Bezpečnost bezhotovostního platebního styku

Transkript

1 Bankovní institut vysoká škola Praha Bezpečnost bezhotovostního platebního styku Bakalářská práce Monika Votrubcová Duben, 2015

2 Bankovní institut vysoká škola Praha Katedra financí a ekonomie Bezpečnost bezhotovostního platebního styku Bakalářská práce Autor: Monika Votrubcová Bankovní management Vedoucí práce: Ing. Marcela Soldánová Praha Duben, 2015

3 Prohlášení Prohlašuji, že jsem bakalářskou práci zpracovala samostatně a v seznamu uvedla veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámena se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Rovensku pod Troskami dne Monika Votrubcová

4 Poděkování Tímto bych ráda poděkovala vedoucí mé bakalářské práce paní Ing. Marcele Soldánové za všestrannou pomoc, množství inspirativních rad, podnětů, připomínek a velkou trpělivost s obdivuhodnou ochotou při konzultacích poskytnutých ke zpracování bakalářské práce. Dále chci poděkovat manželovi a dcerám za to, že mne během studia psychicky podporovali, fandili mi a převzali odpovědnost za chod domácnosti a v závěru děkuji mým kamarádkám, které se mnou každý úspěch řádně oslavily.

5 Anotace V této bakalářské práci jsou charakterizována rizika bezhotovostního platebního styku a poskytnut přehled zabezpečení proti útokům neoprávněných osob. Nejdříve je zde představen platební styk, se zaměřením na jeho bezhotovostní formu s analýzou historického vývoje v České republice. Poté je uveden všeobecný přehled forem podvodů a rizik při výběru z bankomatů a používání internetového bankovnictví. Následně jsou analyzovány případy skimmingu a kybernetických útoků na účty klientů, které proběhly na našem území do konce roku 2014, kde jsou i okrajově zmíněny největší útoky loňského roku ve světě. Je zde provedena analýza minivýzkumu s cílem zjistit, co je považováno v bezhotovostním platebním styku za nejméně bezpečné. V závěru jsou uvedeny pravidla bezpečného chování při výběru z bankomatu a při používání internetového bankovnictví s uvedením výčtu opatření, která podniká Česká vláda k zajištění kybernetické bezpečnosti. Klíčová slova: bezhotovostní platební styk platební karta bankomat internetové bankovnictví útok / podvod riziko zabezpečení

6 Annotation This dissertation describes the characteristics of the online payment transactions and it provides the summary of precautions regarding the unauthorized cyberattack. At the beginning, the different kinds of the payment transactions are introduced, with the focus on its cashless form, especially its development in the Czech Republic. Moreover, the general summary of various kinds of frauds and risks regarding cash withdrawal and internet banking is provided. Furthermore, some cases of skimming and cyberattacks on the clients bank accounts are analyzed. All of these attacks were implemented in the Czech Republic until the end of Some serious attacks from 2014 worldwide are also mentioned. Here you can see an analysis of a small research. Its targer was to find out what is considered to be the most unsecured or unsafe during the online payment transactions. Eventually, some safe procedures and precautions determined by the government of the Czech Republic regarding safe cash withdrawal and use of internet banking are recommended. Keywords: cashless payments credit card ATM / Automated Teller Machine Internet Banking attac / scam risk safety

7 Obsah Úvod... 9 Zvolené metody zpracování Bezhotovostní platební styk Historický vývoj bezhotovostního platebního styku na našem území Rozdělení forem platebního styku Nástroje bezhotovostního platebního styku Příkazy k zúčtování Šeky Platební karty Bankomaty Elektronický platební styk Formy elektronického bankovnictví Elektronické peníze Právní úprava bezhotovostního platebního styku Shrnutí vývoje bezhotovostního platebního styku Rizika zneužití neoprávněnými osobami při bezhotovostních platbách Všeobecný popis jednotlivých forem podvodů Podvody zaznamenané na našem území Útoky na bankomaty - skimming Útoky na bankomaty - prostřednictvím malware Útoky na účty klientů internetového bankovnictví kyberkriminalita Největší počítačové a mobilní hrozby roku 2014 ve světě Fáze kyberútoků na účty klientů nakazí se počítač a poté mobil Minivýzkum bezpečnosti bezhotovostního platebního styku Shrnutí rizik Zabezpečení proti útokům - podvodům Bezpečné chování při výběru z bankomatu Obrana proti kyberútokům při používání internetového bankovnictví Opatření Vlády ČR v boji proti kyberkriminalitě Řešení sporů

8 3.5 Očekávaný vývoj útoků Shrnutí bezpečnostních opatření Závěr Seznam použité literatury Seznam obrázků Seznam tabulek Seznam grafů Seznam příloh

9 Úvod Využívání bezhotovostního platebního styku se v současné době stává běžnou součástí našich každodenních činností. Nikdo z nás si již nedovede představit život bez běžného účtu, prostřednictvím něhož realizujeme různé platby, představa nákupů bez použití platební karty také většinou děsí a to, že by bylo nutné kvůli každé bezhotovostní transakci navštívit pobočku a nebylo by možné využívat internetové bankovnictví je v dnešní době téměř nepředstavitelné. Bohužel současně s vývojem platebního styku, s postupným přechodem od hotovostní formy placení k bezhotovostní a vlivem technologického vývoje, dochází i k rychlému vývoji podvodných technik, kdy se různí nepoctivci snaží získat finanční prostředky nekalým způsobem. Cílem této bakalářské práce je charakteristika rizik bezhotovostního platebního styku a poskytnutí přehledu zabezpečení proti útokům neoprávněných osob. Nejdříve je zde charakterizován platební styk, se zaměřením na jeho bezhotovostní formu. Poté jsou analyzovány rizika při používání platebních karet, při výběru z bankomatů a hlavně rizika, která vznikají při využívání internetového bankovnictví. Je čerpáno z hackerských útoků zaznamenaných na území České republiky do konce roku 2014, ale jsou zde i okrajově zmíněny největší útoky loňského roku ve světě. Je zde uvedeno poskytnutí přehledu zabezpečení proti útokům neoprávněných osob, postup jak jednat v případě, že se klient již stane obětí podvodníků a opatření vlády ČR. Práce je rozdělena do 3 kapitol, kdy v první kapitole je popisován bezhotovostní platební styk, jeho historický vývoj od vzniku peněz až po současnost se zaměřením na ČR. Najdeme zde základní rozdělení forem platebního styku, charakteristiku nástrojů bezhotovostního platebního styku - příkazů k zúčtování, šeků, platebních karet a bankomatů. Jsou zde představeny novodobé trendy v platebním styku - elektronický platební styk, jeho formy a vývoj. V závěru této kapitoly je vymezena právní úprava bezhotovostního platebního styku. V druhé kapitole jsou představena rizika zneužití neoprávněnými osobami při bezhotovostních platbách, kdy jsou nejdříve popisovány všeobecné formy jednotlivých podvodů. Následuje popis útoků, které byly zaznamenány na území ČR, kdy nejdříve je analyzován skimming na bankomatech (umístění kopírovacího zařízení), je zde uveden jeho 9

10 praktický příklad a přehled případů a objasněnosti v letech Dále jsou představeny útoky na bankomaty prostřednictvím umístění škodlivých programů - malware, což je novodobější jev, kdy první větší takový útok byl na našem území zaznamenán v roce Poté jsou analyzovány útoky na účty klientů internetového bankovnictví - kyberkriminalita. Jsou zde popisovány největší vlny útoků v letech na našem území a okrajově zmíněny nejzávažnější počítačové a mobilní hrozby roku 2014 zaznamenané ve světě. V závěru druhé kapitoly jsou uvedeny výsledky minivýzkumu bezpečnosti, kdy bylo zkoumání provedeno dotazníkovou metodou s cílem zjistit, co lidé považují za nejméně bezpečné, kdy byl dán výběr z těchto možností internetové bankovnictví, platba kartou v internetových obchodech, platba bezkontaktní kartou, výběr z bankomatu, vše je bezpečné a vše ne nebezpečné. Obsahem třetí kapitoly je zabezpečení proti útokům - podvodům, kde je uvedeno bezpečné chování při výběru z bankomatu a způsob obrany proti útokům při používání internetového bankovnictví, s rozpisem desatera bezpečného chování. Následuje popis opatření, která podniká Česká vláda zřízením Národního centra kybernetické bezpečnosti a schválením zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Poté je popisován postup řešení v případě, že jsou klientovi neoprávněně odčerpány finanční prostředky z účtu a v závěru třetí kapitoly je uveden očekávaný vývoj kybernetických útoků. Pro větší přehlednost jsou do textu vloženy obrázky a tabulky, kdy je zde i názorně předveden průběh konkrétního útoku na klienty internetového bankovnictví České spořitelny, ve kterém se podvodníci nejdříve snažili infikovat počítače klientů prostřednictvím podvodné ové zprávy a poté se snažili ovládnout jejich mobilní telefony. Obsah příloh se vztahuje k první kapitole kdy je zde vložena tabulka rozdělení platebního styku; charakteristika inkasního příkazu, princip jeho fungování se vzorem formuláře SIPO; vzor trvalého příkazu a ukázka šeků a reklamy na ně. 10

11 Zvolené metody zpracování V bakalářské práci byly zvoleny metody zpracování komparace, analýza, dedukce. Metoda komparace a analýzy byla zvolena v první kapitole s názvem Bezhotovostní platební styk, kde je nejdříve všeobecně uvedeno, co je to platební styk s komparací definic Judr. Ing. O. Schlossbergera, Ph.D a Ing. Z. Kalabise. Poté popsán jeho vývoj od vzniku peněz, přechod jeho forem od hotovostních na bezhotovostní formy, s analýzou historického vývoje bezhotovostního pl. styku na našem území. Poté byla provedena komparace charakteristiky platební karty - vymezení pojmů odborníků na platební styk Judr. Ing. O. Schlossbergera, Ph.D., v porovnání s doc. Ing. P. Dvořákem, Ph.D. Další podstatná část je věnována elektronickému platebnímu styku, kde jsou uvedeny formy elektronického bankovnictví se zaměřením na elektronické peníze, kde je komparována již neplatná právní úprava vymezení pojmů Elektronický platební prostředek a elektronické peníze, která byla uvedena v dříve platném zák. č. 124/2002 Sb., o převodech peněžních prostředků v porovnání s nově platnou právní úpravou uvedenou v zákoně č. 284/2009 Sb., o platebním styku a charakteristika pojmu Elektronická peněženka, kterou uvádí ve své publikaci Ing. Pavel Juřík. V závěru je malá dedukce o možném technologickém vývoji elektronických čipů. V druhé kapitole s názvem Rizika zneužití neoprávněnými osobami při bezhotovostních platbách jsou v úvodu charakterizovány všeobecné formy podvodů a následně je analyzován vývoj skimmingu v ČR v rozmezí let Poté je provedena analýza vln útoků na účty klientů internetového bankovnictví v letech na našem území, s ukázkou průběhu kyberútoku na klienty České spořitelny. Následně je analyzován minivýzkum, který byl proveden s cílem zjistit, co je považováno uživateli bezhotovostního platebního styku za nejméně bezpečné. Ke konci této kapitoly je dedukce o tom, proč jsou útoky na uživatele internetového bankovnictví tak úspěšné. Obsahem třetí kapitoly s názvem Zabezpečení proti útokům - podvodům, je uvedení pravidel bezpečného chování při výběru z bankomatu, popis bezpečného chování při používání internetového bankovnictví s uvedením bezpečnostního desatera. Následuje výčet opatření České vlády při zajištění kybernetické bezpečnosti s krátkou dedukcí o očekávaném vývoji útoků. 11

12 1 Bezhotovostní platební styk V této úvodní kapitole bude charakterizován platební styk, historický vývoj platebního styku na našem území, formy platebního styku, nástroje platebního styku a současná právní úprava se zaměřením na bezhotovostní platební styk. Zjednodušené vysvětlení platebního styku je, že se jedná o proces přesunu finančních prostředků od jednoho subjektu k druhému. V platebním styku jde o vztahy mezi těmito subjekty, mezi tím, kdo platbu provádí a kdo ji přijímá. Přesun prostředků se provádí určitým postupem a to buď přímo od plátce k příjemci, nebo prostřednictvím třetích osob, které se nazývají finanční instituce. V odborné literatuře jsou různé definice platebního styku, kdy mi přišla nejvýstižnější definice uvedená v knize Platební služby od O. Schlossbergera v níž uvádí, že platební styk je peněžní vztah mezi plátcem a příjemcem, který je uskutečňován v určitých formách dohodnutými platebními instrumenty buď přímo mezi nimi, nebo prostřednictvím k tomu určených subjektů (např. bank nebo spořitelních a úvěrních družstev). 1 Ing. Zbyněk Kalabis ve své knize Základy bankovnictví definuje bankovní platební styk jako převod finančních prostředků z účtu A na účet B, resp. od klienta A ke klientovi B, kdy dále rozděluje platební styk na hotovostní, který využívá bankovky a mince a bezhotovostní platební styk, který probíhá prostřednictvím bank, kdy platba je provedena prostřednictvím tzv. účetních peněz, tj. výhradně zápisem na vrub a ve prospěch účtu vedeného u banky. 2 Počátky platebního styku jsou datovány do dávné historie a souvisejí s postupným vývojem peněz. Se vznikem civilizací bylo potřeba řešit směnu různého zboží, ale nebylo vždy jednoduché najít člověka, který nabízel zboží stejné požadované hodnoty, a z tohoto důvodu se vymýšlelo něco, co bylo považováno jako všeobecná hodnota. K těmto účelům sloužilo např. v Babylonii obilí, v Číně mušličky, staří Slované používali ke směně plátno a ještě v dnešní době jsou někde ke směně používány cigarety. V průběhu staletí se jako nejvhodnější k těmto účelům ukázalo zlato, z něhož se začaly postupem času razit mince, ale pro 1 SCHLOSSBERGER O. Platební služby. 1.vyd. Praha: Management Press, s.11. ISBN KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. 1.vyd. Brno: BizBooks, s.43. ISBN

