• Vždy chraňte své přihlašovací údaje (přihlašovací číslo a heslo).
• Dodržujte zásadu, že hesla se nikomu nesdělují, a to ani rodinným příslušníkům či kolegům v práci.
• Využívejte složitější hesla. Kromě kombinace alfanumerických znaků doporučujeme do hesla zakomponovat i speciální znak.
• V nastavení počítače nepovolujte zapamatování hesel, obzvláště pokud váš počítač využívá více osob.
• Internetové bankovnictví používejte jen na počítačích a sítích, kterým důvěřujete.
• Vždy se ujistěte, že vstupujete na správné webové stránky. Naše internetové bankovnictví naleznete pouze na adrese: https://www.rb.cz/spojeni-equa/osobni/bankovnictvi-equabank-nedostupne
• Nikdy nezadávejte na základě obdrženého emailu svá osobní data, přístupové údaje, loginy, hesla,
  piny a telefonní čísla. Banka nikdy po klientovi tyto osobní údaje v elektronické komunikaci nežádá.
• Přístup do internetového bankovnictví je chráněn automaticky vygenerovaným uživatelským jménem, heslem a SMS kódem. Místo toho můžete mít zapnutou autentizaci při přihlášení prostřednictvím mobilní aplikace biometrikou nebo kódem.
• Připojení k našemu internetovému bankovnictví a jiným webovým stránkám je zabezpečeno protokolem SSL (HTTPS). Pravost našich webových stránek poznáte tak, že se v adresním řádku zobrazí zelený symbol zamčeného visacího zámku a nápis „Equa bank a.s.“. Detailní informace včetně obrázků naleznete níže v kapitole „Jak poznat, že jste na zabezpečené webové stránce?“
• Na počítači provádějte pravidelné aktualizace operačního systému a webového prohlížeče.
• Bez instalovaného a pravidelně aktualizovaného antiviru a firewallu nelze udržovat počítač bezpečný.
• V případě, že obdržíte nevyžádaný email obsahující internetový odkaz na stránky Equa bank a.s. ,
  na email nereagujte a na odkazy neklikejte – kontaktujte Klientské centrum. Hlášením podvodných emailů přispějete k ochraně banky i ostatních klientů.

1. PHISHING

Podvodná technika používaná k tomu, aby na váš počítač či mobilní telefon útočníci nainstalovali škodlivé programy (malware) nebo z vás vylákali citlivé údaje (hesla, čísla kreditních karet, čísla bankovních účtů, rodná čísla apod.). V podvodném e-mailu jste nejčastěji vyzváni ke kliknutí na odkaz nebo otevření přílohy. Zprávy jsou psány anglicky nebo česky, přičemž v současnosti často bývá úroveň české textace na velmi vysoké úrovni. V kombinaci s využitím zranitelnosti počítače stačí hackerovi i pouhé kliknutí na zavirovaný odkaz k tomu, aby vzdáleně spustil webovou kameru, mikrofon nebo se stal administrátorem vašeho PC.

Nejčastější způsoby šíření podvodných zpráv (phishing)

• Elektronická pošta (e-mail),
• textová zpráva SMS,
• sociální sítě (například Facebook, Twitter, Instagram, YouTube),
• instant messaging (například WhatsApp, Telegram, Skype, Facebook messenger, iMessage a další).

Jak vypadají v praxi ty nejagresivnější podvodné zprávy?

