Na nákupy Slovákov striehnu organizované zločinecké skupiny. Bezpečnostný expert dáva tipy, ako nenaletieť
- Vianoce sú čas, kedy stúpa počet kybernetických útokov
- Šíria sa falošné SMS a e-maily, kradnú sa laptopy a platobné údaje, na Slovákov striehnu podvodné e-shopy
- Ako sa proti nim zabezpečiť, pre Startitup porozprával Karol Suchánek
- Vianoce sú čas, kedy stúpa počet kybernetických útokov
- Šíria sa falošné SMS a e-maily, kradnú sa laptopy a platobné údaje, na Slovákov striehnu podvodné e-shopy
- Ako sa proti nim zabezpečiť, pre Startitup porozprával Karol Suchánek
Kriminálnici neustále vymýšľajú podvodné taktiky, ako vďaka využívaniu najnovších technológií okrádať ľudí – podvodné SMS, maily, falošné e-shopy či iné kyber podvody sú každodennou súčasťou Slovákov. Vianoce sú jedným z období, kedy sa ich snahy stupňujú.
„Počas Vianoc útoky zosilnejú, lebo aj útočníci majú svoje akcie a dni, kedy predajú viac – a Vianoce sú jedno z tých období, rovnako ako napríklad Valentín a podobne. Útočníci sa nabaľujú na týchto celosvetových eventoch, lebo sú spoločné pre väčšinu zasiahnutých ľudí,“ upozorňuje bezpečnostný expert Karol Suchánek.
Ako sa čo najlepšie zabezpečiť proti útokom a podvodným praktikám pri svojich vianočných nákupoch pre Startitup priblížil Karol Suchánek, ambasádor mBank pre oblasť bezpečnosti.
- Prečo sa vo svete množia kyber podvody?
- Ako rozoznať podvodný e-shop, SMS či mail?
- Ako zabezpečiť svoj počítač a zvýšiť svoju bezpečnosť?
- Prečo je virtuálna karta zaujímavou alternatívou?
S vývojom bezpečnosti ide, bohužiaľ, ruka v ruke aj vývoj prostriedkov, ako ich prelomiť. Zaznamenali ste za rok 2022 nejaký nový typ online podvodu?
Najčastejším typom – a nejde o nič prevratné ani sofistikované – ostáva stále phishing. Ten je tu odvtedy, čo je internet internetom, ale vždy prichádza v novom kabáte, útočníci prídu zakaždým s novou manipuláciou, keďže phishing je založený na sociálnom inžinierstve, čo je manipulácia. Sú to v podstate takí marketingoví manažéri, ktorí sú schopní vám poslať správu a tá vás zmanipuluje k tomu, aby ste niekam klikli, niečo si stiahli či nainštalovali.
Poslať maily teda síce nie je nič extra sofistikované či prelomové, ale zločinci musia stále prichádzať s novými spôsobmi a metódami, ako zohnať čo najviac užívateľov, ktorým budú môcť napríklad poslať škodlivý kód, ako ich uloviť, natvrdo hacknúť či im natvrdo nainštalovať nejaký softvér do počítača.
Čo spraviť pre lepšie zabezpečenie svojho počítača:
- mať na počítači vždy aktuálny operačný systém,
- nainštalovať všetky aktualizácie pre systémové programy či aplikácie, ktoré človek používa,
- používať tzv. next-generation antivírus, teda antivírus novej generácie
- zašifrovať si svoj disk, aby sa doň v prípade fyzickej krádeže tohto zariadenia páchateľ nevedel dostať,
- nainštalovať si správcu hesiel a aktívne s ním pracovať,
- vzdelávať sa v oblasti bezpečnosti.
„Ak by som mal odporučiť jednu vec, tak je to naučiť sa pracovať so správcom hesiel (password manager). To je aplikácia, do ktorej vložíte všetky svoje heslá, ona si ich zapamätá a pomáha vám aj s ich vytváraním,“ zdôrazňuje Karol Suchánek na margo osobnej bezpečnosti v online priestore, ktorú sa v spolupráci s mBank snažia zvýšiť u Slovákov napríklad edukáciou cez webstránku s tipmi ako sa chrániť či inými aktivitami, vrátane používania eKarty.
Kam bude podľa vás smerovať vývoj online podvodov a kybernetických hrozieb všeobecne?
Svet IT je dynamický a rýchly, technológie sa menia každým dňom. Avšak pri pohľade do sveta súdnictva môžeme vidieť, že legislatíva je vždy pár krokov pozadu oproti útočníkom. Toto je principiálny problém – v Európe možno nie až taký výrazný, ale v krajinách tretieho sveta je problém kybernetickej bezpečnosti z hľadiska legislatívy ešte úplne v plienkach. Je preto logické, že zločinci môžu pôsobiť práve z týchto krajín, ktoré majú iné problémy či priority.
