Rozhovor s plk. Mgr. ZUZANOU PIDRMANOVOU, vedoucí odboru prevence Policejního prezidia ČR.
Plk. Mgr. Zuzana Pidrmanová je vedoucí odboru prevence Policejního prezidia ČR. Řeší problematiku kyberprevence, která je potřeba zejména v této době, kdy počet kyberútoků na českou populaci narůstá. Před takzvanými Volači a Klikači se neschová prakticky nikdo, říká Zuzana Pidrmanová. Ti se snaží okrást v podstatě každého, kdo má účet a platební kartu. Útočí mobilem či přes počítač, dodává.
Je už dostatečně chráněn kyberprostor v ČR? Které skupiny lidí jsou nejvíce ohroženi?
Vaše první otázka o bezpečnosti kyberprostoru v ČR určitě vydá na celou debatu odborníků z oblasti IT a kybernetické bezpečnosti. A výsledek pravděpodobně bude takový, že v Česku čelíme stejným hrozbám, jako ostatní státy Evropy či celého světa. Veřejnost však nejvíce trápí podvody odehrávající se v online prostředí pod různými smyšlenými legendami, kdy sám poškozený má na dokonání podvodu významný podíl, protože je podvodníkům nápomocen tím, že jim zpřístupní své přihlašovací údaje, hesla a autorizační kódy. Nebezpečí ale spočívá hlavně v propracovanosti útoků. Pro laika není v současnosti vůbec jednoduché takový útok rozpoznat a obětí se může stát opravdu každý z nás. Pachatelé spoléhají na překonání lidského faktoru, a to za použití fungujících principů sociálního inženýrství: vyvolání strachu, časový nátlak, zvědavost, nezkušenost, nepozornost a případně i ziskuchtivost.
Když se pachatel za přispění poškozeného dostane do internetového bankovnictví, tak nemusí vždy kauza skončit jen vybráním finančních prostředků z účtu. Cílem pachatele je získat i další prostředky z maximální možné půjčky či předem schváleného úvěru. To, že na účtu nemáme moc peněz, ještě neznamená, že jsme v bezpečí, a že se nás tyto podvody vlastně netýkají.
Jak lze uchránit osobní data před internetovými podvodníky?
Zabezpečovat se, používat silná hesla a dvoufázové ověřování přístupů. Nepoužívat univerzální přihlašovací jména a stejná hesla na všechny služby a produkty, které využíváme. A to nejdůležitější je, vědět o tom, že se takové podvody dějí, a hlavně nikomu svá přihlašovací údaje nesdělovat, nepřeposílat.
Na co si mají lidé a firmy dát největší pozor?
I ta nejsilnější hesla a kvalitní antivirová ochrana před online podvody nikoho samy o sobě neuchrání. Pachatel nemusí překonat technická zabezpečení, ale právě nás. Důležité je zajímat se o aktuální trendy v oblasti kybernetické bezpečnosti. Nenechat se pachatelem do ničeho vmanipulovat. V případě pochybností vše raději ověřovat jinou cestou, třeba přímo v bance. Je dobré mít na paměti, že čím více informací o nás pachatel má, tím je větší pravděpodobnost, že nás podvede.
Základní pravidla prevence jsou relativně jednoduchá. Jak se dají jednoduše shrnout?
Následující desatero opatření před nejčastějšími podvodnými útoky nám napovídá, že je nejlepší informace ověřovat, nepodlehnout časovému nátlaku a nenechat se vmanipulovat do situací, které bychom v reálném světě nikdy neudělali.
1) Podvodné telefonáty o napadení bankovního účtu
Pachatel se v podvodném telefonátu vydává za bankéře, který v nás legendou napadení účtu přiměje k přeposlání finančních prostředků na „bezpečný“ účet, či k vložení peněz v hotovosti do vkladomatu na virtuální měny. Často po telefonátu bankéře následuje i ověřovací telefonát falešného policisty, který má potvrdit věrohodnost volajícího bankéře. Takový telefonát je vždy PODVOD. Je potřeba si uvědomit, že vkladomaty na virtuální měny nejsou úschovnou peněz žádné banky! Banky ani policie nikdy klienty takovými způsoby nekontaktují. V případě, že se nám taková věc stane, je potřeba okamžitě přestat s pachateli komunikovat a kontaktovat Policii České republiky. Spoléhat se nelze ani na volání z telefonního čísla, které je shodné s infolinkou oficiálního úřadu. Pachatel dokáže napodobit jakékoliv telefonní číslo či e-mailovou adresu. Proto zobrazené informaci na displeji telefonu či počítače nemůžeme slepě důvěřovat.
2) Umožnění vzdáleného přístupu do Vašeho zařízení
Pachatel se pod různými legendami snaží vylákat přístup do našeho mobilního telefonu či počítače. Vmanipuluje nás při telefonním hovoru do instalace softwaru pro vzdálený přístup s jediným cílem. Dostat se vzdáleně do našeho bankovnictví a odcizit všechny úspory, včetně finančních prostředků z půjček, co si na nás po získání přístupů sjedná. Pachatel se v telefonu vydává za bankéře, technickou podporu, investiční poradce, ale třeba i policisty. Nikdy se proto nenechme vmanipulovat do instalace vzdáleného přístupu od nikoho.
