Mať peniaze uložené v banke alebo ich ukrývať pod matracom? Zlodejom je to zjavne jedno. Nedávno sa zamerali na klientov jednej z bánk, ktoré pôsobia na Slovensku.
Nič netušiaci ľudia poskytli hekerom svoje prihlasovacie údaje a všetky úspory im v momente zmizli z účtu. Banka aj polícia od toho dávajú ruky preč, vraj mali byť viac ostražití.
„Zistila som, že mám ešte 20 eur a že sa uskutočnila platba vo výške 1 300 eur v rámci Európy. Tak som sa, samozrejme, hneď vydesila, lebo to boli všetky peniaze, čo som na tom účte mala,“ priblížila skúsenosť klientka FIO banky Kristína Zelovičová.
Podobnú skúsenosť mala aj Darina Vrbová. „Prvýkrát mi odišlo z účtu 3 000 eur na účet do Belgicka. Keď som sa prihlásila tým istým spôsobom druhýkrát, zmizlo mi z účtu 1 000 eur, a to išlo Litvy,“ uviedla.
Falošná stránka banky
Klientky FIO banky sú presvedčené, že sa stali obeťou hekerského útoku na webovú stránku banky, v ktorej mali uložené peniaze. Stalo sa to v júli, keď sa snažili prihlásiť do internetbankingu, ktorý si otvorili cez webový prehľadávač.
„Nevidela som na tom, že sa deje niečo zlé. Ja som tam videla, že je to FIO. Chodili mi autorizačné SMS, tak som pokračovala stále dookola,“ vysvetlila Kristína Zelovičová.
Klientky predpokladajú, že sa dostali na falošnú stránku FIO banky, ktorá vyzerala totožne s tou skutočnou. S tým rozdielom, že na nej bola zavesená informácia o problémoch banky.
Hekeri údajne prostredníctvom nej vyzvali klientov, aby opäť zadali autorizačný kód, ktorý im príde na mobil. Ale tým sa neprihlásili do svojho účtu, ale potvrdili prevod peňazí na cudzí účet do zahraničia. Čo si však všimli neskoro.
Hneď v ten deň, ako zmizli peniaze z účtu pani Vrbovej, zašla do banky osobne, kde spolu s pracovníčkou spísali žiadosť o vrátenie chybne zaslanej platby, no nepomohlo to.
„Každú reklamáciu riešime individuálne. Skúmame všetky okolnosti, a to vrátane miery zavinenia a toho, či klient neposkytol svoje prihlasovacie údaje a autorizačné kódy neoprávnenej osobe mimo našich zabezpečených stránok,“ uviedol PR zamestnanec FIO banky Jozef Daňo.
Phishingový útok
Podľa banky sa klienti stali obeťou tzv. phishingového útoku zameraného na získavanie prístupových údajov do konta.
„Nevyzerá to na typický phishingový útok. Phishingový útok znamená to, že niekto nám pošle linku e-mailom alebo cez Whatsapp alebo Messenger a my na to klikneme. Je to vlastne podvrhnutá linka a jednoducho nepristupujeme k legitímnemu webu tej samotnej banky,“ vysvetlil IT bezpečnostný expert Pavol Lupták.
Podľa banky ona sama v tom čase čelila DDoS útoku, ktorý znefunkčnil jej online služby. „Chceme zdôrazniť, že útok bol zameraný na obmedzenie funkčnosti našich stránok. Už len z povahy veci nemohlo dôjsť, a ani nedošlo, k úniku žiadnych dát. Takisto neboli informácie na našich stránkach upravované tretími osobami,“ dodal Jozef Daňo.
Útočník mohol podľa Pavla Luptáka znefunkčniť originálny web a internetbanking banky. „Hodil tam samotný server, cez ktorý odchytával prihlasovacie údaje,“ dodal.
Falošná stránka vyzerá totožne s tou pravou s malými rozdielmi vo webovej adrese sú navyše písmena PB a medzi slovami fio a sk chýbala bodka.
„Keď som rozklikla históriu v prehliadači, tak už tam bolo fio a sk bez bodky. Tu je to pekne vidno, ako si ma vlastne prehadzovali,“ uviedla Kristína Zelovičová.
Polícia odmietla trestné oznámenie
Obete sa obrátili aj na políciu. V prípade pani Vrbovej však podané trestné oznámenie odmietla.
„Oznamovateľka dobrovoľne zaslala peniaze, nakoľko jej na zrealizovanie platby prišiel autorizačný kód. Neprečítala si celú SMS správu, kde mala uvedenú sumu aj účet, na ktorý sa peniaze prevádzajú. Svojmu omylu mohla zabrániť, ak by dodržala obvyklú mieru opatrnosti,“ vysvetlila hovorkyňa Krajského riaditeľstva Policajného zboru Trenčín Petra Klenková.
