Online podvody sa menia: kým kartové platby strácajú na lákadle podvodníkov, škody pri bankových prevodoch rastú. Ťažisko sa presunulo od kradnutých hesiel k sofistikovanému ovplyvňovaniu obetí. Nové európske pravidlá majú banky donútiť konať rýchlejšie a vziať väčšiu zodpovednosť.
Od ukradnutých hesiel k manipulácii
Podľa dát Európskej bankovej asociácie podvody pri kartových platbách klesajú, no pri bankových prevodoch pribúdajú a medzi rokmi 2022 a 2023 vyskočili približne o polovicu. Hoci ich počet nemusí byť extrémny, spôsobujú najvyššie škody. Proti kradnutým prihlasovacím údajom zabrali silnejšia autentifikácia a analýza správania klienta, ktoré prišli s PSD2. Podvodníci preto presunuli ťažisko na psychologický nátlak.
Od čias covidu a boomu kryptomien sa rozšírili scenáre, ktoré cielia na všetky vekové skupiny. Ide o falošné investičné ponuky s tvárami známych osobností, ale aj naliehavé výzvy na záchranu peňazí. Nedávne prípady z Česka ukázali, že útočníci vedia napodobniť identitu manažérov vo WhatsAppe a presvedčiť ich kontakty k prevodom s miliónovými škodami. Dôveryhodná legenda tak prekoná aj technické bariéry.
Ako fungujú APP podvody
Pri tzv. autorizovaných prevodoch (APP) peniaze odosiela sám majiteľ účtu, len je k tomu zmanipulovaný. Overenie jeho identity preto prejde, hoci cieľ platby je podvodný. Legenda býva naliehavá: údajný policajt či bankár „zachraňuje“ vklady, alebo „investičný poradca“ sľubuje rýchly zisk. Peniaze potom miznú na zahraničné účty, do kryptoautomatov alebo ich vyzdvihnú kuriéri v hotovosti.
Rozsah škôd je navyše vyšší, než ukazujú oficiálne hlásenia, lebo mnohí sa hanbia podvod priznať. Riešením je poskytnúť platiacemu viac informácií o príjemcovi ešte pred odoslaním a zablokovať techniky, ako je spoofing SMS správ. Niektoré staré metódy autentifikácie sa preto majú postupne vypnúť. Potrebné je aj pokrytie všetkých kanálov vrátane bankomatov a platieb kartou, aby sa peniaze nedali „obísť“ mimo internetového bankovníctva.
Regulácia, rýchlosť a zdieľanie dát
Prichádzajúce pravidlá EÚ (PSD3/Payment Services Regulation) zásadne obmedzia možnosť bánk preniesť škodu na klienta. Výnimkou má byť len úzky okruh prípadov, keď sa niekto vydáva za inú osobu (impersonation), inak ponesie zodpovednosť banka. Regulácia smeruje aj k tomu, aby klient pri platbe videl viac o príjemcovi a aby sa ukončilo zneužívanie falošných SMS správ. Cieľom je zabrániť podvodu ešte pred potvrdením transakcie.
S príchodom okamžitých platieb musí detekcia prebehnúť v priebehu niekoľkých sekúnd, pričom typicky zostáva na analytiku len 300–400 milisekúnd. Banky preto potrebujú rýchle algoritmy, koordináciu naprieč kanálmi a jasné blokácie výberov či kariet, ak platba vyzerá podozrivo. Útočníci už využívajú generatívnu AI, no tá istá technológia môže bankám pomôcť pri vyšetrovaní a masovej komunikácii s klientmi počas útokových vĺn. Nové pravidlá tiež umožnia zdieľanie dát o podvodných účtoch medzi bankami; v Česku už vzniká projekt cez bankovú asociáciu, hoci zdieľanie bude zatiaľ dobrovoľné.
