Expert na bezpečnosť: Tisícky ľudí si myslia, že investovali. Nevedia, že prišli o peniaze

Podvodníci každý deň útočia na klientov bánk a snažia sa ich pripraviť o úspory, k čomu najnovšie využívajú scenár falošného bankára. Dokážu zamaskovať telefónne číslo a nastaviť ho tak, aby sa zobrazovalo ako číslo banky.

V akých scenároch sa podvodníkom darí najviac, prečo im naletíme a prečo sú preteky s podvodníkmi nekonečné? Odpovedá šéf oddelenia bezpečnosti v Slovenskej sporiteľni JÁN ADAMOVSKÝ.

Zažili ste už aj vy ako šéf bezpečnosti v banke telefonát od falošného bankára alebo falošného policajta?

Opakovane mi volala falošná polícia aj Interpol a mám šťastie na ponuky technologickej podpory od zahraničných IT firiem. Doteraz išlo o hovory v angličtine z indických zákazníckych centier, falošný bankár v slovenčine či češtine mi však ešte nevolal. V slovenskom jazyku mi ponúkali len výhodný nákup zlatých mincí a chceli číslo mojej kreditnej karty.

Ako často sa priemerný klient banky stretne s pokusmi získať prístup k jeho účtu či platobnej karte?

Pokusov je stále viac, odhadujem, že každý človek sa aspoň raz do roka stretne s telefonátom či e-mailom od podvodníkov. Niektorým sa ozvú aj viackrát za týždeň.

Slovenská sporiteľňa nedávno informovala o tom, že telefonáty falošných bankárov prichádzajú z čísla, ktoré vyzerá ako číslo reálnej bankovej pobočky a sú v češtine. Ako ste sa o tom dozvedeli?

Proaktívne sledujeme trendy a o falošnom bankárovi sme vedeli zo správ z Česka, kde sa objavil s niekoľkomesačným predstihom. O prvom prípade na Slovensku nás informoval klient, ktorý zavolal do banky. Potom sme zaznamenali niekoľko prípadov, keď útočníci pokus dohrali do konca.

Úspešného?

Pri podvodoch je kľúčové, ako rýchlo si klienti uvedomia, že došlo k podvodu a o aký typ podvodu ide. Ak je to prevod z účtu na účet, je šanca, že banka ešte dokáže zastaviť prevod peňazí alebo si ich vyžiadať od protistrany späť. Komplikovanejšie je to v prípadoch ako falošný bankár, keď podvodníci presvedčili ľudí, aby si peniaze fyzicky vybrali v pobočke a investovali ich do kryptomeny prostredníctvom špecializovaných bankomatov. Vtedy sú mimo kontroly banky a šanca získať ich späť je minimálna.

Ako rýchlo podvodníci scenáre inovujú?

Scenárov je množstvo a každý rok sa objavia nové. Podstata zostáva rovnaká. Vždy sa snažia vyvolať pocit ohrozenia a stres. Ak zafunguje verzia s policajtom či bankárom, zostanú pri tom a priebežne menia príbehy, prečo volajú. Roky sú úspešné aj klasické e-maily, ktoré ľudí upozorňujú, že účet bol zablokovaný a odkazujú ich na falošnú stránku, na ktorej majú zadať prihlasovacie údaje. Okrem toho zaberajú aj podvody, v ktorých vystupuje pošta či inzertný portál. Očakávate balík a pošta vám pošle správu, že treba ešte zaplatiť drobný doplatok, aby vám ho mohla doručiť. Opäť treba zadať číslo karty a ďalšie údaje na webovej stránke.

Pri ponuke inzercie to vyzerá ako?

V prípade inzertných portálov podvodníci zareagujú na váš inzerát a cez SMS či WhatsApp riešia podrobnosti o kúpe. Keď sa treba dohodnúť na spôsobe dopravy, potenciálnej obeti tvrdia, že všetko zabezpečia, no potrebujú číslo karty, aby jej mohli na účet poslať peniaze. Predávajúci sa teší, že sa zbaví veci, ktorá mu doma zavadzia a prídu mu peniaze na darčeky. Neznámej osobe pošle údaje o svojej platobnej karte.

„Útočníci smerujú svoje útoky nielen na klientov banky, ale denne útočia aj na banku, preto majú naše cvičenia dve úrovne.“

Prečo sme náchylní naletieť podvodom?

Útočníci sa snažia vyvolať strach a stres. Vtedy sa vypína logické kognitívne myslenie a zapína sa časť mozgu, ktorú máme z čias, keď nás po planéte naháňali divoké zvieratá a museli sme reagovať pudovo, teda utiecť alebo bojovať. Pocit, že prídeme o celoživotné úspory, je stresová situácia. Veľmi dôležité je, aby sa klienti, keď sú konfrontovaní s touto informáciou, zastavili a nekonali v strese, ale poradili sa s niekým blízkym alebo zavolali do banky. Nie je dôvod, aby si banka pýtala prihlasovacie údaje. Nikdy ich nechce. Má ich v systéme.

Vie byť banka aj krok pred podvodníkmi alebo skôr reaguje na ich nové scenáre spätne?

