Už sa pomaly stáva pravidlom, že útočníci rozposielajú phishingové e-maily, ktoré sa tvária ako e-mail z banky, vďaka ktorým sa snažia vylákať od klientov rôzne citlivé údaje. Ako reagujete na tieto pokusy, aby vaši klienti nenaleteli?
Rôzne typy útokov sa v rámci Slovenska opakujú v pravidelných vlnách. Najčastejšie sú vo forme phishingu (cez e-mail či sociálne siete), vishingu (telefonické kontaktovanie) alebo smishingu (cez SMS). Posledných šesť mesiacov zaznamenávame enormný nárast. Nebezpečné sú práve v tom, že sú orientované na podvedenie klienta, neútočia priamo na banku. Štandardom sa stáva, že do útoku je zapojených veľa útočníkov s rozdelenými úlohami – jeden vytvára podvodné stránky, druhý posiela e-maily či SMS, ďalší komunikuje s klientom a podobne. Klienti by nemali váhať informovať banku o tom, že takúto správu dostali. Obzvlášť, ak sa stali aj obeťami. Každá banka má nastavený balík opatrení, aby zabránila alebo čo najviac minimalizovala škody, ktoré boli klientovi spôsobené. Tatra banka venuje snahe o zastavenie takéhoto útoku veľa energie. Patrí sem okrem iného 24-hodinová pohotovosť, hlboký monitoring slúžiaci na odhaľovanie útočníkov či objednanie externých renomovaných služieb na rušenie podvodných stránok.
Podvodné webové stránky často vyzerajú ako verná kópia originálnej stránky. Máte overené tipy, vďaka ktorým by sa používatelia dokázali ochrániť pred podvodom?
Odhaliť podvodné stránky je čoraz ťažšie, pretože voľne prístupné prekladače sú čoraz dokonalejšie a stránky sa podobajú čoraz viac originálu. Osobne používam na prevenciu pred podvodnými stránkami štyri základné odporúčania, resp. otázky.
Po prvé, vždy si pozriem odosielateľa e-mailu a prejdem si myšou po adrese, aby mi systém zobrazil originál adresy. Často sa stáva, že podvodník si prekryje ukradnutú adresu menom mojej banky a pošle to na všetky dostupné e-mailové adresy s vierou, že v čo najväčšej miere trafí práve klientov danej banky. Samozrejme, je dôležité kontrolovať aj pravopis, slovosled e-mailu a certifikát stránky.
Po druhé, bránim sa klikaniu na linky, ktoré prídu od neznámych adresátov a nečakal som ich.
Po tretie, nevypĺňam citlivé údaje na stránkach, ktoré prišli ako linky v e-maile, ktorý som nečakal. Špeciálne, ak ide o veľmi dobrú ponuku.
Po štvrté, vždy sa zamyslím, či informácie, ktoré sú v e-maile, môžu byť vôbec pravdivé. Či naozaj môže existovať policajt, ktorý mi zavolá, pozná ma a povie mi, v ktorej banke mám peniaze a že sú v ohrození. Normálne by na túto informáciu od banky potreboval súdny príkaz a dozvie sa ju po dlhom čase, keď je po útoku. Položím si tiež otázku, či banka skutočne dokáže vykonať danú operáciu cez telefón.
Väčšinou tieto otázky a odpovede stačia na odhalenie podvodu.
Ako sa dá účinne ochrániť v prípade, že klient platí za produkt/službu cez internet?
V prvom rade sa dá chrániť pred transakciami na podvodné účty dodržiavaním predchádzajúcich kontrol. Tatra banka má dlhé roky službu jednorazovej karty, ktorú si viete vytvoriť v mobilnej aplikácii a zaplatíte ňou len za konkrétny jeden nákup. Aj v prípade, že by kartu chcel niekto opakovane použiť alebo by sa nebodaj dostala do rúk hackerovi, nebude ju vedieť použiť viac ako raz. Zároveň klientov chráni aj dodatočné overovanie pomocou 3D Secure, čo je štandard, ktorý má tiež ochrániť klienta.
Overenie platby prebieha prostredníctvom SMS kódu alebo notifikácie. Od čoho závisí, aký typ overenia príde klientovi?
V súčasnosti prebieha v rámci bankového sektora prechod od starej verzie potvrdzovania platieb kartou na novú. Obchodníkov, ktorí používajú platbu kartou, je obrovské množstvo a z toho dôvodu prechod chvíľu trvá. Klienti sa môžu zatiaľ stretnúť s oboma typmi potvrdzovania kartovej platby. Overenie platby prostredníctvom SMS kódu je vyžadované pre obchodníkov, ktorí ešte neprešli na nový typ 3D Secure protokolu. Podpora starého protokolu sa však čoskoro končí. Platby potom bude možné potvrdzovať výhradne v mobilnej aplikácii alebo v internetbankingu.
