Odborník na bezpečnostné riziká: Na verejnú wifi sa nepripájajte. Väčšina podvodov sa dá odhaliť základnou logikou

  • Pre útočníkov je najefektívnejšie útočiť pomocou takzvaného sociálneho inžinierstva – a to priamo na ľudí
  • Stálice podvodov ako phishing zostávajú, mení sa však platforma. Kedysi boli zriedkavé, dnes na nás podvody vykúkajú aj na sociálnych sieťach
  • Neexistuje, že ak mi niekto ponúka výhru, musím mu dať všetky údaje z platobnej karty. Ako pri podvodoch správne logicky rozmýšľať?
tbdb
  • Pre útočníkov je najefektívnejšie útočiť pomocou takzvaného sociálneho inžinierstva – a to priamo na ľudí
  • Stálice podvodov ako phishing zostávajú, mení sa však platforma. Kedysi boli zriedkavé, dnes na nás podvody vykúkajú aj na sociálnych sieťach
  • Neexistuje, že ak mi niekto ponúka výhru, musím mu dať všetky údaje z platobnej karty. Ako pri podvodoch správne logicky rozmýšľať?

Ak chce podvodník získať peniaze, mnoho ľudí si predstaví hackera, ktorý sa prebíja mnohými bezpečnostnými systémami veľkej banky, až kým z nej neukradne peniaze. Takto to však vôbec nie je – útočníci namiesto toho radšej cielia na obete, ktorým podhadzujú návnady. Ak ich obeť zdvihne a naletí, môžu získať prístup k platobnej karte či k účtu.

Jozef Úroda v Tatra banke pracuje ako manažér bezpečnostných rizík a pôsobí v tíme, ktorý je zodpovedný za informačnú bezpečnosť banky. Okrem iného neustále pracuje na školeniach a vzdelávacích aktivitách.

Jozef Úroda spolu s kolegami stojí aj za kampaňou Pre digitálnu bezpečnosť. Kým štandardné varovanie pred podvodmi zvyčajne tvoria zdĺhavé tipy a nekonečné nudné texty, Tatra banka zvolila iný prístup – pred podvodmi varuje ľudskou rečou a prostredníctvom životných situácií, ktoré sa stávajú každému. Vďaka tomu si môže ostražitosť posilniť skutočne každý.

 

  • Na aké podvody sa nachytá najviac ľudí a ako si na ne dať pozor?
  • Čo si odborník na bezpečnostné riziká myslí o verejných wi-fi sieťach či botoch na Instagrame?
  • Čo robiť v situácii, keď už som bol oklamaný? Je šanca, že banka získa peniaze späť?

zdroj: „Vo všeobecnosti si neuvedomujeme, aké dôležité sú naše prihlasovacie dáta alebo údaje z platobnej karty. Často ich pod návalom strachu a naliehavosti, ktoré sa útočník snaží vyvolať, nechránime dostatočným spôsobom,“ vysvetľuje Jozef Úroda, odborník na bezpečnostné riziká.

Sú Slováci vo všeobecnosti náchylnejší na online podvody než iné národy?

Tak toto naozaj neviem, takú štatistiku si nevedieme.

Ale Slováci sa veľmi rýchlo adaptujú na nové technológie. A keďže čoraz viac vecí, ktoré sme kedysi robili vo fyzickom priestore, dnes robíme v digitálnom prostredí, trávime tam veľa času. A s tým, prirodzene, prichádza aj častejšia snaha útočníkov urobiť podvod a oklamať svoju obeť.

Počul som, že najviac podvodov sa udeje za spolupráce samotného klienta – obete. Je to pravda?

Pre útočníkov je najefektívnejšie útočiť pomocou takzvaného sociálneho inžinierstva – a to priamo na klienta. Je to omnoho jednoduchšie a efektívnejšie, ako sa snažiť „hacknúť“ banku, ktorá má mnoho ochranných vrstiev.

Ak sa na to pozrieme z pohľadu sociálneho inžinierstva, tak najzraniteľnejším kúskom skladačky pri ochrane citlivých dát či platobných údajov je človek.

Útočník tak nepotrebuje nabúrať systém s mnohými ochrannými bezpečnostnými vrstvami a monitoringom – radšej veľkému množstvu ľudí podhodí návnadu. A potom stačí len malé percento oklamaných a útočník sa môže tešiť zo zisku.

Na čom sa „nachytá“ najviac ľudí, čo robíme vo všeobecnosti zle?

