Kliknutím zvětšíteCo je cílem internetových podvodníků?
Získat nějaké důvěrné údaje nebo rovnou peníze. Pokud získají peníze, tak je to jednoznačné, pokud získají důvěrné údaje, tak se je snaží zpeněžit. Když říkám důvěrné údaje, tak se jedná o přístupové prvky do internetového bankovnictví nebo údaje o platební kartě. Počet těchto podvodů za posledních deset, dvanáct let má exponenciální průběh. Před deseti lety policie evidovala přes tři tisíce trestných činů spáchaných v kyberprostoru. Loni už to bylo osmnáct a půl tisíce. Obávám se, že to letos bude na hranici dvaceti tisíc.
Jak se za tu dobu změnila povaha těchto útoků?
Pozorujeme trend, že zatímco před deseti lety se podvodníci snažili na klienty bank útočit prostřednictvím jejich zařízení, například zavirovat počítač nebo k němu proniknout prostřednictvím mobilního telefonu, teď už je to naopak. Nyní na člověka cílí přímo pomocí sociálního inženýrství a empatie. Snaží se klienta přesvědčit k „dobrovolnému“ odevzdání bezpečnostních prvků.
Kolik druhů internetových podvodů je?
Pozorujeme jich do deseti. Na ztráty jsou nejdůležitější asi čtyři.
Které to jsou?
Tím nejčastějším je klasický phishing. To jsou ty, kdy mi přijde mail, whatsappová zpráva nebo SMS s podvodným odkazem a nějakým příběhem, který by mě měl namotivovat, abych na to kliknul. Po kliknutí se objeví platební brána nebo internetová stránka, které je ne nepodobná internetovému bankovnictví nějaké banky. Objevují se i falešné stránky naší banky. U phishingu evidujeme průměrnou škodu za všechny banky v České republice asi 160 tisíc korun.
Když jste u výše škod, jaká byla zaznamenaná nejvyšší škoda během takového útoku?
Mohu vám říct, jak jsme na tom byli my. Nejmenší částka byla do deseti korun a ta nejvyšší byly vyšší jednotky milionů. Phishingu říkáme plošný nálet. Není to úplně chytré, ale když pošlete třeba tisíc mailů, tak sto klientů nějakým způsobem reaguje.
Jsou ale i sofistikovanější metody, jak z lidí dostat peníze nebo osobní údaje.
To je druhý případ, kterému říkáme vishing. Není tak častý, ale je o to nebezpečnější, protože vám volá živý člověk. Už dávno neplatí, že se jedná o nějakého studentíka, který se vám snaží nabourat do účtu. Podle policistů, se kterými spolupracujeme, se jedná o velké organizované skupiny, které nutně nemusejí sídlit na území České republiky.
Jsou to vlastně klientská centra. Mají svoje infotéky a pracují na svém zlepšení. Vishing se zpravidla zaštiťuje hlavičkou nějaké autority. Může to být banka, Česká pošta nebo Česká správa sociálního zabezpečení. Mají nějaké příběhy a svou oběť vtáhnou do děje. Dokážou z lidí vymámit důležité informace během hovoru.
Jak vypadá takový hovor?
Typický příklad: „Dobrý den, volám z Komerční banky.“ Volaný odpoví: „Já žádný účet u Komerční banky nemám, já mám účty u ČSOB.“ „Ano, k tomu jsem se chtěl dostat. Mám poznamenané, že máte i účty v ČSOB, …“ Tímhle způsobem jsou schopni ze mě informace vymámit. Zaznamenáváme takové dva proudy vishingu: „Váš účet je v ohrožení. Nicméně vám zavolá Policie České republiky a podvodníky společně chytneme. Musíte nám trošičku pomoct.“
V takovém případě vás podvodník přiměje k tomu, abyste vybral svoje peníze a pod záminkou bezpečného vložení na „technický účet banky“ je nevědomky vložil do bitcoinového automatu a tím pádem jsou peníze pryč a už je nikdy neuvidíte.
Jak sofistikovaný podvod vypadá ukazuje i youtuber Jiří Burýšek z kanálu Jirka vysvětluje věci:
Co si máme představit pod tím druhým proudem?
To vypadá tak, že brouzdáte po internetu a narazíte na nějakou známou osobu, která měla třeba vydělat na nákupu akcií nebo obligací. Pak je tam zpráva, že pokud to člověka zajímá, může zanechat svoje telefonní číslo nebo e-mail a někdo se mu ozve.
To se stane za dva, tři dny a představí se jako někdo z makléřské společnosti. „Vaše banka vám nikdy nenabídne férové podmínky, podívejte se, jaké mají baráky. Kdo myslíte, že to platí? My jsme menší firma a takové baráky nemáme, a tím pádem si můžeme dovolit vám drtivou většinu zhodnocení vrátit.“
Ukáže grafy a opravdu vysoké zhodnocení, třeba třicet procent do čtrnácti dnů. Některé ty telefonáty jsme slyšeli a je až neuvěřitelné, jak člověka dokážou přesvědčit. Někdy klienta přimějí i investovat pravidelně. U vishingu byla loni průměrná škoda 260 tisíc korun.
Říkal jste, že jsou čtyři hlavní druhy podvodů. Které jsou ty další?
Trochu novější jsou bazarové podvody. Vystavíte například inzerát na prodej kola. Do pěti minut vám odpoví pět zájemců a čtyři z nich budou podvodníci. To už je pravidlo. Na Bazoši to funguje spolehlivě. Poznáte to podle toho, že ty zprávy jsou unifikované.
„Dobrý den, je nabízené zboží ještě k dispozici?“ Zaradujete se, že kolo rychle prodáte a vybídnete údajného kupujícího, aby si ho šel prohlédnout. Následuje další unifikovaná odpověď: „Vaše lokalita mi úplně nevyhovuje a obávám se, že časově nejsem úplně flexibilní, nicméně mohu k vám poslat kurýra a zaplatím předem.“ Podvodníci vám ovšem pošlou odkaz na falešnou platební bránu s tím, že prodávajícímu pošlou peníze na kartu, ne na účet.
Z logiky věci musíte identifikaci karty odevzdat. Jenomže v okamžiku, kdy ty údaje vyplníte, přestáváte být vlastníkem karty a oni si ji mohou celkem snadno převést do elektronické podoby a potom platit plnohodnotně vaší kartou. Těchto případů je mnoho a podvodníci jsou poměrně úspěšní. Nejde ale o nějaké desetitisíce. Spíše o nižší částky.
Internetovými podvody se zabývali i Kluci z prahy - Janek Rubeš a Honza Mikulka:
Každá ztráta zamrzí. Člověk si přitom cítí i hloupě.
Máte pravdu. Snažíme se klientům vysvětlovat, že to není ostuda. Naopak oni jsou podvedení, jsou obětí. Je to nějaké poučení jak pro nás, tak pro klienty. Je velmi důležité, aby o tom neváhali hovořit, aby to říkali všem kolem – dětem, rodičům, prarodičům nebo klukům u piva. Aby se to jiným nestalo. U bazarových podvodů zpravidla naletí ženy, což je do značné míry dané tím, že třeba prodávají zboží po dětech. Jinak statistiky ukazují, že ženy jsou častější obětí těchto podvodů, ale větší škodu nadělají chlapi. Chlap, když se do toho dá, tak zářezy jsou obrovské.
Co završuje čtveřici nejčastějších internetových podvodů?
Je to takový benjamínek a zatím nám nepřipadá tolik nebezpečný. Říká se mu SIM swap, tedy převzetí SIM karty.
To je nejnovější druh podvodu? Kdy se to objevilo?
Koncem loňského roku. Zmiňuju to proto, že obrana je poměrně jednoduchá.
Jak to probíhá?
Ve svém mobilu máte SIM kartu mobilního operátora. Zavolá vám podvodník, který se bude vydávat za vašeho mobilního operátora a nabídne výhodný balíček dat nebo legendu, že v rámci digitalizace České republiky musíte přejít na novou aplikaci a vždy zazní nějaké výhody. Pak si máte stáhnout aplikaci operátora z legálního obchodu. Po telefonu vám potom podvodník radí, jak postupovat.
Musíte do aplikace zadat svoje telefonní číslo a nějaké heslo. Následně přijde potvrzovací SMS, kterou máte podvodníkovi do telefonu nadiktovat. Potom vám řekne, že bude trvat třeba půl hodiny, než se to propíše do systémů a během té doby může telefon zlobit. Podvodník si však mezitím stáhl stejnou aplikaci, zadal tam vaše telefonní číslo, heslo a přetypoval si SMS, čímž se dostal do správy vaší SIM karty.
To by ještě nebylo tak hrozné, ale aplikace mobilních operátorů umějí vydat elektronické SIM karty (e-SIM). Ta nahrazuje tu fyzickou. Podvodníci tak získají možnost vaší SIM kartu převzít. V tu chvíli vaše fyzická karta přestává fungovat a vládnou vaším telefonním číslem. Potom jsou schopni dostat se všude tam, kde máte telefonní číslo, třeba na váš mailový účet a nechat si poslat nové heslo. Přes telefon lze i obnovit přístup do internetového bankovnictví, když zapomenete přihlašovací údaje.
Takže tento podvod je začátek dalšího útoku?
Přesně. Tento druh podvodů není tak častý, ale jejich potenciál je velký. Podvodníci mohou ovládnout značnou část vašeho života. Na vašem mailu mohou podvodníci najít třeba kopie vašich dokladů, záruční listy a zjistit, jak drahou elektroniku máte doma. Může se stát, že k vám domů pošlou kamaráda, aby vám vybílil byt.
Jak se tedy mají lidé bránit?
Nikdy nikomu za žádných okolností nesdělujte důvěrné údaje, jako jsou přihlašovací hesla nebo PIN. Ani banka nebo policie to po vás chtít nebude. Nenechat se vmanipulovat do časové tísně, s každým se dá rozumně domluvit. Když dělám na počítači nějakou operaci, tak číst, co se tam děje. Nevěřit zázračným nabídkám. Jakmile mi někdo řekne, že je to rychlé s vysokým výnosem a nulovým rizikem, je to podezřelé. To se přeci vylučuje. Poslední poučka je: nikdy si neinstalovat do počítače nebo mobilního telefonu nástroje pro vzdálenou správu a nikoho tam nepouštět.
126
Kondice
Dům a zahrada
Kafe
iReceptář
TN.cz