3) Prodeje na inzertních serverech
Pachatel zareaguje na námi podaný inzerát se zájmem o zboží, které chcete prodávat. Falešný zájemce v rámci urychlení a zjednodušení obchodu se nás snaží přesvědčit ke vložení citlivých údajů o bankovnictví do platební brány, která se na první pohled může zdát jako pravá. Jedná se především o číslo platební karty, datum exspirace, CVV/CVC kód a pin. Následně údaje zneužijí. Kupujícímu zcela stačí jen číslo bankovního účtu prodávajícího, požaduje-li další platební údaje, jedná se o PODVOD.
4) Podvodné phishingové kampaně prostřednictvím SMS zpráv, emailů či sociálních sítí
Každý den pachatelé rozesílají velké množství podvodných e-mailů, SMS zpráv, čí zpráv přes sociální sítě a snaží se náhodně lidi nalákat na různé legendy. Často je předmětem zabezpečení bankovních účtů, zásilka zboží, daňový přeplatek, či nedoplatek, aktualizace zabezpečení, apod. Na podobné zprávy doporučujeme nereagovat a je odstraňte jako spam, čímž automaticky varujete i ostatní. Cílem pachatele je jen vylákání přístupových údajů nebo citlivých údajů k online bankovnictví. Pozor! Pachatelé dokážou podvrhnout i odkazy, které se objeví jako první při vyhledávání ve vyhledávačích. Zámeček v liště a dobrá čeština není zárukou bezpečí. Ověřování URL adres je prostě nezbytností, abychom neklikli na podvržený odkaz.
5) Kamarád píše přes sociální sítě, protože ztratil vaše telefonní číslo
Pachatel nás kontaktuje jménem přítele nebo přímo z profilu přítele. Často požaduje zaslání telefonního čísla. Buď ho ztratil, nebo nás přihlásil do soutěže, nebo posílá nějaký benefit. Následně požádá o zaslání ověřovacího kódu, aby transakci dokončil. Kód zneužije a okrade nás na mobilních platbách, případně zneužije i náš profil na sociální síti k zasílání podvodných zpráv i dalším přátelům z našich adresářů. Jestli je to možné, tak svého přítele od kterého zpráva přišla, kontaktujeme jinou cestou. Nenechme se zlákat ani zprávou typu „Na tom videu jsi ty!!“. Ze vzbuzení zvědavosti se může vyklubat PODVOD založený kupříkladu na prémiových SMS zprávách či fiktivních soutěžích.
6) Požadavek přeposlání peněz přes náš bankovní účet
Nabídka výhodné brigády či snaha pomoci kamarádovi může pachatelům umožnit převádět přes naše bankovní účty finanční prostředky pocházející z různých podvodů. Pachatelé často nabízejí různé možnosti přivýdělku, které se na první pohled tváří jako zcela legální. Jakmile se zde objeví prvek převodu finančních prostředků přes náš bankovní účet, zbystřeme. Jde o protiprávní jednání, kdy za legalizaci výnosů z trestné činnosti hrozí trest odnětí svobody až do výše 10 let. Pozor! Trestná je i legalizace výnosů z trestné činnosti z nedbalosti.
7) Zázračné zbohatnutí skrze výhodné investice
Skvělá reklama na výhodnou a zcela bezpečnou investici s téměř astronomickým, tedy nereálným ziskem? Zbohatli takto i veřejně známé osobnosti, které výhodnost investice v komentářích potvrzují? Obvykle se jedná o PODVOD. Falešní investoři prvoplánově chtějí důvěřivce okrást o částku, kterou jim sami zašlou nebo klasicky touží po přístupu do našich zařízení přes vzdálený přístup a získat přístupy do bankovnictví, kde si již převody provedou sami. Investice je vždy riziková záležitost a je na místě opravdu velká obezřetnost a znalost investičního trhu. Navíc podvodníci se neostýchají své oběti posléze znovu kontaktovat jménem právnické společnosti s legendou pomoci v navrácení odcizených finančních prostředků. Opět se jedná o podvod, za kterým jsou ty stejné osoby.
8) Dvoufaktorové ověření přístupu
Všude, kde je to možné, tak si nastavujme vícefázové ověření přístupu. Je to otázka pár minut. I když pak pachatel získá přístupové údaje k našemu účtu, musí z nás vylákat ještě například autorizační kód. Když máme v ověřovací zprávě u autorizačního kódu napsáno, že nemáte kód nikomu dalšímu sdělovat, tak to prosím nedělejme.
