PORADŇA: Čo je phishing a ako sa proti nemu brániť?

Phishing, kreditná karta
Foto: ilustračné, Getty images

Leto a zhon dovolenkárov je ideálny čas pre podvodníkov na to, aby vyskúšali obozretnosť využitím tzv. phishingu. Útočníci sa pri tomto type podvodu prostredníctvom e-mailu vydávajú za banky a snažia sa získať citlivé bankové údaje. Odborníci sa zhodujú, že úplná ochrana je nemožná. Avšak vo väčšine prípadov je to o zlyhaní ľudského faktoru.

Banky v poslednom období registrujú vyšší počet falošných e-mailov, ktorých účelom je získanie citlivých informácií klientov a ich následné zneužitie. Falošná komunikácia pôsobí podľa slov hovorkyne Poštovej banky Lýdie Žáčkovej mnohokrát až neuveriteľne dôveryhodne, preto môže byť náročné posúdiť, či ide naozaj o podvod.

Phishing – falošné stránky

Pokiaľ klient dostane e-mail s odkazom do internet bankingu, ktorý ho vyzýva na prihlásenie sa alebo na zmenu údajov, v žiadnom prípade naň netreba podľa PR manažérky 365.bank Lindy Gálikovej klikať, či zadávať svoje údaje. Takáto komunikácia je podvodná a stránka len pripomína internet banking, no v skutočnosti ide o falošnú stránku.

To, že ide o podvodníka možno zistiť aj tak, že odosielateľ takéhoto e-mailu má iný alebo len podobný názov ako banka. V texte e-mailu sa môžu vyskytovať gramatické chyby, nesprávne skloňovanie, zlý slovosled alebo preklad z cudzieho jazyka.

Samotný link neodkazuje na pravý internet banking, ale na falošnú stránku, ktorá sa len tvári, že je oficiálna. Dá sa to zistiť aj tak, že klient prejde kurzorom myši na odkaz v e-maile, čím sa aktivuje bublina, v ktorej uvidí skutočné celé znenie linku, ktoré je iné, ako samotný odkaz.

Treba myslieť podľa Gálikovej na to, že žiadna banka nikdy neposiela klientom e-mail s odkazom do internet bankingu. Nikdy ani telefonicky nepožaduje citlivé údaje ako sú meno, heslo či SMS kódy. „Ak klient svoje údaje zadal, je potrebné hneď kontaktovať banku,“ radí Žáčková. Podvodným e-mailom sa podľa nej nedá veľmi vyhnúť, je však potrebné ich ignorovať a v žiadnom prípade na ne reagovať alebo zadávať svoje údaje.

Príklad phishingu:

Phishing.jpg

Skimming – kopírovanie kariet

V minulosti sa podľa finančného analytika OVB Allfinanz Slovensko Mariána Búlika často vyskytoval aj takzvaný skimming, čiže skopírovanie údajov z platobnej karty a odpozorovanie PIN. S týmito údajmi potom dokázal útočník vytvoriť kópiu platobnej karty a obrať človeka o denný limit. A ak ste si to nevšimli, mohli ste prísť aj o násobky denného limitu.

Našťastie v tomto smere pomáhajú klientom aj samotné banky, ktoré filtrujú podozrivé operácie a preverujú u majiteľa, či ich skutočne uskutočnil on. Útočníci sú však rovnako sofistikovanejší a nerobia klasické chyby, kedy napríklad použili údaje z karty v rozpätí krátkeho času na rôznych kontinentoch.

Ako prevencia pred prípadným skimmingom je dobré si podľa Gálikovej pohľadom skontrolovať, a to pred každým vkladaním karty do bankomatu, či v otvore na kartu, resp. pri klávesnici nie je niečo, čo tam nepatrí. V prípade, že má človek takéto podozrenie, mal by kontaktovať servisnú organizáciu, ktorej telefónne číslo je umiestnené na bankomate. Najúčinnejšou ochranou voči skimmingu je prekrytie klávesnice bankomatu pri zadávaní PIN čísla.