13 manipulaci s většími částkami byly mince nepohodlné a tak bylo potřeba vymyslet něco jiného a vznikly papírové peníze bankovky. 3 Nejprve bankovky vydávali zlatníci a bankovky sloužily jen jako potvrzení, že dotyčný má u nich uloženo zlato, nebo mince v požadované hodnotě. Později úlohu zlatníků převzali tzv. peněžníci, kteří zajišťovali úschovu peněz a jejich výměnu. Vzhledem k tomu, že obíhající mince byly různorodé, při obchodování bylo nutno požadovanou částku vyjádřit v hodnotách různých mincí, vznikla činnost směnárenská, kterou prováděli obchodníci směnárníci a tak se tyto operace postupem času přesouvají mimo církevní objekty, kam lidé zpočátku nosili svůj majetek a cennosti k bezpečné úschově. První zmínky o těchto obchodech se objevují již v osmnáctém století před naším letopočtem v Babylónii a v antickém Řecku. Velký rozmach transakcí je zaznamenám ve starověkém Římě, odkud pochází slova banka, které vzniklo z italského názvu il banco což byl stůl, na kterém se prováděly finanční obchody. Při těchto obchodech často docházelo k hádkám a fyzickému napadení, kdy byl stůl převržen a máme zde slovo bankrot pocházející z italského banca rotta. Rozmach bankovnictví byl značný za průmyslové revoluce, kdy bylo nutno řešit potřebu většího množství finančních služeb a ústavů, a tak dochází k postupnému vývoji platebního styku až do dnešní podoby Historický vývoj bezhotovostního platebního styku na našem území K výraznému růstu plateb realizovaných bez hotových peněz dochází na našem území již v 19. století, kdy Československo převzalo organizaci platebního styku z dob Rakouska- Uherska. Platby se prováděly prostřednictvím žirových účtů, kde docházelo k vzájemnému proúčtování mezi jejich majiteli, ale pouze v případě, že obě strany měly účet u stejného ústavu. V případě, že bylo potřeba převést prostředky v rámci různých ústavů, byl rozšířen způsob tzv. skontací (odúčtovacím řízením), kdy si banky závazky a pohledávky nevyrovnávaly navzájem, ale zaplatily až konečné saldo nadřízené centrále a to prostřednictvím svých u ní vedených žirových účtů. Tyto transakce formálně zastřešovalo 3 Historie peněz. Vysoký úrok [online] [cit ]. Dostupné z: historie-penez 4 Historie bank. Peníze.org [online] [cit ]. Dostupné z: org/bankyhistorie 13

14 tzv. odúčtovací sdružení, kde v čele stál zástupce cedulové banky (což je starší označení pro centrální emisní banku). V České republice působila tři tato sdružení Pražské odúčtovací sdružení (1895), Brněnský odúčtovací spolek (1895) a Bratislavský odúčtovací spolek (1922). Nejprve byly tyto spolky pod dohledem Bankovního úřadu ministerstva financí a po roce 1926 prováděla dohled Národní banka Československá. V období 2. světové války - v roce 1939 byla Národní banka Československá rozdělena na Národní banku pro Čechy a Moravu a Slovenskou národní banku a všechny bankovní instituce spadaly pod německý bankovní dohled. Důvodem byla snaha okupačních úřadů koncentrovat prostředky na účtech českého peněžnictví, propojit je s říšskými a připravit na jejich převod do Velkoněmecké říše. Po válce byly všechny žirocentrály od říšskoněmeckého ústředí odtrženy a Národní banka se snaží o opětovné spojení. Po r dochází k sjednocení způsobu provádění platebního styku na všech úrovních, kdy hlavní zodpovědnost za provádění platebního styku byla svěřena Poštovní spořitelně, jejíž platební instrumenty začínají využívat i ostatní instituce (např. výplatní lístky) - vytvářejí se tak předpoklady pro rozvoj bezhotovostního platebního styku, odúčtovací sdružení r zaniká a v roce 1950 vzniká Státní banka Československá. Při jejím vzniku bylo potřeba sloučit dva odlišné systémy platebního styku provozované obchodními bankami (a Národní bankou Československou) a Poštovní spořitelnou, při čemž vzniká nový instrument inkasní příkaz kdy příkaz k platbě nedával majitel účtu, ale dodavatel služeb. V tomto období vzniká tzv. okruhový platební systém, kdy Státní banka Československá (SBČS) decentralizuje operativní činnosti účty veřejné správy a pojišťoven jsou převedeny na okresní pobočky Státní banky a ve městech, kde nejsou pobočky banky, byly tyto činnosti převedeny na Okresní spořitelny a záložny, účty lidového peněžnictví pak byly převedeny na krajské pobočky. Zároveň byl na pobočky SBČS přenesen systém šekové služby, jehož podstatou jsou tzv. spojovací účty, na kterých se soustředí platební obraty pro jednotky peněžnictví v rámci okresních poboček Státní banky a operace je přesahující vyřizovaly krajské pobočky. Tento systém se neosvědčil z důvodu zpožďování plateb, ke kterým docházelo z nejistoty, jelikož peněžní ústavy prováděly vzájemné zúčtování až poté, co jim avizované úhrady byly připsány na spojovacích účtech. Dalším nedostatkem tohoto systému 14

15 bylo zrušení vzájemného odsouhlasení stavů a obratů účtů, následkem čehož často docházelo k tomu, že platba byla zaúčtována i vícekrát. Již začátkem roku 1952 byla situace neúnosná a ve spolupráci se sovětskými poradci vzniká nový systém mezipobočkový platební styk, kde byla namísto zúčtovacích okruhů s centrálními účtovnami zavedena oblastní a ústřední kontrola. Účty hospodářských, rozpočtových a jiných organizací se povinně soustředily pod SBČS a Investiční banku a minimalizoval se u těchto organizací hotovostní platební styk. S vývojem výpočetní techniky vznikají v období let na centrálních pobočkách v Praze a Bratislavě výpočetní střediska pro zpracování dat, která se postupně napojují na krajské sběrné pobočky. V roce 1980 dochází ke spuštění systému ABO Automatizace bankovních operací, kdy je do systému zapojena též SBČS. Tento systém vedl účty všem státním podnikům a institucím, byly vzájemně propojeny i peněžní ústavy fungující v té době na území Československa (Česká státní spořitelna, Slovenská štátna sporiťelňa, Československá obchodní banka, Živnostenská banka a Investiční banka) a tímto systémem je zajišťován i mezibankovní platební styk. Po roce 1990 s pádem totalitního režimu přicházejí velké změny ve vývoji bezhotovostního platebního styku. SBČS eviduje řadu žádostí nově zakládaných bank, které chtěly začít nabízet své služby a systém ABO, který byl doposud schopný zajistit přesuny mezi bankami na bázi každý s každým, kdy byla jedenkrát denně, o těchto transakcích informována centrální banka, se pro velký počet nově založených bank stává nedostačující. Z tohoto důvodu vyvinula SBČS nový, zcela automatizovaný platební systém, kterému se vžil název CERTIS (Czech-Real-Time Interbank System), který počal fungovat v r a je založen na principu clearingového (zúčtovacího) centra, které zajišťuje veškerý mezibankovní styk na území ČR, avšak pouze v českých korunách. Sídlí v ústředí centrální banky a komunikuje pouze s centrálami jednotlivých bank. Pro každou banku je zde veden pouze jeden účet mezibankovního platebního styku. Pokud se jedná o platební styk mezi klienty téže banky, probíhá v jejich síti a bez zásahu CERTIS. Pokud se jedná o mezibankovní platební styk, banka vyčlení tyto převody a předá je v elektronické podobě do CERTIS. V případě dostatku peněžních prostředků na účtu plátce (na účtech mezibankovního platebního styku není povoleno debetní saldo) je účet banky plátce debetován a účet banky příjemce je kreditován. 15

16 V roce 1993 dochází k rozdělení Československa, zaniká Státní banka Československá, vzniká Česká národní banka a způsob systému CERTIS přebírá i Slovenská centrální banka. V systému CERTIS je každý účastníka jednoznačně idenfitikován podle kódu banky, který je povinnou součástí transakce. Dřívější systém ABO nezaniká, ale je nadále využíván centrální bankou k vedení jejího účetnictví a k poskytování bankovních služeb státu, jehož je ČNB bankou. V systému ABO, jsou tedy vedeny účty státu, jež jsou napojeny na státní rozpočet. Veškeré pobočky ČNB jsou komunikačně propojeny s ústředím v Praze, kde probíhá vlastní zpracování. Tak jako v minulosti SBČS věnuje i v současnosti ČNB značnou pozornost vývoji nových bezhotovostních platebních prostředků. Důvodem je snaha zajistit maximální ochranu účastníků těchto transakcí. 5 (Historický vývoj bezhotovostního platebního styku v ČR je uveden na následujícím obrázku). V roce 2014 zpracovalo zúčtovací centrum ČNB celkem 549,2 mil. položek v celkové hodnotě mld. Kč. Průměr činil 2,18 mil. položek denně. Průměrná denní hodnota položek činila 883 mld. Kč. 6 Obrázek 1: Historický vývoj bezhotovostního platebního styku na našem území Zdroj : Historie ČNB. Česká národní banka [online] [cit ]. Dostupné z: historie.cnb.cz/cs/bezhotovostní-platebni-styk; konstrukce vlastní 5 Historie ČNB. Česká národní banka [online] [cit ]. Dostupné z: cnb.cz/cs/bezhotovostní-platebni-styk 6 Platební styk, Certis, statistické údaje. Česká národní banka[online] [cit ]. Dostupné z: 16

17 1.2 Rozdělení forem platebního styku V současné době rozdělujeme platební styk dle různých kritérií, kdy základním rozdělením forem platebního styku je: dle způsobu placení: hotovostní platební styk - kdy dochází k přesunu peněz mezi plátcem a příjemcem ve formě mincí a bankovek, kde je účast finanční instituce pouze v případě, že jsou vkládány peněžní prostředky na platební účet; bezhotovostní platební styk - který probíhá mezi účty plátce a příjemce pouze jako přesun peněz ve formě záznamů na účtech a vždy za účasti zprostředkovatele, kterými jsou banky, spořitelní a úvěrní družstva; dle územního členění (teritoria): vnitrostátní platební styk - plátce a příjemce (případně jejich poskytovatelé platebních služeb) se nacházejí na území stejného státu; přeshraniční platební styk plátce a příjemce (poskytovatelé) se nacházejí v různých státech, ale pouze Evropského hospodářského prostoru; zahraniční platební styk poskytovatel platebního styku plátce a poskytovatel platebního styku příjemce se nacházejí v různých státech mimo Evropský hospodářský prostor; dle náležitosti průvodních dokumentů: nedokumentární platební styk tzv. hladké platby, které nejsou doprovázeny žádnými dokumenty při jejich realizaci; dokumentární platby převod peněžních prostředků proběhne až po předložení předem dohodnutých dokumentů (např. při prodeji nemovitosti zápis na listu vlastnictví); dle lhůty realizace: expresní platební styk (přednostní) - okamžité odepsání peněžních prostředků z účtu plátce, kdy tyto prostředky jsou na platební účet příjemce připsány v týž samý den; standartní platební styk běžný přesun peněžních prostředků od plátce k příjemci zprostředkovaný jejich poskytovali platebních služeb dle předem dohodnutých podmínek; dle vztahu banky k převodu: bezzávazkový platební styk - platební transakci poskytovatel pouze zprostředkovává; závazkový platební styk strany se dohodnou, že banka, nebo jiná instituce (která má licenci) může vstoupit do závazků, pak ale tato instituce nevystupuje pouze jako prostředník, 17

18 ale přecházejí na ni povinnosti plátce. 7 nalezneme v příloze č. 1. Tabulku přehledného rozdělení platebního styku 1.3 Nástroje bezhotovostního platebního styku Nástrojem platebního styku rozumíme druh instrumentu, na základě kterého banky a jiné instituce provádějí platební operace. 8 Při bezhotovostním platebním styku dochází k převodu peněž od jednoho subjektu k druhému za použití tzv. účetních peněž, které jsou připisovány na vrub nebo ve prospěch účtu klienta. Pomocí těchto nástrojů dáváme pokyn bance k převodu, a to buď osobně v bance na přepážce pomocí stanovených tiskopisů nebo prostřednictvím moderních technologií Příkazy k zúčtování Pod pojmem příkazy k zúčtování rozumíme příkaz k úhradě a příkaz k inkasu. 9 U příkazů k zúčtování záleží na tom, kdo dává pokyn k převodu peněžních prostředků. Příkaz k inkasu majitel účtu dává souhlas, aby příjemce platby podal bance příkaz k odepsání požadované částky na vrub účtu majitele. Inkasní způsob platby je v dnešní době natolik znám, že není třeba jej dále rozepisovat, nicméně pro ty, kteří mají zájem se dozvědět více, jsou další informace včetně formuláře SIPO uvedeny v příloze č. 2. Příkaz k úhradě K převodu požadované částky ze svého účtu na účet příjemce dává bance příkaz majitel. Je využíván pro úhradu zboží, služeb a jiné tzv. hladké (bezzávazkové) platby. Dochází zde k jednoduchému zúčtování mezi bankou plátce a bankou příjemce. Mezi jeho výhody patří rychlost, jednoduchost, vzhledem k nízké režii na pořízení i levnost a lze u něho stanovit požadovaný datum splatnosti. Příkaz k úhradě lze předat bance na přepážce na stanoveném formuláři, nebo v dnešní době rozšířenějším způsobem elektronicky. 7 SCHLOSSBERGER,Otakar. Platební služby. s MÁČE, Miroslav. Platební styk: klasický a elektronický. Praha:Grada, s.34. ISBN KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s

