Muž z Přerova si chtěl založit identitu občana přes svou banku. Stačilo jedno špatné kliknutí a přišel o 91 000 Kč

Muž hledal v telefonu, jak si zřídit identitu občana. Vyhledávač ho poslal na falešný web banky a za noc mu z účtu zmizelo 91 tisíc korun.

Zdroj fotografie: Unsplash

Bylo nedělní odpoledne 8. 9. 2024, když si muž z Přerova otevřel v mobilu prohlížeč. Chtěl si založit bankovní identitu, prostředek, kterým se Češi přihlašují ke službám státu pomocí údajů do internetového bankovnictví. Zadal dotaz do vyhledávače, klikl na odkaz, který vypadal jako stránka jeho banky, a vyplnil přihlašovací jméno i heslo. Stránka mu žádnou identitu nezaložila. Přihlášení se „nezdařilo“. Muž to odložil na později. Ráno 9. 9. zjištěno, že se do bankovnictví nemůže dostat, a že na účtu chybí 91 000 korun. Okamžitě volal do banky a zablokoval účet i kartu. Bylo pozdě. Případ popsal mluvčí olomoucké policie Libor Hejtman ve zprávě z 10. 9. 2024.

Co přesně bylo to „jedno špatné kliknutí“

Nebyla to chyba v bankovní aplikaci ani technická závada. Muž klikl na výsledek vyhledávače, který ho zavedl na podvrženou kopii webu jeho banky. Stránka vypadala věrohodně, stejné barvy, logo, rozložení. Jediné, co se odlišovalo od originálu, byla adresa v prohlížeči. Tu ale na malém displeji telefonu málokdo kontroluje.

Jakmile muž zadal údaje, pachatel je k dispozici. Přihlásil se do skutečného internetového bankovnictví, převedl peníze ze spořicího účtu na běžný, v rámci jedné banky bývá takový převod okamžitý, a z běžného účtu celou částku odčerpal. Okamžité platby v Česku fungují i v noci nebo o víkendu. Celý řetězec od kliknutí po prázdném účtu se uskutečnil během několika hodin. Policie případ vyšetřovala jako podvod s trestní sazbou tři až osm let. Pachatel zůstává dodnes neznámý. Zda muž peníze získal zpět, veřejně dostupné zdroje neuvádí.

Identita občana versus bankovní identita: zmatek, který podvodníci využívají

Je potřeba rozlišit dva pojmy, které se v praxi snadno zaměňují. Identita občana je zastřešující systém pro přihlašování ke službám veřejné správy, datovým schránkám, portálu občana nebo eReceptům. Zahrnuje několik prostředků: Mobilní klíč eGovernmentu, NIA ID a právě bankovní identitu.

Bankovní identita znamená, že se ke státním službám přihlásíte, jaké používáte stejné internetové bankovnictví. Banka při tom pouze potvrďte vaši totožnost. Nepředkládá informace státu o vašich financích, nepřipojuje se k účtu, neotvírá k němu přístup nikomu dalšímu. Samotná bankovní identita tedy není bezpečnostní riziko.

To riziko vzniká jinde: ve chvíli, kdy člověk hledá „bankovní identitu“ nebo „identita občana“ ve vyhledávači a klikne na první výsledek, aniž kontroluje adresu. Podvodníci to vědí. CSIRT.CZ už 30. 8. 2024 varoval před zvýšeným počtem incidentů, kdy falešné stránky napodobující bankovní identitu cílily na uživatele přes reklamy ve vyhledávačích. Přerovský případ přišel devět dní po tomto varování.

Není to výjimka, čísla mluví jasně

Případ z Přerova není izolovaný exces jednoho nepozorného uživatele. Policie ČR v roce 2024 zaregistrovala 18 495 trestných činů v kyberprostoru a mezi hlavními trendy zvyšuje phishingové kampaně a podvodné reklamy ve vyhledávačích. CSIRT za stejný rok evidoval 1 688 phishingových incidentů, a to jde jen o nahlášené případy, skutečný počet obětí bude vyšší. ČNB eviduje pět až deset stížností na podvody v platebním styku denně a trend setrvale roste.

Olomoucká policie v říjnu 2024 zveřejnila samostatná upozornění, že období podvodů v neustále regionu přibývá. A dodal: netýkají se jen seniorů, ale „opravdu všech“. Objasněnost kyberkriminality v Česku přitom dosahuje jen 15,4 %, pachatelé často operují ze zahraničí a dopadnout je bývá mimořádně obtížné.

Jak se bránit: pět pravidel, která stojí za zapamatování

Falešné bankovní stránky jsou vizuálně téměř k nerozeznání od originálu. Spoléhat se na to, že „podvod poznám na první pohled“, nestačí. Policie, NÚKIB i ČNB se shodují na několika zásadách:

• Nikdy nevstupujte do bankovnictví přes odkaz z vyhledávače. Zadejte adresu banky ručně, použijte uloženou záložku nebo oficiální mobilní aplikaci.
• Zkontrolujte si v prohlížeči. Podvržené domény často obsahují drobnou odchylku, přidané písmeno, číslici nebo jinou koncovku. Na telefonu si adresní řádek rozklikněte celý.
• Nepřihlašujte se přes odkaz z e-mailu ani SMS. Banka po vás tímto způsobem účetní údaje nikdy nechce.
• Pokud se přihlásíte „nezdaří“, buďte ve střehu. V policejních popsaných případech nefunkční přihlášení po zadání údajů bývá záměrná součást útoku, pachatel mezitím pracuje s vaším skutečným účtem.
• Při podezření okamžitě volejte bance. Zablokujte internetové bankovnictví, karty a pokuste se zastavit odchozí platby. Pak věc nahlaste policii. Pokud banka reklamu zamítne, spor může řešit finanční arbitr.

Co když se to stane vám

Otázka, zda banka peníze vrátí, nemá jednoznačnou odpověď. ČNB uvádí, že pokud klient způsobil ztrátu hrubou nedbalostí, například tím, že sám zadal údaje na podvodné stránce, může nést odpovědnost za ztrátu v plném rozsahu. Zároveň ale finanční arbitr posuzuje i to, zda banka splnila své povinnosti při zabezpečení. Každý případ se řeší individuálně.

Muž z Přerova udělal po zjištění ztráty přesně to, co odborníci doporučují: okamžitě zavolal bance a zablokoval přístup. Přesto přišel o 91 tisíc korun během jedné noci. Celý útok začal jedním kliknutím na výsledek, který vypadal naprosto normálně, v rutině, kterou většina z nás opakuje opakovaně týdně.