Internetové útoky na bankovní účty jsou důmyslné

Útoky on-line pirátů jsou čím dál zákeřnější. Jejich největší zbraní je vaše důvěřivost. Je přece hloupé nevyjít vstříc kamarádovi, který vás prostřednictvím sociální sítě žádá o drobnou finanční pomoc. Pokud však bez rozmyslu kliknete na odkaz, který je tam přiložen, případně přepošlete potvrzovací sms, přijdete o mnohem více než jen o pár korun, o které vás původně dotyčný žádal.

Už to není jenom e-mail, pomocí kterého se snaží pachatelé získat informace o bankovních účtech, které následně použijí k jejich vysátí nebo případně pomocí kterých nakazí jejich počítač škodlivým virem a ten sám pak udělá špinavou práci za ně. Cesty si již tito nenechavci našli skrze sociální sítě. Na Facebooku je přece každý, a proto i podvodníci.

Postup je jednoduchý. Pachatelé se nabourají do účtu vašeho přítele na síti Facebook a z jeho profilu vám pak pošlou prosebnou zprávu o zaslání drobné částky. Následuje odkaz na fiktivní platební bránu, kam máte vyplnit přístupové údaje do internetového bankovnictví. Pokud je vyplníte, můžete se s penězi na svém účtu rozloučit. „Pozor kamarádi, ta zpráva není ode mě. Nic nevyplňujte, nepotvrzujte, je to virus nebo podvod,“ tak zněla zpráva od Lucie z Prahy, u které došlo před třemi měsíci k pokusu o vysátí peněz z účtu.

Sociální sítě na mobilu
Zdroj: ČTK
Autor: Josef Horázný

V mnohých případech vám nepomůže ani potvrzovací sms, kterou bývá přístup k účtu chráněn, protože i to umí podvodníci obejít: dostanete jakoby od „přítele“ na Facebooku zprávu, že má nějaký problém s telefonem a požádá vás, zda by si k vám mohl nechat poslat autorizační SMS a vy jste mu ji následně přeposlali. Pokud tak učiníte, opět přicházíte o peníze. Majitel zneužitého účtu o ničem ve skutečnosti neví.

On-line bankovnictví: jak to začalo

Prvním průkopníkem internetového bankovnictví byla v polovině 90. let 20. století Rodinná záložna, ta však zkrachovala. Pomyslné žezlo pak převzala tehdejší družstevní záložna Fio, nyní Fio banka, a nabídla internetové bankovnictví všem svým klientům. Převzetím licence Zemské banky začala 4. května 1998 oficiálně působit Expandia Banka a jako první banka nabídla plné ovládání účtu přes internet. To motivovalo i ostatní banky k nabízení vlastního internetového bankovnictví.


Podobně jako v klasických podvodných mailech, kdy uživatelům chodí do počítače zprávy typu, aby si třeba aktualizovali data na svém internetovém účtu, nebo oznámení, jako tomu bylo u posledního prosincového útoku na klienty jedné velké české banky, že se blíží expirace přístupu do internetového bankovnictví a přiložený aktivní odkaz vyžadoval zadání současných přihlašovacích údajů, banky zdůrazňují: nereagovat. V žádném případě nerozklikávat odkazy a v případě jakékoliv nejistoty se spojit s bankou telefonicky a případně si nechte zablokovat přihlašovací údaje k účtu. Finanční instituce totiž nikdy takovým způsobem o zadávání údajů či jejich aktualizaci nežádají. 

Internetový útok
Zdroj: ČTK/PA
Autor: Dominic Lipinski

Je potřeba také vzít v potaz fakt, že zatímco dříve podvodné e-maily, které se šířily po internetu a lákaly z lidí informace, jsou stále dokonalejší. Ten zmíněný z prosince byl psán prakticky bez gramatických chyb a celý v češtině. Může se také pro větší důvěryhodnost v hlavičce mailu zobrazit vyvedené logo banky. Člověk by měl zpozornět, když se mu například nechce otevřít. Anebo se i pro orientaci podívat na přesnou adresu, ze které byl e-mail odeslán. To už mnohé napoví.

Co v žádném případě nedělat

Neotevírat přílohy mailu, u kterých neznáme původce.

Neproklikávat se na webové stránky bank přes mail, který vám údajně finanční instituce zaslala.

Nezadávat do formulářů obdžených mailem jakákoliv hesla, pin kódy či potvrzovací údaje.

Nezasílat formou sms svá přístupová data ani na telefonní čísla tvářící se jako čísla vašich známých.