Slovenská sporiteľňa na ochranu pred skimmingom používa softvér na odhalenie neštandardných platobných transakcií a pravidelne kontroluje, či bankomaty neboli mechanicky upravené. „Zároveň sme zablokovali výbery z bankomatov v rizikových krajinách, teda v krajinách, kde sme aj v minulosti zaznamenali výskyt podozrivých transakcií realizovaných cez magnetický prúžok,“ uviedla hovorkyňa Slovenskej sporiteľne Marta Cesnaková.

Znížiť riziko sa banka snaží aj spoluprácou s dodávateľmi bankomatov. Do bankomatov sa montujú zariadenia, ktoré tieto podvodné zariadenia pomáhajú identifikovať. „Monitorujeme všetky svoje bankomaty a podozrivý pohyb alebo manipuláciu s nimi dokážeme odhaliť,“ hovorí Cesnaková. Zároveň doplnila, že sa snažia viesť k zodpovednosti aj svojich klientov, ktorým vysvetľujú zásady bezpečného využívania platobných kariet.

Internet a sociálne siete

Takzvané skimmingové podvody sú podľa Cesnakovej na ústupe, keďže možnosti na zneužitie získaných dát sa zmenšujú. Aktuálne sa podvodníci viac zameriavajú na útoky v prostredí internetu. Mali by sme si viac dávať pozor na informácie, ktoré o sebe poskytujeme širokej skupine ľudí. Útočníci ako zdroj informácií často využívajú sociálne siete.

„Nikomu, ani rodinným príslušníkom, neposkytujte svoje osobné identifikačné údaje do služieb elektronického bankovníctva, napríklad prihlasovacie meno, heslo, PIN kódy, bezpečnostné kódy, čísla platobných kariet, kontrolné kódy a iné,“ radí Cesnaková.

Banka nevyžaduje od klientov zadanie osobných a citlivých údajov pod hrozbou obmedzenia funkčnosti alebo zablokovania prístupu používateľa. Ide podľa Cesnakovej o spôsob, ktorí využívajú útočníci v rámci sociálneho inžinierstva na získanie osobných a citlivých údajov.

Klienti sa môžu stretnúť aj s pokusmi podvodníkov vylákať citlivé bankové údaje cez sociálnu sieť. Užívatelia môžu dostať správu z konta svojho „priateľa“ so žiadosťou o pôžičku. Text môže obsahovať odkaz na fiktívnu stránku, ktorá môže pripomínať napríklad internet banking, kde treba zadať citlivé údaje o karte alebo vykonať prevod.

Zároveň platí, že by sme mali používať bezpečné internetové pripojenia. „Okrem zabezpečeného zariadenia, ktoré používate na správu svojho účtu cez internet, sa prihlasujte do služieb elektronického bankovníctva len cez bezpečné pripojenia,“ pokračuje Cesnaková. Mali by sme sa vyhnúť otvoreným WiFi sieťam. Svoje internetové spojenie a počítač by sme mali chrániť programom firewall, ktorý nepretržite monitoruje prichádzajúcu a odchádzajúcu komunikáciu v internete.

Poistenie

Dobrou správou podľa Búlika je, že proti kyber rizikám sa dá poistiť. Rizikom nie je len zneužitie platobných údajov, ale napríklad aj krádež virtuálnej identity či poškodenie dobrého mena. Poistenie by malo v sebe obsahovať technickú asistenciu, právne zastupovanie pri právnom spore, ako aj úhradu spôsobenej škody.

Základom pre získanie odškodnenia však je neposkytnúť chránené údaje dobrovoľne. V takom prípade poisťovňa nebude konať, keďže došlo k úniku údajov vaším aktívnym pričinením. Z praxe sú podľa Búlika známe prípady, kedy napríklad pri osobných atakoch útočníka odradil už list od právnej kancelárie a človek nemusel absolvovať celý súdny spor.

„Každopádne platí, že najlepšie je problémom predchádzať. To znamená chrániť si počítač aj telefón antivírovým aj antispamovým programom, používať kvalitné heslá či viacfaktorovú identifikáciu,“ dodal Búlik.

Zdieľať Zdieľať na Facebooku Odoslať na WhatsApp Odoslať článok emailom
Viac k osobe Linda GálikováLýdia ŽáčkováMarián BúlikMarta Cesnaková
Firmy a inštitúcie 365 bankOVB Allfinanz SlovenskoPoštová bankaSlovenská sporiteľňa