19 Prostřednictvím příkazů k úhradě probíhá největší objem bezhotovostních plateb. Příkazy k úhradě dělíme podle počtu položek k zúčtování na daném formuláři a dle požadované opakovanosti plateb. Jednotlivý příkaz k úhradě - příkaz k provedení pouze jedné platby. Hromadný příkaz k úhradě - na jednom formuláři plátce zadává pokyn k převodu více plateb s různými částkami na účty více příjemců, tzn. plátce tak nemusí vypisovat pro každou položku jednotlivý příkaz a banka má jednodušší práci při zadávání do elektronických systémů. 10 Trvalý příkaz k úhradě - na základě jednorázového pokynu klienta se na vrub jeho účtu převádí určená částka v pravidelných intervalech, k danému dni (např. každý den nebo každého patnáctého dne v měsíci) ve prospěch stanovených účtů. Je využíván pro pravidelně se opakující platby. Vzor trvalého příkazu k úhradě nalezneme v příloze č. 3. Automatický převod jedná se o příkaz, kdy se na základě jednorázového pokynu klienta v systému banky vytváří a provádí platba v určitém okamžiku. Klient si stanoví podmínky uskutečnění platby např. dosáhne-li stav jeho účtu určité výše, částka převyšující tento limit bude převedena na určitý účet. Není tedy dopředu známa výše převedené částky, ani datum převodu. Současným pramenem vnitrostátní úpravy náležitostí příkazů k zúčtování je částečně vyhláška České národní banky č. 169/2011 Sb., o stanovení pravidel tvorby čísla účtu v platebním styku, která však upravuje pouze číslo účtu v národním formátu (a formátu IBAN-pro příhraniční platební služby). Ostatní náležitosti vyplývají z podmínek jednotlivých poskytovatelů platebních služeb, které navazují na národní formáty dat a jejich náležitostí předávaných do systému CERTIS. 11 Verze 5 Pravidel platebního systému CERTIS je uveřejněna na stránkách České národní banky a je účinná od 1. února Do roku 2011 byla v platnosti vyhláška ČNB č. 62/2004 Sb., která oproti současně platné vyhlášce 10 Právní regulace bezhotovostního platebního styku. Právní rádce [online] [cit ]. Dostupné z : ihned. cz/cl pravni-regulace-bezhotovostnihoplatebniho.styku.pdf 11 SCHLOSSBERGER, Otakar. Platební služby. s V současné době je připravena verze pravidel platebního systému CERTIS č. 6 s platností od

20 upravovala způsob provádění platebního styku mezi bankami, zúčtování na účtech u bank a technické postupy bank při opravném zúčtování, kde v 3 této vyhlášky, byly vymezeny příkazy k zúčtování a jejich náležitosti. Povinné náležitosti příkazů k zúčtování: - označení, zda se jedná o příkaz k úhradě nebo příkaz k inkasu - číslo účtu plátce i příjemce platby - částka v české měně - podpis a příp. i otisk razítka dle platného podpisového vzoru, elektronický podpis nebo jiný kód, který identifikuje příkazce. - Konstantní symbol - vyjadřuje charakter platby a je povinný pouze, pokud se jedná o platbu, která je příjmem nebo výdajem státního rozpočtu České republiky - tyto symboly stanoví Ministerstvo financí ČR a jsou zveřejňovány ve Finančním zpravodaji Šeky Šek je cenný papír, kde výstavce šeku (majitel účtu) vypsáním šeku přikazuje šekovníkovi (své bance), aby k tíži jeho účtu vyplatil určenou částku majiteli šeku (doručiteli, či osobě na šeku uvedené). Použití šeku je ideální v případě, že plátce (výstavce šeku) nezná bankovní spojení příjemce platby, nebo chce provést diskrétní platbu. Záleží na výstavci šeku, zda stanoví, komu bude šek proplacen, a dle toho dělíme šeky: - Šek na jméno - Šek na řad - Šek na majitele. 14 Dále šeky dělíme na: - Bankovní šeky - Soukromé šeky Cestovní šeky - Pokladní šeky - Šeky k zúčtování. V České republice není tradičně podíl používání šeků na placení významný. Používání šeků a jeho náležitosti upravuje zákon č. 191/1950 Sb., směnečný a šekový. Ukázku šeků nalezneme v příloze č KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s DVOŘÁK Petr. Bankovnictví pro bankéře a klienty. 3.vyd. Praha: LINDE, s ISBN X 20

21 1.3.3 Platební karty Charakteristika platebních karet je různorodá, kdy např. O. Schlossberger ve své publikaci Platební služby vymezuje platební kartu jako platební instrument, jenž umožňuje vzdálený přístup majitele karty k peněžním prostředkům na účtu a kterým uživatel platebních služeb dává platební příkaz poskytovateli, kdy se jedná v podstatě o elektronický platební prostředek a jeden z instrumentů platebních služeb. 15 Dle P. Dvořáka, který charakterizuje platební kartu v publikaci Bankovnictví pro bankéře a klienty, se jedná o plastikovou kartu, kterou oprávněný držitel může provádět peněžní transakce, které byly dohodnuté mezi držitelem karty a jejím eminentem, jde o moderní instrument bezhotovostního platebního styku, využívaný zejm. k úhradě spotřebních výdajů a výběrů hotovosti. 16 Historie platebních karet se začala psát v roce 1914, kdy byla vydána V USA společností Western Union Telegraph Company první karta určená širší veřejnosti, kdy s ní zákazník měl možnost telefonovat a zasílat telegramy a vždy koncem měsíce přišlo vyúčtování. Jednalo se vlastně o věrnostní úvěrovou kartu, která umožňovala zákazníkům bezhotovostní placení, kdy cílem společnosti bylo udržet si dobré zákazníky a přimět je k častějšímu využívání jejich služeb. Podobné karty začaly v krátké době nabízet i jiné společnosti, zejména obchodní domy a čerpací stanice. Okolo roku 1950 vydává společnost Diners Club platební kartu umožňující platby v síti restaurací a tato karta postupně proniká i do ostatních zemí. Na území tehdejšího Československa došlo k první platbě pomocí karty v říjnu 1968 v pobočce Pražského Čedoku prostřednictvím právě Diners Club Card. Vzhledem k tomu, že karty se na našem území objevovaly pouze v rukou cizinců, byl akceptací těchto karet pověřen právě Čedok. Zvrat na českém trhu nastává v roce 1988, kdy Živnostenská banka vydává k tuzexovému účtu první kartu, ze které však bylo možno vybírat pouze tzv. bony, což byly nákupní poukázky, se kterými se platilo ve speciálních obchodech s názvem Tuzex nabízejících zboží z dovozu. Běžní občané tehdejšího Československa se setkávají s platební kartou až v roce 1989, kdy Česká a Slovenská státní spořitelna testují první 15 SCHLOSSBERGER, O. Platební služby. s DVOŘÁK P. Bankovnictví pro bankéře a klienty. s

22 bankomaty v Praze a Bratislavě, kdy ale šlo pouze o systém off-line, který umožňoval výběr hotovosti. 17 V roce 1991 vzniká Mezibankovní sdružení pro platební karty, mezi jehož zakladatele patřily ČSOB, Komerční banka, Investiční banka, Agrobanka. Toto sdružení se po rozpadu Československa v roce 1993 přejmenovává na Sdružení pro bankovní karty (SBK) a do svého členství přijímá další nově vznikající banky. Mezi hlavní činnosti sdružení patří spolupráce členů při zajištění bezpečnosti platebních karet (omezení rizik a podvodů), vývoj nových technologií, pomoc při tvorbě zákonných norem, přednášková činnost zaměřená na aktuální domácí a mezinárodní vývoj platebních karet, a zpracování statistických údajů o platebních kartách. Dle údajů SBK ke konci r vydáno na našem území celkem ks platebních karet, což svědčí o jejich oblibě u veřejnosti. 18 Časový vývoj platební karty na našem území si můžeme prohlédnout na obrázku níže. Vydavateli platebních karet jsou banky, finanční společnosti, obchodní domy, letecké společnosti atd., z nichž nejvýznamnější jsou: - Master Card, VISA ( bankovní asociace) - American Express, Diners Club, Japan Credit Buerau (JCB) (nebankovní asociace) Obrázek 2:Vývoj platební karty na našem území Zdroj:Platební karta slaví sto let. Sdružení pro bankovní karty, dostupné z: WWW. TZ_VISA_ pdf ; konstrukce vlastní 17 Jak došly platební karty do českých zemí aneb historie plná zajímavostí. Peníze.cz [online] [cit ]. Dostupné z: 18 Sdružení pro platební karty[online] [cit ] Dostupné z: < statistiky.cardzone.cz/ download/sbk_statistika_2kv_2014.pdf 22

23 Platební karty dělíme dle různých hledisek, z nichž nepoužívanější kritéria jsou uvedeny v následující tabulce: Tabulka 1:Druhy platebních karet Kritérium Druh platební karty způsob zúčtování debetní kreditní charge elektronická peněženka typ písma na kartě s hladkým tiskem s reliéfním záznamem (embossing) způsob záznamu dat s magnetickým čipové hybridní laserová proužkem vydávající asociace bankovní nebankovních subjektů osoba držitele osobní služební Zdroj: SCHLOSSBERGER, Otakar. Platební služby. s.136; konstrukce vlastní Debetní karty: vydávají se k běžným účtům, jejich prostřednictvím se čerpají prostředky uložené na bankovním kontě a to výběrem hotovosti z bankomatu nebo platbou u obchodníků. Čerpání prostředků je možné pouze do výše disponibilního zůstatku na účtu (povoleného debetu). Kreditní karty: jsou vydávány k úvěrovým účtům, majitel nemusí mít u dané banky běžný účet, kdy každá transakce touto kartou znamená úvěr od banky. Při vydání této karty banka posuzuje měsíční příjem klienta pro schopnost splatit budoucí úvěr a dle toho nastaví úvěrový limit, který se obnovuje vždy splacením dlužné částky. 19 Charge karty: mají tzv. odloženou splatnost, fungují jako karty kreditní, rozdíl je pouze v tom, že držitel kartou provádí transakce, banka (nebo jiný vydavatel karty) evidují všechny platby na příslušném účtu a teprve po uplynutí doby, která je stanovena ve smlouvě dojde k uhrazení částky držitelem karty. Vydavatel karty v podstatě držitele (svého klienta) úvěruje, kryje jeho potřeby po dobu užívání karty, poté zašle klientovi výpis, kde jsou uvedeny všechny transakce, kdy klient po odsouhlasení stavu uhradí jednorázově celou částku KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s SCHLOSSBERGER, Otakar. Platební služby. s

24 Karta embosovaná identifikační údaje na kartě jsou vyraženy (embosovány) reliéfním písmem. Důvodem je možnost snímání údajů v mechanických snímačích u obchodníků (imprintech kde se prakticky provádí otisk karty). Karta s hladkým tiskem opak embosované, kdy náležitosti jsou vylisovány do těla karty. Karta s magnetickým záznamem data na kartě (identifikační údaje) jsou zaznamenány na magnetickém proužku, což umožňuje provádění elektronických transakcí platební kartou. Čipová karta záznam dat je na mikročipu, který je umístěn na přední straně karty. Tyto karty přinášejí výhody jak pro držitele, vydávající banku i zpracovatele a to: - vyšší stupeň bezpečnosti; možnost širšího využití, které umožňuje paměť čipu; možnost lokálního ověření identifikačních údajů držitele (např. PIN), na rozdíl od ověření online, které je podstatně dražší. Hybridní karta je opatřena jak čipem, tak magnetickým proužkem, důvodem je užití karty mimo země EHP, nebo v případě nefunkčnosti čipu, či nevybavenosti obchodníka čtečkou karet pro čipová zařízení. Karta s laserovým záznamem záznam na kartě je uložen jako na kompaktních discích (CD), kdy tato technologie se prozatím neuchytila. Osobní karta- určena k soukromému užívání jejich držitelů (fyzických osob - občanů). Služební karta (firemní, business) jsou vydávány pro zaměstnance, členy orgánů a majitele obchodních společností atd., kdy je na lícní straně karty uvedeno jméno držitele karty, na zadní straně karty pak název firmy (společnosti). 21 Co-branded a affinity karty zvláštní varianty platebních karet, které jsou vydávány ve spolupráci s další institucí, kdy motivem je na straně banky získání nových klientů, u spolupracující instituce možnost získávat provize z plateb provedených těmito kartami, zvýšení věrnosti svých zákazníků a určitý druh reklamy. Pokud je karta vydána ve spolupráci s nepodnikatelskými subjekty (charitativní organizace, profesní sdružení, nadace) - jedná se o afinity kartu v případě, že se jedná o spolupráci s podnikatelským subjektem - jedná se Cobranded kartu SCHLOSSBERGER, Otakar. Platební služby. s DVOŘÁK P. Bankovnictví pro bankéře a klienty.s

25 Platební karta musí splňovat dle normy ISO 3554 stanovenou velikost a musí obsahovat tyto náležitosti: - označení vydavatele karty, jméno držitele platební karty; popř. určitou formu identifikace (podpis držitele, jeho foto), číslo platební karty a tzv. BIN (Bank Identification Number - 4 místné číslo dané banky), platnost platební karty, nosič elektronického záznamu + ochranné prvky (např. hologram). Náležitosti platební karty si můžeme prohlédnout na následujícím obrázku: Obrázek 3:Předni strana platební karty Zdroj:JUŘÍK, Pavel.Platební karty, velká encyklopedie Vyd. Praha:Grada,2006.s.99.ISBN Bankomaty ATM (Automated Teller Machine) neboli bankomat je přístroj, který slouží především k vybírání hotovosti pomocí platební karty, jak v domácí, tak v cizí měně, přičemž si lze zvolit požadovanou částku výběru a skladbu nominálu bankovek. Dále si v bankomatu lze zjistit zůstatek účtu, dobít mobilní telefon, změnit PIN kód, vložit hotovost na účet, zadat příkaz k úhradě a provést spoustu jiných peněžních operací. První sériově vyráběný bankomat byl vyroben firmou Diebold a byl uveden do provozu v roce 1968, kdy vzhledem k oblíbenosti snadného výběru hotovosti došlo k rychlému rozšíření bankomatů po celém světě. 25

