviteľa nejakého úradu, polície, prípadne banky. Ak si však bude pýtať citlivé údaje priamo v telefóne, ide o podvodníka.
Ak dôverčivý klient povolí útočníkovi vzdialený prístup k svojim zariadeniam, o peniaze môže prísť prakticky priamo pod vlastnými rukami. „Klientku kontaktoval podvodník a klientka mu povolila vzdialený prístup aj do počítača, aj do telefónu. Podvodník urobil prevody na účte štyrikrát v sume 5 000 eur a jedenkrát na karte v sume 5 000 eur,“ opisuje VÚB banka reálne skúsenosti z vlastného kontaktného centra.
Nie všetky podvodné transakcie majú takýto enormný rozsah. Podvodníci niekedy v prvom kroku odcudzia len malú sumu. Preto je dobré hlásiť každú podozrivú transakciu, majiteľ účtu sa tak môže vyhnúť oveľa vážnejším stratám.
Zásady bezpečnosti elektronických platieb
- Nikdy nedávajte vzdialený prístup do svojho počítača alebo mobilného telefónu
- Používajte bezpečnostný softvér (počítač, laptop, Android), aktualizovaný operačný systém a aplikácie
- Inštalujte len aplikácie z oficiálnych obchodov a stránok
- Používajte unikátne a silné heslá, biometriu a dvojfaktorovú autentifikáciu, ideálne nie SMS
- Vždy si čítajte autorizačné SMS, ktoré vám prichádzajú z banky
- Neotvárajte internetové linky od neznámych osôb (skontrolujte adresu stránky prejdením kurzora cez meno odosielateľa, aby bolo možné vidieť skutočnú mailovú adresu)
- Banka (vydavateľ elektronického platobného prostriedku) vždy vie vaše číslo karty, ako aj ostatné údaje, preto nikdy nemá dôvod tieto informácie žiadať od klienta
- Pri akomkoľvek podozrení kontaktujte banku – okamžite prostredníctvom kontaktného centra
- Heslo k prístupu do zákazníckej zóny je iba vaše, v prípade, že to prevádzkovateľ potrebuje, vygeneruje nové, nikdy nemá dôvod na kontakt s klientom
- Ak ponuka na kúpu tovaru, prípadne výhra, sú mimoriadne atraktívne, často je to znak, že ide o podvod