Ľudia páchajúci online podvody zvyčajne nebývajú v krajine, kde to robia – aké sú podľa vás tie hlavné legislatívne medzery? Ako je možné, že sa to stále deje?
Nie som právnik, ale osobne vidím problém v tom, že ak ste regulárny e-shop pôsobiaci na území EÚ, tak v súčasnosti musíte mať pri platbách kartou povinne zapnuté 3D Secure – čo však podvodníci vedia jednoducho obísť. Prostredníctvom bielych koní si vytvoria nejakú platobnú bránu mimo EÚ, kde táto povinnosť nie je, a teda vy ako občan EÚ zadáte svoje platobné údaje a už vám nemusí chodiť napríklad potvrdzovacia SMS.
Takisto sa treba pozrieť na ekonomiku, hospodársku a vzdelanostnú úroveň. Napríklad my Európania máme v podstate kvalitnú infraštruktúru, dobré vzdelávanie, sociálny systém a podobne… V niektorých iných krajinách však obyvatelia pociťujú výrazné ekonomické problémy spojené aj s nezamestnanosťou.
Práve oni potom môžu byť naverbovaní organizovanými zločineckými skupinami, aby pre nich hackovali. Tie im dodajú know-how aj zariadenie a zaučení ľudia si takto vedia s prehľadom zarobiť niekoľkonásobne viac ako predtým. Stačí, že noví „zamestnanci“ majú prístup k internetu, ktorého pokrytie je dnes veľmi dobré v celosvetovom meradle.
Teda aj všetky falošné SMS na území Slovenska sú vlastne organizovaný zločin?
Áno, určite. Toto vám síce nikto nepotvrdí, ani nevyvráti, ale ja osobne som o tom presvedčený.
Ako si overiť hodnovernosť e-shopu
Ak človek nenakupuje cez známe robustné e-shopy, ako napríklad Amazon či Alza, bezpečnostný expert odporúča preveriť si ich rizikovosť cez nasledujúce kroky:
- Pozrieť si hodnotenia a recenzie na daný e-shop v rôznych online porovnávačoch (ako napríklad Heureka), prípadne vygoogliť iné recenzie: „Pokiaľ má hodnotenie menej než 4 hviezdičky, je to už pre mňa určitý signál, aby som zvýšil ostražitosť,“ komentuje Suchánek.
- Priamo na stránke e-shopu si ako prvé pozrieť podstránku kontakty, kde by mala byť jasne uvedená adresa, telefón a obchodné podmienky: „Ak chýba telefonický kontakt, môže to byť zlým znamením, že firma nechce byť kontaktovaná z nekalých dôvodov. Samozrejme, môže ísť aj o falošné číslo, pre maximálnu istotu sa tam oplatí zavolať,“ dopĺňa expert.
- V rámci overenia si je možné pozrieť, čo sa na danej adrese nachádzalo napríklad pred 10 rokmi (cez stránku archive.org). „Ak sa na stránke pomaly každý rok mení jej obsah či predmet podnikania, ide o ďalší silný varovný signál,“ upozorňuje Suchánek.
„Celkovo však niektorí podvodníci môžu spraviť na prvý pohľad kvalitný e-shop a môže sa stať, že podvodný web prepadne cez toto vaše sito. Vtedy sa vždy oplatí mať plán B, ako napríklad používať pri online platbách svoju virtuálnu eKartu. Tá s vaším hlavným účtom nie je prepojená a pri jej prípadnom zneužití sa tak útočník nedostane k vašim úsporám,“ dodáva Suchánek.
Slovensko vie takéto prípady riešiť? Ako sme na to pripravení?
Slovenská polícia dokáže vypátrať, z akej IP adresy útok prišiel a napríklad v spolupráci s hostingovou firmou zistiť jej vlastníka. Môže sa stať, že útočníci, opäť cez phishing ukradli na hostingu nejaký účet a cez ten potom robia špinavú prácu.
Taktiež napríklad kvôli presmerovaniu IP adresy, môže síce útok pochádzať z Číny, signál však ide z Indie cez Taliansko do Švajčiarska a odtiaľ na Slovensko. Zrazu máte niekoľko krajín, ktoré si musia vymeniť dôkazy, musia navzájom spolupracovať a to je často problém.
Polícia tiež funguje aj na princípe priorít – to, že ste na niečo podozrivé klikli, je svojím spôsobom v podstate vaša chyba, máte si na to dávať pozor. Ich prioritou je skôr potieranie organizovaného zločinu, vyšetrenie veľkých káuz a podobne, keďže majú obmedzené zdroje.
Keď je to ťažko zachytiteľné, odporúčate čitateľom, aby vôbec polícii nahlasovali tieto incidenty?