26 V současné době je na území ČR instalováno bankomatů, ve kterých bylo v roce 2014 provedeno transakcí v objemu hotovosti Kč. 23 Každý bankomat je rozdělen na 3 části: Trezor ve kterém je uschována hotovost. Operátorskou část- zde probíhá řízení bankomatu, je zde počítač a operátorská klávesnice s tiskárnou. Provozní část zde klient zadává své požadavky, je zde obslužná obrazovka s klávesnicí, zařízení na snímání karty, počítač bankovek se systémem na transport a podání bankovek a tiskárna stvrzenek. 1.4 Elektronický platební styk Za platební produkty elektronického bankovnictví lze považovat veškeré produkty banky, při kterých je kontakt klienta s bankou nebo použití daného produktu prováděno (plně, či z části) elektronickou formou. 24 Elektronický platební styk se vyvíjel spolu s technikou, kdy vznikaly požadavky na přenos informací, kterých stále přibývalo. První velkou změnou, jak zprostředkovat přenos mezi klientem a bankou byl pomocí prostředku vzdálené komunikace telefonu. Tento přenos však nebyl zcela bezpečný, jelikož se klient bance identifikoval pouze pomocí jména a dohodnutého hesla. Dalším krokem bylo využití faxu, kde se již pro bezpečnost zadávalo jméno a číslo klienta, kdy však pro nečitelnost údajů vycházejících z faxu musel klient bance zadané požadavky potvrzovat. Velkým zvratem pro přednos dat v bankovnictví byl rozvoj a rošíření používání počítačů a vývoj komunikačních programů, kdy se díky stále dokonalejším softwarům zvyšuje rychlost přenosu dat a snižuje riziko chybovosti Sdružení pro platební karty [online] [cit ] Dostupné z: statistiky. cardzone. cz/download/sbk_statistika_2kv_2014.pdf 24 DVOŘÁK P. Bankovnictví pro bankéře a klienty.s MÁČE, Miroslav. Platební styk: klasický a elektronický. s

27 1.4.1 Formy elektronického bankovnictví Dle druhu prostředků použitých k přenosu dat a používaného koncového zařízení členíme elektronické bankovnictví na telefonické, mobilní, homebanking a internetové. 26 Phone banking (telefonní bankovnictví) zde probíhá komunikace mezi klientem a bankou prostřednictvím telefonního centra dané banky (call centra). Při každé komunikaci s bankou se musí klient identifikovat pomocí dohodnutého způsobu (např. rodným číslem, PIN) se sdělením svého hesla. V případě úspěšného projití touto kontrolou pak bance zadává své požadavky zjištění zůstatku na účtech, zadávání příkazů aj. Z hlediska nákladovosti je telefonní bankovnictví službou poplatkově nejdražší. Internet banking je jedním z nejmodernějších a nejrozšířenějších způsobů, kdy klient obsluhuje svůj bankovní účet. Pro využití této služby stačí být napojen on-line na internet, přihlásit se do systému banky na dané webové adrese, po zadání všech hesel a elektronického klíče, zadávat bance svoje požadavky. Klient si může u většiny bank vybrat způsob zabezpečení, kdy se většinou používá kombinace přístupového hesla a klíče, dražší a více bezpečnou variantou je přístup pomocí certifikátu nahraného na externím médiu, které se připojí na počítač pouze na dobu provedení požadované transakce. Každý pokyn bance musí být klientem samostatně potvrzen autorizován. Prostřednictvím internetového bankovnictví lze zadávat bance veškeré pokyny - provedení jednorázových i trvalých plateb, získávání informací o účtu klienta, zřizování i rušení účtů, nastavení limitů platební karty, internetových transakcí atd. Lze se do něho přihlásit z různých IP adres. Home banking zde klient zadává veškeré pokyny bance prostřednictvím propojení svého osobního počítače, který je vybaven speciálním softwarem banky, přes modem s počítačem banky. Výhodou homebankingu je, že jej lze provázat s účetním programem klienta, nevýhoda spočívá v tom, že je často napojen na konkrétní počítač a pouze z něho je možno zadávat pokyny. GSM banking (mobilní bankovnictví) komunikace prostřednictvím klientova mobilního telefonu s technologií SIM Toolkit, kdy klient má na své SIM kartě nainstalovánu bankovní 26 POLOUČEK, Stanislav a kol. Bankovnictví. 2.vyd. Praha C.H.Beck, s ISBN

28 aplikaci se speciálním PIN, zadává bance pokyny pomocí SMS zpráv, které jsou po celou dobu přenosu bance zašifrovány. 27 Po zavedení moderních komunikačních zařízení, jako jsou chytré telefony, tablety apod. začaly banky nabízet aplikace mobilního bankovnictví, založené na připojení telefonu k internetu, kdy klientovi umožní zadání požadavku bance dotykový displej tohoto zařízení tato služba se nazývá smartbanking Elektronické peníze V současnosti dochází ke stále širšímu využívání nejmodernějších forem elektronického bankovnictví - elektronických peněz. Elektronická peněženka zákon tento výraz nezná - neexistuje, ale lze najít v 4 zák. č. 284/2009 Sb., o platebním styku vymezení pojmu Elektronické peníze, kde je uvedeno, že se jedná o peněžní hodnotu, která představuje pohledávku vůči tomu, kdo ji vydal, je uchovávána elektronicky, je vydávána proti přijetí peněžních prostředků za účelem provádění platebních transakcí a je přijímána jinými osobami, než tím, kdo ji vydal. V dříve platném zákoně č. 124/2002 Sb., o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech (který byl s vydáním zák. č. 284/2009 Sb. zrušen) bylo v 15 vymezeno ustanovení pojmu Elektronický platební prostředek a elektronické peníze, kde bylo v 15 odst. 2) uvedeno, že elektronickým peněžním prostředkem je platební prostředek, který se uchovává v elektronické podobě. Nicméně v odborné literatuře se s pojmem Elektronická peněženka běžně setkáváme, kde např. v publikaci Platební karty, ilustrovaná historie placení od Pavla Juříka je popsán princip elektronické peněženky, který spočívá v tom, že se do čipu karty (či jiného čipu) zaznamená určitá peněžní částka, která se placením snižuje a tzv. dobíjením zvyšuje. Jedná se o produkt, který je využíván při placení malých částek, kdy by platba prostřednictvím karty byla neekonomická. Zaplacená částka se zaznamená do platebního, či samoobslužného terminálu a 27 KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s POLOUČEK, Stanislav a kol. Bankovnictví. s

29 z důvodu snížení provozních nákladů, nejsou tyto transakce zasílány k zúčtování jednotlivě, ale najednou v souhrnné částce. 29 Poprvé se elektronická peněženka objevila na trhu v r a její výhodou je rychlost, s níž je tato peněženka schopna zaplatit (zhruba 200 milisekund) a bezpečnost placení, kdy při ztrátě, nebo jinému zneužití nemá nepovolaná osoba možnost manipulace s dalšími finančními prostředky majitele. Tento systém využívají hlavně dopravci, kteří umožňují tímto způsobem cestujícím hradit jízdné. 30 Pro velkou oblibu těchto předplacených karet, kdy prostřednictvím nich lze bezpečně a anonymně platit jak v obchodech, tak na internetu se jejich vydávání chopily i další společnosti jako Czech News Center - vydavatel deníku Blesk ve spolupráci s karetní společností Master Card a firmou Moped (dceřiná společnost České spořitelny), který uvedl svoji Blesk peněženku na trh 16. října Tuto peněženku lze dobíjet nejen prostřednictvím bankovního převodu, ale i na všude dostupných terminálech Sazky. Obrázek 4: Ukázka bezkontaktní platební karty Blesk peněženka Zdroj:Blesk peněženka je anonymní platební karta MasterCard, u které nemusíte mít účet,cnews.cz [online] Dostupné z : blesk-penezenka-je-anonymni- platebni-karta-mastercardu-ktere-nemusite-mit-ucet Dalším projektem, který se rozjíždí v závěru roku 2014 je společná karta ČSOB s řetězcem družstevních prodejen COOP s názvem COOP Dobrá karta. Obě předplacené karty, které nově vstupují na trh, používají k platbám na internetu tzv. 3D Secure zabezpečení, kdy každá 29 JUŘÍK P. Platební karty, ilustrovaná historie placení.1. vyd.praha:libri,2012.s.148.isbn Elektronická peněženka zaplatí za 200 milisekund. Peníze.cz [online] [cit ]. Dostupné z: milisekund 29

30 internetová platba se potvrzuje unikátním kódem, který je doručen v SMS k zpětnému potvrzení majitelem. 31 Dále společnost VISA Europe rozjíždí spuštění projektu Evropské digitální peněženky V.me by Visa, který umožňuje bankám a finančním institucím, aby tuto službu podporovanou Visou opatřily vlastním jménem a značkou. Do V.me - digitální peněženky si zákazník uloží jednu nebo více virtuálních platebních karet napojených na svůj účet v bance a s nimi poté provádí digitální platby na internetu, ale také v kamenných obchodech, není zde potřeba žádný platební terminál, kdy platby se provádějí pomocí internetového prohlížeče, či prostřednictvím mobilní aplikace. Ve 3. čtvrtletí 2014 bylo registrováno v Evropě obchodníků, kteří již V.me by Visa přijímají. Do rozvoje digitálních plateb v Evropě společnost Visa Europe hodlá investovat 200 miliónů eur (zhruba 5,5 miliardy korun). Pro svoji rychlost a bezpečnost digitální peněženky hrají v budoucnosti plateb význačnou roli Právní úprava bezhotovostního platebního styku Oblast platebního styku a platebních služeb je upravena právními předpisy nejen České republiky, ale také normami evropského práva. Na úrovni právního řádu České republiky se jedná o zákony a vyhlášky, v rámci práva Evropské unie to jsou nařízení a směrnice, popřípadě doporučení. Hlavním pramenem národního práva je zákon č. 284/2009 Sb., o platebním styku, ve znění pozdějších předpisů (dále ZPS) který vznikl v souladu se směrnicí Evropského parlamentu a Rady 2007/64/ES, o platebních službách na vnitřním trhu a který vymezuje vybrané pojmy z oblasti platebního styku a upravuje základní právní vztahy mezi tzv. poskytovateli platebních služeb a jejich uživateli. - část veřejnoprávní ZPS - stanoví podmínky pro získání povolení podnikat jako poskytovatel platebních služeb, pokud nebylo povolení získáno jiným způsobem např. u bank dle zákona 31 Blesk láká na peněženku, platební kartu chytá i COOP. Aktuálně.cz [online] [cit ]. Dostupné z : 32 Digitální peněženka V.me v ČR v roce Bankovni poplatky. com [online] [cit ]. Dostupné z : poplatky.com/difgitalni-penezenka-v-me-v-cr-v-roce

31 č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů (definuje pojem banka; činnosti, jež banka smí na základě licence vykonávat; platební styk a zúčtování; vydávání a správu platebních prostředků; otevírání akreditivů; řeší problematiku elektronických peněz), nebo dle zák. č. 87/1995 Sb., o spořitelnách a úvěrních družstvech, ve znění pozdějších předpisů (který upravuje možnost spořitelnám a úvěrním družstvům poskytovat platební styk a přijímat vklady). -část soukromoprávní ZPS - upravuje podmínky při poskytování platebních služeb se zaměřením na práva a povinnosti poskytovatelů vůči jejich uživatelům. Do ZPS byla implementována Směrnice Evropského parlamentu a Rady č. 2009/110/ES, o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetném dohledu nad touto činností a Směrnice Evropského parlamentu a Rady č. 98/26/ES, o neodvolatelnosti zúčtování v platebních systémech a v systémech vypořádání obchodů s cennými papíry ve znění směrnice Evropského parlamentu a Rady č. 2009/44/ES. Dohled a dozor nad poskytováním platebních služeb a zajišťování jednotného platebního styku a zúčtování v ČR provádí Česká národní banka v souladu se zákonem č. 6/1993 Sb., o České národní bance, ve znění pozdějších přepisů a změn. 33 Zákon č. 89/2012 Sb., občanský zákoník upravuje oblast cenných papírů ( ), úroků ( ), jiný než platební účet ( ), úvěrů ( ), vkladovou knížku ( ), jednorázový vklad ( 2680), vkladní list ( 2681), akreditivy ( ) a inkaso ( ). K ochraně uživatelů platebních služeb na základě aplikace mimosoudního vyrovnání sporů slouží zákon č. 229/2002 Sb., o finančním arbitrovi. Dále jsou spory řešeny dle zákona č. 99/1993 Sb., občanského soudního řádu. Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (tzv. zákon o praní špinavých peněz) určuje finančním institucím oznamovací povinnost podezřelých obchodů. Dalším je zákon č. 191/1950 Sb., zákon směnečný a šekový. Zákon, jehož cílem je zabránit daňovým únikům je z. č. 254/2004 Sb., zákon o omezení 33 SCHLOSSBERGER O. Platební služby. s

32 plateb v hotovosti, kde je v 4 tohoto zákona uvedena povinnost provést platbu převyšující 270 tis. Kč bezhotovostním převodem. Úplnou novinkou je zákon č. 181/2014 Sb., o kybernetické bezpečnosti ze dne , který nabyl účinnosti a který upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti. K většině zákonů se vydávají vyhlášky podzákonné prováděcí normy. Zásady vedení účtů klientů u bank a provádění platebního styku a zúčtování na těchto účtech je dáno ve Všeobecných obchodních podmínkách, kdy jejich doporučenou formu upravuje vyhláška č. 169/2011 Sb., (upravující pravidla tvorby čísla účtu v souladu s mezinárodní standardizací IBAN), vyhláška č. 140/2011 Sb., o platebních systémech s neodvolatelností zúčtování (upravující obsah, formu, lhůty a způsob poskytování informací provozovatelem platebního systému ČNB), vyhláška č. 141/2011 Sb., o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu a vyhláška č. 142/2011 Sb., o předkládání informací platebními institucemi. 1.6 Shrnutí vývoje bezhotovostního platebního styku Počátky platebního styku jsou datovány do dávné historie a souvisejí s postupným vývojem peněz, které usnadňovaly obchodní transakce, přispěly k rozvoji zemědělství, řemesel a později i průmyslu. Lidé se vždy snažili najít co nejpohodlnější, nejrychlejší, nejbezpečnější a pro ně nejlevnější způsob, jak tyto peněžní transakce provádět. Z tohoto důvodu začalo docházet k vytlačování hotovostních plateb a platby postupně přecházejí na bezhotovostní formy. Zpočátku se jednalo o zavedení cestovních šeků, kreditních a debetních karet. S rozvojem a rozšířením používání počítačů, s rychlým vývojem komunikačních programů, kdy se díky stále dokonalejším softwarům zvyšuje rychlost přenosu dat, a snižuje riziko chybovosti, dochází k stále většímu přechodu na elektronické formy platebního styku. Je jen otázkou času, kdy na čipové kartě, či čipu nahraném např. v mobilním telefonu, či na jiném nosiči, který nahradí více karet, budou nahrány osobní doklady, které zajistí veškerou komunikaci na úřadech, bude na něm nahrána zdravotní dokumentace uživatele a bude nám umožňovat vstup do různých zařízení. A není nemyslitelné, že takovéto čipy budou v budoucnu implantovány člověku při narození a budou jej provázet celým jeho životem. 32