Vo všeobecnosti si neuvedomujeme, aké dôležité sú naše prihlasovacie dáta alebo údaje z platobnej karty. Často ich pod návalom strachu a naliehavosti, ktoré sa útočník snaží vyvolať, nechránime dostatočným spôsobom.

Obete napríklad kliknú na link a zadajú prihlasovacie údaje alebo údaje z platobnej karty, pričom link im bol poslaný v chatovacej alebo mailovej komunikácii, čo je typický atribút väčšiny útokov.

Údaje z platobných kariet zadajú aj v situáciách, kedy to reálne vôbec nie je potrebné. Napríklad podvodné súťaže, v ktorých je podmienkou obdržania výhry poskytnutie všetkých údajov z platobnej karty. Stačilo by použiť sedliacky rozum, veď na čo mám zadávať niekam údaje z karty, keď som niečo vyhral, nie je dôvod za to platiť. Obeť však ale môže podľahnúť návalu emócií a tak sa nechať ovplyvniť.

Nie každý sa môže vyznať vo všetkom. Existuje aspoň nejaká základná mantra, úplný základ?

V Tatra banke sme pre klientov pripravili projekt #predigitalnubezpecnost, ktorého cieľom je pútavým a zrozumiteľným spôsobom budovať povedomie o možných nástrahách v digitálnom priestore.

Základným princípom je prezentácia týchto digitálnych hrozieb na skutočných príkladoch. Vytvorili sme aj jednoduché pravidlá pre ochranu v digitálnom prostredí. Odporúčam to prečítať každému – aj ľuďom, čo si myslia, že na žiadny podvod nikdy nenaletia.

Na akých miestach internetu treba vo všeobecnosti spozornieť? Vyššia šanca na podvod je určite napríklad v mailovej schránke či na pirátskych stránkach.

V spojení s ochranou bankových údajov a bankového účtu je potrebné spozornieť vždy, keď pracujem s údajmi, ktoré súvisia s elektronickým bankovníctvom. Môže to byť prihlasovanie do internet bankingu, vykonávanie platieb na internete alebo aktivovanie Google Pay a Apple Pay.

Pri každom takomto úkone je potrebné myslieť na to, či to v tej danej situácii ma logický význam a či to robím z vlastnej vôle. 

Napríklad, pri podvodných súťažiach útočník podmieni výhru tým, aby mu klient poskytol všetky údaje z platobnej karty. Ak si to ale na pár sekúnd premyslím, tak zistím, že to bude zrejme podvod, lebo, aby vám poslal peniaze, určite nepotrebuje vašu kartu a už rozhodne nie napríklad aktivačný kód do Google Pay či Apple Pay, čo je ďalšia kategória častých podvodov.

Opatrný treba byť aj pri nákupoch na internete, kde odporúčame využívať jednorazovú platobnú kartu.

zdroj: Startitup – Jozef Úroda spolu s kolegami stojí aj za kampaňou Pre digitálnu bezpečnosť.

Podvodné maily sú dnes už štandardom. Ako garantovane rozpoznať, že skutočne nemusím pošte zaplatiť clo, ale je to podvod?

Je fajn mať prehľad v tom, čo som si objednal a aké balíky môžem očakávať, prípadne, či sú zo zahraničia. Vo väčšine prípadov platí, že pri objednávkach sa platí hneď na začiatku, prípadne v rámci dobierky, ale neexistuje nejaký medzikrok – dodatočné zaplatenie, keď je balík na ceste.

Tento princíp nie je úplne možné realizovať pri balíkoch, kedy je potrebné platiť clo. Tam je dobré si overiť, či naozaj ide o objednávku, ktorú sme realizovali, napríklad aj pomocou nejakého ID na oficiálnych stránkach inštitúcií.

Odporúčam aj pri takejto platbe využívať jednorazové platobné karty, ktoré nás ochránia pred neželaným odcudzením platobnej karty. Aj keby som sa teda už nachytal, tak aspoň útočník nemá prístup k celej platobnej karte a nemôže odcudziť ďalšie peniaze.

Naletel som, čo teraz?

Obete podvodov by po zneužití svojej platobnej karty alebo bankových účtov mali okamžite robiť dve veci.

V prvom rade treba okamžite volať do banky, ktorá kartu zablokuje, aby útočník nemohol odcudziť viac peňazí. Banka okrem toho začne proces, v ktorom sa snaží klientovi získať peniaze späť – čím skôr sa obeť ozve, tým vyššia šanca je na to, že sa to podarí.

