Za posledného pol roka odhalili mesačne viac ako 100 podvodných stránok. Internetoví útočníci sa zameriavajú na emočnú stránku človeka. Svoje o tom vie aj bezpečnostný manažér Tatra banky Jozef Úroda, ktorý vzdeláva o podvodoch.

ICT & Security risk manažér, tak znie vaša oficiálna pozícia. Čo všetko si pod ňou môžeme predstaviť?

Veľmi málo ľudí jej rozumie, skôr tí, ktorí sa pohybujú priamo v informačnej bezpečnosti. Odvíja sa od manažmentu rizík, ktorý sa zameriava na informačné a komunikačné technológie. To je presne tá skratka ICT. My, klienti banku vnímame ako inštitúciu na úvery, karty, pôžičky. Je to ale jeden veľký softvérový dom. Musíme zákazníkom garantovať, že všetko, čo zastrešujeme, je bezpečné.

Čiže je to veľká zodpovednosť.

Samozrejme. Nechcem to prirovnávať k medicíne, ale ak potrebujete operáciu, nepôjdete k zubárovi. V rámci informačnej bezpečnosti je to taká paralela, pretože tá sa skladá z viacerých komplexných kapitol. Nejaké aplikácie môžu predstavovať riziko. Úlohou je preložiť ho aj do normálneho jazyka pre biznis ľudí.

Ako vyzerá váš deň v práci?

Ak práve neposudzujem bezpečnostné riziká, venujem sa metodickej bezpečnosti. Technické požiadavky sa musia dokumentovať, čiže môj pracovný deň vyzerá aj tak, že spravujem a distribuujem všetko do fungovania banky. Okrem toho aj vzdelávam v oblasti digitálnej bezpečnosti, interne aj externe, pretože technických hrozieb je naozaj veľa.

podvody na internete
Jozef Úroda sa snaží v Tatra banke inovatívne vzdelávať verejnosť rôznymi spoluprácami. Zdroj: atteliér/Simona Sarvašová

Načo sa zameriavate pri školeniach, či už interných alebo externých?

Ukazujem im viacero typov podvodov. Napríklad e-mail, ktorý sa javí ako od vysoko postaveného manažéra inštitúcie, možno finančného riaditeľa. V skutočnosti je fiktívny a ak zamestnanec firmy naletí, firma príde o peniaze. Školenia sú dôležité a snažíme sa ich robiť aj formou pravidelného e-learningu a aktivít, ktoré budú zamestnancov lákať zapojiť sa.

Vytvorili sme platformu, kde je virtuálna postavička, taký bezpečnostný influencer. Touto formou vnášame do menej sexy témy, informačnej bezpečnosti, zaujímavé a lákavé prvky, ktoré zamestnancov zaujmu.

Jedným z podvodov je aj phishing. Ja ho vnímam ako zistenie osobných údajov, ale čo všetko zahŕňa?

Je to útok, ktorý sa zameriava práve na ľudský aspekt. Útočník smeruje celú svoju aktivitu na oklamanie potenciálnej obete. Naozaj rybárči na človeka, keďže mu nadhadzuje návnadu cez komunikačný prostriedok.

E-mail, SMS, telefonát – týmto všetkým nás vedia zasiahnuť. Cez e-mail je to phising, cez SMS smishing. Nie je podstatná definícia, dôležité je vedieť vyhodnotiť situáciu a zistiť, kedy k podvodu dochádza.

Je smutné, keď klient príde o celoživotné úspory mihnutím oka.

Útokov stále pribúda. Kedy ste pocítili najväčší nárast?

Posledný rok sa s nimi roztrhlo vrece. Kameňom úrazu je to, že prepneme z racionálneho do emocionálneho rozmýšľania. Aj teória sociálneho inžinierstva vraví o tom, že útočník sa snaží pripraviť koktail hormónov, ktoré na nás vplývajú. Po tomto nasleduje druhá časť, link odkazajúci na stránku, kde máme zadať osobné alebo platobné údaje.

Pred pol rokom nastal taký ošiaľ, že sme v rámci jedného mesiaca museli nahlásiť vyše 100 rôznych linkov. Naozaj to vyzerá, ako keby nad tým útočník celý deň sedel a vytváral nové URL adresy.

Aká je podľa vás najhoršia forma podvodu?

Smutné je, keď klient príde o celoživotné úspory mihnutím oka. Všetko je teraz online. Skoro každú vec si vieme kúpiť na internete. Nebezpečnou vecou môžu byť aj súťaže, kedy sa od radosti podelíme o svoje údaje. Presne táto emócia nás pri podvode oslabí.

Presun do digitálneho sveta ide rýchlo, no vzdelávanie o rizikách zaostáva.

Zákerné je tiež, keď útočník maskuje svoju identitu. Vyzerá to, ako by nám volala polícia alebo banka, no v skutočnosti je to podvod.

Čo všetko sa dá zistiť z bankových údajov, ktoré obeť na linku vyplní?

Závisí to od toho, do akej miery klient spolupracuje s útočníkom. Najčastejšie sú údaje z platobnej karty presunuté napríklad do Google Pay. Ak mu dá klient aj aktivačný kód, povolí mu vykonávať platby cez jeho platobnú kartu.

Čo napríklad s Internet bankingom, vie sa dostať aj tam?

V tomto prípade, aj keď získa údaje, platby nevie vykonať. Vyžaduje si to viacero autorizácií. Skôr sa deje to, že obeť útoku sa zľakne a začne presúvať peniaze na iné, kvázi zabezpečené účty, kedy už útočník nepotrebuje ani žiadne údaje. Obeť mu teda rovno odovzdá financie.