33 2 Rizika zneužití neoprávněnými osobami při bezhotovostních platbách Současně s výrobou a užíváním platebních prostředků se vždy našla část lidí, která se snažila získat finanční prostředky nekalým způsobem. Nejdříve docházelo k napodobování mincí a bankovek - padělatelství, které bylo vždy považováno za těžký zločin a tvrdě se trestalo, např. v některých státech deportací, usekáváním rukou, hozením za živa do vroucí vody, oleje, nebo popravou. Z naší historie je známo trestání smýkáním, škrcením, trestem ohněm a zabavením majetku. Již za Rakouska-Uherska byl tehdejší národní bankou zaveden systém řazení padělků do typů a stupně nebezpečnosti. Tento systém převzala a dodnes používá Česká národní banka. Vzhledem k tomu, že se padělatelství postupem času začalo stávat mezinárodním problémem, byla v roce 1929 v Ženevě uzavřena Úmluva o potírání penězokazectví, přijatá v ČSR v roce 1931 a vydaná ve sbírce zákonů č. 15/1932, kdy tato úmluva je platná dodnes. S postupným vývojem ochranných prvků platebních prostředků a zařízení dochází i k zdokonalování způsobů, jak neoprávněně, podvodně získat finanční prostředky Všeobecný popis jednotlivých forem podvodů Vlivem technologického vývoje i znalostí podvodníků dochází k rychlému vývoji v oblasti techniky získávání citlivých údajů a jejich následného zneužívání, kdy lze hovořit o útoku na platební prostředek (např. platební kartu) a útoku na lidskou důvěřivost. Tyto útoky jsou prováděny za účelem získání finančních prostředků a to v podobě - zneužití účtů klientů, zneužití platebních karet a nezákonného použití internetového a telefonního bankovnictví. Libanonská smyčka v současné době se již tak často nevyskytuje je založena na principu, kdy platební karta se nedostane do bankomatu, ale ani nazpět. Podvodník, který je v blízkém dosahu nabídne postiženému pomoc, s podmínkou zadání PIN, kdy na bankomatu je podvodníkem nainstalováno speciální zařízení a poté, co se operace nezdaří, postižený 34 plk.mgr. BROŽ, Jiří, pplk. JUDr. HRADECKÝ, Michal. Platební prostředky, jejich ochrana a padělání. Praha Tiskárna MV, s ISBN

34 odchází od bankomatu, podvodník vytáhne kartu a než ji stihne postižený zablokovat karta je podvodníkem zneužita. Skrytá kamera pomocí malé skryté kamery podvodník zjišťuje PIN, často je využívána společně s Libanonskou smyčkou či skimmingem. Skrytou kamerou, umístěnou např. v mobilním telefonu, může dojít (např. při platbě u obchodníka, kdy podvodník stojí poblíž ve frontě) k nahrání zneužitelných údajů na platební kartě čísla platební karty, doby platnosti, CVC kódu (poslední tři číslice na podpisovém proužku karty) a podpisu. Dotekové senzory snaha získat PIN pomocí nainstalovaných senzorů na klávesnici bankomatu, nebo na vstupní dveře do samoobslužné zóny. Může být kombinován s přepadením - nebo jiným způsobem získáním karty postiženého. Padělky karet Po zjištění citlivých dat dochází k výrobě padělku platební karty, která je pak zneužívána. Na výrobě padělků se podílejí kriminální skupiny z celého světa, zařízení na výrobu padělků je skladné, ve velikosti malého kufříku a rychlost výroby je několik minut od získání dat. Zneužití pomocí internetu k zneužití platební karty a bankovního účtu může dojít i prostřednictvím internetu. Skimming elektronické zkopírování originálních údajů z magnetického proužku platební karty bez vědomí jejího držitele a následné nahrání na připravený nosič dat padělek platební karty. Phishing - zneužití pomocí ové pošty, kdy postižený, v domnění, že obdržel od banky s žádostí o vyplnění identifikačních údajů, vše vyplní a během několika minut dochází k výrobě padělku platební karty a zneužití účtu. Pharming první podoba pharmingu spočívá v tom, že je podvodníky napadán systém doménových jmen DNS ( Domenian Name System) a systém IP adres (identifikují síťové rozhraní v počítačové síti - internetu). Klient zadá ve svém počítači požadovanou internetovou adresu, kdy však dojde k přesměrování na adresu podvodníků. Podvodníci změní DNS záznam klientovy banky a spojení s bankou je přesměrováno na jiný kanál, jehož www stránky podvodníci připraví tak, aby vypadaly jako stránky požadované banky. Poté, co se klient přihlásí ke komunikaci s bankou, dochází ke získání citlivých údajů a odčerpání finančních prostředků z účtu klienta. V druhém případě nejsou napadány IP adresy a DNS servery, ale konkrétní počítače klientů. Podvodník se snaží o zapsání adresy jeho www stránky s doménou bankovnictví do tzv. host souboru, který pracuje v určeném operačním 34

35 systému (podobně jako DNS), pokud se mu to podaří, klientovi se při přihlašování do internetového bankovnictví zobrazí stránka podvodníků a klientovi jsou po zadání citlivých údajů odčerpány finanční prostředky z účtu. Pharming se může dostat do počítače stažením neznámých aplikací, otevřením přílohy mailu, kdy nejznámější je tzv. Trojský kůň. Spoofing spočívá v tom, že se určitý uzel sítě vydává za někoho jiného, pronikne do cizí sítě a zneužije data. Prostá krádež je nejjednodušším způsobem zneužití platební karty, kdy do doby než postižený nahlásí krádež a karta je blokována, stihne podvodník v případě, že zná PIN vybrat finanční prostředky, nebo kartu zneužít jiným způsobem. Trashing - název odvozen od ang. trash (koš) jde v podstatě o vybírání odpadků, jak v papírové podobě, tak elektronických, kdy jsou vyhazována do košů někdy i přístupové hesla, kódy atd Podvody zaznamenané na našem území Počátkem ledna 2015 uveřejnila ČSOB na svých stránkách tiskovou zprávu, kde je uvedeno, že dle statistik útočí hackeři nejčastěji na účty klientů prostřednictvím podvodných ů a škodlivých virů, kdy 78 % všech evidovaných útoků představují phishing a malware, zbytek tvoří útoky, které využívají sociálních sítí, zejména Facebooku. Metody phishingových a malwarových úroků jsou stále sofistikovanější a nebezpečnější, kdy jen v loňském roce byly v 95 % případů příčinou neoprávněného odčerpání peněz z účtů klientů prostřednictvím kanálů elektronického bankovnictví. 36 V roce 2012 dorazila do Česka nová forma podvodného jednání na bankomatech - umístění tzv. cash trappingu pastí na hotovost, kdy je do bankomatu nainstalováno zařízení, které zadrží vybírané peníze, kdy má poškozený dojem, že transakce neproběhla od bankomatu odejde a pachatelé následně zadrženou částku vyberou. Zároveň dochází i k výraznému 35 KLUFA, František, KOZLOVÁ, Michaela, SCHOLZ, Petr. Podvody v oblasti bezhotovostních plateb v ČR (studie)[online].2009.dostupné z: bezhotovostni_podvody.pdf 36 Obětí phishingu a škodlivých virů přibývá. ČSOB [online] [cit ] Dostupné z: csob.cz/cz/csob/servis-pro-meidia/tiskov-zprávy/stranky/tz aspx 35

36 rozvoji technologií skimmovacího zařízení, které je umístěno na bankomaty - kdy jsou údaje z magnetického proužku platební karty zkopírovány a následně je proveden nelegální výběr falešnou kartou Útoky na bankomaty - skimming Skimmovací (kopírovací) zařízení nejčastěji pachatelé instalují na bankomaty přímo na štěrbinu pro vkládání platební karty, kdy toto zařízení je ve formě různých nástavců napodobujících originál nebo jako panel, který bývá montován na originální součást bankomatu. K odpozorování PIN kódu umístí na horní panel bankomatu minikameru (velikost řádově v mm), nebo použijí falešnou klávesnici, která je samostatně nebo ve formě celého panelu montována na originální klávesnici či panel bankomatu. Kopírovací zařízení a krycí lišty kopírovacích prostředků jsou většinou provedeny v barvě a kovu, který je shodný s materiálem, ze kterého je bankomat vyroben. Při běžném pohledu jsou tato zařízení od originálu téměř k nerozeznání. Po nadečtení dat z platební karty vložené do bankomatu a získání PIN kódu jsou údaje předány k výrobě padělku platební karty, kdy následně dochází k nelegálním výběrům peněžních prostředků z účtů. Tyto výběry jsou většinou prováděny v mimoevropských zemích (USA, Kolumbie, Mexiko, Peru, Thajvan, Indonésie, Equador, Indie, Dominikánská republika ), na území Evropy proběhly výběry na Ukrajině a v Bulharsku. Ke zkopírování údajů z platebních karet nejčastěji dochází u bankomatů, ale byly zaznamenány i případy u obchodníků, kde nepoctivý pracovník obchodní společnosti zkopíroval údaje z magnetického proužku platební karty před vrácením zákazníkovi a následně je předal k výrobě padělku platební karty. K tomuto jednání dochází nejčastěji v barech, restauracích, hotelech a někdy i na čerpacích stanicích. Tato trestná činnost je velice dobře mezinárodně organizována s poměrně sofistikovanou strukturou zajišťující relativně bezproblémové a bezpečné fungování celé skupiny. Mezi 37 Dávejte si pozor na platební kartu! FinExpert.cz [online] [cit ] Dostupné z: 36

37 pachateli převažují skupiny bulharských a rumunských občanů. Ti do České republiky přijíždějí výhradně za účelem páchání trestné činnosti a po spáchání skutku odjíždějí zpět do zahraničí. V menší míře se objevují mezi pachateli i občané Ukrajiny, Polské republiky a Česka. Obrázek 5:Bankomat se skimmovacím zařízením a falešnou klávesnicí Zdroj:Policie ČR, Skimming 2013[online] [cit ] Dostupné z: clanek/ skimmming-2011.aspx V roce 2014 policisté zaznamenali 34 případů skimmingu 38, což je značný pokles oproti roku 2013, v němž bylo nahlášeno formou trestního oznámení od poškozených bankovních subjektů 184 případů. Nejčastěji pachatelé umísťovali skimmovací zařízení ve velkých městech kdy bylo zjištěno v roce 2013 v Praze 59 případů, Plzeň - 16 případů, České Budějovice - 34 případů, Brno - 44 případů, ve zbylých 31 případech bylo zařízení umístěno v dalších větších městech. V roce 2014 byly nejčastěji hlášeny případy z Brna, Prahy, ojediněle z Mostu, Karlových Varů a Ostravy přesné počty prozatím nebyly zveřejněny. 38 Skimming 2014, Policie ČR [online] [cit ] Dostupné z: skimming-2013.aspx 37

38 Graf 1: Přehled skimmingu na našem území v období let Zdroj:Policie ČR, Skimming 2014[online] [cit ] Dostupné z : skimming-2014.aspx; konstrukce vlastní Do konce roku 2013 se podařilo objasnit 52 z celkového počtu 184 případů, kdy bylo zadrženo 19 pachatelů této trestné činnosti. 39 Zbylé případy byly došetřovány v roce 2014, v té době byl na území ČR pomyslný klid od skimmingu až do počátku prosince, kdy kriminalisté z oddělení podvodů zaznamenali na území Prahy několik případů umístění skimmovacího zařízení na bankomaty, kde umístění těchto podezřelých zařízení včas nahlásili všímaví klienti bank. Po 14 dnech se podařilo kriminalistům dopadnout trojici ukrajinsky hovořícíh mužů a zajistit u nich v autě část skimmovacího zařízení, falešné platební karty na které jsou následně nahrávána ukradená data a při domovní prohlídce byla zajištěna 3D tiskárna, na které zadržení pachatelé skimmovací zařízení vyráběli, což je vůbec poprvé na našem území, kdy skimmeři použili k výrobě falešných komponentů takto sofistikované zařízení a tento případ bude držet navěky v české kriminalistice prim. Trojice mužů byla obviněna z trestných činů neoprávněného opatření, padělání a pozměnění platebního prostředku a podvodu, kdy jim hrozí odnětí svobody až na osm let Skimming 2013, Policie ČR [online] [cit ] Dostupné z: skimming-2011.aspx 40 K podvodu použili skimmeři z Ukrajiny 3D tiskárnu, Policejní deník [online] [cit ] Dostupné z: policie.cz/clanek/k-podvodu-skimmeri-pouzili-3d-tiskarnu.aspx 38

