Online podvodníkom na Slovensku už pomáha aj umelá inteligencia

S rapídnou digitalizáciou našich životov stúpa aj počet podvodov, v rámci ktorých ide útočníkom najmä o odcudzenie financií. Odborníci upozorňujú, že počet podvodov cez e-maily, SMS alebo online bazáre sa za posledné tri roky zdvojnásobil.

Kým slovenských používateľov kedysi chránila jazyková bariéra medzi nimi a potenciálnymi útočníkmi, dnes to už neplatí. Do hry totiž vstúpila umelá inteligencia.

Na prevencii pred podobnými online podvodmi sa podieľajú viaceré strany, od samotných bánk až po výrobcov zariadení a softvéru. Banky majú v rámci svojich systémov nastavené isté nástroje, ktoré by napr. mali zachytiť a zastaviť podozrivé transakcie, zatiaľ čo výrobcovia a vývojári zabezpečujú, aby na takéto útoky nemohli byť jednoducho zneužité bezpečnostné zraniteľnosti. Najčastejšie však zlyháva ľudský faktor.

Útočníci sa podľa odborníkov už často nemusia spoliehať na prelomenie nejakej ochrany a oveľa častejšie sa k financiám dostanú prostredníctvom sociálneho inžinierstva. Najbežnejším príkladom toho je tzv. phishing, kedy obeť dobrovoľne odovzdá prihlasovacie údaje do internet bankingu či údaje o karte útočníkovi v domnení, že komunikuje priamo so svojou bankou, predajcom či prepravcom tovaru.

Spoločnosť ESET uvádza, že jej ochranný softvér zablokoval už stovky tisíc phishingových e-mailov, z ktorých 20 % bolo s finančnou tematikou, 15 % s témou kryptomien a 9 % s témou doručenia zásielky. Počet takýchto útokov pritom stúpa.

Podľa štatistík VÚB banky sa za posledné tri roky ročný objem podvodov s platobnými kartami zdvojnásobil a objem podvodov v online bankingu v roku 2022 vzrástol medziročne až šesťnásobne. Kým priemerná výška úspešnej podvodnej transakcie vo VÚB realizovaná s platobnou kartou v roku 2021 bola 368 eur, o rok neskôr to bolo už 514 eur. V online bankingu bola zas výška úspešnej podvodnej transakcie v roku 2021 1053 eur a v roku 2022 až 2360 eur,“ hovorí vedúci oddelenia Prevencia podvodov vo VÚB banke Radomír Adamkovič.

Ešte donedávna sa dali takéto typy útokov rozpoznať aj pozornejším pohľadom na štýlistiku či diakritiku phishingovej správy. Keďže takéto útoky prichádzali väčšinou zo zahraničia, útočníci sa pri nich spoliehali na strojový preklad, ktorý ich často odhalil. Odborníci zo spoločnosti ESET však upozorňujú, že útočníkom v poslednej dobe v tomto smere výrazne pomáha umelá inteligencia a nástroje ako ChatGPT a iné.

Útočníci si môžu od umelej inteligencie nechať vygenerovať phishingové správy v prakticky ľubovoľnom jazyku a bez námahy cieliť na obete v krajinách, v ktorých sa im doteraz nevyplácalo podnikať plošné útoky.

„V blízkej budúcnosti budeme pravdepodobne prepisovať časť učebníc digitálnej bezpečnosti, pretože kvalita jazyka už nebude jedným z ľahko rozpoznateľných znakov podobných útokov,“ uviedol Ondrej Kubovič, odborník na kybernetickú bezpečnosť zo spoločnosti ESET.

Z ostražitosti v online priestore by tak nemali upúšťať ani skúsení používatelia, ktorí sa spoliehajú na dnes už možno zastarané zásady. Útočníci totiž stále inovujú svoje metódy a tak je s nimi potrebné držať krok. Odborníci zo Združenia pre bankové karty, VÚB banky a spoločnosti ESET preto sformulovali 10 tipov na prevenciu pred podvodmi:

1. Nikdy nedávajte vzdialený prístup do svojho počítača alebo mobilu

2. Používajte bezpečnostný softvér, aktualizovaný operačný systém a aplikácie

3. Inštalujte len aplikácie z oficiálnych obchodov a stránok

4. Používajte unikátne a silné heslá, biometriu a 2-faktorovú autentifikáciu (ideálne nie SMS)

5. Vždy si čítajte autorizačné SMS, ktoré Vám prichádzajú z banky

6. Neotvárajte internetové linky od neznámych osôb (skontrolujte adresu stránky prejdením kurzora cez meno odosielateľa, aby bolo možné vidieť skutočnú mailovú adresu) 

7. Banka (vydavateľ elektronického platobného prostriedku) vždy vie vaše číslo karty, ako aj ostatné údaje, preto nikdy nemá dôvod sa na tieto informácie pýtať

8. Pri akomkoľvek podozrení, kontaktujte banku – okamžite prostredníctvom kontaktného centra

9. Heslo k prístupu do zákazníckej zóny je iba vaše, v prípade, že prevádzkovateľ potrebuje vygenerovať nové, nikdy nemá dôvod na kontakt s klientom

10. „MOBILNÝ TELEFÓN RENOMOVANEJ ZNAČKY STOJÍ 1 000 EUR“ (vysokú zľavu či mimoriadnu akciu si overte, nenakupujte pod tlakom a k lákavej ponuke pristupujte so zdravou dávkou skepticizmu v duchu „Ak niečo znie príliš dobre, aby to bola pravda, zrejme to pravda nebude“.)

V druhom bode spomínaný bezpečnostný softvér sa medzi odporúčaniami neobjavuje len z dôvodu, že na ich spisovaní sa podieľala spoločnosť ESET ale fakt, že niektoré typy podvodov nemá šancu odhaliť ani najskúsenejší používateľ. Sú totiž viac technické a ukrývajú sa napr. v zdrojovom kóde stránky. Odhaliť ich dokážu iba niektoré bezpečnostné softvéry.

Jedným z takýchto typov podvodov je tzv. web skimmer, ktorý je akousi digitálnou obdobou falošných klávesníc a čítačiek kariet, ktorými útočníci kradnú údaje o platobných kartách prostredníctvom bankomatov a platobných terminálov. Web skimmery plnia rovnakú úlohu, avšak majú podobu škodlivého kódu uloženého napr. v platobnom procese e-shopu.

V Ázii je taktiež čoraz rozšírenejšie tzv. clippery, ktoré dokážu v infikovaných Android smartfónoch nahrádzať kľúčové údaje v četovacích aplikáciách, napr. čísla účtov. Tieto útoky sú cielené najmä na používateľov kryptomien, ktorým môžu podvrhnuté četovacie aplikácie vymeniť reálne čísla účtov (resp. kryptopeňaženiek) ich priateľov či známych za údaje útočníkov. Najčastejšie sú na tieto útoky využívané špeciálne upravené (podvrhnuté) verzie četovacích aplikácií Telegram a WhatsApp.