Nové podvodné zprávy útočící na Českou spořitelnu (ČS) zahlcují e-mailové schránky. Někteří klienti spořitelny se již nechali napálit. Pro spořitelnu to však zdaleka není první problém. S falešnými e-maily se ČS potýká již od přelomu února a března. Dokonce už podala trestní oznámení.
Čtěte více: Falešné e-maily na ČS pokračují. Varují samy před sebou - ZDE
Na otázky týkající se množících se e-mailových útoků na Českou spořitelnu ve čtvrtek odpovídal v on-line rozhovoru ředitel obchodního řízení přímého bankovnictví v České spořitelně David Lorenc.
|
David Lorenc působí jako ředitel obchodního řízení přímého bankovnictví v České spořitelně (ČS) od října loňského roku. Je zodpovědný za transformaci přímého bankovnictví a za posilování pozice v této oblasti ČS jako lídra trhu. Před příchodem do České spořitelny pracoval Lorenc devět let na nejrůznějších manažerských pozicích v ČSOB, GE Money Bank a v eBance, kde se věnoval zejména kreditním kartám, přímému bankovnictví a vedení strategických projektů. Půl roku pracoval pro GE Money Australia v Melbourne na aktivitách zaměřených na udržení stávajících klientů. Vystudoval Právnickou fakultu Univerzity Karlovy s orientací na trestní právo a související oblasti, např. kriminalistiku či soudní lékařství. |
Online rozhovor
Dobrý den,
tyto podvodné emaily chodí hromadně, nebo pouze klientům ČS? Pokud jde o druhou možnost, odkud mají seznam jejich adres?
Podvodné e-maily chodí hromadně obyvatelům České republiky bez ohledu na to, u které banky mají účet. Českou spořitelnu napodobují proto, že má nejvíce klientů a je tedy největší pravděpodobnost, že útočník uspěje.
Seznamy adres útočníci většinou kupují na černém trhu nebo ti sofistikovanější se je snaží "odposlechnout" z provozu na internetu.
Stale se hovori o tom, ze banka nikdy nepozaduje dulezite informace od klientu pres internet a pritom pro registraci Bonus programu musite zadat cele cislo sve kreditni karty.
Vypadá to podobně, ale zásadní rozdíl je v tom, že přes Bonus program nelze provádět žádné transakce a nelze platební kartu ani jinak zneužít. Nevyžadujeme zadání expirace karty a ani ochranných kódu CVV/CVC, bez kterých se karta žádným způsobem zneužít nedá.
Číslo karty vyžadujeme proto, že věrnostní body jsou vázány přímo na kartu a klient nemá žádný jiný prostředek, jak se registrovat.
Jak se vubec emaily na Vase klienty dostaly do rukou temto lidem? Vynesl je nekdo ze vnitr? Jake dalsi informace o Vasich klientech se jeste dostaly ven a kdo je za to odpovedny? Jako klientovi Ceske Sporitelny se mi to vubec nelibi.
Data v žádném případě neunikla z České spořitelny. Jde o plošný útok, kdy jsou rozesílány miliony e-mailů a útočník zkouší, kde uspěje. E-maily útočníci získali na černém trhu nebo je získali odchycením z běžného provozu na internetu.
Do České spořitelny například chodí reakce od klientů jiných bank a ptají se, proč jim píšeme. My jim vysvětlujeme, že nejsme autory těchto e-mailů a že jde o pokus zneužít prostředky cizími osobami.
Můžu pana Bednára ujistit, že chodí i neklientům a to ve velmi bohatém počtu. Nikdy jsem s ČS neměl nic společného, přsto dostávám dva až tři podvodné e-maily denně.
Dobrý den,
jé můj účet v bezpečí, když mám pro převod peněz nastaveno autorizaci přes "autorizační SMS" ?
Ano, je bezpečný. Autorizační SMS jsou postaveny na jednorázovém použití autorizačního kódu a i kdyby ho útočník odposlechl, už ho použít nemůže. Pro další transakci bude totiž úplně jiný.
Skoro by se mi chtělo říci, že kdo na takovou věc naletí, tak si to sám zaslouží. Počítač je, podobně jako například auto nebo mikrovlnná trouba, velice užitečná, ale často i velmi nebezpečná věc, při jejímž používání musí člověk myslet.
Tyto podvodné e-maily jsou spíš nepříjemné tím, jak obtěžují, na mé adresy jich přichází denně několik desítek, přičemž je antispam nedovede dobře odfiltrovat.
Některé e-maily přicházejí z různých obskurních zemí (multikulturalisté prominou), ale řada z nich je odesílána z USA, kde přece jen určitá vymahatelnost práva existuje. :-) Podnikají vaši pracovníci v tomto směru nějaké razantní a účinné kroky? Z toho, jak celá věc probíhá, se mi totiž zdá, že víceméně rezignovaně sedí, občas možná někam zamejlují a čekají, "až se to celé nějak vyvrbí".
Děkuji.