39 2.2.2 Útoky na bankomaty - prostřednictvím malware Další způsob jak získat peníze z bankomatu bez použití čtecího (skimmovacího) zařízení a kreditních karet vynalezli počítačoví piráti a to formou instalování škodlivého softwaru - malware, který umožňuje výběry z bankomatu bez použití karty. Zaznamenat jsme mohli již několik takových útoků, kdy první větší proběhl v září 2013 a jednalo se o instalaci malware zvaného Ploutus. Tento malware se poprvé objevil v Mexiku a jeho dřívější ranou verzi bylo nutno ovládat přímo v bankomatu pomocí připojené klávesnice a z tohoto důvodu si útočníci vybírali samostatně stojící bankomaty. V poslední verzi však malware doznal značných změn a nově jej lze ovládat na dálku prostřednictvím SMS. V této verzi útočníci otevřou bankomat a připojí k němu mobilní telefon, který následně funguje jako ovladač. Přes textové zprávy pak posílají příkazy k výběru hotovosti. Když telefon rozpozná zprávu v určitém formátu, zařízení tuto zprávu převede do síťového paketu a do infikovaného bankomatu ji předá přes USB kabel. Tento nový způsob je mnohem diskrétnější, útočníci nemusí při výběru peněz zadávat číselný kód na klávesnici bankomatu, u automatu stráví méně času a je méně snadné je odhalit. Nyní jen do bankomatu zadají přes telefon příkaz a pro peníze někoho pošlou. 41 Další ATM malware, který se objevil na podzim 2014, se jmenuje Tyupkin a byl dosud zaznamenán hlavně v bankomatech v Latinské Americe, Evropě a Asii a útočníci jeho prostřednictvím získali miliony dolarů. Zločinci operují ve dvou fázích, nejprve získají fyzický přístup k bankomatu, do něhož vloží CD se škodlivým programem, kdy poté co se systém restartuje, získávají nad bankomatem kontrolu. 42 Po úspěšném napadení tento malware běží na pozadí a nijak se neprojevuje, dokud není stisknuta správná kombinace čísel. Tu, aby bylo podvod problematické odhalit, je možno zadat pouze v určitý čas během nedělní a pondělní noci, přičemž k dispozici jsou 4 kódy, které umožňují smazat malware, prodloužit 41 Útočníci používají SMS k výběru z infikovaných bankomatů, Computerworld.cz [online] [cit ] Dostupné z: 42 Hackeři vyvinuli program pro vykrádání bankomatů bez karet, Deník.cz [online] [cit ] Dostupné z: 39

40 časové okno, nebo zobrazit/skrýt konzoli, z které je možno zadat příkaz k výběru peněz z bankomatu. Po úspěšném vyvolání konzole musí být dále zadán 8-místný klíč, který je založený na principu challenge-response, kdy je na obrazovce bankomatu zobrazena výzva a program očekává odpověď, pokud je zadán správný klíč, ukáže se, jaké množství peněz se nachází v každé kazetě s hotovostí a hacker se rozhodne, kterou z kazet vyprázdní. Poté přístroj vydá ze zvolené kazety 40 bankovek. Napadány jsou bankomaty, které nejsou dostatečně fyzicky chráněny a monitorovány. V okamžiku, kdy se útočník dostane k vnitřnostem bankomatu, má už volnou cestu k plnému ovládání bankomatu. Tyto útoky na bankomaty, ať již ve formě čteček nebo škodlivého softwaru, které se v posledních letech množí, se postupně posunují k útokům přímo na finanční instituce, a to buď napadením účtů klientů či přímo útoky na samotné banky Útoky na účty klientů internetového bankovnictví kyberkriminalita Kybernetické hrozby jsou stále aktuálnější, jelikož čtyřicet procent světové populace je online a i Evropa se stává stále závislejší na Internetu. Odhaduje se, že v roce 2017 bude online až 50 % obyvatel světa. Lidé Internet už nepoužívají jen jako zdroj zábavy, ale spravují pomocí něho i své finanční záležitosti, což je hnacím motorem pro majetkovou trestnou činnost, kdy s rostoucím počtem obyvatel, kteří mají přístup na Internet, roste i počet pachatelů a obětí internetové kriminality. Mezi nejčastější delikty, které vyšetřují policejní odborníci na kyberkriminalitu patří podvodná jednání, kdy se v roce 2014 prudce zvýšil počet obětí phishingu - útočníci kradou identity a získávají citlivá data prostřednictvím podvodných ů a prudce narostl i počet hackerských útoků na konta klientů bank prostřednictvím malware škodlivých programů, jež vnikly do počítačů a mobilů a poškodily jejich systém. Vyskytl se též prudký nárůst případů útoků prostřednictvím sociálních sítí zejména Facebooku Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů, Clever and smart.cz [online] [cit ] Dostupné z: 40

41 Útoky na účty prostřednictvím Facebooku zaznamenali policisté v loňském roce na různých místech republiky, kdy v první polovině roku 2014 se jednalo zejména o případy, kde se neznámý pachatelé snažili na nic netušících lidech vylákat peníze tím způsobem, že uživatel, který má profil na Facebooku, dostal v rámci chatu nebo mailu zprávu od svého existujícího facebookového přítele. Skutečný přítel nic netušil, ten pouze kliknul na sociální síť na nějaký bizarní odkaz, např. že zemřel Karel Gott, odkaz se přesměroval na stránky a po jejichž otevření se profil přítele infikoval virem hackera a ten se pak vydával za přítele uživatele, kdy žádal o drobnou finanční výpomoc, kterou je nutné zaplatit platební kartou. Podvodník následně s uživatelem touto cestou komunikuje, kdy ho přesvědčuje, že jde o pouhých padesát korun na doplnění kreditu, sázky nebo jinou službu, kterou on sám kvůli blokaci platební karty nemůže zaplatit. Poté, co se dohodnou, zasílá podvodník oběti odkaz, kterým se webová stránka přesměruje na podvodné stránky, jež ale vypadají velmi reálně a často se jedná o zkopírované stránky existujících společností. Uživatel pak na těchto stránkách vyplní své údaje o platební kartě způsobilé k platbám v internetové síti. Poté uživatel zjišťuje, že nedošlo k platbě dohodnuté nepatrné částky, ale platební údaje jsou zneužity ze strany pachatelů k odčerpání jiných větších finančních obnosů. 45 Další finta, pomocí níž podvodníci zneužili cizí bankovní účty a to prostřednictvím krádeže identity na Facebooku se na našem území objevila na přelomu roku 2014/2015 a to především na území Liberecka a Jablonecka, ale postupně se začala šířit dál. Podvodníci (vydávající se za kamarády) osloví prostřednictvím chatu nebo mailu uživatele Facebooku s historkou, že něco doma řeší s maminkou a dohadují se, jak se jmenovala za svobodna maminka uživatele, nebo se ptají jaký je - oblíbený herec uživatele, oblíbený film, kdo byla třídní učitelka, jaká je neoblíbenější destinace apod. Ten nic netušíc kamarádovi odpoví a neuvědomuje si, že tím vlastně vyzrazuje odpověď na kontrolní otázku, kterou je potřeba zodpovědět při zapomenutí hesla k přihlášení na , a většina lidí si ji zvolí jako možnost při jeho zakládání. Následně tak podvedený může přijít nejen o přístup ke svému profilu, k ům, ale i k bankovním účtům - jelikož spousta lidí si stále nechává na mailu uložená přístupová hesla 44 Kybernetické hrozby jsou stále akutálnější, Policie. Cz[online] [ct ] Dostupené z: 45 Chce po vás přítel peníze? POZOR!, Policie.cz [online] [cit ] Dostupné z: 41

42 na bankovní účty. Po vykradení účtů podvodníci jmény okradených dál oslovují jejich přátele s těmito otázkami. 46 Útoky na účty klientů prostřednictvím ů tyto útoky na klienty největších českých bank probíhaly prakticky po celý rok 2014, kdy útočníci vsadili na šíření bankovního malwaru především prostřednictvím ů a dále pak na směrování klientů na falešné platební brány. Rok 2014 můžeme považovat v ČR za přelomový, neboť v jeho druhé polovině bylo rozesláno tolik phishingových ů, jako nikdy předtím a hlavně tyto e- maily byly oproti minulým letům psány výbornou českou gramatikou, byly srozumitelné a působily důvěryhodně a oběti tak nepojali žádné podezření. Zaznamenat jsme mohli enormní množství útoků cílených na české uživatele, kdy se útočníci vydávali za zaměstnance bank, nebo jiných institucí, jako např. České pošty, exekutorského úřadu, O2 a PPL. Mezi nejvýznamnější vlny útoků v loňském roce patřily ty, kde se útočníci vydávali za zaměstnance: 47 České pošty - útoky phishingu šířené pod hlavičkou České pošty počali decimovat naše území v srpnu 2013, kdy byla na různé adresy rozesílána falešná zpráva informující příjemce o nemožnosti doručení zásilky s tím, že bližší informace jsou uvedeny na odkazované adrese. Těchto vln útoků bylo zaznamenáno na našem území celkem deset, kdy 6 vln útoků proběhlo v roce 2013, další 4 vlny probíhaly v průběhu roku V samotném u bylo v adrese odesílatele uvedeno slovo post (pošta), aby vznikl dojem, že tyto maily jsou skutečně odesílány z České pošty (suppport@cs-post.net, tracktrace@cs-post.net, zasilka@cs-post.net, cpost@cs-post.net, info@cz,posta.eu). Vlastní text u obsahuje sdělení v němž je vyhrožováno jakýmsi penále za každý den prodlení a odkaz (hxxp://cspost.net/service.php?...), kde lze získat více informací. Pokud se příjemce rozhodne odkaz otevřít je přesměrován na stránky podvodníků, které jsou přesnou kopií stránek České pošty umožňující sledovat stav zásilky. Pokud správně opíše kód (který je prozatím stále stejný 46 Podvodníci se jednoduchou fintou dostanou i na váš účet! Jakou? TN.CZ [online] [cit ] Dostupné z: 47 Bankovní malwere, aneb s jakými útoky jsem se mohli setkat v roce 2014, Clever and smart.cz [online] [cit ] Dostupné z: 42

43 22558), je umožněno stáhnout zazipovaný soubor, který v sobě obsahuje malware - jehož cílem je vysátí peněz z účtu postiženého nebo novinku ransomware - který zašifruje soubory na disku a vytváří na disku soubory se jménem původního souboru, ale jinou příponou a za jejich dešifrování pak požaduje zaplatit. 48 Útoky pod hlavičkou exekutorského úřadu tyto útoky pohledávkového spamu se začaly Českem šířit na jaře roku 2013 a do konce roku 2014 proběhl útok v 7 vlnách, kdy poslední známá vlna zasáhla naše území koncem listopadu Na velké množství adres byl rozeslán , který příjemce u upozorňoval na nutnost co nejdříve uhradit dlužnou částku, aby se vyhnul možným sankcím a případnému soudnímu řízení. Vlastní , který se začal šířit na jaře roku 2013 s předmětem Výše pohledávky na vašem účtu # uvedené číslo # vypadal nějak tato: Vážený zákazníku, jsme rádi, že jste vyuziváli produktu z naší banky. Dovolujéme Vás upozornit, že k DD.MM.2014 dlužné částky na osobní účet ve vysi # uvedená částka # Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do DD.MM Dobrovolné uhrazení pohledávky a dodržení smlouvy # číslo # umožňuje Vám: 1) Dodržet pozitivní úvěrovou historii 2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů. V případě prodlení uhrady pohledávky xxxx.xx Kč v souladu s platnými právními předpisy, jsme oprávněni zahájit správní sankci na základe pohledávky. Kopie smlouvy a platební údaje jsou připojeny k tomuto dopisu jako soubor smlouva_ uvedené číslo.zip, S Pozdravem, vedoucí odboru vymahani pohledávek x.x. jako přílohu obsahoval komprimovaný archiv s názvem smlouva_number.zip jež obsahoval exe soubor s názvem smlouva_dd,mm.2013-signed_number.exe. - kdy útočník se ani nesnažil zakrýt, že se jedná o exe soubor (obvykle útočníci před příponu napíší ještě jednu nevinnou, jako např. pdf,jpg,.doc). Pokud jde o formu mailu, tak ta byla naprosto tragická, psaná špatnou českou gramatikou, byl odeslán z pochybné adresy a útočník se to ani nepokusil skrývat, nebylo použito oslovení klienta (což banky vždy dělají), nebylo ani 48 Další vlna phishingu od České pošty s ransomware šifrujicim soubory, Clever and smart.cz [online] [cit ] Dostupné z: 43

44 uvedeno jméno finanční instituce, která klienta kontaktuje. Přesto, že tento vykazoval všechny známky SPAMU, je až neuvěřitelné že ho otevřela, a po kliknutí na odkaz se nakazila více než jedna třetina příjemců (jen na našem MÚ Turnov ho otevřelo 37 zaměstnanců z celkového počtu 140). Uživatel v tomto případě moc dobře věděl, že kliká na ikonu nějaké aplikace a tato aplikace se bez vědomí uživatele připojila na internet a začala stahovat s různých domén další soubory. Aby si malware zajistil své spuštění i po restartu počítače, vytvořil si záznam registru: HKCU[%USERNAME%]\Software\Microsoft\Windows\ CurrentVersion\Run, ve kterém je odkaz na soubor ate.exe., který se nachází ve složce \App\Datta\Brothel. Zde je nutné ocenit autorův smysl pro humor, neboť slovo brothel znamená v angličtině Bordel, ale i jméno dcery nejvyššího boha Dia, kdy tomu, kdo se o tuto problematiku zajímá, se jistě vybaví počítačový vir trojský kůň s názvem ZeuS. V tomto případě se podvodníkům vyplatilo vsadit na obyčejnou lidskou zvědavost a obavu z nějaké neuhrazené pohledávky a nahrávala jim i skutečnost, že z počátku této SPAM kampaně nebyl téměř žádný antivirus schopný tento malware detekovat. 49 Útočníci vydávající se za mobilního operátora O2 - na našem území byla zaznamenána jen jedna vlna a to ve třetím čtvrtletí roku Tento útok byl velice dobře připraven, kdy na velké množství ových adres byl rozeslán phishing, který se tvářil jako vyúčtování od společnosti O2, kdy jako adresa odesílatele byla uvedena oficiální adresa společnosti O2. V samotném u byl přiložen archiv ve formátu ZIP, který obsahoval spustitelný EXE soubor, který se prezentoval ikonou PDF souboru. Po otevření přiloženého archivu opět dochází k infikování počítače a stáhnutí bankovního malware, který si zajistí své spuštění při každém startu počítače. Oproti předchozím útokům, zde dochází k výraznému zlepšení úrovně tohoto SPAMu, neboť nejenže byla jako adresa odesílatele použita oficiální ová adresa společnosti, ale byla napodobena i forma a obsah sdělení, kterou společnost používá Přichází Diova dcera Áté, aneb jak tzv. pohledávkový SPAM zasáhl Česko, Clever and smart.cz [online] [cit ] Dostupné z: 50 Další vlna pohledávkového SPAMu, tentokrát od mobilního operátora, Clever and smart.cz [online] [cit ] Dostupné z: 44