9) Podvody založené na lásce a zázračném zbohatnutí
Podvodníci zneužívají i citů. Pachatelé své oběti kontaktují obvykle prostřednictvím seznamovacích portálů pod různými identitami (např. americký voják, letec, doktor, dělník na ropné věži, právník) a snaží se navázat kontakt, přátelství, vztah. Podvody jsou často založené na zaslání nějaké cenné zásilky (zlatý poklad, neočekávaná výhra, peníze z dědictví, atd.). Vždy se po cestě zásilky ale najde nějaký zádrhel, který je řešitelný zaplacením poplatku, který se postupně vyšplhá až na miliony, které už nikdy ten kdo je posílá, neuvidí. Všechno je jen fikce. Nepodléhejme iluzi, že nás se to netýká a v našem případě se o podvod nejedná. Podvodníci jsou zdatní manipulátoři a o lásku jim opravdu nejde. Tyto podvody existují více jak sto let a stále fungují.
10) Buďte na útok připraveni
Zajímejme se o aktuální trendy v oblasti kybernetické bezpečnosti. Nenechme se pachatelem do ničeho vmanipulovat. V případě jakýchkoliv pochybností vše raději ověřujme jinou cestou a pamatujme si, že čím více informací o nás pachatel má, tím je větší pravděpodobnost, že nás podvede.
ČSOB a Policie ČR společně realizují preventivní kampaň s názvem Volač a Klikač. Nechtějí mě náhodou okrást právě Volači nebo Klikači? Co je z hlediska prevence pravděpodobnější?
Pravděpodobnější je narazit na Klikače. Klikač nás nutí k proklikání se na formulář, kde mu své citlivé údaje například k bankovnictví vyzradíme. Nevyžádaných emailů a sms zpráv chodí hodně. Každý má asi takovou zkušenost, že když otevře emailovou schránku, najde tam něco, co si nevyžádal. Tyto zprávy jsou opravdu rozesílané masově. V případě Volačů je potřeba nepodlehnout děsivé informaci, že jsme právě přišli o své peníze a nenechat se časovým nátlakem donutit k hledání řešení s pachatelem, jak své peníze zachráníme. Je totiž prakticky nemožné, aby s námi skutečný bankovní úředník takto řešil ohrožení účtu. Banky si v případech napadení účtů umí poradit i bez nás a dělají to tak.
Chcete naučit lidi, aby si před každým kliknutím na odkaz v SMS zprávě nebo v emailu či před zodpovězením otázky volajícímu rozmysleli, co dělají. Co ale když se nechají nachytat? Co potom?
Tady už hodně záleží, do jaké fáze se dostanou. Samotné otevření odkazu nemusí vždy představovat samo o sobě ohrožení. Tím může být až následné vyplnění osobních či platebních údajů. V každém případě je potřeba okamžitě jednat, jakmile si problém uvědomíme. Namístě je okamžitá komunikace s bankou, blokace platebních karet, změna přístupových hesel apod.
V případě nejistoty a pochybností je nejlepší vždy kontaktovat přímo klientská centra bank. Mají možnost lidé rychle zjistit, zda jsou napadeni?
Jakékoliv pochybnosti rozhodně doporučujeme rozptýlit. Pracovníci bank jsou informování o trendech v oblasti podvodů, znají standardní postupy své finanční instituce, takže velmi snadno pomohou odhalit, zda čelíme či nečelíme podvodu. Bohužel se setkáváme i s případy, že klienti provedou pod vlivem manipulace podvodníka vklad na účet nebo převod peněz i přes přímé varování pracovníka banky.
Policie ČR registrovala za rok 2022 – 18 554 trestných činů spáchaných v kyberprostoru. Čím byl podle vás způsoben tak velký počet?
To je bohužel trend, se kterým musíme počítat i do budoucna. Do online světa se přesouvá značná část našich životů, a bohužel ruku v ruce s tím i kriminalita. Pro pachatele to znamená v mnoha ohledech usnadnění činnosti. Odpadá jim nutnost osobního kontaktu s obětí a naopak jsou schopni vytěžit velké finanční objemy u jediné oběti.
V posledních letech u online podvodů zaznamenáváte prvky organizovaného zločinu s mezinárodním přesahem. Z jakých zemí? O co se nejvíce jedná?
Pokud zůstaneme u online majetkové trestné činnosti, jedná se zejména o různá organizovaná call centra, ze kterých je řízeno vytipování obětí a následné navolávání či plošné rozesílání emailů. Není žádným tajemstvím, že v této trestné činnosti jsou zainteresovány skupiny i z našich sousedních států, postsovětských republik, států západní Afriky či třeba Asie. V online prostředí je možné útočit prakticky odkudkoliv.
Setkala jste se i vy osobně s nějakým kyberútokem?
Ano, setkala. A myslím, že se s podvodnými emaily či esemeskami setkal každý, kdo má emailovou adresu a mobilní telefon. Phishingové útoky v podobě nevyžádané emailové komunikace vydávající se za banku a vyžadující přihlášení na podvodný link s potvrzením přihlašovacích údajů nebo podvodné esemesky na urychlení doručení zásilek jsou poměrně časté. Snažím se být obezřetná, na nic neklikat, nic neotvírat, a už vůbec nikam nezadávám své přihlašovací údaje, pokud si nejsem opravdu jistá.
Děkuji za rozhovor.
Foto: Poskytnuto Zuzanou Pidrmanovou
Zdroj: Renáta Lucková