Přepadávat banku a riskovat 10 let ve vězení kvůli pár stovkám tisíc? V posledních letech si na tuto otázku stále více potenciálních lupičů odpovídá záporně. Existuje totiž snazší a méně riskantní cesta, jak přijít k cizím penězům. Nachází se v on-line světě.

Zatímco počet fyzických bankovních loupeží rok od roku klesá, růst kyberzločinu pociťuje celý svět včetně Česka. Případy internetové kriminality orientované na banky v tuzemsku v posledních letech rostly až o desítky procent ročně. Česko si vyzkoušelo také první opravdu sofistikované útoky hackerů, kterým naletěli i poměrně opatrní uživatelé. Na stále větší rizika virtuálního světa ostatně reaguje i policie. Během příštích pěti let by se mělo oddělení specializované na počítačovou kriminalitu rozrůst ze současných zhruba 90 expertů na více než 190. Údajně to patří mezi priority pro letošek.

V České republice podle policejních údajů dosáhly škody způsobené počítačovou kriminalitou v roce 2014 přibližně částky 1,2 miliardy korun. Jak ale policie přiznává, dobrat se přesného a spolehlivého údaje není možné: policejní statistiky neevidují kyberzločin jako samostatnou kategorii. "Statistické ukazatele jsou primárně nastaveny na sledování ukazatelů četnosti u jednotlivých trestných činů tak, jak jsou definovány v trestním zákoníku. Tedy s ohledem na jednotlivé skutkové podstaty," vysvětluje Pavel Hanták, mluvčí Úřadu pro odhalování organizovaného zločinu, pod nějž spadá od loňska i internetová kriminálka. Čísla udávaná policií jako případy informační kriminality je tedy nutné brát spíš orientačně, už jen kvůli tomu, že zdaleka ne každý okradený klient banky svůj případ řeší trestním oznámením. Navíc ne všechny podvody na internetu jsou primárně cíleny na banky.

Přesnější obrázek o skutečném stavu a závažnosti kyberkriminality cílené na finanční instituce v Česku ovšem nedávají ani ony samy. Banky sice přiznávají, že jsou v posledních letech terči stále častějších a sofistikovanějších útoků, údaje o tom, o kolik peněz jejich klienti přišli, ale zásadně nesdělují.

Jak se má situace ve světě? Také v tomto případě existují jen hrubé odhady. Ty pracují s částkami v řádech stovek miliard dolarů ročně. Například bezpečnostní firma McAfee pracuje s odhady mezi 300 až 500 miliardami dolarů škod, které ale spočívají nejen v krádežích peněz, ale také třeba know-how, technologií nebo duševního vlastnictví.

Hrubá síla versus chytrost

Jakým rizikům dnes finanční instituce čelí nejčastěji? "Jednak se s riziky potýkají banky jako takové - jde o útoky přímo na informační systémy nebo infrastrukturu. Druhá věc jsou útoky na klienty," konstatuje Petr Vosála, který má na starosti bezpečnost elektronického bankovnictví v ČSOB. Dodává, že proti prvnímu typu - takzvaným útokům hrubou silou - se banky umějí efektivně bránit. "Naprosto majoritní množství útoků se ale odehrává na straně klientů," dodává.

Hrubou sílu útočníci na české banky v minulosti prokazatelně použili výhradně při snaze vyřadit z provozu vybrané služby nebo webové stránky, a to nejčastěji přetížením serverů přístupy z rozsáhlých sítí počítačů ovládaných hackery. Tímto útokem nicméně nejsou ohrožena klientská data, či dokonce peníze. "Banky včetně té naší jsou schopny se takovým útokům bránit, ať vlastními silami či za pomoci speciálních softwarových řešení, která dokážou útok identifikovat a provoz přetěžující servery odfiltrovat," vysvětluje princip obrany manažer operačních rizik v Komerční bance Tomáš Doležal.

Naopak pokusy o "vybílení" jednotlivých kont zažili klienti českých finančních institucí už mnohokrát. V porovnání s bankou jsou totiž mnohem snazším cílem: zajišťují vyšší efekt při vynaložení nižších nákladů. "Za zlomový v oblasti kybernetických útoků na banky je možné v Česku považovat rok 2013, kdy profesionalita útoků dosáhla standardů západních zemí a kybernetické útoky zaměřené na jednotlivé zákazníky jsou již pravidelným jevem," připouští Tomáš Doležal. Hlavní způsoby krádeží jsou v tomto případě dva: přes internetové bankovnictví nebo platební karty.