45 Útoky na klienty České obchodní banky tento útok cílený na uživatele internetového bankovnictví ČSOB se prohnal Českem jen v jedné vlně a to v období od , kdy útočníci rozeslali phishing y na všechny adresy jež měli k dispozici a spoléhali na to, že mezi příjemci budou i klienti ČSOB a někdo z nich se nechá nachytat. Phishing se šířil v několika variantách, kdy nejzdařilejší se jeví tato verze: Vážený zákazníku, Obdrželi jste nový záznam z našeho bezpečnostního centra. Přístup k účtu [ odkaz.] Samotné sdělení nedává příliš smysl, ale je pravděpodobné, že na něj někteří klienti kliknou, a to i přes to, že po najetí myši na odkaz se objeví zcela jiná doména, než jakou by měl klient očekávat. Následně je klient přesměrován na další doménu, na které již běží web, který vypadá naprosto stejně jako internetové bankovnictví. Pokud si klient nevšimne, že se nachází na jiné doméně, zadá přihlašovací údaje a řídí se pokyny na obrazovce, provede nevědomky i autorizaci transakce, kterou zadal útočník. 51 Útoky na účty klientů České spořitelny první vlně útoků Česká spořitelna čelila okolo , kdy byly šířeny y, které vyzývaly příjemce, aby zaslali své citlivé osobní údaje a také údaje o své platební kartě zpět na ovou adresu odesílatele (jméno a příjmení, rodné číslo, místo bydliště, telefonní číslo, číslo platební karty, platnost karty a kód CVV/CVC2 poslední tři čísla platební karty nacházející se na zadní straně). Jedna ze zadržených podvodných zpráv dokonce obsahovala fotografii skutečného zaměstnance banky - tyto údaje byly požadovány v 1-3 vlně útoků. Ve čtvrté vlně útoků, která proběhla Českem v polovině června 2014 se šíří y, které se snaží vzbudit dojem, že byly odeslány z České spořitelny a požadují přihlášení klienta na stránky SERVIS 24 Internetbanking, které klient otevře z odkazu. Tyto stránky, které jsou podvržené, ale vypadají jako skutečné, mají klientovi vygenerovat jednorázový SMS kód zprávy s tím, aby ho klient do těchto stránek zadal. SMS však obsahuje jednorázový kód, který je následně útočníky zneužit k nějaké 51 Probíhá phishing na klienty internetového bankovnictví ČSOB, Clever and smart.cz [online] [cit ] Dostupné z: 45

46 transakci. Těchto vln útoků bylo zaznamenáno na našem území celkem 10, kdy dále byly v průběhu roku detekovány útoky, kdy malware vložil na počítači klienta do stránek internetového bankovnictví vlastní formulář, který se tvářil jako součást stránky a vyzýval klienty k instalaci bezpečnostní aplikace do jejich chytrých telefonů, kdy si klienti opět stáhli do svých smartphonů vir. 52 Útoky na klienty Air Bank zatím je známá jen jedna vlna útoků, která proběhla v září 2014, kdy je znám případ klienta Air Bank, kterému přišel a-mail, že se mu změnilo heslo v bankovnictví. Poté co klient telefonicky kontaktoval banku a požádal o změnu hesla, mu bylo sděleno, že mu posílají SMS na základě které změnu potvrdí. Klientovi žádná SMS nepřišla, myslel si, že je to vinou poruchy jeho telefonu, marně se pokoušel přihlásit pomocí starého hesla na svůj účet, což se mu nepodařilo a následně zjistil, že z jeho účtu byla provedena platba ve výši 70 tis. Kč do Belgie. Pokud je jakýkoli přístroj kompromitován, může být totálně ovládán, tudíž volání na infolinku banky může být snadno přesměrováno na operátora, který je součástí hackerského gangu a ten klientovi radí jak postupovat. V takových případech je lepší volat z jiného telefonu. 53 Fio banka která používá pro svůj smartbanking vlastní chytrou aplikaci musela čelit útokům phishingu v červenci 2014, kdy jsou známy dvě vlny útoků na účty klientů. Zákazníci Fio banky obdrželi podvodnou SMS zprávu, ve které jim Fio děkuje za využívání právě jejich služeb a nabízí stažení dodatečné vylepšené aplikace, kdy je ve zprávě odkaz na server, který se tváří jako hlavní web Fio banky. Z tohoto portálu si pak klienti stáhli a následně nainstalovali aplikaci. Po otevření aplikace bylo potřeba zadat speciální kód, který se vygeneroval na falešném webu Fio banky. Po jeho zadání se falešná aplikace propojila s originální aplikací Fio banky a hackeři tak získali plný přístup k účtům klientů Probíhá phishing na klienty internetového bankovnictví ČS, Clever and smart.cz [online] [cit ] Dostupné z: 53 Nepřišly esemesky, pak z účtu zmizelo 70 tisíc, popsal klient banky, Idnes.cz [online] [cit ] Dostupné z: /ekonomika.aspx?c= ekonomika-fih/ 54 Klient Fio Banky se stal obětí phishingu, Svět androida.cz [online] [cit ] Dostupné z: 46

47 Útoky vedené pod hlavičkou PPL CZ - vlna útoků, v níž hackeři rozesílali phishingové zprávy pod hlavičkou PPL proběhla na našem území prozatím jen jedna a to v září 2014, kdy společnost Professional parcel logistic vydala prohlášení, v němž uvádí, že se stala terčem útoků hackerů, kteří komunikují s klienty jménem společnosti a rozesílají klientům zprávy, které vypadají jako oficiální komunikace PPL. Cílem těchto útoků je podvodně vylákat citlivé údaje - přihlašovací kódy a hesla. V těchto zprávách jsou klienti žádáni, aby zaslali em společnosti PPL ověřovací kód jejich zásilky. Vzhledem k tomu, že společnost PPL CZ nikdy nevyžaduje ověřování kódů em, žádala veřejnost v případě, že již na tuto podvodnou právu odpověděli kontaktovat společnosti PPL, která okamžitě zajistí bezpečnost údajů klientů Největší počítačové a mobilní hrozby roku 2014 ve světě Počítačoví piráti v roce 2014 rozhodně nelenili, kdy se prakticky každý týden, na některém ze světových území objevila nějaká hrozba, podvodná internetová stránka nebo virus. Velmi často při těchto útocích došlo k úniku citlivých osobních dat. Mezi největší počítačové a mobilní hrozby za loňský rok patří: - v lednu byla uveřejněna informace amerického obchodního řetězce Target o rozsáhlé krádeži zakódovaných osobních identifikačních čísel (PIN) ke kreditním a debetním kartám, k níž došlo v prosinci 2013 a která zasáhla až 70 miliónů jejich zákazníků, kdy společnost uvedla, že zatím jde v USA o druhou největší krádež dat k platebním kartám. Největší takový případ napadení osobních údajů zákazníků maloobchodního řetězce se stal v roce 2007 u společnosti TJX Cos. Tehdy hackeři během 18 měsíců ukradli data k více než 90 miliónům kreditních karet. Firma uvedla, že stále ještě nezná přesný rozsah útoku, s tím, že šlo o dvě se překrývající útočné vlny Podvodné y, prosím pozor! PPL Professional parcel logistic.cz [online] [cit ] Dostupné z: id=32707/ 56 Hackeři se dostali k 70 miliónům PINů platebních karet zákazníků obchodního řetězce, Novniky CZ [online] [cit ] Dostupné z: 70-milionum-pinu-platebnich-karet-zakazniku-obchodniho-retezce.html 47

48 Německý spolkový úřad pro bezpečnost v informační technice (BSI) oznámil, že odhalil krádež přístupových hesel k 16 miliónům ových účtů. Podle prvotních informací se měla velká ová krádež týkat ve většině případů Němců, jak se později ukázalo, mezi postiženými bylo také nejméně 138 Čechů. Upozornil na to Národní bezpečnostní tým CSIRT, který je provozován sdružením CZ. NIC. 57 Americká Národní agentura pro bezpečnost (NSA) a britská tajná služba GCHQ sbíraly osobní údaje i uživatelů mobilních aplikací, například populární hry Angry Birds. Napsal to americký deník The New York Times a britský The Guardian s odvoláním na dokumenty, které jim poskytl bývalý pracovník NSA Edward Snowden. Podle listů se obě tajné služby pomocí aplikací pro mobilní telefony iphone a pro telefony se systémem Android dostávaly k informacím o místu pobytu hráče, o jeho stáří a pohlaví. Podle jednoho z britských tajných dokumentů z roku 2012 umožňují některé aplikace dokonce sdílet údaje obsahující detaily o sexuální orientaci uživatele nebo jeho politických preferencích. 58 Některé účty elektronické pošty provozované americkou internetovou společností Yahoo se staly terčem útoku. Hackeři při něm ukradli některá uživatelská jména a hesla, která pak byla použita k získání osobních údajů o lidech, s nimiž si uživatelé zasažených účtů v nedávné době psali. Podle firmy nic nenasvědčuje tomu, že hesla či uživatelská jména hackeři získali přímo z jejích systémů. Seznam těchto jmen a hesel, které byly při útoku použity, pravděpodobně pocházel z databáze třetí strany, sdělila také firma, která prý okamžitě provedla kroky na ochranu uživatelů, kterých se věc týká, a mimo jiné je vyzvala, aby si změnili hesla. Yahoo na celém světě registruje 273 miliónů ových účtů. 59 Únor 2014 počítačoví piráti šíří škodlivé viry pomocí podvodných kopií počítačové hry Flappy Bird, která je fenoménem dnešní doby. Tato hra je, ale zároveň i nedostatkovým zbožím, protože ji její tvůrce po vlně kritiky stáhl z internetových obchodů, čehož se snaží 57 Velká ová krádež se týkala i Čechů, Novinky. Cz. [online] [cit ]. Dostupné z: 58 Tajné služby sbíraly osobní údaje o hráčích Angry Birds, Novinky. Cz. [online] [cit ]. Dostupné z: 59 Hackeři ukradli data k ům společnosti Yahoo, Novinky. Cz. [online] [cit ].dostupne z: 48

49 využít právě hackeři. Podvodné verze hry vypadají do posledního puntíku stejně jako originál. Dokonce mají na ploše i stejnou ikonu. Poznat je navíc není vůbec jednoduché, protože internetem kolují i neinfikované kopie Flappy Birdu. Bezpečnostní experti z laboratoří TrendLabs varovali, že falešné aplikace narozdíl od těch legitimních zneužívají zpravidla mobilní přístroje k platbám za prémiové služby. Odesílání SMS zpráv na placená čísla lidé odhalí zpravidla pozdě, až po příchodu velmi vysoké faktury. Další podvodná aplikace zase po pár dnech od instalace začne tvrdit, že vypršela zkušební doba a za další používání je nutné zaplatit. Samotnou hru přitom pravý tvůrce Nguyen Dong nabízel pro chytré telefony a počítačové tablety zcela zdarma příjmy dostával pouze za zobrazovanou reklamu. 60 Narůstá počet škodlivých aplikací pro mobilní zařízení s operačním systémem Android, kdy antivirová společnost Kaspersky Lab za leden identifikovala kolem jedinečných vzorků mobilních škodlivých programů. To je o 34 procent více než v listopadu 2013, kdy odhalila vzorků. Hlavní platformou, na kterou se kybernetičtí zločinci zaměřují, je Android. Oficiální obchod pro Android nabízel na konci ledna 2014 přes 1,1 miliónu aplikací. Neoficiální obchody jich prodávají daleko víc a jsou mnohem pravděpodobněji škodlivé. Ve většině případů škodlivé programy cílí na finanční údaje uživatelů. To je případ třeba mobilní verze trojského koně Carberp původem z Ruska, který krade informace uživatelů ve chvíli, kdy se odesílají na bankovní server. Dle Kaspersky Lab v Rusku v současnosti vzniká většina škodlivého softwaru pro Android. 61 Internetem kolují další škodlivé mobilní aplikace, které jsou sice zdarma, ale mají potají přidanou funkci premium SMS, jmenují se Easy Hairdos, Abs Diets, Workout Routines a Cupcake Recipes. Podvodníci se snaží důvěřivce většinou nalákat na nejrůznější hry, výjimkou nejsou, ale ani aplikace pro organizaci času nebo asistenti pomáhající s hubnutím. 60 Miliónovou hru zneužívají počítačoví piráti, Novinky.Cz[online] [cit ]. Dostupné z: 61 Deset miliónů virů ohrožuje chytré telefony a tablet s Androidem Novinky.Cz[online] [cit ]. Dostupné z: 49

