Placení kartou na internetu provází většinu lidí každý týden a útočníci to vědí. Nepotřebují fyzickou kartu, stačí jim její údaje nebo jediné neuvážené potvrzení. Část obrany proto dnes běží automaticky — každou online platbu kartou chrání takzvané silné ověření. O zbytku ale rozhoduje sám držitel karty.
Proč platbu potvrzujete v aplikaci
Silné ověření klienta, odborně Strong Customer Authentication neboli SCA, znamená, že totožnost toho, kdo platbu zadává, se ověřuje hned dvěma nezávislými prvky. Výhoda je v té nezávislosti.
„Silné ověření spočívá v tom, že identita toho, kdo zadává platbu, je ověřována pomocí nejméně dvou prvků,“ vysvětluje Michal Vodrážka, expert na platební styk z České národní banky, s tím, že prvky musí spadat do tří různých, na sobě nezávislých kategorií. Pokud je jeden z nich prozrazen, ten druhý by měl zůstat v bezpečí.
Jednoduše řečeno: ověřuje se něco, co znáte (heslo nebo PIN), něco, co máte (typicky telefon), a něco, čím jste (otisk prstu nebo sken obličeje). Samotné číslo karty proto zlodějům k zaplacení nestačí.
3D Secure místo přepisování kódů z SMS
Požadavek na silné ověření přinesla evropská směrnice o platebních službách PSD2, která u nás platí od září 2019. Technickým řešením, které jí v Evropě nejčastěji vyhovuje, je 3D Secure — protokol, přes který dnes online platby ověřuje většina vydavatelů karet.
V praxi to znamená potvrzení v mobilní aplikaci banky. Většina českých bank si totiž dvoufázové ověření řeší vlastní aplikací a klient v ní platbu schválí PINem, otiskem prstu nebo skenem obličeje. Odpadá přepisování potvrzovacích kódů z SMS. Kdo chytrý telefon nemá, zpravidla platbu ověří kombinací SMS kódu a takzvaného ePINu, tedy pevně daného kódu pro placení na internetu.
Pozor na falešné weby a podvodné odkazy
Silné ověření ale neochrání toho, kdo údaje vyplní podvodníkům sám. Tady začíná část obrany, kterou má v ruce čtenář. Nejčastější pastí je phishing — podvodný odkaz, který přijde do SMS (pak se mu říká smishing), do chatu nebo e-mailem a vede na falešný web napodobující e-shop nebo banku.
Doporučení ČNB je v tomto jednoznačné: na takové odkazy neklikat a údaje nikam nevyplňovat. Pozor si vybírá i na podvodné QR kódy. „Před dokončením jakékoli transakce vždy pečlivě zkontrolujte, za co platíte, na jaký účet se peníze skutečně odesílají a zda odpovídá částka, kterou máte zaplatit,“ uvádí centrální banka.
Virtuální a jednorázová karta
Méně známým, ale praktickým nástrojem je virtuální karta. Je to samostatná platební karta jen pro internet, kterou si klient u některých bank založí i zruší přímo v aplikaci a může si na ni nastavit vlastní limity.
Ještě dál jde jednorázová virtuální karta. Slouží zpravidla pro jedinou platbu a krátce po ní — řádově do hodiny — sama zanikne. Výhoda je zřejmá: i kdyby si obchodník její údaje bez vědomí klienta uložil, budou mu k ničemu. Při placení přes zabezpečenou bránu navíc klient nesdílí platební údaje přímo s obchodníkem; platbu zpracuje banka.
Limity jako tichý pojistný ventil
S kartou souvisí ještě jedno nastavení, na které se snadno zapomíná — limity. Strop pro platby na internetu si jde u karty nastavit zvlášť a funguje jako tichá pojistka: omezuje, kolik může případný útočník naráz utratit. U jednorázových karet nejde limit nastavit výš než zhruba na padesát tisíc korun u jednoho z bankovních řešení. Komu stačí na běžné nákupy menší částka, nemá důvod držet limit zbytečně vysoko.
Když uvidíte platbu, kterou jste nezadali
A co dělat ve chvíli, kdy se mezi transakcemi objeví platba, kterou nikdo z domácnosti nezadal? Postup je v takové chvíli jednoduchý a hlavně rychlý.
Podle doporučení ČNB má klient co nejdříve kontaktovat svou banku, oznámit zneužití platebních prostředků a požádat o jejich blokaci. Kromě banky je vhodné případ ohlásit i Policii ČR a předat jí, co o podvodu víte. Čím dřív karta zamrzne, tím menší prostor útočník dostane.
Souhrn ověřených zásad i další doporučení najdete na rozcestníku ČNB Online podvody – Chraňte své peníze!
Fakta v kostce
- Silné ověření (SCA) ověřuje platbu dvěma nezávislými prvky — něco, co znáte, a něco, co máte.
- V praxi platbu potvrdíte v aplikaci banky (PINem, otiskem, obličejem); bez chytrého telefonu přes SMS kód a ePIN.
- Na podvodné odkazy neklikejte a před potvrzením zkontrolujte, komu a kolik platíte.
- Virtuální a jednorázová karta oddělí placení na internetu; jednorázová se po platbě sama zruší.
- U karty si nastavte limit pro platby na internetu — omezí možnou škodu.
- Při podezřelé platbě hned kontaktujte banku kvůli blokaci a oznamte věc Policii ČR.