Česko jako laboratoř

Až donedávna se klienti českých bank mohli utěšovat, že pro celosvětové sítě hackerů nejsou jako občané malé, nepříliš bohaté země tolik zajímaví. I do Česka sice v minulosti mířily statisíce phishingových e-mailů, většinou byly ale velmi amatérsky přeložené, věrohodně nevypadaly ani po grafické stránce. Právě v roce 2013 se to ale změnilo. Potvrzuje to i policie. "U phishingu jsme zaznamenali během posledních dvou let intenzivní nárůst," říká mluvčí ÚOOZ Pavel Hanták.

Česko se totiž v roce 2013 nedobrovolně stalo jakousi laboratoří, kde si internetoví útočníci vyzkoušeli fungování nového škodlivého kódu. Ten se podle údajů ruské bezpečnostní firmy Kaspersky Lab začal šířit nejprve v Česku, pak v Turecku, a teprve pak do zbytku světa. Byl velmi rafinovaný. Jak hackeři útočili?

Útok byl cílen především na firmy či větší zákazníky hned několika bank v Česku, a to na ty, kteří pro přihlašování a autorizaci plateb v internetovém bankovnictví využívají čipové karty s certifikátem. Prvním krokem bylo propašování škodlivého kódu do počítače ve firmě. Nejjednodušeji toho lze dosáhnout rozesíláním phishingových e-mailů. Útočníci v tomto případě rozesílali podvržené e-maily od České pošty, které vyzývaly adresáta k vyzvednutí zásilky. Po kliknutí na přiložený odkaz se ale do počítače natáhl virus.

Trojský kůň pak v počítači čekal, až se klient přihlásí do internetového bankovnictví. V tom momentě se aktivoval a pomocí programu, který umí odesílat záznamy o všech stisknutých klávesách, "odposlechl" přístupové údaje i PIN k čipové kartě s certifikátem. Tím se útočník dostal ke všem potřebným údajům. Virus mu navíc umožnil na dálku pracovat s napadeným počítačem, aniž by to věděl jeho uživatel. Odeslání peněz bez povšimnutí tak už nic nebránilo.

Banky jako obvykle nepřiznaly, jaké škody útok způsobil. Už z toho, že v reakci na virus investovaly do nápravy obrovské prostředky a vyměnily třeba čtečky čipových karet za bezpečnější, je ale zjevné, že jim nadělal starosti.

Právě využití podvrženého e-mailu, který se tvářil jako odeslaný ze serverů České pošty, experti označují za velmi chytrý tah, který výrazně přispěl k úspěšnosti útoku - vyvolal v lidech zvědavost. Úspěšný byl v minulosti také phishingový e-mail "od exekutora", ve skutečnosti samozřejmě od internetového lupiče. "Vidíme velký posun v trendech, e-maily jsou velmi dobře udělané, kvalitně přeložené a v rámci sociálního inženýrství často vyvolávají strach, což je ideální stav - na to reagujeme všichni," upozorňuje bezpečnostní expert společnosti ESET Petr Šnajdr.

Dalším způsobem, jak oslabit nedůvěru potenciální oběti, je využití sociálních sítí. "V principu jde o to, že útočník zneužije něčí facebookový profil. Pak se do něj přihlásí a osloví některé z přátel s prosbou o malou finanční výpomoc. Pokud souhlasí, přesměruje dotyčného na falešnou platební bránu. Pokud do ní zadá údaje, odevzdá je fakticky hackerovi," popisuje metodu Petr Vosála z ČSOB. Poté stačí přesvědčit pod různými záminkami budoucího okradeného, aby přeposlal autorizační SMS, a krádeži nestojí nic v cestě.

I hackeři se s postupem času učí a zdokonalují. Poučili se například v tom, že je výhodnější peníze ukradené v Česku vybrat právě na našem území - v případě přesunu peněz do zahraničí má totiž banka dva až tři dny do provedení zaúčtování transakce. Během této doby se na věc může přijít, a platba je pak zablokována.

Naopak clearingový systém České národní banky je velmi rychlý a i mezibankovní převody v rámci Česka trvají jen řádově hodiny. Šance zloděje klepnout přes prsty je tak mnohem menší. Pokud by se navíc rozhodl celý útok provést v rámci jedné banky - oslovit její klienty, okrást je o peníze a poslat si je na účet ve stejném finančním domě - má podvedený i banka čas na reakci jen v řádu minut. Šance podvodu zabránit je pak minimální.