Držíme sa hesla, že šťastie praje pripraveným. Naše systémy neustále zdokonaľujeme, klientov v maximálnej možnej miere vzdelávame o hrozbách, ktorým čelia. Snažíme sa, aby aj zamestnanci mali skúsenosť so simulovanými phishingovými útokmi, pretože keď príde k reálnemu útoku, je väčšia šanca, že zareagujú správne.

Čiže oddelenie bezpečnosti posiela falošné e-maily zamestnancom?

Presne tak. Útočníci smerujú svoje útoky nielen na klientov banky, ale denne útočia aj na banku, preto majú cvičenia dve úrovne. Snažíme sa vzdelávať našich zamestnancov ako pracovníkov banky a zároveň ako klientov. Zbierame a vyhodnocujeme štatistiky, vieme, ako zamestnanci reagovali a podľa toho cielime kampane a informujeme ľudí, na čo si majú dať pozor.

Majú niektoré typy podvodov lokálny charakter?

Skôr vidíme globálne scenáre upravené pre náš trh. Okrem bazára a pošty sa objavujú ešte prípady, keď sú zneužité mená riaditeľov bánk na Slovensku. V týchto prípadoch vám telefonuje človek, ktorý sa predstaví konkrétnym menom riaditeľa konkurenčnej banky a presviedča vás, aby ste k nim previedli peniaze.

Pri kryptopodvodoch zase fungujú svetové či lokálne celebrity. Ide o veľmi špecifické a zákerné podvody. Útočníci vytvoria celý ekosystém od falošných stránok po videá, ktoré na vás cielia na sociálnych sieťach. Vystupuje v nich celebrita či politik, ktorý niečo prezentuje, ale titulky sú upravené tak, že osoby rozprávajú, ako zarobili veľké peniaze, ako sa vyhli inflácii. Presviedčajú ľudí, aby investovali rovnako ako oni do kryptomien, ktoré prinášajú výborné zhodnotenie.

Pribúdajú tieto podvody s rastúcimi obavami zo znehodnotenia úspor infláciou?

V roku 2022 významne narástli. Sú veľmi sofistikované, keďže webové stránky údajnej burzy vyzerajú presvedčivo. Klient v tomto type podvodov urobí prvý krok a vyplní registráciu, v ktorej potvrdí záujem o ďalšie informácie. Potom ho viackrát kontaktuje podvodník v roli poradcu, aby mu vysvetlil princíp investovania.

S predstavou veľkého zisku odovzdá podvodníkom údaje do svojho internetového bankovníctva alebo si nainštaluje aplikáciu, ktorá umožní vzdialený prístup k jeho počítaču pod zámienkou spárovania bankového účtu s burzou. S pocitom, že tento krok je nevyhnutný, potvrdí prístup do účtu aj v mobilnej aplikácii banky alebo zadá ďalšie autorizačné údaje, ktoré mu prídu esemeskou.

Zákerné je, že klient nevie, že jeho peniaze odišli z účtu a nikdy ich neuvidí. Domnieva sa, že ich investoval a ony zarábajú na burze. Preto vidíme len špičku ľadovca. Na Slovensku môžu existovať stovky, možno až tisícky ľudí, ktorí takto zainvestovali a myslia si, že ich peniaze sa zhodnocujú.

„Podvody budú stále viac cielené na konkrétneho klienta. Útočníci budú presne vedieť, na koho sa oplatí ísť s príbehom o pošte a kto je náchylnejší investovať do kryptomien.“

Majú útoky sezónny charakter?

Pred Vianocami rastie počet cielených reklám, v ktorých sa snažia podvodníci upozorniť na zaujímavé darčeky za výhodnú cenu a prilákať ľudí na falošné e-shopy. Opäť je dôležité neponáhľať sa, pozrieť sa, či je obchod známy a má recenzie zákazníkov alebo vznikol len nedávno, žiada zadať údaje o karte priamo na stránke alebo vás naopak, tak ako je to bezpečnejšie, presmeruje do banky či na dôveryhodný platobný portál.

Na založenie nového e-shopu stačí pár klikov, preto je kľúčové nakupovať len v renomovaných online obchodoch. Nemusíte prísť len o peniaze za darček, ktorý nikdy nedorazí. Keď na falošnej stránke zadáte údaje karty, útočníci sa často snažia založiť si virtuálnu platobnú kartu, s ktorou potom vedia realizovať ďalšie platby z vášho účtu.

Nevyriešila tento problém viacfaktorová autentifikácia?

Keď banky zaviedli druhý stupeň overovania, teda potvrdenie cez SMS či mobilnú aplikáciu, skutočne sme videli výrazný prepad podvodov. Útočníci však zareagovali a na platby virtuálnou kartou z vášho účtu využívajú internetové obchody, ktoré nepodporujú overenie druhým faktorom. Na internete je ich stále veľa. Dôležité je mať aktivované upozornenie na obraty na účte, všímať si ich a pri podozrivej platbe okamžite kartu zablokovať, najrýchlejšie v mobilnej aplikácii a kontaktovať banku.

