24.6.2015 07:00 | Počítače a tablety

Phishingové útoky na klientov slovenských bánk: Ako sa chrániť?

Ilustračná snímka
Ilustračná snímka Zdroj: Dreamstime

Podvodné e-maily sú už takmer na dennom poriadku, často sa týkajú aj našich bánk. Čo je vlastne „phishing“ a ako proti nemu bojovať?

V súčasnosti sa často stretávame s falošnými e-mailami, ktorých autori sa snažia nezákonne sa obohatiť. Cieľom bývajú aj veľké spoločnosti, naposledy napríklad Microsoft, no vo väčšine prípadov sú útoky mierené na klientov bánk, a to aj slovenských.

V priebehu posledných pár mesiacov problémy s takzvaným „phishingom“ opakovane hlásila Slovenská sporiteľňa, no aj UniCredit Bank a najnovšie Tatra banka.

Buďte obozretní

Takéto elektronické správy niekedy až do úplných detailov napodobňujú e-mail od skutočnej banky. Vo väčšine prípadov však obsahujú drobné nezrovnalosti, napríklad gramatické chyby či dokonca komunikáciu v českom jazyku, na základe ktorých sa dá potenciálna hrozba odhaliť.

Phishing

Názov útoku je odvodený od anglického „password fishing“, čiže rybolov hesiel. Útočník rozošle tisícky podvodných e-mailov, v ktorých vystupuje ako dôveryhodná osoba či inštitúcia. Následne čaká, kým sa jedna z potenciálnych obetí chytí na podstrčenú „návnadu“ a pošle svoje citlivé údaje.

Útočníci od príjemcu v mene banky vyžadujú zadanie citlivých informácií, ako napríklad prihlasovacích údajov do internet bankingu, telefónne číslo či informácie o kreditnej karte.

„Podobne ako ostatné banky, opakovane upozorňujeme našich zákazníkov, že banka ich nikdy o poskytnutie takýchto údajov nežiada, pretože ich má a k takejto žiadosti by mali vždy pristupovať ako k pokusu o podvod,“ zdôrazňuje pre Živé.sk hovorca mBank Tomáš Palovský.

Sociálne inžinierstvo v praxi

Phishing je založený na využívaní sociálneho inžinierstva, a teda psychológie. Jeho princíp spočíva v predpoklade, že ľudia sú dôverčiví, a keď zaznamenajú e-mail v podobnom formáte ako tom od banky, tak ho nepodozrievajú.

Banka je často vnímaná ako autorita, a keď sa navyše klient zľakne, že je niečo s jeho účtom v neporiadku, stáva sa potenciálnou obeťou tejto praktiky. „Phishingové útoky nutne vyžadujú nejakú spoluprácu klienta,“ dodáva opäť Palovský.

Príklad podvodnej správy spred pár dní. Na fotogaléria / 4
Príklad podvodnej správy spred pár dní. Na niektoré hrozby dokáže upozorniť aj e-mailový klient Zdroj: redakcia

Keďže útoky sú mierené priamo na klientov, nie na samotné banky, proti falošným e-mailom môžu inštitúcie bojovať len pomocou prevencie. „Klientov informujeme prostredníctvom našej webovej stránky, prípadne e-mailovou komunikáciou. Pravidelne sa však venujeme aj prevencii a zverejňujeme rady, ako zneužitiu údajov predchádzať,“ hovorí na margo phishingu PR manažér Zuno Bank Vladimír Michna.

„V prvom rade sa však snažíme viesť ľudí k zodpovednosti pri správe svojich peňazí,“ dodáva hovorkyňa VÚB banky Alena Walterová.

Posledný cieľ: Tatra banka

Phishingové útoky na zákazníkov nie sú ničím neobvyklým a stretla sa s nimi snáď každá banka. V súčasnosti potvrdila zvýšený výskyt  tejto aktivity len Tatra banka. „V posledných dňoch sme zaznamenali výskyt podozrivých e-mailov,“ uviedla hovorkyňa Zuzana Povodová a pripomína: „Tieto typy útokov sú štandardnými útokmi na klientov finančných organizácií.“

Podvrhnuté stránky, na ktoré vedú ponúknuté fotogaléria / 4
Podvrhnuté stránky, na ktoré vedú ponúknuté odkazy, sú často vernou kópiou bankového webu (zdroj: Tatra banka) Zdroj: Tatra banka

Inštitúcie ubezpečujú, že neustále podnikajú potrebné vnútrofiremné opatrenia pre zamedzenie vzniku škôd spôsobených týmito praktikami. „Predchádzajúce útoky sa nám podarilo zastaviť nasadenými organizačno-technickými opatreniami a spoluprácou s orgánmi činnými v trestnom konaní,“ ďalej dodáva.

„Zároveň proaktívne prinášame nové postupy detekcie podozrivých aktivít a transakcií,“ uvádza vo svojom vyjadrení pre portál Živé.sk VÚB.