Podľa nezávislého advokáta Branislava Weltera však to, že obeť mohla postupovať inak, neznamená, že trestný čin sa nestal.
„Polícia by mala šetriť, aby sa dopátrala aspoň približne k nejakej informácii, že kam tie peniaze išli ktorým smerom. Lebo aktuálne si tí ľudia nevedia uplatniť civilnoprávny nárok, keďže nepoznajú tú osobu, ktorá ich poškodila,“ dodal Welter.
„Tieto účty v zahraničí sú väčšinou založené podvodom alebo na cudzincov, neexistujúce osoby. Taktiež sú zneužité osobné údaje osoby, na ktorú je účet založený, alebo majitelia týchto účtov sú taktiež podvedení. Z daného dôvodu pravú identitu takéhoto páchateľa je veľmi ťažké zistiť,“ priblížila Klenková.
Obetí sa prihlásilo viac
IT bezpečnostný expert Lupták tvrdí, že sa peniaze v rámci Európskej únie nemôžu stratiť. „My tu nemáme anonymných majiteľov účtov alebo niečo podobné,“ dodal.
Podľa nezávislého advokáta by mohlo okrem podania sťažnosti na prokuratúru pomôcť aj hromadné trestné oznámenie na polícii. Keďže obetí sa cez sociálne siete prihlásilo viac. Všetci sa zhodujú, že podvodníci postupovali vždy rovnakým spôsobom.
„Momentálne už je nás v tej skupine dvanásť ľudí. Takže to bude cez 50-tisíc eur určite,“ priblížila Zelovičová.
Poškodení klienti sa zhodujú, že nedostali žiadne výstražné e-maily, či SMS od banky, že prebieha hekerský útok a akým spôsobom si dávať pozor. Nám sa podarilo nájsť všeobecný oznam na oficiálnej stránke ešte z mája tohto roku. Čo si však podvedení, podľa ich slov, nevšimli.
„Ochrana a informovanosť našich klientov sú pre nás vždy najvyššou prioritou. Pri akejkoľvek mimoriadnej situácii, vrátane DDoS útokov, informujeme našich klientov, a to najvhodnejšími a najrýchlejšími dostupnými kanálmi, s ohľadom na charakter situácie. Rovnako tomu bolo aj v tomto prípade,“ povedal Jozef Daňo.
Banka o útokoch klientov informovala
Legislatíva podľa hovorcu Národnej banky Slovenska (NBS) Petra Majera neprikazuje bankám informovať svojich klientov o hekerských útokoch.
Banky sú však podľa Národného bezpečnostného úradu (NBÚ) povinné im nahlasovať závažné kybernetické útoky, no informáciu, či sa tak stalo aj v tomto prípade, nám nemohli sprístupniť.
Banka však tvrdí, že tak urobila. Ani úrad nesprístupňujú informácie o tom, ako majú jednotlivé banky zabezpečené svoje systémy pred útokmi hekerov.
NBÚ sprístupňuje len každoročné štatistiky z auditu kybernetickej bezpečnosti v celom bankovníctve, nie podľa jednotlivých bánk. Spotrebiteľ tak nemá šancu zistiť, ktorá banka má ako zabezpečený systém.
„NBS eviduje rôzne podania na podvody aj phishingové. Za minulý rok sme ich vybavili 152. Tohto roku máme už zaevidovaných 124 podaní na rôzne typy podvodov,“ uviedol Peter Majer.
„FIO banka investuje značné zdroje do zabezpečenia systémov, aby chránila údaje a financie klientov. Zabezpečenie proti hekerským útokom je pre nás kľúčovou prioritou a sme odhodlaní neustále zlepšovať naše bezpečnostné opatrenia,“ reagoval PR zamestnanec banky Daňo.
Útoky stále pokračujú
Počas nášho nakrúcania sa prihlásil ďalší klient FIO banky, ktorému zmizli peniaze len pred pár týždňami. Útoky teda stále pokračujú. No k svojim peniazom sa nikto z podvedených dodnes nedostal.
„Platí základné pravidlo, a to byť obozretný a najmä dôsledne dodržiavať zásady bezpečného používania platobných služieb, vďaka čomu viete podvodom predchádzať,“ priblížila Sylvia Ďatelinková z Inštitútu alternatívneho riešenia sporov Slovenskej bankovej asociácie.
Radí neotvárať neznáme správy a prihlasovať sa do elektronického bankovníctva len cez oficiálnu stránku banky alebo jej mobilné bankovníctvo. „Dôsledne chrániť svoje prihlasovacie údaje do elektronického bankovníctva ako aj citlivé údaje o platobnej karte,“ dodala.