Úvěr nebo prodané akcie

Hlavní příčinou úspěšně vykradených kont je zpravidla malá obezřetnost uživatelů internetového nebo mobilního bankovnictví. V době chytrých telefonů to přitom platí dvojnásob: opatrnost jejich uživatelů je daleko menší než na běžných počítačích.

"Málokdo si uvědomuje, co dokáže napáchat škodlivý kód v takovém zařízení. Umí krást kontakty, číst poštu nebo firemní dokumenty a citlivé informace. Stejně tak mobil může sloužit ke sledování uživatele. Existovaly i hry, které uměly na pozadí vytáčet vysoko zpoplatněná čísla nebo odesílat prémiové SMS," vypočítává Petr Šnajdr a dodává, že představa bezpečnosti chytrých telefonů je iluze. "Od začátku jejich používání bylo detekováno přes milion škodlivých kódů pro mobilní operační systém Android," varuje.

Mnoho lidí i firem při zanedbávání bezpečnosti hřeší na to, že by neměli být pro hackery příliš zajímaví. Záchranou před internetovou krádeží ale nemusí být paradoxně ani fakt, že je konto před výplatou téměř prázdné. Aplikace internetového bankovnictví klientům umožňují spoustu věcí včetně vyřízení půjčky on-line. A právě toho využívají i zloději. Neopatrný klient tak není jen bez peněz, hackeři ho navíc ještě zadluží.

Jiným způsobem, který může postihnout i méně majetné, je přesměrování trvalých plateb. "Aniž byste to vůbec zaregistrovali, zloděj změní v internetovém bankovnictví číslo účtu adresáta a vám neodejdou třeba tři splátky hypotéky, než se vám ozve banka, že jste v prodlení," vysvětluje Petr Šnajdr z bezpečnostní firmy Eset. Ani když si lidé nechávají posílat upozornění o platbách třeba esemeskou, většinou totiž stejně nekontrolují u dobře známé částky také číslo cílového účtu.

Ještě daleko horší pak může být "vyluxování" internetového bankovnictví hackery pro bohaté lidi. Nejen běžný účet, ale také spořicí či termínovaný se mohou stát kořistí. V zahraničí se dokonce staly i případy, kdy zloději přes internet prodali podílové listy nebo akcie napadeného uživatele a inkasované peníze si poslali na vlastní účet.

Krádež za 30 miliard

Většina útoků na banky probíhá prostřednictvím sociálního inženýrství, tedy postupu, při kterém se útočník vydává třeba za zaměstnance banky či kamaráda. Existují ale i koordinované a velmi promyšlené útoky, které kombinují hned několik metod útoků. Tyto rozsáhlé pokusy o krádež peněz probíhají z několika stran zároveň, aby roztříštily síly bankovních bezpečáků. Přestože jsou nákladné, jejich příklady z minulosti existují.

Jedna z největších afér kolem vykrádání bank přes internet se "provalila" loni v únoru; její kořeny ale sahají ještě o dva roky zpět. Podle společnosti Kaspersky Lab organizovaná skupina hackerů napadla celkem kolem stovky bank ve východní Evropě a Asii - v Rusku, Číně nebo na Ukrajině. Šlo o kombinovaný útok: součástí bylo sociální inženýrství zaměřené na zaměstnance bank i nasazení škodlivého kódu Carbanak, díky němuž počítače zaměstnanců posloužily jako vstupní brána do banky.

Hackeři pak dlouhodobě sledovali chování zaměstnanců, ovládli správcovské účty a byli schopni získat přístup k záznamům bezpečnostních kamer, díky čemuž si udělali přehled o práci bankéřů. Poté přišel čas krádeže a převodů peněz na vlastní účty. Podle některých zdrojů dokonce útočníci dokázali přímo v systémech bank měnit i zůstatky na účtech.

Celkové škody v tomto případě dosáhly zhruba miliardy dolarů. Právě díky tomu, že dokázali útočníci podvodné převody peněz maskovat za zdánlivě regulérní finanční transakce, se jim dařilo parazitovat poměrně dlouho. V souvislosti s "aférou Carbanak" se hovořilo i o zásahu českých bank. Ani ony, ani Česká bankovní asociace či policie nicméně tyto informace nikdy nepotvrdily.