Ano, máte pravdu v tom, že velká většina klientů hned odhalí, že jde o pokus o podvod. Připisujeme to především jejich informovanosti. Česká spořitelna má dnes téměr milion uživatelů internetového bankovnictví. Bohužel se najdou jednotlivci, kterí na podobné e-maily reagovali. Proto i nadále investujeme do osvěty.
Podali jsme již také několik trestních oznámení na neznámého pachatele a intenzivně spolupracujeme s Policií ČR. Bohužel vyžádání si spolupráce od orgánů například v USA je plně v její kompetenci a my to nemůžeme nijak urychlit.
To co můžeme dělat sami a také to děláme, je pravidelná aktualizace antiphishingových a antispamových databází. Pokud s nimi pracují poskytovatelé připojení k internetu nebo provozovatelé freemailových schránek, systém velmi dobře funguje a redukuje počty rozesílaného phishingu (podvodných e-mailů).
Dobrý den, byl jsem minulý týden kontaktován zákaznickým centrem linky Servis24 s informací, že bylo zjištěno neoprávněné nakládání s mými přístupovými údaji na internetovou službu servis24, která mi tímto byla zablokována. Vyřídil jsem si tedy nový přístup. Není mi však jasné, kdo a hlavně jak se k těmto datům dostal a jakým způsobem to ČS zjistila. Informace od operátora byla, že se vše prověřuje. Díky za odpověď.
V rámci spolupráce s poskytovateli internetového připojení jsme zjistili, že jeden z útočníků má na svých stránkách dostupný seznam několika klientů, jejichž údaje se mu podařilo prostřednictvím phishingu získat. Všem klientům jsme proto preventivně zablokovali jejich přístup do internetového bankovnictví a kontaktovali je po telefonu.
Nedala by se adresa, ze které ty spamy chodí, prostě "zabanovat"?
Ano, dala. Bohužel nejsou jasné právní důsledky tohoto kroku, a proto jsme tuto možnost zatím zamítli. S naším právním oddělením řešíme, zda a za jakých podmínek je to možné.
Dobrý den.
Podvodný mail je typicky nečeský ale co když pro ně bude pracovat bankovní odborník. Stoprocentní jistota neexistuje ale chystáte nějakou ještě lepší ochranu účtů svých klientů?
Děkuji.
Stávající ochranu, zejména PKI (digitální certifikáty uložené na čipové kartě) a autorizační SMS, považujeme za dostatečnou. Internet se velmi rychle rozvíjí dál a to nám dává přílležitost přijít s novými metodami. V současné chvíli analyzujeme tři nové metody, s kterými bychom na trh chtěli přijít v horizontu dvou let.
K mému dotazu z 10.08 přidávám informaci - na podvodné maily jsem nikdy nereagoval a na službu servis24 přistupuji ze 2 neveřejných PC stanic. Níže položený dotaz je sice mimo problém phishingu, ale předpokládám, že budete schopen reagovat.
Protože neznám Váš konkrétní případ, odpovím obecně. Kromě phishingu mají útočníci i jiné metody, jak se dostat k citlivým datům klientů. Z dat, které máme k dispozci, nemůžeme bohužel zjistit, jak ke konkrétnímu útoku došlo. Víme pouze, že je útočníci nějak získali.
Dobry den, jak je mozne ze maji domenu csas?
Nevím přesně, co tím myslíte. Česká spořitelna má webové stránky www.csas.cz proto, že v době jejího vzniku nebyla k dispozici doména www.cs.cz, kterou ale již nyní máme. Lidé si zvykli používat tu původní, proto zatím neplánujeme převedení na doménu novou (lze se přes ni ale dostat na stránky banky).
Mezi phishingovými útoky se objevilo i několik, které předstíraly, že je e-mail odeslán z adresy csas@csas.cz. Technicky to není nic až tak složitého. Pozorný uživatel snadno zjistí, z jaké adresy e-mail přišel.
Dobrý den. Chci se zeptat, jestli je vůbce možné vypátrat člověka, který maily rozesílá. Případně jak?
Úspěšnost Policie ČR v dohledání pachatelů není bohužel moc vysoká. Ale v čase se neustále zlepšuje. Jsem optimista a věřím, že jeden či dva útočníci vypátrání budou. Vyšší pravděpodobnost úspěchu je u pachatelů z České republiky. Bohužel například u útoků ze zemí bývalého Sovětského svazu je minimální.
Konkrétní návod bohužel nemohu popsat, abychom útočníkům neusnadňovali jejich počínání.
Zdravim - dostal jsem 3 emaily v posledni dobe na jeden z emailovych accountu. Je to CZ ucet. Myslim, ze selekce utoku je dle IP adress a hraji na to, ze CS ma nejvice klientu. Uroven emailu je opravdu mizerna. Nebo utekla CS data? Dekuji, R.
Máte pravdu, Česká spořitelna je terčem proto, že má nejvíce klientů. Data nikdy nepocházjí z interních zdrojů České spořitelny. Útočníci je získávají nejčastěji nákupem na černém trhu.
