Článek
Článek si také můžete poslechnout v audioverzi.
Při nákupu i prodeji věcí se na internetu vyplatí být obezřetný. V online prostředí se totiž pohybuje řada podvodníků, kteří stojí jak na straně jednotlivých prodejců a e-shopů, tak na straně kupujících. A jsou čím dál vynalézavější.
Podle country manažera společnosti Visa Petra Poláka je v Česku podíl podvodů vůči celkovému objemu plateb v bezkontaktním prostředí přibližně dvakrát nižší než evropský průměr, především díky vysokému podílu tokenizovaných plateb. Česká republika totiž patří mezi světové lídry v mobilních platbách.
Tokenizovaná platba
Tokenizace je proces, kdy se u online a mobilních transakcí citlivé údaje z platební karty přemění v unikátní zašifrované číslo – token. Prodejci se tak s číslem karty vůbec nesetkají a nemohou ji zneužít.
„Díky tokenizovaným platbám dochází ke snížení podvodů v online prostředí o 50 procent a zároveň ke zvýšení podílu schválených transakcí o pět procent. V České republice se v roce 2024 zatím podařilo zachránit 4,5 miliardy korun dle dat České bankovní asociace (karetní transakce i převody celkem), celosvětově Visa zachrání přes 27 miliard dolarů ročně,“ vysvětluje Polák.
I přesto se ale v Česku podvodníkům celkem daří. Ke konci července 2024 podle České bankovní asociace (ČBA) banky evidovaly 49 436 napadených klientů, což představuje meziroční nárůst 37 procent. Celkový objem škod pak dosáhl částky 844 528 782 korun; o devět procent více než předchozí rok.
Podle Zprávy o stavu kybernetické bezpečnosti ČR za rok 2023 Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jsou nejčastějším podvodem různé druhy phishingu, se kterým se nějakým způsobem setkalo 89 procent dotazovaných.
Produktová ředitelka Mastercard pro Česko a Slovensko Barbora Tyllová radí zákazníkům, aby byli obezřetní. A v předvánočním období to podle ní platí víc než kdy jindy. Pokud i přesto dojde k podvodu, je důležité jednat rychle, kontaktovat svou banku a pokusit se transakci zablokovat nebo podat reklamaci.
„U plateb kartou mají klienti možnost využít takzvaného procesu chargeback, kdy banka ve spolupráci s karetní společností prověří oprávněnost transakce a může neoprávněně strženou částku vrátit. Důležité je se nestydět a podvod nahlásit i policii,“ vysvětluje a dodává, že společnost Mastercard v loňském roce globálně zabezpečila 143 miliard platebních transakcí a neutralizovala více než 200 kybernetických útoků každou minutu.
Kupující, nebo prodejce? Podvodníci si hrají na oboje
Jednou z nejznámějších a zároveň nejjednodušších fint je prodej neexistujícího zboží. Inzerent zašle v podvodné SMS zprávě nebo e-mailu odkaz na falešnou webovou stránku, kde má oběť provést platbu za zboží. Po vyplnění údajů útočníci okradou oběť o částku za zboží. Případně se útočník pokusí od oběti zjistit údaj o zůstatku na jejím bankovním účtu a následně se pokusí ukrást právě tuto částku.
Na pozoru je ale třeba být v případě, že prodáváte zboží na internetových bazarech. Častým trikem podvodníků je totiž předstírání zájmu o inzerované zboží.
Prodejce podvodník kontaktuje například e-mailem, SMS, WhatsAppem nebo skrze Messenger a vyptává se na zboží. Má vážný zájem a opravdu rád by si ho koupil, nemá ovšem čas si pro něj zajet osobně. Tvrdí ale, že uhradí přepravu i zboží a pošle k prodejci domů kurýra některé ze známých přepravních společností, který si zásilku vyzvedne. Stačí, aby prodejce klikl na odkaz a vyplnil své citlivé údaje.
Stránky vypadají věrohodně, při bližším prozkoumání zde ale mohou (i když nemusejí) být chyby jako překlepy či nepřesnosti. Pokud si to ale prodejce neuvědomí, dostane se na platební bránu, přes kterou má obdržet platbu za prodávané zboží nebo zaplatit jistinu za případné poškození zboží a kam má zadat svůj přístup do bankovnictví nebo údaje ke kartě. Falešnou platební bránu také podvodníci mohou vydávat za úschovnu peněz, kterou má spravovat daný online bazar.
