Článek
Článek si také můžete poslechnout v audioverzi.
Lékař, bankéř, policista nebo pracovník technické podpory - nejen do těchto rolí se staví podvodníci, kteří se od svých obětí po telefonu pod vlivem strachu snaží vylákat peníze nebo vzdálený přístup do zařízení, který následně zneužijí.
S nějakou formou takzvaného vishingu neboli podvodného volání, se podle zprávy o stavu kybernetické bezpečnosti ČR za rok 2023 Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) setkalo asi 15 procent dotazovaných. Průměrná škoda je pak podle České bankovní asociace (ČBA) 300 tisíc korun.
Podle ředitele bezpečnosti operátora O2 Radka Šichtance jsou praktiky útočníků čím dál sofistikovanější a může být náročné je ihned rozpoznat. „Útočníci jsou přesvědčiví, mohou volat v nočních hodinách, kdy je člověk méně ostražitý. Často mají o volané osobě řadu informací z veřejně dostupných zdrojů, které využívají, aby zvýšili svou přesvědčivost,“ vysvětluje.
Nejlepší ochranou před útočníky je podle něj ostražitost. Podvodníci totiž tvrdí, že chtějí dotyčnému pomoci, že mu hrozí nebezpečí a dokážou ho ochránit.
„Konkrétně jde například o vyvolání dojmu, že jeho finanční prostředky na bankovním účtu někdo zneužil a je potřeba to urgentně řešit. To je však součástí taktiky. Pokud se volající ptá na jakékoli citlivé osobní údaje, požaduje přístupová jména či hesla například do internetového bankovnictví, údaje o platebních kartách a podobně, doporučuji v takovém hovoru nepokračovat, ihned zavěsit a nahlásit jej na policii,“ radí.
A jak může takový telefonát vypadat? „Dobrý den, volám z vaší banky. Zjistili jsme na vašem účtu podvod a budu potřebovat údaje o vaší kartě.“ Toto je už „klasika“, která ale bohužel stále funguje. A může mít nespočet variant. Může volat policista, u firmy dodavatel apod. Nakonec ale vždy zazní žádost: „Potvrďte prosím svůj kód do internetového bankovnictví.“, „Naťukejte do telefonu svůj PIN…“, „Přijde vám SMS“ / „Nadiktujte mi kód, který vám přijde.“, „Jaký je váš CVV kód?“.
Při telefonátu je důležité zachovat chladnou hlavu a nenechat se ovlivnit předstíranou neodkladností. Pokuste se také zapamatovat si jméno volajícího a zamyslet se, jestli opravdu u zmiňované instituce vůbec využíváte nějaký její produkt, jestli hovor probíhá v adekvátní dobu nebo zda si můžete pravost telefonátu nějak ověřit - například se volajícího zeptat na číslo vaší smlouvy.
Bohužel při podvodech jsou nejzranitelnější senioři, kteří snadněji podvodníkům „naskočí“. Často zapomínají, jsou důvěřivější a pod tlakem podvodníka, který na vše spěchá, zapomenou na pravidla bezpečnosti.
„Falešný poradce se také pod záminkou investiční příležitosti může snažit získat přístup přímo k ovládání počítače oběti. Takové nabídky investic jsou zasílány e-mailem nebo se objevují jako reklama na sociálních sítích, on-line magazínech či v internetových diskusích. Útočník poté oběť kontaktuje telefonicky a přesvědčí ji k nainstalování programů pro vzdálený přístup, jako AnyDesk či TeamViewer, a získá tak moc nad počítačem nebo uloženými přihlašovacími údaji do internetového bankovnictví a dalších aplikací,“ doplňuje Ondřej Novotný, výzkumný analytik z pražské pobočky společnosti ESET.
Ukázka podvodného telefonátu
Podvodník zavolal klientce banky a zeptal se jí, zda si zřídila úvěr v jiné bance, což klientka popřela. Podvodník se v klientce pokoušel vyvolat strach, když jí sdělil, že její osobní údaje tedy byly pravděpodobně zneužity, a přepojil ji na „technické oddělení banky“ pro řešení daného problému.
Dále jí sdělil, že z důvodu, aby nevznikla další škoda, si musí vybrat maximální množství prostředků uložených v dané bance a vložit je do bankomatu druhé generace (kryptobankomat) na základě QR kódu (s logem banky), který jí byl zaslán. Podle klientky zněl celý hovor důvěryhodně, volající jí dokonce poslal průkaz pracovníka a „informační linka“, ze které volal, měla stejnou znělku, jakou využívá banka klientky. Jelikož se jednalo o podvod, klientka o všechny peníze vložené do kryptobankomatu přišla.
Zdroj: Česká národní banka (ČNB)
Podvodná volání řeší také právě operátoři, kteří se proti nim své zákazníky snaží chránit.
„Během letních měsíců jsme nasadili ochranu před podvodným mobilním voláním v O2 síti. Nyní nově přinášíme našim zákazníkům ochranu hovorů také vzájemně u příchozích i odchozích volání s T-Mobile sítí,“ uvedl pro redakci SZ Byznys Šichtanc. Aktuálně jen v síti O2 filtrují více než sto tisíc podvodných volání denně.
Podle vrchního komisaře z odboru prevence Policejního prezidia Ladislava Beránka má prevence kriminality páchané v online prostředí pro nás v oblasti prevence v současné době nejvyšší prioritu. Cílí sice na celou populaci, nejzranitelnější jsou ale z mnoha důvodů senioři.