Čo by mal klient urobiť, ak mu príde overovacia správa o platbe, ale v skutočnosti nič neplatil?
Ak klient dostane požiadavku na potvrdenie platby, ktorú nevykonal alebo o nej nevie, v žiadnom prípade by ju nemal potvrdzovať. Klientovi odporúčame okamžite zavolať na kontaktné centrum, kde už vedia, ako postupovať a aké opatrenia prijať.
Ak sa klient stane obeťou podvodu a platba už z jeho účtu odišla, ako by mal postupovať pri komunikácii s bankou?
Aj tu platí: okamžite zavolať na kontaktné centrum. Zamestnanci sú oboznámení s odhaľovaním podvodu, vedia zabrániť ďalším stratám. Zároveň rozbehnú proces ochrany pred útočníkom, ktorý zahŕňa analýzu situácie a vykonanie preventívnych krokov na ochranu klientov. Ide napríklad o nahlásenie podvodnej stránky alebo aj informovanie antivírusových spoločností. Banka prijíma také opatrenia, aby zabránila útočníkom pokračovať v danom útoku.
Čo robiť, ak klient odhalil útok?
Po akomkoľvek stretnutí s útočníkom odporúčame klientovi reagovať podľa toho, ako toto stretnutie dopadlo. Ak klient odovzdal citlivé informácie, je potrebné ihneď zavolať na kontaktné centrum, aby sa naštartovali záchranné kroky, a ak sa dá, aby sa zabránilo stratám. Ak už straty sú, aby sa čo najviac peňazí podarilo zachrániť. Ak klient rozoznal podvod a nepodľahol, je dôležité poslať informáciu o útoku banke. V Tatra banke na to máme špeciálne určenú adresu Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.. E-mail by mal obsahovať opis útoku, ako bol klient oslovený útočníkom a určite by mal obsahovať aj originál podvodnej správy. Často je najviac informácií o útočníkovi v správe a tieto majú pre odhaľovanie útoku najväčší význam. Čím dlhšie po útoku informácie získame, tým ťažšie sú použiteľné.
Koľko podvodných pokusov na svojich klientov ste zaznamenali za posledné obdobie?
Celkovo vieme potvrdiť stúpajúci trend v počtoch útokov na klientov. Okrem rastúceho množstva útokov sa objavujú aj stále nové finty, ktoré útočníci používajú. Sú oveľa vynaliezavejší a hlavne vytrvalí. Napríklad, v rámci používania inzertných služieb sa snažia od predávajúceho vylákať citlivé údaje o platobnej karte. Robia tak pod zámienkou potvrdenia záujmu o kúpu. Taktiež sa už mnohí stretli s e-mailom, ktorý informuje o čakajúcej zásielke na pošte, za ktorú je potrebné okamžite zaplatiť clo. Alebo množstvu ľudí na Slovensku volali útočníci, ktorí ich informovali o ich počítači napadnutom vírusom a podobne.
Ako vyhodnocujete nazbierané informácie o útokoch a útočníkoch?
Každý štart analýzy útokov sa vždy začína hlásením od klientov. Následne banka na základe hlásenia a analýzy záznamov v systémoch vytvorí takzvaný vektor útoku, čiže opis aktivity. Paralelne sa štartuje množstvo ochranných opatrení vrátane podania trestného oznámenia a spolupráca s Políciou SR. Cieľom všetkých aktivít je ochrániť prostriedky klientov a zabrániť ďalším útokom.
Aké sú reakcie klientov? Koľkí z nich reálne chceli riešiť problém?
Reakcie klientov sú závislé od toho, ako veľmi sa dostanú do stresu. Ak je klient vo veľkom strese, je veľmi ťažké odolať tlaku a naučeným frázam útočníka. Ak sa útočníkovi nepodarí dostať klienta do stresu, v podstate útočník nemá šancu a klienta neoklame. Rôznorodosť útokov len potvrdzuje vynaliezavosť útočníkov a potrebu zvyšovať povedomie klientov o možných rizikách a typoch podvodov. Preto Tatra banka vytvorila stránku www.predigitalnubezpecnost.sk, na ktorej klienti získajú informácie o jednotlivých útokoch a aj odporúčania, ako sa brániť a aké bezpečnostné opatrenia dodržiavať.
Pre elektronické bankovníctvo | #predigitalnubezpecnost