Tak toto uz trochu prehnali. Takovemu "krasnemu" prekladu z anglictiny do cestiny by jsem neuveril.
Dobre se na tom vzdy zasmeju. :-)))
Ukazka:
-------------------------------------------------
Drahoušek Zákazník,
Tato is tvuj funkcionár oznámení dle Ceská Sporitelna aby clen urcitý služba dát pozor pod vule být deactivated a odstranit kdyby nedošlo k obnovit se bezprostrední.
Predešlý oznámení mít been poslaný až k clen urcitý Žaloba Dotyk pridelil až k tato úcet.
Ackoliv clen urcitý Bezprostrední Dotyk , tebe musit obnovit se clen urcitý služba dát pozor pod ci ono vule být deactivated a odstranit.
Myslíte si, že za e-maily stojí jeden člověk či skupina lidí? Nebo někdo odstartoval vlnu různých pokusů?
Hodně pestrá kvalita phishingů (podvodných e-mailů) i skutečnost, že to útočníci zkouší z různých koutů světa, nasvědčuje tomu, že jde o více různých pachatelů. Obecně phishingové e-maily chodí ve vlnách a vypadá to, že ta stávající nyní právě kulminuje.
tak dnes jsem dostal 28 techto mailu, jiz mne to zacina unavovat.Zajimalo by mne, jestli se jim to u nekoho podarilo ty udaje ziskat. Jsem v bezpeci, kdyz jsem si nechal zablokovat platby po internetu kartou? preci jen si mohli odpodslechnout, kdyz jsem platil v e shopu
Redukovat počet došlých podvodných e-mailů do Vaší e-mailové schránky lze dobrou antispamovou ochranou.
Pokud jste si nechal zablokovat platby kartou po internetu, je Váš účet v bezpečí. Pokud máte blokované transakce kartou po internetu, nelze tento typ převodu na kartě udělat.
S podobným útokem mám zkušenost.
1. Adresy krom odcizení z www sítě jsou generovány také generovány softwarovými roboty.
2. Doména cokoliv@csas.cz ze které jsou e-maily rozesílány je podvržená ve skutečnosti e-maily přicházejí z jiné adresy.
3. Útoky se vedou plošně nezávisle zda je klient či nikoliv a stejně podvržených kopií stránek jsou desítky není tak jednoduché okamžitě všechny zakázat a zamezit rozesílání e-mailů.
4. E-maily vyzývající k zadání údajú bývají i v čestině POZOR je jedno jakým jazykem na mě mluví, platební karta a přístup do bankovnictví je jen můj a jen na mě, když já budu chtít se přihlásit, tak to udělám, nikdy nezadám své údaje na základě jakekoliv výzvy e-mailem i kdyby to po mě chtěla policie.
5. Obrana ??
Používejte aktuální
- antivir
- antispyware
- antispamový filtr
- anti phishingový filtr
- firewall
- aktuální systém
- přihlašuji se jen na svém počítači a na www stránce, kterou si otevřu zadáním adresy do adresního řádku prohlížeče, nikdy nepoužiji jiný odkaz z e-mailu z jiných webowých, stránek adt.
- a to nejdůležitější, zadávám své údaje jen v případě, že já sám to chci, a pouze tam, kde je to bezpečné.
Závěr
Zachovejte si zdravý rozum, dodržujte všechny dostupné zásady bezpečnosti a myslete.
Malá výpomoc přeji brzké dopadení a co nejméně dalších otravných podvodníků.
S pozdravem Martin
Děkuji za shrnutí :o)
Dobrý den pane Lorenci,
osobní otázka - jakou kombinaci nástrojů považujete vy osobně za nejvyšší stupeň zabezpečení přístupu k účtu přes internet? Představte si, že si vybíráte banku (a, prosím, odprostěte se od toho, že jste v jedné zaměstnán) a řekněte - co vás osobně přesvědčí, abyste si řekl - ano, toto je opravdu "top level" a co naopak vzbudí ve vás pochybnosti natolik, že si vyberete jinou banku?
A propos, vnímáte rozdíl mezi australským a českým trhem z hlediska internetového bankovnictví a ochrany osobních údajů?
Děkuji a hezký den přeji.
Martin
Mám osobní zkušenost s přímým bankovnictvím pěti tuzemských bank. Jejich zabezpečení je v zásadě srovnatelné a dostatečné. Já osobně používám nejčastěji autorizační SMS, protože jsou pro mě nejlepší kombinací uživatelské přívětivosti a dostatečné bezpečnosti.
Nesmíme nikdy zapomenout na počítač, z kterého přistupujete do banky. Vždy například používám značkový antivir s automatickou aktualizací.
Příjemným překvapením pro mě v Austrálii bylo, že Česká republika je v oblasti přímého bankovnictví dál než některé tradiční a rozvinuté země. Souvisí to s rychlým rozvojem po roce 1989.