Ani čip nespasí všechno

Druhým způsobem, jak se dostat k penězům oběti, aniž by přitom útočník potřeboval znát přístupové údaje do internetového bankovnictví, jsou karetní podvody. I ty se odehrávají s pomocí různých metod.

V Česku zřejmě nejznámější je takzvaný skimming, tedy okopírování platební karty po jejím vložení do bankomatu - v posledních letech se v Česku odehrávají desítky případů ročně. I v této činnosti se podvodníci citelně zlepšili. Jednak dokážou na bankomaty montovat čtečky, které jsou při zběžném pohledu neodhalitelné. Jednak díky zabudování GSM modulů s předplacenými kartami méně riskují. Zatímco dříve se museli k bankomatu vracet pro údaje "vytěžené" z karet, nyní si data nechávají průběžně posílat. To policii komplikuje situaci - už nestačí si na podvodníka počkat.

Velkým rizikem jsou také internetové obchody. Například Komerční banka nedávno varovala své klienty, aby na menších čínských e-shopech s elektronikou nezadávali údaje o své platební kartě: obchody je přeprodávaly dál. Hrozbou jsou i špatně zabezpečené e-shopy. Systém 3D Secure využívaný stále větším podílem obchodníků vyžaduje pro potvrzení platby autorizační SMS. Vedle toho zajistí, že se k obchodníkovi nedostanou vlastní informace o kartě. "Pokud ale klient nakupuje u obchodníka, který nevyužívá technologii 3D Secure, hrozba krádeže informací o kartě trvá," konstatuje Petr Vosála z ČSOB.

Dopadených jako šafránu

Stejně jako neexistují přesná data o kybernetických bankovních "loupežích", nejsou známy ani úspěchy při jejich odhalování. Česká policie odkazuje na fakt, že statistiky o úspěšnosti "honby" na internetové lupiče nevede.

Úspěšnost v chytání hackerů nicméně nejspíš nebude velká: většina pachatelů pochází ze zahraničí. Policii pak nezbývá než spolupracovat s Interpolem a zahraničními kolegy. Odkud hackeři pocházejí?

V minulosti byly útoky doménou východní Evropy. Dnes to ale už úplně neplatí. "Nejvíce útoků přichází z asijských zemí, například Číny nebo Indie, ale také z USA, zemí Blízkého východu i východní Evropy," vypočítává Petr Šnajdr. Je velmi pravděpodobné, že minimálně spolupachatele mají kyberzločinci i v Česku. Bezpečnostní firmy na to usuzují podle velmi kvalitních českých překladů phishingových e-mailů. Také výběry provedené z českých bankomatů mohou mít na svědomí čeští bílí koně. Na otázku, zda si vybavují dopadení nějakého významného internetového kriminálníka, nicméně bezpečnostní experti hledají odpověď marně.

 

Bezpečnostní desatero České bankovní asociace

1. Pravidelně aktualizujte ochranné mechanismy svého počítače.
2. Obdobně jako počítač chraňte i svůj chytrý telefon.
3. Programy a aplikace instalujte pouze z důvěryhodných a ověřených zdrojů.
4. Přihlašovací a osobní údaje zadávejte jen na ověřených serverech, v důvěryhodném prostředí a nikomu je nesdělujte.
5. Pečlivě si chraňte svůj PIN kód.
6. Pravidelně si měňte svá hesla a vyhněte se užívání stejných hesel pro různé služby.
7. Neotvírejte e-maily a přílohy od neznámých a podezřelých odesílatelů.
8. Nakupujte pouze u prověřených a důvěryhodných on line prodejců.
9. Věnujte dostatek pozornosti upozorněním vašeho počítače a na webu banky.
10. Pokud si nejste jistí a máte podezření, že se děje něco špatného, vždy kontaktujte banku.


null

Největší podíl internetových útoků na úspory klientů probíhá přes zranitelnosti v neaktualizovaných internetových prohlížečích.

 

1 mld. USD

Kyberloupež století. V zatím největším odhaleném případu mezinárodní kybernetické kriminality ukradli hackeři ze stovky bank přes miliardu dolarů.

 

"Kyberpolicie" bez šéfa. Dlouholetý šéf odboru informační kriminality Karel Kuchařík byl letos na začátku roku odvolán. Kvůli aféře s ukradenými e-maily premiéra Sobotky to podle policie nebylo.

 

Foto: Tomáš Nosil / Empresa Media / Profimedia

Související