V druhom rade treba volať na políciu, ktorá môže mať v podobnej veci napríklad rozbehnuté vyšetrovanie a pomôžu jej ďalšie informácie. Konkrétny prípad môže spojiť s ostatnými a dáta tak môžu pomôcť k identifikácii útočníka.

Ani jeden z týchto bodov nemožno odkladať na ďalší deň alebo o hodinu, banku aj políciu treba alarmovať v prvej možnej chvíli.

Viac podrobností, ako sa pred podvodmi chrániť, je prehľadne a jednoducho dostupných na webe Tatra banky (funguje aj pre klientov iných bánk).

 

Ako sa staviate k verejným wi-fi? Sú skutočne takým problémom a rizikom, keď ich využívame, ako sa hovorí?

Najväčšiu hrozbu predstavujú otvorené wifi siete – teda také, ktoré nie sú chránené heslom alebo nie sú dostatočne chránené. Pri nich totiž nevieme, kto všetko sleduje pohyb na sieti, a útočník tak môže potenciálne čítať dáta, ktoré v rámci tejto siete prúdia.

Ak som mimo svojej wi-fi a napríklad nutne potrebujem pracovať na notebooku, mám si poradiť len s vlastným hotspotom?

Vo všeobecnosti sú pre nás cudzie wifi siete neznáme. Nevieme, ako sú chránené, ani kto sa na nich nachádza. Preto treba byť opatrný a použiť radšej mobilný internet.

Sú digitálne hrozby viac-menej stále rovnaké alebo podvodníci inovujú?

Základná štruktúra zneužitia sociálneho inžinierstva je v podstate pomerne nemenná. Útočník podhodí návnadu, ktorá má oklamať klienta, aby z toho útočník získal nejaký benefit.

Čo sa však meniť môže, aj v rámci digitalizácie spoločnosti, je kanál, prostredníctvom ktorého je návnada podhodená. Už to dávno nie sú len e-maily, ale napríklad aj chatovacie aplikácie či sociálne siete, kde figurujú napríklad falošné e-shopy a súťaže.

Napríklad, pri aplikácii na zdieľanú dopravu evidujeme podvody, kde útočník osloví klienta mimo danej aplikácie a posiela mu cez chat link, cez ktorý sa dostane do formulára na vyplnenie údajov z platobnej karty. Toto je evidentne podvodné správanie a takúto komunikáciu by sme mali hneď ukončiť.

Okrem toho sa stretávame aj s telefónnymi podvodmi. Útočník sa predstaví napríklad ako polícia, vyvoláva nátlak a snaží sa z klienta vymámiť citlivé informácie, prípadne ho rovno naviesť k odoslaniu finančných prostriedkov na jeho účet.

Kedysi boli online podvody maximálne na pirátskych stránkach. Dnes ich máme plný inbox, bežní sú aj boti na Instagrame. Neprekáža to aj samotným platformám, na ktorých sa podvody vyskytujú?

V krátkosti – určite treba premýšľať aj nad tým, aké informácie odovzdávam aj v rámci týchto bežne používaných platforiem a akým spôsobom to robím.

Dajme tomu, že naletím. Čo potom? Je nejaká šanca, že peniaze ešte uvidím?

Vzhľadom na to, že útoky a podvody sociálneho inžinierstva nie sú technicky príliš náročné, spektrum útočníkov je pomerne veľké a nie je ich možné jednoznačne definovať.

Čo sa týka eliminovania straty, tak záleží prípad od prípadu. Čím rýchlejšie na to klient zareaguje, tým vyššia je pravdepodobnosť úspechu. Pri odcudzení finančných prostriedkov treba kontaktovať aj políciu, ktorá si takýto podvod môže dať do súvislosti aj s inými podvodmi rovnakého typu a potenciálne aj s rovnakým útočníkom. Takisto, čím skôr je podozrivá aktivita nahlásená banke, tým skôr je možné vykonávať nápravné opatrenia ako blokovanie prístupov či zablokovanie platieb, ak je to ešte možné.

Vo všeobecnosti má teda dopad na šancu získať peniaze späť viacero atribútov, kde je podstatným bodom čo najskoršia reakcia, ale cieľom banky je určite urobiť čo najviac pre záchranu finančných prostriedkov.

Najnovšie videá

Teraz najčítanejšie