Vishing v Česku přestal být okrajovou kategorií „telefonních šmejdů“ a stal se důrazným byznysovým rizikem na pomezí telekomunikační infrastruktury, bankovní autorizace a behaviorální manipulace. Jde o průmyslově řízený podvodný model, který generuje stovky milionů korun škod ročně a mění postupy bank i operátorů. Nejde přitom o klasický kyberútok, transakci zadá a potvrdí sám klient, zmanipulovaný hlasem na druhém konci linky.
Co se dozvíte v článku
Z pohledu bankovnictví a kyberbezpečnosti je to kritické zejména proto, že se útok přesouvá z technické roviny (kompromitace účtu, zneužití přístupů) do roviny APP fraud – tedy scénářů, kde transakci zadá a potvrdí sám klient, byť pod vlivem manipulace.
Vishing v Česku: od telefonních šmejdů k sofistikovanému byznysu
Banky a operátoři popisují, že vishing a související kampaně jsou průmyslově řízené operace, které kombinují automatizaci a následnou cílenou práci s vybranými oběťmi. Jen T-Mobile v Česku blokuje přes milion čísel, ze kterých k takovým podvodům dochází. Neznamená to ale milion „úspěšných“ podvodů – naprostá většina těchto pokusů podle expertů na podvody slouží jen k ověření, že číslo existuje. Takové kampaně nejdřív „vyrábějí“ seznam živých kontaktů, na které pak navazují další kanál – SMS, další volání, nebo kombinaci více kroků.
Konkrétní data o vishingu banky často zveřejňují jen částečně — i kvůli tomu, že podvody se překrývají (telefonát + phishing + vzdálený přístup) a že detailní statistiky mohou napovědět útočníkům. Přesto některá čísla k dispozici jsou. Adam Falus za T-Mobile uvádí, že jedno telefonní číslo takto může obvolat tisíce lidí. Jindy se podvodník s jedním telefonním číslem soustředí na jednotky cílových lidí, které o to pečlivěji přesvědčuje.
Komerční banka uvádí, že za loňský rok zaznamenala přibližně 470 případů vishingu; pro porovnání v roce 2024 to bylo 160 případů. Ztráty u těchto podvodů podle banky „jdou do desítek milionů“. Konkrétnějši je banka u sdělení, že za loňský rok se jí podařilo klientům v rámci tohoto typu podvodu zachránit přes 63 milionů korun.
Snažil se vás někdo podvést přes telefon?
ČSOB upozorňuje, že vishing je sice méně častý než phishing, ale páchá řádově vyšší škody, protože bývá sofistikovanější a kombinuje více technik (phishing, sociální inženýrství a další).
Česká spořitelna, která má v Česku asi 4,5 milionu klientů, jen za loňský rok vyčíslila celkový objem škod na 495 milionů korun. V tomto čísle jsou započítány všechny klientské škody – tedy na kartách a výběrech v hotovosti. Ale Kropík z České spořitelny vysvětluje, že výrazně klesl objem podvodů, kdy transakci zadává přímo podvodník, a to o víc než polovinu.
„Cca 81 % objemu škod generovaly transakce zadané a potvrzené (zmanipulovaným) klientem. Znamená to, že pokud klient přijde o peníze, není to kvůli tomu, že by se mu někdo dostal do bankovnictví, ale že sám (byť pod vlivem manipulace) chce transakci zadat. I ten zbytek, cca 20 %, jsou nejčastěji případy, kdy podvodník sice transakci zadá, ale klient ji potvrdí, nebo jsou to případy v rámci rodiny (family fraudy),“ popisuje.
Proč se nepředstavovat jménem
Jedna z možných metod, jak se ochránit, je tak poměrně hojně diskutovaná nechuť některých (často mladých) lidí zvedat telefonáty z neznámých čísel. Falus doporučuje nepředstavovat se jménem.
„Ve chvíli, kdy se do telefonu představíte, když telefon zvedáte, útočníci na něj můžou okamžitě zareagovat, oslovit vás s ním, můžete nabýt dojmu, že vědí, s kým mluví,“ popisuje manažer fraudu v T-Mobile. Když volající působí, že vás alespoň podle jména zná, lépe se věří tomu, že jde o osobu, která zastupuje důvěryhodnou instituci.
Vishing je v podstatě nástupcem spoofingu, podvodu, který ukazoval lidem na displejích telefonů jako číslo volajícího například jejich banku nebo třeba policii, přestože hovor pocházel třeba ze zahraničí. Podle Faluse se takový typ podvodů podařilo téměř vymazat, když proti podvodu operátoři vybudovali vzájemně propojené zabezpečení.
Banky lijí miliardy do nových technologií
Nyní se obrana u bank přesouvá směrem k behaviorální analytice. „Všeobecně platí, že se snažíme sledovat netypické chování klientů, objemné transakce, výběry z bankomatu či podezřelé chování na pobočkách,“ popisuje Macháček z Komerční banky.
Podle něj banky dlouhodobě investují miliardy korun do nových technologií, které mají odhalit a zastavit podvody předtím, než lidé přijdou o peníze. „Náklady určitě každý rok rostou, protože nároky na detekci podvodných transakcí a i netypického chování klientů v jejich bankovnictví a při zadávání plateb a podobně je stále náročnější a ze strany podvodníků sofistikovanější,“ říká Macháček. Jednotlivé banky mezitím zavedly třeba ověřování bankéřů během hovoru v aplikaci, nebo různé formy kódů či potvrzení o tom, že jim skutečně volá jejich banka.
Mezi sebou banky vytvořily úzký komunikační kanál, ve kterém si vyměňují informace na denní bázi. Česká bankovní asociace má specializovanou Pracovní skupinu pro kyberbezpečnost. Do iniciativy je zapojena i policie. Podle České bankovní asociace se bankám daří ochránit 85–90 % prostředků, o které se útočníci pokusí.
„Nejslabším článkem je důvěra a strach lidí, kteří podlehnou nátlaku, nebo se nechají přesvědčit o ‚výhodnosti‘ nějaké investice. Pak dochází k situacím, kdy banka klienta osloví s varováním na podezřelou transakci, ale klient to nechce slyšet,“ říká Šalša.
„Podvodníci zjistili, že nepotřebují nějaké sofistikované technické řešení, ale stačí zavolat odkudkoliv, v nějaké kvantitě, a on se někdo chytí. Dnes je to o sociálním inženýrství, sofistikovaném příběhu, který se povede vytvořit. A k tomu slouží střípky informací, které o vás zjistí,“ potvrzuje Falus.
Nejnověji se k podobným typům podvodů přidal v digitálním světě ještě hůř vysledovatelný proces. „V letošním roce bojujeme i s fenoménem předání peněz v hotovosti, 30 % podvodně vylákaných financí bylo předáno právě hotově, například falešnému kurýrovi na parkovišti,“ popisuje Kropík.
Pro úplnost – konkrétně v České spořitelně dominují podvodům falešné investice, které nyní tvoří 38 % škod, falešní bankéři či policisté mají 29 % podíl a podvod na WhasAppu typu „Ahoj, mami“, má na kontě 11 % škod.
Celkově se jen za první tři čtvrletí loňského roku počet kybernetických útoků meziročně zvýšil téměř o třetinu na více než 65 tisíc podvodů a částka, která se podařila útočníkům z klientů vylákat, přesáhla jednu miliardu korun. Banky a policie údajně dalších 4,5 miliardy ochránily.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU