Poučení, varování, nebo krizová komunikace?
Zloději nejsou jen kapsáři v ulicích nebo vykradači zaparkovaných aut. Nebudou se vám vloupávat do bytu, rozřezávat slamníky, rozbíjet nádobí a nábytek. Nebudou s obnaženým nožem pod vaším hrdlem hledat hotovost a zlaté šperky, ani drahou elektroniku. Dnes se vloupají do vaší bezpečné, renomované banky, aby v ní vyluxovali váš zabezpečený účet. Nejmenují se Butch Cassidy a Sundance Kid a nepřijedou na koních s kolty proklatě nízko. Peníze v potu tváře vydělané vlastní prací si z banky vytáhnou ven jako jedničky a nuly.
Neuplyne snad týden, aby se někde neobjevil článek, zpráva nebo varování, jak se elektronické vykrádání bank šíří, jak se to dělá a jak tomu majitelé účtů svou naivitou napomáhají. To jen na nějakou falešnou internetovou stránku nebo do telefonu sdělí číslo svého účtu a platební karty, a než řeknou švec, peníze jsou v čudu. Podobná věc se přihodila také osobě, která je autorovi textu blízká (dále jen: OB). Je to příběh pozoruhodný i tajemný.
OB prodávala cosi přes internetový bazar. Zájemce se ozval zanedlouho s tím, že za ono zboží zaplatí hned a kartou, pročež si vyžádal číslo účtu, číslo bankovní karty OB i s tím bezpečnostním trojčíslím na rubu. OB poskytla. Proč ona, jako příjemce platby? Kdoví, třeba teď takhle nějak ty platební systémy a brány fungují. Například: autor článku nedávno uplatnil reklamaci na zboží v renomovaném obchodním řetězci. Úspěšně, vraceli mu peníze. Aby mu je mohli poslat na účet, vyžádali si v podstatě totéž – údaje o kartě. Peníze mu v pořádku dorazily.
účet OB byl přečerpán do mínusu, ač býti nesměl a nemohl
Jen několik minut po sdělení žádaného přišly OB do mobilního telefonu tři zprávy o třech transakcích, celkem hezkých pár desítek tisíc, které nepřikázala ani neautorizovala. Mezi nimi také upozornění, že transakce byly zadány z jiného zařízení (mobilu, počítače…), než jaké eviduje u své klientky banka (říkejme jí třeba po kafkovsku K.), a zda to potvrzuje. OB ani nestačila odpovědět a převod peněz K. stejně uskutečnila. OB bezprostředně o celé věci telefonicky informovala ředitelku své pobočky banky K. Budiž paní ředitelce pobočky ke cti, že začala záležitost prověřovat. Výsledek už ke cti neslouží: nikdo v K. s ničeho podezřelého nevšiml. Dokonce ani toho, že účet OB byl přečerpán do mínusu, ač podle smlouvy mezi OB a K. býti nesměl a nemohl. Následovalo oznámení na Policii ČR. Sepsán protokol a: „kdybyste se něco nového dověděla, tak nám řekněte…“.
Ale zanedlouho ozvala se K. Že prý peníze skončily na účtu jisté paní v Kladně u banky Z. Banka Z je zablokovala, neboť, ač banka příjemce, transakci vyhodnotila jako nedůvěryhodnou. OB se rozjasnila tvář. Peníze dostane zpět, jen to chce chvilku strpení, protože policie musí prokázat, že patřily právě OB. Radost ale byla předčasná. Peníze z banky Z. opět zmizely. Prý „výběrem“ virtuální kartou kdesi v Londýně. To už bylo definitivní, za penězi spadla klec. Policie případ řešit nedokáže.
Co se vlastně stalo? Tak si to shrňme, jak by řekl major Kalaš. OB se nedopustila žádné akce, která by nebyla obvyklá, stokrát opakovaná tisíci zákazníky e-shopů, taxíků, bazarů aj. Nesdělila ani hesla, ani PINy. Nepotvrdila jedinou ze tří transakcí, zatímco obvykle potvrzuje přes mobilní telefon jednu každou. Není zcela zřejmé, jak se peníze mohly zdejchnout z údajně blokovaného účtu paní v Kladně, ani co je to přesně virtuální platební karta. Zkusili jsme s OB takový experiment. Zřídili jsme stejnou platební kartu do mobilního telefonu jejího manžela. Ona pak se skutečnou, plastovou kartičkou odcestovala do zahraničí na služební cestu. Po vzájemně dohodě OB a její manžel téměř zároveň uskutečnili výběry hotovosti. Bance K. nebylo podezřelé, že se udály tisíc kilometrů od sebe se stejným platebním prostředkem a na účtu, ke kterému nikdo druhý kromě OB nemá dispoziční právo. Zkusili jsme také účet OB znovu přečerpat. To se tentokrát nepodařilo, transakce se neuskutečnila z důvodu nedostatečného zůstatku.
proběhly operace, na kterých žádná z postižených osob nemá žádnou účast, Ačkoliv při běžných legálních transakcích je jejich účast důsledně vyžadována.
Zbývá tedy vyřešit několik záhad. Kdo a jak se mohl dostat do účtu OB bez autorizačních SMS? Jak se lupiči podařilo přečerpat účet OB? Jak se peníze mohly ztratit podruhé z blokovaného účtu pomocí virtuální platební karty? To jsou operace, na kterých žádná z postižených osob nemá žádnou účast. Ačkoliv při běžných legálních transakcích je jejich účast důsledně a bez výjimky vyžadována.
Podle názoru jednoho z počítačových odborníků, s nímž jsme konzultovali a který si přál nebýt jmenován, lupiči nebo hackeři prolomili bezpečností systémy banky. Známý právník (ne obecně, známý autorův) vyslovil názor, že okradena nebyla OB, ale banka.
Je zřejmé, že banka K. v tom zdaleka není sama. Stále vycházejí novinové články o podobných – vlastně schematicky navlas stejných – podvodech. Příběh OB jako přes kopírák. Jen banky, u nichž je dotyčný poškozený klientem, se zpravidla liší. A každý ten článek končí poučením, co všechno klienti dělají špatně.
Policie ČR vydala nedávno zprávu, že od ledna do konce letošního října eviduje 15 409 trestných činů spáchaných v kyberprostoru (za celý loňský rok méně než 10 tisíc). „Nejčastěji se jedná o skutky motivované ziskuchtivostí. Okradených jsou desetitisíce a škody jsou ve stovkách milionů korun. Podle České bankovní asociace připadá na jednoho poškozeného klienta škoda v průměru 161 500 korun,“ informuje PČR. Odborníci dodávají, že zdaleka ne všechny případy jsou hlášeny. Kdybychom ale vzali do odhadu ty „desetitisíce“, řekněme tedy 30 tisíc, a průměrná škoda 161 500, z bank zmizelo 4,85 mld. Kč, to už je slušná sumička.
Může to být i tak, že banky využívají stejný nebo velmi podobný software s fatální bezpečnostní mezerou. Teď se bojí „kolektivního průšvihu“. Opakování historek podvedených lidí a poučení expertů při takových číslech pak může vypadat jako cílená krizová komunikace, snažící se jednak třeba poučit bankovní klienty, ale také jim vsugerovat pocit, že je nesmysl a ostuda po své bance požadovat nějaké náhrady škody vzniklé jejich vlastní hloupostí, protože banka přece za nic nemůže.
To už je ale váš případ, majore Kalaši.