Co je to phishing
Phishing jsou podvodné e-mailové zprávy, které mají vzbudit dojem, že byly odeslány z e-mailové adresy České spořitelny, které mají za cíl získání a následné zneužití bankovní identity nebo klientského čísla a hesla adresáta (identifikační a autentizační údaje), bezpečnostního kódu nebo například PIN k platební kartě či dalších bezpečnostních údajů.
Zpráva je obvykle psána špatnou češtinou nebo je v angličtině, obsahuje link na údajné stránky České spořitelny a vyzývá k potvrzení osobních bankovních údajů.
Phishingová zpráva po vás nemusí vždy požadovat přihlášení do účtu, apod. ale může po vás pachatel chtít uhradit hotovost.
V současnosti se stále častěji objevuje, tzv. „Podvodná faktura“ nebo také „Podvodně vylákaná platba“.
Podvodník si na internetu vyhlédne několik firem, zjistí kdo je manažer a kdo je účetní, popřípadě kdo má na starosti placení faktur (to vše lze zjistit z internetu).
Potom v roli manažera odešle e-mail právě účetní, ve které jí/jemu většinou píše: „Právě jsem udělal/udělala objednávku u společnosti XYZ a potřebuji, jim odeslat peníze ještě dnes. Jde to poslat nějak expresně?“ Ve většině případů účetní odepíše, že ano a následuje email, ve kterém jí/jemu pachatel sdělí číslo účtu, částku, variabilní symbol, zprávu pro příjemce, apod. A dochází k odeslání peněz.
Naše doporučení:
- telefonicky se domluvit s odesílatelem e-mailu, na podrobnostech, takto nejčastěji zjistíte, zda e-mail odeslal,
- trvat na faktuře
- podle IČO si následně ověřit firmu na internetu www.justice.cz nebo wwwinfo.mfcr.cz/ares/ v sekci ekonomické subjekty,
- v případě, že fakturu nezískáte je možné vyhledat i název firmy v internetovém vyhledávači a nebo na výše uvedených stránkách,
- je možné nechat číslo účtu vyhledat pomocí internetového vyhledávače, většina firem číslo účtu zveřejňuje na svých webových stránkách,
- nejbezpečnější je domluvit si pravidla ve firmě, kdy takový způsob výzvy k úhradě faktury nebude možný.
Aktuální phishingové hrozby
Nejčastější typy phishingových zpráv
informace o neprovedení úhrady
výzva k aktualizaci bezpečnostních údajů
výzkum klientské spokojenosti
Pokud jste podvodný e-mail obdrželi, budeme rádi, když nám ho pošlete na adresu phishing@csas.cz.
Na co se často ptáte
Jak poznám phishing?
Poznáte ho poměrně snadno, protože my takové zprávy zásadně nerozesíláme. O zabezpečení nebo PIN ke kartě zásadně nekomunikujeme prostřednictvím e-mailu.
Česká spořitelna nepoužívá aktivní linky, které směřují na stránky internetového bankovnictví.
Ukázka:
"Dobrý den,
z bezpecnostnich duvodu jsme vám museli zablokovat úcet a internetové bankovnictví, abychom ochránili vase peníze.Zkontrolujeme, jestli je na vasem úctu vsechno v porádku a zároven vám povíme, jak budeme dále postupovat.
klepnutím na níze uvedený odkaz zahájíte proces
verime, ze se brzy uslysime
Prejeme vám pekný den"
Nejčastější chyba – špatná čeština, v tomhle případě chybí háčky. Dále chybí podpis, který obsahuje každý e-mail, který klientům zasíláme.
Co mám dělat, když jsem obdržel phishingový e-mail?
Na zprávu v žádném případě nereagujte, smažte ji a na link neklikejte. V případě, že se tak stalo, hrozí, že poskytnete citlivé údaje útočníkům k dalšímu zneužití.
Pokud se po použití aktivního linku otevře podezřelá stránka nebo se zahájí nahrávání obsahu do Vašeho PC, ihned tuto činnost přerušte.
Co mám dělat v případě, že jsem kliknul na aktivní odkaz v e-mailu, ale nevyplnil jsem žádné údaje?
Pokud pouze kliknete na odkaz a nezadáte žádný ze svých bezpečnostních údajů, nemůže dojít ke zneužití služby internetové bankovnictví.
Že se skutečně jedná o podvodný server, poznáte podle toho, že v adresním řádku internetového prohlížeče nebude uvedena adresa České spořitelny: www.csas.cz, www.bezpečnost.csas.cz, www.servis24.cz.
Co mám dělat v případě, že jsem kliknul na aktivní odkaz v e-mailu a vyplnil jsem údaje?
Pokud jste takto zareagoval, doporučujeme, abyste ihned kontaktoval naše klientské centrum na telefonním čísle 800 207 207, které je dostupné 24 hodin denně, a požádal o zablokování služby a vygenerování nových přihlašovacích údajů.
Pokud byste se z jakéhokoli důvodu nemohli dovolat na linku 800 207 207, lze přístup do internetového bankovnictví zablokovat zadáním chybného hesla třikrát po sobě.
Je internetové bankovnictví stále ještě bezpečné?
Internetové bankovnictví České spořitelny je zcela bezpečná a komfortní služba za předpokladu, že dodržíte bezpečnostní pravidla, zejména dbáte bezpečnostních doporučení banky:
- nepřihlašovat se do služby z neznámých nebo veřejně dostupných počítačů,
- chránit své přihlašovací údaje,
- nestahovat do svých počítačů a mobilních telefonů soubory z neznámých zdrojů,
- věnovat pozornost aktuálnímu antivirovému zabezpečení svého počítače a mobilního telefonu.
Vysoká bezpečnost našeho internetového bankovnictví je zajištěna sérií bezpečnostních prvků, které na sebe navazují, ale jsou na sobě nezávislé.
V případě nového internetového bankovnictví George se jedná o:
- bankovní identitu a heslo,
- přihlašovací a autorizační SMS zprávy,
- nebo nový způsob zabezpečení pomocí mobilní aplikace George klíč.
V případě internetového bankovnictví SERVIS24 se jedná o:
- klientské číslo a heslo,
- autorizační SMS zprávy,
- klientský certifikát, který zajišťuje vyšší zabezpečení.
Jak se dostala moje e-mailová adresa k někomu, kdo phishing rozesílá? Nejde o únik dat?
V žádném případě se nejedná o únik dat. Jde o typický případ spamu. Útočníci obvykle e-mailové adresy příjemců náhodně generují nebo je nakupují na černém trhu.
My úspěšně chráníme e-mailové adresy svých klientů, stejně jako ostatní citlivé údaje a nikdy je neposkytuje třetím stranám.
Jak je možné, že mi ČS posílá e-maily, i když nejsem klientem?
Podvodné e-mailové zprávy mají vzbudit dojem, že byly odeslány z e-mailové adresy České spořitelny. Záhlaví zprávy je útočníky záměrně paděláno. Jde o typický případ spamu.
Útočníci obvykle e-mailové adresy příjemců náhodně generují nebo je nakupují na černém trhu. Proto je možné, že jste obdržel podvodný e-mail a nejste přitom klientem České spořitelny.
Co dělá ČS proti phishingu?
Monitorujeme všechny pokusy o phishing. Podali jsme několik trestních oznámení a úzce spolupracuje s Policií ČR v úsilí najít pachatele a zabránit jim v pokračování podobných útoků. Spolu s technologickými partnery podnikáme i kroky, jak blokovat aktivity útočníků v zahraničí.
Důležitá je rovněž prevence, a proto opakovaně informujeme klienty, jak phishing poznají jak se zachovat, pokud jej dostanou, a co dělat v případě, že na něj reagovali.