Při jakémkoliv podezření si raději nechat zablokovat účet a kontaktovat telefonicky banku.


Útoky bývají tak důmyslné, že pracují i s lidskou psychikou. Když lidem přišlo do mailu, jehož odesílatel se tvářil jako exekurorská komora, že mají zaplatit dluh, velká část lidí znervózněla a hodlala dluh srovnat. Cílem útoku bylo právě vyvolat v příjemci obavy z dluhu, kdy je člověk náchylnější na manipulaci a tedy „svolnější“ k instalaci škodlivého kódu. Ačkoliv byla čísla bankovních účtů zřejmě fiktivní, a platba by tak nebyla provedena, k trestnému činu neoprávněného obohacení může dojít právě nabouráním viru do internetového bankovnictví uživatele, uvedla k případu Exekutorská komora. Ač se tedy prokazatelně jednalo o spam, na exekutorskou komoru se kvůli tomuto e-mailu obrátilo přes sedmnáct tisíc lidí.

Zajímavé bylo,  že tyto podvodné e-maily působily podstatně věrohodněji než v minulosti.  Nově totiž také obsahovaly reálná jména, například exekutorů či vyhotovitelů. I tady platí, že exekuční příkaz ani výzvu ke splnění vymáhané povinnosti neposílá soudní exekutor e-mailem. Exekuční příkaz vždy obsahuje označení způsobu, kterým má být exekuce prováděna. Tato listina se doručuje poštou nebo datovou schránkou.  

Výjimečné nebývají už ani pokusy o vylákání peněz formou falešné faktury, která opět působí velmi věrohodně. Pracuje například s tím, že dotyčný člověk klidně mohl takové vyučtování obdržet. Například jedna Češka, která delší dobu žila v Německu, obdržela fakturu od Deutsche Telecom, aby uhradila svůj závazek, který ve skučnosti neexistoval. Navíc se jednalo o falešný pokus, jak prostřednictvím přílohy nainstalovat do počítače virus.

A zpět k Facebooku. Pokud vám nějaký přítel takto napíše prosbu o finanční částku, ověřte si jeho žádost telefonicky a peníze mu případně pošlete klasickým převodním příkazem, kdy vstoupíte do svého účtu klasickou cestou, a ne přes link na platební bránu. Autorizační SMS slouží jen vám a nikdy byste jí neměli zpřístupňovat ostatním.

Zneužití on-line bankovnictví

Pharming – jeho cílem je získat citlivé údaje bez vědomí klienta banky. Podvodník přitom využívá techniku upraveného překladu internetových adres, která přesměruje uživatele internetového bankovnictví na připravené podvodné stránky.

Phishing (někdy převáděno do češtiny jako rybaření) je podvodná technika používaná na internetu k získávání citlivých údajů (hesla, čísla kreditních karet) v elektronické komunikaci.

Smishing, což je hrozba pro uživatele mobilních sítí. Jde o textovou zprávu (SMS), která příjemce navede buď k zadání přístupových hesel ke svému účtu, nebo platební kartě, nebo k přihlášení do aplikace internetového bankovnictví, odkud si podvodníci sami stáhnou přihlašovací údaje.

Vishing, což je další druh podvodu k získání přístupových práv do internetového bankovnictví. Podvod je zahájen telefonátem, který klienta „motivuje“, aby se ze svého počítače přihlásil do internetového bankovnictví. Klientův počítač ovšem sleduje hacker, který okopíruje pomocí webového formuláře klientem zadané kódy i hesla.


Potvrzovací SMS zprávy, které banky jako jeden ze svých bezpečnostních opatření zavedly právě proto, aby své klienty lépe chránily před útoky nenechavců, už také dnes tak nepředstavují stoprocentní ochranu. Nezvaného návštěvníka totiž počítačoví piráti dokážou v dnešní době propašovat i do chytrého telefonu a celý proces zabezpečení s jeho pomocí obelstít. Dnes totiž stále více klientů využívá pro své platby kromě internetu i chytrý telefon, čímž se možnosti pro podvodníky ještě rozšířily.

Některé banky nabízí pro své klienty i edukační videa, která najdete na jejich stránkách.

Jak je zajištěna bezpečnost

V České republice banky a družstevní záložny používají tyto prvky zabezpečení:

Autentizační kalkulátor:

S jednoduchým zobrazením automaticky vygenerovaného kódu ihned po otevření.

Nebo vyžadující zadání PIN kódu a následně zobrazující automaticky vygenerovaný kód.

Pracující s vloženou debetní čipovou kartou, požadavek PIN a detailních dat platby, poté se vygeneruje kód.

Autentizační SMS zaslaná jako běžná SMS

Po potvrzení bankovní operace banka zašle na registrovaný mobilní telefon autentizační kód prostřednictvím SMS, ten ručně přepíšete do určeného pole v internetovém bankovnictví.

Autentizační SMS zaslaná jako šifrovaná SMS SIM-TOOLKIT

Po potvrzení bankovní operace banka zašle na registrovaný mobilní telefon autentizační kód prostřednictvím šifrované SMS, ten ručně přepíšete do určeného pole v internetovém bankovnictví. Pro přečtení šifrované SMS je nutné mít SIM kartu podporující bankovní aplikace, SIM vyžaduje zadání tzv. BPIN. 

Podpisový certifikát

Bankovní operace se potvrdí podpisovým certifikátem. To je heslem chráněný šifrovaný soubor, který je uložen na disku v počítači, nebo na přenosovém disku (USB, CD, DVD apod.)

Podpisový certifikát uložený na čipové nebo optické kartě

Bankovní operace se potvrdí podpisovým certifikátem na čipové nebo optické kartě. K potvrzení bankovní operace potřebujete speciální čipovou kartu a dále čtečku čipových karet. Ta je buď ve variantě pro notebooky (PCMCIA nebo ExpressCard) nebo pro stolní počítače (připojení přes USB).

Podpisový certifikát uložený na USB tokenu

Bankovní operace se potvrdí podpisovým certifikátem na speciálním USB tokenu. K potvrzení operace potřebujete speciální USB token, který ve svém úložišti bezpečně uchová podpisový certifikát. Vydání tohoto tokenu je zpoplatněno.

TAN kódy

Banka vám pošle poštou seznam tzv. TAN kódů. Tento kód tvoří unikátní, zpravidla 6místné číslo, kterým se potvrdí bankovní operace. Po potvrzení je TAN kód neplatný a je potřeba příště použít jiný.

Uživatelské jméno a heslo

Po přihlášení do internetového bankovnictví lze provádět bankovní operace bez nutnosti dalšího potvrzování jiným bezpečnostním prvkem.


24 hodin banking
Zdroj: ČTK/PICTURE ALLIANCE

Jak na internetové bankovnictví

Co je potřeba

Ke komunikaci je zapotřebí pouze počítač připojený na internet a internetový prohlížeč. Žádné další programy nejsou zapotřebí. Tím se služba liší od homebanking, kdy je třeba nainstalovat speciální program. Spojení s bankou lze tak uskutečnit kdykoliv a z jakéhokoliv počítače připojeného na internet. Moderní mobilní telefony umožňují použít svůj vestavěný prohlížeč k připojení do internetového bankovnictví, u starších typů lze absenci kvalitního prohlížeče obejít doinstalováním javové verze mobilního prohlížeče Opera mini.

Co umí

Záleží na bance. Některé banky mají jen základní služby, tj. přehled stavu a pohybů na účtu, příkaz k úhradě. Jiné umějí i zadávat, měnit a rušit trvalé příkazy či zahraniční platby. Jiné systémy umějí plně nahradit přístup do banky a lze přes ně udělat téměř jakoukoli bankovní operaci.


Jak komunikujeme s bankou přímo

Přímé bankovnictví umožňuje spojit se s bankou nebo její internetovou aplikací na dálku prostřednictvím komunikační techniky. V současné době banky a družstevní záložny nabízejí tyto formy přímého bankovnictví:

  1. Telefonní bankovnictví: Patří mezi nejstarší formu přímého bankovnictví. Dnes patří spíše mezi doplňkové služby, jeho výhody oceníte zvláště v situaci, kdy se nelze s bankou spojit přes internet, anebo potřebujete svůj požadavek konzultovat s telefonním operátorem.
  2. Mobilní bankovnictví: Umožní komunikovat s bankou prostřednictvím SMS, služby WAP, javových aplikací anebo mobilního vestavěného prohlížeče. Jde o velmi oblíbenou formu, je využitelná všude, kde je pokrytí signálem GSM.
  3. Internetové bankovnictví: Umožní provádět bankovní operace z jakéhokoli počítače připojeného na internet. Internetové bankovnictví zvládají i některé mobilní telefony vybavené operačním systémem.
  4. Domácí bankovnictví: Využívá speciální program, se kterým se připojíte do své banky. Program může pro připojení do banky využívat sítě internet, anebo se může spojit přímo na modem banky. Tato forma se využívá převážně u firem, ale je možné ji použít i u soukromých osob.

Zdroj: Měšec