Druhý spôsob, ktorý stále funguje, sú push podvody, keď podvodníci klienta presvedčia, aby všetky kroky potrebné na prevod peňazí vykonal sám vrátane zadania kódu z overovacej správy, ktorý mu príde do mobilu. Stane sa, že platí v e-shope, zadá všetky údaje a ešte raz mu príde žiadosť o autorizáciu. Predpokladá, že stále potvrdzuje konkrétnu platbu a neprečíta si, že novou autorizáciou dáva súhlas na vytvorenie virtuálnej karty.

Ak zaplatím za darček na falošnom webe, do akého momentu mi môže pomôcť banka a zachrániť peniaze?

Banku treba kontaktovať vždy a čo najskôr. Ak išlo o platbu z účtu na účet a peniaze sú stále u nás, vieme platbu zastaviť. Ak sú už na účte v druhej banke, vieme požiadať o vrátenie, no len dovtedy, kým ich podvodníci nestihli vybrať v hotovosti či poslať ďalej. V prípade platby kartou nevieme platbu zastaviť, môžeme ju len reklamovať a žiadať peniaze pre klienta späť, kým neboli použité. Takto funguje medzinárodný platobný styk. Ide o podobný systém, ako keď platíte v obchode či v reštaurácii a dodatočne si uvedomíte, že na účte je chyba, za niečo vám naúčtovali viac a platbu reklamujete. Podvodníci zvyknú peniaze okamžite použiť na nákup tovaru či bitcoinov alebo ich previesť na iný účet.

Koľko pokusov o podvod je úspešných?

Mnoho potenciálnych podvodov zastavíme skôr, ako k nim príde, vidíme, že sa klient prihlásil z netypickej krajiny alebo použil zariadenie, ktoré bežne nepoužíva. Sledujeme desiatky faktorov, ktoré nás pri operáciách upozornia na riziko. Ak je vysoké, platbu pozastavíme a je nutné, aby ju klient dodatočne overil. Najnáročnejšie sú push nátlakové útoky, keď klient realizuje platbu zo svojho domu, zo svojho zariadenia a všetko sedí. Vtedy je najdôležitejšia rýchlosť po uvedomení si chyby.

Dá sa hovoriť aj o profile klienta, ktorý ľahšie naletí?

Paradoxne nie. Snažili sme sa to skúmať štatisticky. Mysleli sme si, že to budú ľudia v dôchodkovom veku, ktorí majú častokrát slabšie digitálne zručnosti. Pravda je taká, že ide o spektrum ľudí od mladých až po seniorov. Nedá sa hovoriť ani o geografických, ani o demografických hraniciach.

A profil podvodníkov? Ide o jednotlivcov či o nadnárodné organizované zločinecké skupiny?

Pri podvodníkoch by som hovoril o troch skupinách. Prvou sú veľké organizované nadnárodné zločinecké skupiny, ktoré majú svoju hierarchiu, riaditeľov a pešiakov. Niektorí sú zodpovední za vykonávanie hovorov, iní za vyhľadávanie účtov, kam pri podvode pošlete peniaze, ďalší za rýchle výbery hotovosti či prevody z týchto účtov. Ďalšou skupinou sú lokálne skupiny, ktoré sú menšie, pôsobia na našom trhu, používajú slovenský či český jazyk a vedia oveľa lepšie cieliť na našich klientov. Tretiu skupinu tvoria jednotlivci, ktorí sa rozhodli vykonávať takúto podvodnú činnosť.

Funguje pri odhaľovaní zločineckých skupín aj medzinárodná spolupráca?

Spolupráca je nevyhnutná a náročná, pretože do nej treba zapojiť Interpol a Europol. Pri lokálnych skupinách sa banky snažia spolupracovať s políciou a poskytovať jej dôkazy. Väčšina podvodníkov však má veľmi dobré počítačové znalosti, vedia, ako sa zamaskovať v online svete, zakryť stopy a peniaze presunúť mimo systém, takže nie je ľahké dolapiť ich. Ako trochu problematický vnímam fakt, že na Slovensku nemáme celkový obraz o rozsahu týchto podvodov.

Akým smerom sa uberá vývoj bezpečnostných prvkov?

Využívame najnovšie technológie ako umelá inteligencia či strojové učenie, aby sme poznali štandardné správanie klientov, vedeli ho rozlíšiť od podozrivého a reagovať vopred. Umelá inteligencia nás dokáže upozorniť na podozrivé kroky, v desiatkach milisekúnd vyhodnotí rizikové skóre transakcie a ak je vysoké, nedovolí vykonať operáciu a zabráni pokusu o zneužitie účtu. Bezpečnostné technológie sa budú ďalej zlepšovať a pomáhať nám predchádzať podvodom.

Aký vývoj očakávate na strane podvodníkov?

Podvody budú stále viac cielené na konkrétneho klienta. Útočníci budú presne vedieť, na koho sa oplatí ísť s príbehom o pošte a kto je náchylnejší investovať do kryptomien. Volanie klientom bude automatizované s využitím voicebotov a chatbotov.

Tento článok vám prináša Slovenská sporiteľňa.

Pravidlá spolupráce medzi inzerentmi a redakciou si môžete pozrieť v tomto odkaze.