„Na druhou stranu na seniory v oblasti prevence působíme dlouhodobě a k těm aktivním se s kontaktní prevencí dostáváme poměrně často. Kromě klasických přednášek a besed, které často organizují kluby seniorů, knihovny či jednotlivá města a obce jsou to i různé preventivní projekty. V poslední době to byla například v některých krajích preventivní divadla,“ vysvětluje Beránek.
Zásady bezpečného pohybu v online prostředí se policie seniorům snaží přibližovat a připomínat různými způsoby, například pomocí brožur, kalendářů nebo i magnetek.
Co je phishing, smishing a vishing?
Phishing je typ kybernetického útoku pomocí technik sociálního inženýrství, kdy se útočník snaží získat důvěrná data oběti nebo spustit na zařízení oběti škodlivý kód. Nejčastěji probíhá phishingový útok pomocí podvodného e-mailu s žádostí o informace k naší platební kartě nebo o přihlašovací údaje do našeho internetového bankovnictví. Výjimkou ale není ani výzva v chatovacích aplikacích či nabídky a inzeráty umístěné na sociálních sítích.
Smishing je mixem slov SMS a phishing a jde o formu útoku, která je prováděna prostřednictvím textových zpráv. Podvodníci se z obětí snaží vylákat citlivé údaje k účtům (přihlašovací ID, heslo, mobilní klíč apod.) nebo kartám (celé číslo karty, datum platnosti, kód CVC, kód 3D Secure ad.).
Vishing (voice phishing, podvodné volání) je typ útoku, který používá hlasový hovor a techniky sociálního inženýrství. Útočníci se prostřednictvím telefonního hovoru snaží z oběti vylákat osobní nebo platební údaje, nebo ji rovnou přimět k převodu peněz.
Hovor může přijít i ze známého čísla
Podle Novotného lze podvodné hovory odhalit podle několika znaků. Telefonní číslo, které se zobrazí na displeji telefonu, může být velice krátké nebo mít neznámou předvolbu, tedy jinou než +420. V takovém případě je naprosto v pořádku si číslo ještě před přijetím hovoru prověřit. Lze to udělat například ve veřejně dostupných databázích mobilních čísel nebo ho jednoduše vyhledat na internetu.
„Podvodníci mohou nicméně využít i takzvaný spoofing, kdy napodobí již existující telefonní číslo. V takovém případě nám může dále pomoci naše obezřetnost. Uživatelé by si měli pamatovat, že podvodník chce, abychom jednali ve spěchu. Útočník vystupuje v roli zachránce – dokáže zachránit váš přístup do mobilní aplikace, do internetového bankovnictví nebo rovnou vaše peníze. Informace, které o vás má, jsou velice obecné, stejně tak jako informace, které uvádí o sobě,“ dodává.
Jak dochází ke spoofingu
- Telekomunikační technologie bohužel umožňuje zaměnit telefonní číslo a maskovat se cizím číslem - stačí mít přístup k takzvané signalizaci a číslo volajícího si lze libovolně nastavit.
- Signalizace v telekomunikacích je proces přenosu informací mezi komunikačními zařízeními nebo sítěmi. Slouží k řízení provozu a správě telefonních hovorů, textových zpráv, datových přenosů a dalších komunikačních služeb. Mít přístup k signalizaci zjednodušeně znamená být telekomunikačním poskytovatelem.
- Na světě existují tisíce telekomunikačních poskytovatelů, kteří se nemusí chovat korektně dle pravidel. Organizovaná skupina může například založit v zahraničí fiktivní call centrum. V takových případech nejde o telekomunikační společnost, ale o „společnost“, která si založí call centrum a vybere si pro připojení do sítě poskytovatele, který nemá systém kontroly tak propracovaný. Právě tím může podvodník získat přístup k signalizaci a telefonní číslo upravit.
Zdroj: Vodafone
Podle Českého telekomunikačního úřadu (ČTÚ) jsou opatření operátorů proti spoofingu úspěšná a měsíčně dochází k blokování milionů pokusů o volání a počty podvodů klesají, uvádí úřad v tiskové zprávě. Nadále je však podle něj potřebná obezřetnost. Podvodníci totiž využívají nové způsoby a techniky.
„V současné době se jedná například o zasílání SMS s podvodnými odkazy s cílem vylákat z adresáta důležité informace a finanční prostředky. Mobilní operátoři nabízí možnost přeposlat bezplatně tyto SMS na číslo 7726 s cílem identifikovat podvodné SMS, prověřit je a následně zajistit ochranná opatření a komunikaci například s policií,“ dodává úřad.
Kampaň #nePINdej!
- Patří k nejrozsáhlejším kampaním v oblasti kyberbezpečnosti u nás. Zapojily se jak orgány státní správy, tak klíčové firmy českého byznysu, jichž samotných nebo jejichž klientů se podvodné útoky také týkají.
- Kromě ČBA a Policie České republiky se kampaně zúčastnily i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), Balíkovna, O2, Visa, ČEZ, ČSOB, Česká spořitelna a Komerční banka.
Jak jsou na tom vaše znalosti základních principů bezpečného chování na internetu, si můžete vyzkoušet v online interaktivním kybertestu, který v rámci vzdělávací kampaně #nePINdej spustila Česká bankovní asociace.
Seznam Zprávy jsou mediálním partnerem kampaně #nePINdej.
