13. 9. 2018

Bezpečné internetové bankovnictví: Autorizační SMS je vaše, jenom vaše

Fantazie internetových zlodějů je nekonečná. Před necelým rokem prošla Českem vlna podvodných žádostí o zaslání hesla z autorizačních SMS potvrzujících platbu. Než se informace dostaly do médií, mnoho lidí nejspíš přišlo o své peníze. Stejně jako u dalších typů podvodů je ale prakticky jisté, že v dohledné době přijde nový rozsáhlý útok. U všech služeb zajištěných SMS kódem byste se proto měli držet základního pravidla: Zaslaný kód je váš, jenom váš, nikoho jiného.

Představte si situaci: Stojíte u bankomatu, přijde cizí člověk a požádá vás o kartu a její PIN. Těžko si představit, že by této žádosti někdo dobrovolně vyhověl. Na internetu se ale stejné chyby dopustí až neuvěřitelné množství lidí.

Jsem tvůj známý. Nebo ne?

Základem mnoha internetových podvodů je krádež cizí identity. Nečekejte ale žádné propracované metody, technika podvodu je velmi jednoduchá – útočník vytvoří kopii účtu vašeho známého na Facebooku. Stejné jméno, stejná fotografie (stažená z pravého profilu), shodné základní údaje. Na první pohled nepoznáte rozdíl. Mimochodem, stejnou podvodnou techniku lze použít nejen na Facebooku, ale na jakémkoli jiném webu, kde lze vytvářet síť známých. Facebook je v centru zájmu nepoctivců z jediného důvodu – má nejvíc uživatelů a skupiny známých jsou zde nejpočetnější. Jediný falešný profil tak lze využít pro podvedení mnoha lidí.

Falešný profil pochopitelně nemáte ve svých přátelích. Pokud si toho všimnete, bude se bránit dobře znějící výmluvou. Třeba že mu původní účet někdo ukradl, ztratil od něj heslo, dostal ban za nevhodný příspěvek… Co byste v tu chvíli měli udělat? Nejjednodušší řešení zní: kontaktovat údajného známého jinou cestou. Telefonicky, pomocí SMS, přes WhatsApp nebo jiný komunikátor. Samozřejmě vynechte Messenger, který využívá kontaktní informace z Facebooku.

Co bude dál? Možnost 1: m-platba

Pokud novému kontaktu budete důvěřovat bez ověření, může na vás čekat jedna z podvodných technik. Začneme tou, která vloni postihla mnoho lidí – m-platbou.

Jestliže o vás falešný přítel zatím mnoho neví, musí vás šikovně přesvědčit, abyste mu dobrovolně sdělili další osobní údaje. U m-platby jde především o telefonní číslo. Že by je měl váš starý známý dávno mít? Ale jemu přece nefunguje mobil, a proto nejen nemá vaše číslo, ale navíc potřebuje využít váš telefon pro jednou drobnou službu – doručení zprávy.

Pokud podlehnete, záhy vám přijde SMS s kódem. Ten po vás „přítel“ bude chtít poslat, nejlépe přes chat nebo Messenger. K tomu vám napíše věrohodné zdůvodnění – kód potřebuje na odblokování svého mobilu, původního profilu nebo možná na uhrazení nedoplatku na telefonu (samozřejmě ze svého účtu).

Háček je v tom, že uvedený kód slouží k něčemu zcela jinému – provedení m-platby. Víte, co je m-platba? Můžete ji využít v e-shopech k uhrazení nákupu bez platební karty a bez převodu. Nákup zaplatí váš operátor a částku vám připočte k měsíčnímu vyúčtování, nebo strhne z předplaceného kreditu. Pokud kód z SMS předáte, můžete snadno přijít o tisíc i více korun. Asi není třeba zdůrazňovat, že se vám falešný profil přítele už nikdy neozve a reklamace takovéto platby nemá mnoho šancí na úspěch. Mimochodem, pokud chcete mít jistotu, že vás podobný podvod nepotká, můžete si m-platby u svého operátora zablokovat.

Co bude dál? Možnost 2: vaše internetové bankovnictví má nezvaného hosta

I v tomto případě falešný přítel chce SMS, tentokrát k potvrzení platby. Průvodní historka bude podobná jako v prvním případě – přítel ztratil nebo rozbil svůj mobil, a proto si nechává potvrzovací SMS poslat na vaše číslo. Pokud nedáváte pozor, možná si ani nevšimnete, že údaje v SMS uvádějí číslo vašeho účtu. Trik spočívá v tom, že útočník už dříve získal vaše přihlašovací údaje do internetového bankovnictví. Jenže mu chybí potvrzovací kód z SMS a tak vás zkouší nachytat. V jediné platbě můžete přijít i o desítky tisíc korun. Náhradu škody budete v takovémto případě získávat jen velmi těžko, protože podvodníka nebude jednoduché najít. K náhradě škody se nebude hlásit ani vaše banka, platba přece byla provedena až po potvrzení kódem, který jste dostali v SMS.