Určite. Polícia má v hľadáčiku niektoré väčšie skupiny alebo si robí určitú analytiku a tieto dáta by mohli prispieť k lepšiemu usmerneniu ich zdrojov, prípadne k zozbieraniu čo najväčšieho množstva dôkazov proti určitej skupine. Trochu inak by som pristupoval v prípade phishingových správ. Ak by sa všetky nahlasovali, išlo by o tisíce prípadov denne a to je bez šance prešetriť – polícii to berie čas a iné zdroje.
Keď sa však už stanete obeťou takéhoto podvodu, určite to odporúčam prebrať so svojím právnikom, ktorý vám povie, aké máte reálne šance niečo vyriešiť. Nahlásiť to môžete aspoň kvôli svojmu svedomiu, aby ste si povedali, že ste preto urobili maximum. Ale v súčasnosti by som veľmi nerátal s tým, že sa to podarí vyšetriť.
Nerád by som ale niekoho strašil, mojím cieľom je skôr nabádať ľudí, aby používali moderné technológie, lebo to je jasný posun vpred a zjednodušujú nám neuveriteľným spôsobom život. Podľa vydavateľov kariet tvoria podvody z toho obrovského každodenného objemu platieb v Európskej únií len promile. Je teda jednoznačne väčšia šanca, že sa vám nič nestane, než stane.
Ako si zvýšiť svoju kybernetickú bezpečnosť? Ako si zabezpečiť lepšie svoj počítač či mobil? Stačí si nainštalovať antivírus?
Ak si chcete niečo ochrániť na vašom počítači, mali by ste začať najprv u seba. Odporúčam prejsť tréningom kybernetickej bezpečnosti. Aktuálne to už niektorí zamestnávatelia ponúkajú v rámci svojich rozvojových aktivít, niekde je to aj povinné.
Dnes máte YouTube a v podstate na ňom nájdete strašne veľa tréningov, ktoré sú úplne zadarmo. Väčšina síce najskôr v angličtine, ale je tam množstvo tipov a trikov. Toto je aj jedna z vecí, ktoré dlhodobo robí mBank – edukuje užívateľov. Veľa základných informácií a návodov, ako sa chrániť, je možné nájsť na ich webe v sekcii Bezpečnosť.
Nákupy hotovosťou sú stále populárne – ako rozoznať skimming bankomat?
Najbezpečnejšou cestou je použiť bezkontaktný bankomat. Z neho sa dá hotovosť vyberať kartou alebo cez aplikáciu, záleží na tom, akú máte banku. Odkedy je Apple Pay, osobne už nenosím fyzické karty ani v peňaženke. Možno ešte na vzdialenejších miestach môže byť problém nájsť podobné bankomaty, ale počet bezkontaktných čítačiek stále rastie.
Ak ale mám fyzickú kartu, tak sa snažím priestor, kam sa v rámci bankomatu vkladá, ohmatať a skúsiť, či nejde o podvrh, ktorý mi zostane v ruke. Sústredím sa aj na ďalšie podozrivé prvky – pochybní ľudia v okolí bankomatu, nálepky na bankomate alebo nezvykle vyzerajúca klávesnica. Zároveň si pri zadávaní PIN kódu zakrývam klávesnicu.
Banky sa chvália virtuálnymi kartami na 1 použitie, ale mBank ponúka eKartu. V čom sa líši eKarta od jednorazových kariet? Má to reálne efekt v snahe vyhnúť sa podvodom?
V bankovom sektore nemáte až tak veľa priestoru vymyslieť niečo unikátne, všetky banky o sebe vedia, takže majú podobné produkty. Otázkou je skôr to, ako dobre ich vedia dostať medzi svojich zákazníkov a ako ich v rámci ich používania edukovať.
V princípe je eKarta o tom, že klient má na nej čast finančných prostriedkov, určených na online nákupy, oddelenú od tých ostatných. Vďaka tomu sú peniaze na účte klienta v bezpečí a nemusí sa báť, že o ne podvodom príde. Dobije si ju na sumu, akú potrebuje, a nastaví si k tomu ešte aj limity. Vytvoríte si ju jednoducho online a rovnako ju aj zrušíte. Je vhodné ju využívať práve na online nákupy.
Čo urobiť ako prvé v prípade podozrenia, že prístup k môjmu účtu bol zneužitý?
Prvá vec je okamžite zablokovať kartu a zablokovať odchádzajúce transakcie z účtu – či už telefonicky na kontaktnej linke banky alebo cez jej webové formuláre. Možno tá otázka však skôr znie, ako prídem na to, že môj účet bol napadnutý či karta zneužitá?
Pri zapnutých notifikáciách by mi o transakcii mala prísť napríklad SMS alebo notifikácia priamo na mobil, pokiaľ mám nainštalovanú bankovú aplikáciu. V dnešnej dobe je však tých oznámení na mobile toľko, že ich môžem prehliadnuť. Ja si preto napríklad raz mesačne prebehnem všetky výpisy z účtov a transakcie si skontrolujem.
Zdroj: nbu.gov.sk