• Odkaz na falešnou stránku (například banky), která vypadá podobně jako originál, kde je uživatel vyzván k zadání osobních dat, přístupových údajů, loginů a hesel.
• Stálým trendem jsou podvody s platebními příkazy.
  • Ve zprávě stojí, že musíte rychle otevřít přiloženou fakturu, nebo hrozí prodlení.
  • Hacker podvrhne jméno odesílatele e-mailu a vydává se za vysokého manažera ve firmě. Pošle podvržený e-mail na účetní s přiloženou fakturou a informací, že je nutné fakturu urychleně a v utajení proplatit.
  • Těmto praktikám se také někdy říká Spear phishing nebo CEO fraud.
• Falešné výzvy ke změně hesla do internetových služeb nebo interních systémů podniku.
• Informace o tom, že někdo zneužil vaši kreditní kartu a aby ji mohla banka zablokovat, je nutné, abyste poslali číslo vaší karty odpovědí na e-mail.
• Máte plnou poštovní schránku nebo vyčerpaná mobilní data na telefonu – rychle klikněte sem, nebo nebudete moci dále používat e-mail nebo telefon.
• Váš počítač je zavirovaný. Rychle klikněte sem a my vám ho vyléčíme, než bude pozdě.
• Podezřele výhodná nabídka (např. elektronika za nízkou cenu), výhra v loterii, převod dědictví atp., kdy jsou z uživatele vylákána osobní data a přístupové údaje.

Na co se zaměřit, abych poznal podvodnou zprávu?

Od koho jsem zprávu dostal?

• Neznámý odesílatel, se kterým jsem nebyl v kontaktu (impuls pro další prověření, třeba telefonem). 
• Odesílatel známý, ale povaha e-mailu zásadně vybočuje z rámce běžné komunikace – někdo chce něco nestandardního, rychle a ideálně potají.
• Doména odesílatele je podezřelá (např. equbank.cz, equafinance.com, apod.) 
• Nečtěte pouze jméno odesílatele, ale zkontrolujte vždy i e-mailovou adresu. Příklad e-mailu v poště:
  SECURITY EQUA BANK, a.s. <security-equabank@helpdeskonline24.com>
  Jméno odesílatele je SECURITY EQUA BANK, a.s.. Ovšem doména e-mailové adresy odesílatele je podezřelá.
• TIP: Čtete e-maily v telefonu? Dávejte si pozor – kvůli malému displeji telefon mnoho informací nezobrazuje. Například některé mobilní telefony zobrazí pouze jméno odesílatele e-mailu. Toto jméno je velmi snadné padělat. U podezřelých e-mailů vždy nezapomeňte kliknout na jméno odesílatele pro zobrazení jeho plné e-mailové adresy. 

Obsah zprávy

• Odesílatel vás žádá o kliknutí na odkaz nebo otevření přílohy s cílem předejít negativnímu dopadu nebo získat něco hodnotného. 
• Text obsahuje gramatické a typografické chyby (nemusí však být vždy podmínkou, v současnosti může být častokrát úroveň české textace na vysoké úrovni).
• Odesílatel vás žádá o provedení nečekané, nelogické nebo podezřelé aktivity.
• Odesílatel vám posílá kompromitující nebo zajímavou fotku sebe nebo někoho, koho znáte. V e-mailu může být přiložen velmi rozmazaný náhled fotografie, vzbuzující zvědavost kliknout a fotografii zvětšit.

Přílohy

• Zpráva obsahuje přílohu, která je nelogická, nesouvisí s textem e-mailu a vůbec jste ji neočekávali.
• Přípona přílohy je potenciálně nebezpečná (.exe, .bat, .js, ale také .xlsm, .docm, .zip) 
• Přípona přílohy se jeví jako bezpečná – běžní uživatelé zde často neočekávají žádné nebezpečí. Jedná se například o obrazové soubory či soubory videa (.bmp, .jpg, .jpeg, .mpg, .avi).

Odkazy

• Po najetí kurzorem na odkaz se v kontextovém okně vypíše odkaz směřující na jinou doménu, než ukazuje text odkazu – viz obrázek.

• Zpráva obsahuje jen odkaz a nic jiného. 
• Odkaz směřuje na chybné URL, např. http://equabank.suspiciousdomain.cz/bezny-ucet namísto http://equabank.cz/bezny-ucet
  
  

Techniky využívané hackery k tomu, abyste na podvržený e-mail kliknuli:

• Získání vaší důvěry. 
• Vytvoření problému. 
• Zdůraznění časové tísně – moc nepřemýšlejte a otevřete přílohu, klikněte.
• Nabídnutí odměny. 
• Vytvoření zvědavosti. 

Co můžete dělat při podezření na podvodnou zprávu? 

• Neklikejte na odkaz ani na přílohu.
• Pokud máte podezření na podvodnou zprávu či napadení vašeho internetového bankovnictví, kontaktujte prosím bez většího prodlení klientskou linku Equa bank +420 222 010 222

Jak se chránit před Phishingem

1. Nikdy nereagujte na přiložené odkazy v e-mailu, které vás vyzývají k zadání osobních dat, přístupových údajů, loginů a hesel.
2. Do internetového bankovnictví se nikdy nepřihlašujte z internetových adres uvedených v e-mailu
3. Při vstupu na stránky internetového bankovnictví vždy vypište internetovou adresu služby do pole URL adresy prohlížeče na nově otevřené internetové stránce
4. Aktualizujte operační systém v počítači, antivirový program a také verzi internetového prohlížeče.
5. Při zadávání osobních údajů nebo pro obsluhu účtu přes internet nepoužívejte veřejně přístupné počítače
6. Ověřujte zabezpečenou komunikaci (SSL certifikát)

2. VISHING (Podvodné telefonáty)

Vishing (voice phishing) je taktika používaná podvodníky pro získání citlivých údajů nebo pro uskutečnění nějaké akce ze strany příjemce hovoru – například zaslání peněz, sdělení citlivých údajů, kliknutí na odkaz či stažení souboru, který volající mezitím své oběti zaslal.

V poslední době výrazně narůstá množství podvodných telefonátů zaměřených na bankovní klientelu, které mohou končit krádeží financí z účtu volaného.

Toto jsou nejčastější způsoby podvedení uživatele internetového bankovnictví (libovolné banky) pomocí Vishingu:

• vylákání citlivých údajů jako jsou přihlašovací údaje do elektronického bankovnictví a SMS kódy zasílané bankou;
• vylákání údajů o platební kartě – číslo karty, CVV kód, jméno držitele karty, doba platnosti karty;
• převedení finančních prostředků na jiný účet, například aby je klient “uchránil” před možným odcizením.

Po telefonu ani e-mailem tyto údaje a operace od klientů nikdy nevyžadujeme a vyžadovat nebudeme.

Jak k tomu může dojít, že zcela neznámé osobě podvedený tyto údaje dobrovolně sdělí?

• Podvodní volající vystupují obvykle profesionálně, seriózně a přesvědčivě.
• Mnohdy může být slyšet v pozadí jeho hlasu ruch připomínající velké call centrum, takže člověk může nabýt dojmu, že se jedná skutečně o zaměstnance banky – ať už se volající vydává za pracovníka oddělení call centra, oddělení bezpečnosti, či bankéře.
• Telefonní číslo, ze kterého útočník volá, simuluje číslo klientského centra banky, takže se příchozí telefonát jeví jako ze skutečného klientského centra Vaší banky.
• Podvodník dostane volaného do nepříjemné a vykonstruované situace například sdělením, že zabezpečení jeho bankovního účtu bylo prolomeno, byly mu odcizeny finanční prostředky (či odcizení hrozí), případně že si někdo sjednal na identitu volaného od banky půjčku.
• Někteří útočníci volají dokonce v noci, aby umocnili stres volaného a naléhavost situace. Nutnost provedení rychlé akce se u podvodného jednání často objevuje – oběť nemá čas příliš přemýšlet nad tím, co dělá a co útočníkovi sděluje.

Jak se chránit před Vishingem:

• Nikdy po telefonu nesdělujte údaje o Vaší platební kartě, internetovém bankovnictví, Vaše hesla/PINy, Vaše přihlašovací údaje, SMS kódy zasílané bankou a podobně.
• Pokud si nejste jisti autenticitou hovoru, prosíme, zavěste hovor a zavolejte do banky zpět.

Telefonní číslo našeho Klientského centra je 222 010 222. Když číslo vytočíte Vy, máte jistotu, že voláte skutečně do Equa bank a.s.

• Pokud Vám někdo sdělí, že byl Váš účet napaden a vy musíte zachránit peníze, které se na něm nachází, nikdy je nezasílejte na neznámý účet ani si nesjednávejte půjčku proto, že Vás k tomu útočník navede.

Jak se zachovat, pokud jsem podvodnému volajícímu sdělil některé citlivé údaje, nebo jsem na základě jeho volání provedl platbu na neznámý účet:

• Kontaktujte svou banku – telefonní číslo Klientského centra Equa bank je 222 010 222.
• Po konzultaci s klientským centrem je možné, že bude třeba incident nahlásit Policii ČR.

3. SOCIÁLNÍ INŽENÝRSTVÍ (Sociotechnika)

​​​​​​​

Sociotechnika v pojetí informační bezpečnosti je způsob manipulace lidí s cílem oklamat je tak, aby uvěřili, že útočník je někdo jiný a zmanipulovat je k vyzrazení informací nebo provedení určitých úkonů. Při těchto metodách se útočník pokusí přesvědčit oběť, aby prozradila nějakou významnou informaci. Např. heslo uživatele počítače je sděleno někomu, kdo se po telefonu představí jako správce systému apod. Mezi techniky sociálního inženýrství patří i Vishing.

Jako médium pro sociotechnický útok slouží kromě klasické pošty hlavně telefon a Internet (e-mail, chat, Facebook). Zkušení sociotechnici ale mohou provádět i útoky “tváří v tvář”. V případě, že útočník dokonce zná oběť osobně, může uhádnout její heslo na základě informací, které o ní má. Typicky zkusí zadat místo narození, přezdívku, název vesnice, ve které má oběť chatu, jméno psa, atd.

Sociotechnici využívají běžných vlastností lidí, jako je důvěřování druhým, občasná lenost, přehlížení drobných odlišností, ochotu pomoci druhým a strach před tím, aby se nedostali do problémů. Pokud útočníkovi na úspěchu akce velice záleží, neváhá věnovat delší časové období na tzv. budování důvěry.

Jak se chránit před Sociálním inženýrstvím

1. Vždy chraňte své přihlašovací údaje (loginame a heslo).
2. Nepodléhejte nátlaku k vyzrazení hesel či jiných citlivých údajů osobně, přes telefon či jiné elektronické zařízení. V případě, že se vydává za vyšší autoritu, ověřte si jej doplňující otázkou.
3. Pravidelně měňte svá hesla a dbejte na jejich sílu

Skimming je způsob načtení údajů z magnetického proužku karty pomocí čtecího zařízení bez vědomí uživatele. Tyto údaje jsou pak využity k výrobě padělku. Čtecí zařízení neboli scanner se umísťuje přímo na platební terminál. Skládá se z části, která načítá data z platební karty a části, která umožňuje získat číselný PIN kód. Pouze získání obou těchto údajů umožní pachatelům vyrobit padělek a s účtem volně manipulovat. Se Skimmingem se můžete setkat nejen u bankomatů, ale i při platbách v barech, restauracích čerpacích stanicích atd.

Na internetu se nachází mnoho hackerů a podvodníků, kteří se snaží získat citlivé osobní údaje, přihlašovací údaje a informace z platebních karet podvržením webové stránky, odposlechem komunikace, případně jiným způsobem. Ochranou proti odposlechu komunikace je SSL certifikát, který zajišťuje, že je komunikace šifrována. Certifikát zároveň slouží pro identifikaci konkrétního serveru.

Kromě zásad o ochraně přihlašovacích údajů platných pro internetové bankovnictví, dbejte následujících doporučení v případě využívání mobilního bankovnictví:

• Nikomu neprozrazujte své autentizační údaje. Heslo si pravidelně aktualizujte.
• Využívejte složitější hesla. Kromě kombinace alfanumerických znaků doporučujeme do hesla zakomponovat i speciální znak.
• Mobilní bankovnictví Equa bank, je možné stáhnout jen v rámci App Store (u telefonů se systémem iOS)
  a z rozhraní Google Play (určeného pro telefony se systémem Android).
• Banka nerozesílá e-maily s odkazem na stažení aplikace mimo App Store či Google Play.
• Dbejte na to, aby mobilní zařízení mělo nainstalovanou antivirovou ochranu.