Odporúčam nastaviť si denný limit alebo zablokovať platby do krajín tretieho sveta.

Ja mám nepríjemnú skúsenosť s aplikáciou Vinted. So sesternicou sme sa preklikli cez link a v domnienke, že vypĺňame údaje Slovenskej pošty, to od nás pýtalo platobné údaje. Výkričníkom bola pre nás kolónka „zostatok na účte“. Otázka preto znie, čo všetko by sme mali vypĺňať pri onlinovej platbe?

Primárne stále vypĺňame číslo karty, expiráciu a CVV kód. Určite by sme ich nemali zadávať, ak nám niekto pošle link, cez ktorý sa dostaneme k vypĺňaniu platobných údajov. Ak niekto žiada tieto údaje, a teda aj CVV kód, v tom momente by sme sa mali obávať, že ide o podvod. Rovnako aj o zneužitie karty, ktorú by sme si mali hneď zablokovať. Rozhodne by to nikdy nemalo vyžadovať ani náš zostatok na účte.

CVV kód je posledná kľučka k tomu, aby sa podvodník dostal k účtu?

Ja som z povolania paranoidný a do istej miery to odporúčam aj čitateľom. Ak by som zadal číslo karty a jej expiráciu a zistil by som, že to je podvod, už vtedy by som si kartu zablokoval. Väčšinou ide o túto trojkombináciu vrátane CVV kódu.

Na všetky platby v internetovom a digitálnom prostredí využívam jednorazovú platobnú kartu. V aplikácii banky mi ju automaticky vygeneruje a zadám ju na stránke. Ak by som bol obeťou podvodu, vďaka virtuálnej, reálne neexistujúcej karte prídem len o danú sumu, nie o celú platobnú kartu s prístupom k môjmu účtu.

Dá sa táto karta vygenerovať aj pri päťeurových platbách?

Ja si ju generujem stále, bez ohľadu na sumu. Je to len pár klikov navyše a vie to veľa zachrániť. Samotná výška sumy je pri kradnutí karty nepodstatná. Niekedy sa robia podvody tak, že síce platíme 3-eurovú položku, no nevšimneme si desatinnú čiarku. Až neskoro zistíme, že sme poslali 300 eur.

debetna karta
Kreditnou kartou platil, keď sa ešte nedala vygenerovať tá jednorazová. Zdroj: Pinterest

Čo robiť, ak sme sa už dali nachytať? Aké by mali byť naše prvé kroky?

Dôležitý je reakčný čas. Ak sa staneme obeťou podvodu, najlepšie je zablokovať si kartu. Najskôr kontaktovať svoju banku, aby vedela rozbehnúť procesy s bankou,
do ktorej peniaze smerovali a zablokovať ich. Niekedy ide o biele kone, ktorých cieľom je vytiahnuť peniaze z bankomatu – aj vtedy treba hneď telefonovať.

Platby, ktoré smerujú mimo Európy, je ťažšie vystopovať, najmä ak si nie ste istí, či ste boli súčasťou podvodu alebo nie. Radšej zavolajte na call centrum banky. Čím rýchlejšia je reakcia, tým väčšia je pravdepodobnosť minimalizácie straty.

Môže pomôcť aj to, ak máme v aplikácii zastavené platby do krajín tretieho sveta?

Áno, radím to aj klientom, aby si zablokovali kartu na kontinentoch, ktoré v blízkom čase nenavštívia. Ďalej je dobré nastaviť si denný limit. Možno 500 eur, alebo len 50, podľa svojej potreby. Podvod tak možno skôr odhaliť, ak nám príde upozornenie o prekročení limitu.

Vieme sa k odcudzeným peniazom vrátiť?

Veľakrát áno, veľakrát nie. Ak to klient nahlási banke aj polícii, banka hneď komunikuje. Garantovať však návrat celej sumy je ťažšie.

Ak sa staneme obeťou podvodu, treba si zablokovať kartu a kontaktovať banku.

Ako by mala vyzerať dôveryhodná stránka?

Čím ďalej je ťažšie definovať bezpečnú stránku. Veľa tých podvodných má skoro rovnakú URL adresu ako originál. Uzavretý zámoček a https sú lepším znakom bezpečnosti, no ani to už nie je garancia. Musíme to skontrolovať, pretože aj s týmito certifikátmi si vedia podvodníci ľahko poradiť a vygenerovať si ich.

Možno by mohlo pomôcť pozerať si recenzie. Je ešte niečo, čo by ste doplnili?

Všetci rýchlo prechádzame do digitálneho sveta, no vzdelávanie o potenciálnych hrozbách podľa mňa zaostáva. Preto máme aj na webe časť #predigitálnubezpečnosť, kde sú informácie, ktoré majú klientov vzdelávať. Sú tam reálne príklady, ktoré sa stávajú.

Informačná kampaň sa šíri cez internet a je tak ťažšie dostať sa k starším ľuďom. Preto by mala byť mladšia generácia zodpovedná a snažiť sa vzdelávať nielen seba, ale aj svojich blízkych.

JOZEF ÚRODA

Je zamestnanec Tatra banky na pozícii ICT & Security risk manažér, ktorá zahŕňa aj tvorbu procesov a postupov životného cyklu používateľa. Jeho úlohou je tiež vytváranie bezpečnostných školení s prvkami gamifikácie, ktoré sú orientované najmä na správanie koncového používateľa. Taktiež vedie pracovnú skupinu, ktorej cieľom je celkové a neustále zvyšovanie povedomia zamestnancov v oblasti bezpečnosti.