50 Podobné aplikace mají vždy společný základ jejich instalací uživatel dovoluje odesílat prémiové SMS zprávy. Právě kolonkám, které informují o různých oprávněních aplikace, nevěnuje většina lidí při instalaci žádnou pozornost. Že se nechali počítačovým pirátem napálit, tak zpravidla poznají až z tučného výpisu telefonního účtu. Stažením těchto aplikací se podle analýzy bezpečnostní společnosti PandaLabs kyberzločincům podařilo nakazit více než zařízení s operačním systémem Android. Pomocí těchto aplikací, které pomáhají odsávat peníze z účtů jiných lidí si kyberzločinci přišli na počátku roku 2014 minimálně na šest miliónů dolarů, tedy na více než 120 miliónů korun Březen počítačoví piráti zaútočili na stránky Kremlu ruského prezidentského úřadu a podařilo se jim vyřadit z provozu na nějakou dobu i stránky ruské centrální banky Duben 2014 byla zjištěna závažná bezpečnostní chyba knihovny OpenSSL, která patří k nejrozšířenějšímu kryptovacímu softwaru na Internetu. Tato chyba umožňuje ukradení informací, které jsou za normálních podmínek zabezpečeny pomocí SSL/TLS (šifrování k ochraně dat na Internetu, které poskytuje bezpečnost a ochranu údajů pro web, y a další software.) Bezpečnostní experti proto vyzývají, aby si uživatelé neprodleně změnili svá hesla k u, sociálním sítím, on-line bankovnictví a nejrůznějším internetovým obchodům. Pokud by někdo této chyby využil a data odposlechl, může s těmito všemi údaji disponovat. Vzhledem k tomu, že je řada účtů navázána na platební karty, je hrozba nebezpečí o to závažnější. Jde o jedno z nejzávažnějších bezpečnostních ohrožení v historii Internetu, protože vystavilo potencionálním útokům většinu sítě, kdy dvěma ze tří internetových uživatelů podle bezpečnostních expertů hrozí nebezpečí. Mnozí tito odborníci zabývající se bezpečností na Internetu jsou podle BBC (britské rozhlasové a televizní společnosti) situací velmi šokováni Podvodníci napálili stovky tisíc lidí, pomalu jim vysávají peníze přes telefon, Novinky.Cz [online] [cit ]. Dostupné z: 63 Počítačoví piráti zaútočili na stránky Kremlu a ruské centrální banky, Novinky.Cz [online] [cit ]. Dostupné z: Kremlu-a-ruske-centrálni-banky.html. 64 Změňte hesla vyzývají experti, kvůli chybě krvácejícího srdce, Novinky.Cz[online] [cit ] Dostupné z: 50

51 Spolkový úřad pro bezpečnost v informační technice (BSI) odhalil obří ovou krádež, při které se počítačovým pirátům podařilo získat přístupové údaje k více než 18 miliónům elektronických poštovních schránek, informoval deník Frankfurter Allgemeine Zeitung s tím, že postiženy jsou účty u německých i mezinárodních serverů. Kromě ů se piráti mohou dostat také k nejrůznějším citlivým údajům na sociálních sítích, ale i k nejrůznějším internetovým obchodům, kde mají lidé uloženy údaje o svých platebních kartách. Jedná se o druhou vlnu útoků, kdy první proběhla v lednu Nebezpečná chyba Internet Exploreru ohrožuje desítky miliónů lidí, před touto trhlinou populárního prohlížeče Internet Explorer varovala společnost Microsoft. Americký softwarový gigant tvrdí, že chybu mohou kyberzločinci zneužít k neoprávněnému přístupu k cizím počítačům a datům, která jsou v nich uložena. Závada postihuje všechny verze Internet Exploreru od šesté po jedenáctou. Microsoft uvedl, že má zprávy o omezených, cílených útocích" s cílem tento nedostatek zneužít. Závadou se prý zabývá a podnikne přiměřené" kroky. Vlády USA a Velké Británie proto ihned uživatelům počítačů doporučily, aby až do odstranění závady přešli na jiné prohlížeče Květen největší aukční server světa ebay postihl kybernetický útok. Při němž se pirátům podařilo odcizit 145 miliónů hesel. Kromě šifrovaných hesel se tak piráti dostali podle vyjádření ebaye také k ovým adresám, uživatelským jménům, fyzickým adresám, telefonním číslům a datům narození. Údaje týkající se financí však odcizeny údajně nebyly. Uživatelé se podle společnosti ebay nemusí obávat zneužití údajů týkajících se platební brány PayPal, kterou společnost vlastní. Pomocí ní probíhají platební transakce nejen na tomto aukčním serveru, ale také na mnoha dalších. PayPal data jsou uložena odděleně v zabezpečené síti a všechny finanční informace týkající se těchto účtů jsou zakódovány, uvedla společnost, kdy její zástupci počaly dotčené uživatele vyzývat ke změně svých přístupových 65 Němci odhalili obří krádež miliónů ů, Novinky.Cz[online] [cit ] Dostupné z: 66 Nebezpečná chyba Internet Exploreru ohrožuje desítky miliónů lidí, Novinky.Cz[online] [cit ] Dostupné z: 51

52 údajů. Útok se měl uskutečnit už na přelomu února a března, zástupci firmy však o něm informovali až v polovině května Července internetové stránky Evropské centrální banky (ECB) se staly terčem hackerského útoku. Hackeři, dle oznámení banky ukradli některé ové adresy a jiné kontaktní údaje. Data, která by mohla ovlivnit vývoj na trzích - interní systémy nebo údaje citlivé pro trhy poškozeny nebyly, uvedla banka ve svém prohlášení. Hackeři se dostali do databáze s informacemi o lidech, kteří se registrovali na konference ECB, jako návštěvy a další události. Databáze je oddělená od vnitřních systémů ECB. Banka o krádeži dat informovala poté, co dostala anonymní s žádostí o peníze výměnou za tyto adresy. O případu informovala německou policii a začalo vyšetřování. 68 -Srpen odhalena největší krádež přihlašovacích údajů v historii Internetu, kdy mělo být ukradeno během obřího hackerského útoku na stovky tisíc webů více než 1,2 miliardy hesel. Za útokem stojí bezejmenná skupina, kterou bezpečnostní experti pojmenovali CyberVor (Kybernetický zloděj), kdy tento gang počítačových pirátů měl napadnout více než 420 tisíc internetových stránek a FTP serverů. Dle zpráv společnosti BBC - stopy útočníků vedou do Ruska. Při útoku byla zasažena nejen prakticky všechna průmyslová odvětví po celém světě, ale i množství malých, či dokonce osobních webových stránek. Právě to, že se hackeři nezaměřovali pouze na velké společnosti, ale na všechny stránky Internetu, výzkumníky znepokojilo. Podle bezpečnostních expertů gang kybernetických nájezdníků budoval obří databázi přihlašovacích údajů. Nezanedbatelné množství z nich nakoupili od ostatních hackerů na černém trhu Z ebay bylo ukradeno 145 miliónů hesel,novinky.cz[online] [cit ]. Dostupné z: 68 ECB announces theft of contact information,european Central Bank,eu.[online] [cit ]. Dostupné z: 69 Odhalena největší krádež v historii internetu. Stopy vedou do Ruska, Novinky.Cz[online] [cit ]. Dostupné z: stopy-vedou-do-ruska.html. 52

53 2.4 Fáze kyberútoků na účty klientů nakazí se počítač a poté mobil Útoky na účty klientů, kteří využívají internetové bankovnictví, jsou stále častější a dokonalejší a mají jednu zásadu, nejdříve útočník potřebuje získat přístup k počítači klienta a pro odcizení financí potřebuje ovládnout i jeho telefon. Celý útok probíhá tak, že útočník nejprve vytvoří takový malware (škodlivý program), který zpočátku nebude zachycen a rozpoznán žádným antivirem a snaží se tento malware dostat ke klientovi. Vir se dostane ke klientovi tím způsobem, že útočník rozesílá y s nakaženou spustitelnou přílohou nebo odkazem, na který příjemce klikne a tím si ho stáhne do svého počítače. Nad obezřetností příjemců těchto ů zvítězí přirozená lidská zvědavost a obava příjemce zprávy, že se nějakým nedopatřením dostal např. na seznam dlužníků, nebyla mu doručena zásilka nebo někdo zneužil jeho platební kartu. Po otevření u a zjištění, že se ho uvedená věc netýká, už dotyčný nevěnuje u pozornost a netuší, že se nakažená příloha nebo odkaz stáhl do počítače a vesele se šíří dál. Druhou možností (náročnější na provedení) je dostat malware k příjemci prostřednictvím hojně navštěvovaného serveru, kdy útočník nějaký takový server kompromituje a začlení vir přímo do stránky a pak už jen čeká, až oběť na tuto stránku zavítá a škodlivý kód se bez jejího vědomí a jakékoli interakce stáhne do jejího počítače. V obou případech se malware po spuštění spokojí s právy běžného uživatele a v mnoha případech dokáže: odchytávat přihlašovací údaje do internetového bankovnictví, které jsou někdy dostatečné k tomu, aby útočník mohl transakci provést z jiného počítače; pořizovat snímky obrazovky nebo dokonce nahrává video, což útočníkům umožňuje analyzovat, jakým způsobem se dané internetové bankovnictví používá; měnit konfiguraci napadeného počítače a tím vyřadit z provozu antivir, firewall (ochrana neoprávněného přístupu ze sítě) nebo měnit záznamy DNS (převody doménových jmen a IP adres) a přidávat do počítače své vlastní certifikáty; začlenit se do systémových procesů čímž získá kontrolu nad systémem a dokáže číst a měnit přenášená data; vzdáleně a skrytě ovládat daný počítač a přistupovat i k periferiím jako je čipová karta; prohledávat souborový systém s cílem najít citlivá data, jako jsou y, certifikáty a hesla; 53

54 vkládat vlastní formuláře do stránek internetového bankovnictví, kdy požaduje zadání dalších údajů jako je číslo telefonu nebo platební karty; provádět transakce přímo z napadeného počítače a měnit to, co uživatel vidí na obrazovce, např. provedené platby, zůstatek na účtu, kontaktní informace apod.; Poslední dvě funkcionality jsou něco, co se musí vyrobit pro každé internetové bankovnictví - útočník si to buď naprogramuje sám, nebo si musí takový webinject koupit na černé trhu. V první vlně útoků nemusí dojít k žádným finančním ztrátám, jelikož útočník nejprve zjišťuje, kolik procent uživatelů se může nakazit, jak dané internetové bankovnictví funguje a jak se mu rychle vrátí investice vložená do zorganizování podvodu. Po úspěšném nakažení počítačů klientů přichází na řadu druhý krok. Vzhledem k tomu, že autorizace transakce je většinou prováděna pomocí odeslání autorizačního kódu pomocí SMS na mobil uživatele a zpětného zadání do internetového bankovnictví je třeba nakazit i mobilní telefony uživatelů. To se provádí tím způsobem, že do podvržených stránek internetového bankovnictví útočníci vloží, pod záminkou bezpečnosti internetového bankovnictví, formulář s požadavkem na zadání telefonního čísla a instalace aplikace do mobilního telefonu, která pak tyto SMS s autorizačními kódy odchytává ještě dříve, než se k nim dostane naivní klient a posílá je útočníkovi, kterému již nic nebrání, aby převáděl peníze z internetového bankovnictví pryč. Samotné transakce jsou pak útočníky realizovány manuálně, v poloautomatickém či plně automatickém režimu, a to na jiném počítači, který má útočník pod kontrolou, nebo přímo z počítače napadeného klienta. Poté dochází k převodu finančních prostředků z účtů napadených klientů na účty najatých lidí bílých koní. Vzhledem k tomu, že tyto inzeráty zprostředkující nabídku práce, se nacházejí na známých a hojně navštěvovaných webech, jako je Linkedln nebo jobdnes, je velice obtížné zjistit, aniž by na ně člověk reagoval, zda se jedná o naprosto legitimní nabídku práce či nikoliv. Poté útočník čeká, až na jeho inzerát slibující zajímavou finanční odměnu narazí osoba hledající práci a kontaktuje ho. Obsahem práce bílého koně je vybrat peníze, které mu přijdou na účet a poslat je přes Western Union či Money Gram (poskytujících služby hotovostních převodů peněz po celém světě, do několika minut a bez použití bankovních účtů) útočníkům a informovat je o transakci, kdy tito bílí koně 54

55 získávají provize ve výši 5% převedené částky. Je zřejmé, že samotné nakažení počítače oběti, převod peněz na účet bílého koně a výběr hotovosti z bankomatu musí proběhnout velice rychle, neboť s časem úspěšnost takového útoku podstatně klesá. 70 Na obrázku níže je uvedena ukázka skutečné phishingové ové zprávy, která se šířila Českem v květnu Obrázek 6: Ukázka podvodné ové zprávy útok na klienty České spořitelny Zdroj:Upozornění na nový phishingový útok,česká Spořitelna, a.s.[online] [cit ]Dostupné z: banka/ coonect/ inet/ banka/ internet/ news_ie_2126.xml? archive. Page = press-release-archive&navid=navsym_00119_archiv_tiskovych_zprav_/ 70 Jak probíhá útok na klienty internetového bankovnictví, Clever and smart.cz [online] [cit ]. Dostupné z: 2.dil/ 55

56 Obrázek 7: Ukázka podoby počítačového viru, který vyzývá na podvodných stránkách ke stáhnutí aplikace do mobilního telefonu Zdroj:Upozorňujeme na novou podobu počítačového viru,česká Spořitelna, a.s.[online] [cit ]- Dostupné na WWW. banka/content/inet/banka/news_ie_2134. xml?archivepage= press-release-archive&navid =navsym_00119_archiv_tiskovych_zprav/ > V zamyšlení, proč je útok na klienty internetového bankovnictví tak úspěšný je nutné si uvědomit, že většina domácností vlastní počítač, který využívají všichni členové a všichni na něm pracují a na Internet přistupují většinou pod stejným heslem. A tak se může stát, že s nakaženou přílohou otevře a spustí někdo jiný, než uživatel internetového bankovnictví. Uživatel se pak nic netuše přihlásí na stránky Internetbankingu, aby zaplatil účty. Zde na něho již číhá formulář požadující zadání citlivých údajů za účelem ověření jejich identity, který navíc nabízí za účelem zvýšení bezpečnosti k instalaci bezpečné aplikace do jejich chytrého telefonu. A nemůžeme se pozastavovat nad tím, že se tito uživatelé doporučením řídí, vždyť se jim zobrazilo po úspěšné autentizaci na obrazovce počítače přímo na stánkách banky. Klient, který se nachází přímo na stránce Internetbankingu si sice může ověřit (tím způsobem, že do banky zavolá, nebo se přihlásí z jiného počítače), zda obsah stránek, které vidí na obrazovce, pochází od banky nebo od útočníka, ale nemá důvod pochybovat. Vždyť on sám si není vědom, že by stáhl nějaký vir a došlo k napadení jeho počítače, počítač se chová obvykle a vše je jak má být. V URL (adresa určující umístění dokumentu na Internetu) je uvedena správná adresa, ikona zámečku a certifikát. 56