Co bude dál? Možnost 3: úmyslný či neúmyslný omyl

Co když přijde SMS žádající potvrzení registrace, třeba na Facebooku? Může se jednat o obyčejný omyl – někdo má telefonní číslo velmi podobné vašemu a jednoduše se při psaní spletl. Řešení je jednoduché – zprávu smažte a především: určitě neklikejte na odkaz, kterým máte číslo potvrdit. Pokud byste na odkaz klikli, můžete tím svůj telefon přiřadit k cizímu profilu. Možná bude zcela neškodný, ale může také na sociálních sítích či v aplikacích napáchat řadu problémů. A až se bude hledat pachatel, bude v profilu vedle smyšlených informací jediný pravdivý údaj: vaše telefonní číslo.

Zcela stejně přistupujte také k e-mailům s podobným obsahem. Někdo po vás chce potvrzení registrace, o kterou jste nežádali? Není to váš problém, na nic neklikejte a e-mail smažte.

A co když jsem zjistil, že se za mě někdo vydává?

Dostat se můžete i do situace, kdy vás útočník neosloví, ale ukradne vaši identitu. A přijdete na to buď náhodou, nebo tak, že vás někdo z přátel upozorní. V takovém případě nemá smysl podvodníka kontaktovat, bude vás nejspíš ignorovat, pokud si vás rovnou nezablokoval. V této situaci byste měli udělat tři věci:

  • Co nejrychleji upozornit všechny své přátele na falešný profil a varovat je, aby podvodníkovi nic nesvěřovali, neposílali, neplatili a nesdělovali informace z doručených SMS. Současně je požádejte, aby podvodný profil nahlásili jako falešný.
  • Sami také nahlaste profil jako falešný.
  • Pokud se na podvodný profil dostanete, sledujte, co vaším jménem provádí, a podle potřeby adekvátně reagujte. Což platí především v případě, že vás útočník chce kompromitovat, třeba pomluvami vašeho zaměstnavatele nebo urážkami známých.
     

Smím do svého internetového bankovnictví pustit jiného člověka?

Můžete se dostat do situace, kdy nutně potřebujete zaplatit ze svého účtu, ale nemáte po ruce počítač, mobil, případně není dostupný internet. Nepochybně vás v tu chvíli napadne: A co když někomu řeknu, aby to z mého účtu zaplatil?

V prvé řadě je třeba si uvědomit, že při ověřování pomocí přihlašovacího jména a hesla banka neumí zkontrolovat, kdo se přihlašuje. Platí jednoduchý předpoklad: uživatel zná vaše přihlašovací údaje, tedy jste to vy. Pokud svoje údaje někomu svěříte, činíte tak na vlastní riziko a případné zneužití vašich údajů je čistě váš problém. Například Banka CREDITAS ve svých Obchodních podmínkách k mobilnímu bankovnictví uvádí: Odpovědnost za škody způsobené nesprávným užíváním aplikace mobilního bankovnictví jinou osobou nese Uživatel.

Pokud se přesto pro takový způsob provedení platby rozhodnete, doporučujeme dodržet aspoň dvě základní zásady:

  • Pečlivě zkontrolujte SMS s potvrzovacím kódem platby, abyste měli jistotu, že skutečně platíte to, co jste platit chtěli.
  • Co nejdříve změňte svoje heslo do internetového bankovnictví, a to i v případě, že druhé osobě plně důvěřujete. Jakou ale máte jistotu, že nemá zavirovaný počítač nebo mobil a že vaše přihlašovací údaje, které jste jí zaslali, nezůstaly v paměti jejího přístroje, případně na papírku na jejím stole.
     

Potvrzovací SMS je jen vaše

I když výše uvedené techniky podvodů působí děsivě, základem je jediná chyba – předání SMS s potvrzovacím kódem osobě, kterou buď dostatečně neznáte, nebo příliš věříte v její pečlivost při ochraně vašich údajů. Zopakujme si proto na závěr ještě jednou: potvrzovací SMS je vaše, jenom vaše, a nikomu se nepředává. I kdyby měl dotyčný sebekrásnější historku, proč váš kód nutně potřebuje…