Finančné inštitúcie boli pri detailnejších otázkach ohľadom zabezpečenia veľmi opatrné. „K otázkam na bezpečnosť sa vyjadrujeme len vo všeobecnej rovine, nechceme pomáhať podvodníkom,“ zdôraznila mBank.

Čo robiť, ak máte podozrenie

Banky jednotne vyzývajú klientov, aby hlásili všetky podvodné e-maily, ktoré sa dostanú do ich elektronickej schránky. Čo však robiť v prípade podozrenia, že vaše údaje mohli byť reálne odcudzené?

            
Podvodníci často poukazujú na problémy s kontom fotogaléria / 4
Podvodníci často poukazujú na problémy s kontom zákazníka (zdroj: UniCredit Bank) Zdroj: UniCredit Bank

Najdôležitejším krokom je ihneď informovať svoju banku. Finančné inštitúcie vyhlasujú, že k týmto prípadom pristupujú v zásade individuálne a snažia sa ich urýchlene vyriešiť. Aj vďaka dodatočným bezpečnostným opatreniam, akým je napríklad dvojfaktorové prihlasovanie, je riziko straty finančných prostriedkov pri rýchlom konaní veľmi malé.

„Zatiaľ sme zaznamenali iba pokusy, ktoré stroskotali na bezpečnostných opatreniach,“ uvádza Zuno Bank a popisuje ďalší postup: „V prvom rade zmeníme klientovi prihlasovacie údaje. Na základe ďalšieho interného vyšetrovania sa rozhodujeme, aké kroky podnikneme.“

„Vzhľadom na stupeň ochrany, ktorý klientom poskytujeme a aktívne monitorovanie podozrivých transakcií sa nám darí phishingové útoky včas odhaliť,“ ubezpečuje Walterová z VÚB banky a dodáva: „V prípade, že útočníkom sa citlivé údaje od klienta podarí získať a dôjde k pokusu o odcudzenie prostriedkov, peniaze klientov dokážeme ochrániť.“

   
Príklad podvodnej stránky VÚB banky z roku 2013 fotogaléria / 4
Príklad podvodnej stránky VÚB banky z roku 2013 (zdroj: VÚB) Zdroj: VÚB

Peniaze zákazníkov by tak mali byť v bezpečí, určite však netreba pokúšať šťastenu a potenciálnu hrozbu podceňovať. Phishingové útoky sa týkajú aj rôznych internetových služieb, ku ktorým môžete podobným spôsobom stratiť prístup.

Ako sa chrániť?

Redakcia Živé.sk vám ponúka niekoľko základných tipov, ako sa pred phishingom chrániť.

1. Neodosielajte svoje údaje: Nikdy neposkytujte citlivé údaje vo forme odpovede na e-mail, aj keď sa zdá, že prišiel od známej dôveryhodnej inštitúcie. Banky si od vás nikdy nebudú vyžadovať takéto údaje prostredníctvom e-mailovej komunikácie. V prípade pochybností rovno kontaktujte finančnú inštitúciu prostredníctvom iného kontaktu, uvedenom na jej oficiálnej stránke.

2. Pozor na odkazy v e-mailoch: Nikdy neklikajte na odkazy v e-mailových správach, ktoré vyzerajú, že by vás mali presmerovať na oficiálnu stránku inštitúcie. Radšej na ňu pristúpte pomocou známej adresy banky, ktorú sami napíšete.

3. Podvodné formuláre: Nikdy nevypĺňajte elektronické formuláre s citlivými údajmi, ktoré dostanete prostredníctvom e-mailu.

4. Falošné e-mailové adresy: Pamätajte, že elektronická komunikácia nie je bezpečná a útočník si môže vytvoriť účet, ktorý sa podobá skutočnej adrese banky.

5. Vyvarujte sa podvrhnutým stránkam: Vždy si skontrolujte URL adresu webovej stránky, aj keď ste sa na ňu nedostali prostredníctvom odkazu v elektronickej správe. Falošná stránka môže totiž na pohľad vyzerať rovnako ako tá skutočná.

Dokonca aj jej doména môže byť podobná. Často je napríklad vynechaný jeden znak alebo naopak, viacero znakov pridaných, čo si bežný používateľ nemusí všimnúť a uvedomiť.

6. Všimnite si certifikát: Je potrebné overiť si bezpečnosť webovej stránky banky. Pri prihlasovaní do služby internet bankingu by URL adresa mala začínať „https://“. Pri adrese by sa takisto mal nachádzať symbol visacieho zámku.

Po kliknutí na zámok si viete skontrolovať, akým spôsobom je vaša komunikácia s danou doménou šifrovaná a uvidíte informácie o bezpečnostnom SSL certifikáte. Ten nám hovorí, pre koho bol certifikát vydaný, kto ho vydal a v akom období je platný.

7. Aktuálna softvérová ochrana: Určite nezabúdajte ani na vždy aktualizovaný antivírusový softvér. Čas od času pomocou neho vykonajte kompletnú kontrolu PC.

Zaregistrujte si svoju e-mailovú adresu na denný odber aktuálnych článkov.
Diskusia 4 Príspevkov