Zkontrolujte si aplikaci mobilního bankovnictví. Může krást hesla a peníze posílat tajně do zahraničí
Mobilní telefon dnes slouží jako naše peněženka, osobní trezor i vstupní brána do online světa. Máme v něm přístup ke svému bankovnímu účtu, potvrzujeme platby i další citlivé transakce, a proto se stal prioritním cílem pro digitální podvodníky. Hrozby se neustále vyvíjejí a útočníci hledají nové způsoby, jak obejít zabezpečení a získat přístup k vašim údajům.
Co bylo ještě před pár lety nemyslitelné, je dnes běžnou praxí – podvody jsou stále promyšlenější, a hranice mezi skutečnou a falešnou aplikací může být téměř neviditelná. Mnohé z těchto podvodných nástrojů se přitom zaměřují právě na netušící uživatele a využívají mezer v jejich digitálním návyku ověřovat, odkud aplikace pochází.
Jak útočníci získávají přístup k vašemu účtu
Podvodníci využívají tzv. phishing, tedy podvržené zprávy, které vás přesměrují na falešnou verzi bankovní aplikace nebo webu. Tyto podvodné aplikace se často chovají jako tzv. Progressive Web Apps (PWA), které se instalují přímo z webu, nikoli z obchodu Google Play nebo App Store. Tvarem i funkcemi jsou téměř nerozeznatelné od originálu – mají stejné logo, stejné rozhraní, stejné formuláře.
Po otevření takové falešné aplikace je uživatel obvykle vyzván k zadání přihlašovacích údajů a hesla k internetovému bankovnictví. Aplikace dále žádá o přístup k SMS zprávám a notifikacím, čímž získá možnost zachytit jednorázové autorizační kódy.
Často si vyžádá i oprávnění k mikrofonu, kameře, poloze a čtečce NFC, což jí umožní ještě hlubší zásah do soukromí uživatele. V některých případech dokáže navíc útočníkům zpřístupnit vzdálené ovládání účtu a umožnit převody peněz bez vědomí majitele.
Falešné bankovní aplikace navíc často získávají přístup k citlivým funkcím telefonu, čtou ověřovací SMS, zaznamenávají stisknuté klávesy nebo sledují obrazovku. A protože nepocházejí z oficiálního obchodu, často je ani antivirové nástroje nezachytí včas.
Důvěryhodnost zdroje si vždy ověřujte podle oficiálního vývojáře, recenzí a počtu stažení přímo v obchodě s aplikacemi.
, ...
Konkrétní případy falešných bankovních aplikací
Nebezpečné aplikace, které napodobují bankovní služby, už byly zaznamenány i v České republice. Podle bezpečnostní firmy ESET se obětí stal i prominentní český bankovní klient.
Příklady aktuálně známých hrozeb:
-
NGate - škodlivý Android malware, šířený přes falešné SMS zprávy, umožňoval čtení údajů z NFC platebních karet, přihlášení k účtu a ovládání převodů.
-
ToxicPanda - bankovní trojan, který krade přihlašovací údaje, překrývá bezpečnostní rozhraní (např. PIN klávesnice) a umožňuje vzdálený přístup k účtu.
-
GodFather - napodobuje oficiální bankovní aplikace, šíří se přes falešné aktualizace nebo weby a zaměřuje se na získání ověřovacích SMS.
-
Falešné PWA bankovní aplikace - šířené mimo Google Play přes phishingové odkazy, reklamy nebo hovory. Tvůrci těchto aplikací se často vydávají za zákaznickou podporu banky.
Tyto aplikace obvykle neobsahují žádnou užitečnou funkci - jejich jediným cílem je získat vaše přihlašovací údaje, přístupy k citlivým datům a spustit transakce bez vašeho vědomí.
Zvlášť nebezpečné je, že některé aplikace se zpočátku tváří jako neškodné. Mohou například napodobovat přihlašovací obrazovku mobilního bankovnictví, ale ve skutečnosti ukládají vše, co napíšete. V jiných případech aplikace funguje zcela v pozadí a čeká na moment, kdy se uživatel pokusí přihlásit do banky.
V kombinaci s technikami jako je ATS (Automatic Transfer System), které využívá například malware ToxicPanda, pak mohou útočníci spouštět automatické převody peněz i do zahraničí, navzdory dvoufázovému ověření.
Falešné aplikace mohou fungovat na pozadí i během běžných plateb.
, ...
Jak se před podvodnými aplikacemi chránit
Základní ochranou je důslednost a obezřetnost při instalaci jakékoli aplikace. Stačí jedno kliknutí na podvodný odkaz a váš účet může být v ohrožení.
Doporučení expertů:
-
Instalujte pouze z oficiálních obchodů (Google Play, App Store). Nikdy neinstalujte aplikace přes odkazy v SMS, e-mailech nebo reklamách.
-
Ověřujte vývojáře. Bankovní aplikace vydávají oficiální instituce (např. Česká spořitelna, ČSOB), což je vždy uvedeno v detailu aplikace.
-
Kontrolujte oprávnění aplikací. Po prvním spuštění zakažte přístup k SMS, kontaktům, mikrofonu, poloze či kameře, pokud to není nezbytné.
-
Ignorujte podezřelé zprávy. Banka nikdy nežádá o přihlášení přes SMS odkaz nebo o stažení aplikace z webu.
-
Aktualizujte systém i aplikace. Výrobci pravidelně opravují bezpečnostní chyby, které mohou být zneužity.
-
Používejte bezpečnostní aplikace. Antivirové nástroje jako ESET nebo Kaspersky umí odhalit známý malware a varovat před podezřelým chováním.
- V případě podezření jednejte rychle. Kontaktujte banku, změňte hesla, zamkněte účet a obnovte telefon do továrního nastavení, pokud máte podezření na napadení.