„Bazarové podvody jsou velmi časté a podvodníci na ně mají v dnešní době už navázaný software, který ihned po zadání inzerátu odpoví a nabízí urychlení obchodu. Většinou nabízí vyplnění citlivých údajů (číslo karty, PIN) do nějakého externího odkazu, který pošlou například na WhatsApp nebo do SMS,“ vysvětluje manažer PR a marketingu ČBA Radek Šalša s tím, že jakmile lidé údaje vyplní, podvodníci se dostávají k jejich financím a pak už může jít o vteřiny či minuty.
„Je dobré co nejrychleji kontaktovat banku, aby účet nebo kartu zablokovala. Takovýchto podvodů jsou stovky každý týden,“ dodává. Nikdy ale podle něj není nutné takové údaje vyplňovat na externě zaslaný odkaz. Lidé by proto měli být obezřetní, a pokud se jim zdá transakce podezřelá, raději si vše ověřit v bance.
Například Komerční banka (KB) v létě hlásila, že se jí podařilo zachránit klientům asi 250 milionů korun. „Dalších 56 milionů jsme klientům zachránili u investičních a dalších podvodů. To je zhruba polovina sumy, kterou jsme zachránili za celý minulý rok. Podvodníci se adaptují a často místo vyšších částek cílí na menší, které působí méně podezřele, ale snaží se je získat větším počtem podvodů,“ doplnil pro ČTK expert na prevenci platebních podvodů KB Marek Macháček.
„Opakovaně upozorňujeme klienty, aby nikomu tyto citlivé údaje nedávali. Žádný kupující ani prodávající nemá regulérní důvod je po nich vyžadovat,“ upozorňuje mluvčí Raiffeisenbank Tereza Kaiseršotová.
Jak bazarový podvod poznat
1. Podezřelé požadavky na platbu
Pokud vás někdo žádá o sdělení citlivých údajů nebo vás navádí na podezřelé platební brány, je to jasný varovný signál.
2. Nabídky, které vyžadují údaje o kartě
Kupující tvrdí, že potřebuje číslo vaší karty pro zaslání peněz. Nikdy tyto informace neposkytujte.
3. Falešné odkazy na přepravní společnosti
Odkazy zaslané kupujícím vypadají jako stránky přepravní společnosti, ale vyžadují citlivé údaje.
„V případě podvodů, které dlouhodobě na internetových bazarech monitorujeme, využívají útočníci k jejich přípravě takzvané Telekopí. Jedná se o nástroj, který funguje jako Telegram bot. Představit si to můžeme jako chatovací program, do kterého zadáváte příkazy. Umožňuje i méně technicky zdatným útočníkům vytvářet phishingové stránky z přednastavených šablon, generovat QR kódy a falešné screenshoty a rozesílat podvodné e‑maily či SMS zprávy. Je to nástroj, který jim umožňuje velmi snadné generování podvodných stránek,“ vysvětluje fungování tohoto typu podvodů Radek Jizba, expert z výzkumného týmu pražské pobočky společnosti ESET. Dodává, že Telekopí používají až desítky podvodných skupin, kdy každá z nich může mít nižší tisíce členů.
V rámci bazarových platforem se podle něj tyto podvody vyskytují především na internetových tržištích, jako jsou i v Česku oblíbené služby Vinted, Facebook Marketplace, Bazoš či Sbazar. Týkají se ale i dalších služeb, například portálu eBay, platformy BlaBlaCar nebo OLX či Youla.
„Průměrné procento obětí, které útočníci dokážou úspěšně okrást, je velmi těžké odhadnout. Méně zkušený podvodník bude také méně úspěšný. Na základě informací, které jsme získali díky proniknutí do jejich sítě, víme, že si útočníci své oběti pečlivě vybírají,“ vysvětluje Jizba.
Podvodníci podle něj mají k ruce manuál s kritérii, která musí oběť splňovat. Tímto filtrem projde maximálně 20 procent všech potenciálních obětí, které následně osloví. Sami podvodníci pak prý tvrdí, že z těchto vybraných obětí se jim podaří nachytat pouze každého pátého z nich.
„V případě bazarových platforem zpravidla cílí na oběti, které nabízejí zboží v hodnotě do 5000 korun. Finanční škody spojené s těmito podvody činí již více než 100 milionů korun,“ dodává.
Ukázka podvodné konverzace
Podvodníci získají z inzerátu vaši e-mailovou adresu nebo telefonní číslo a kontaktují vás prostřednictvím aplikací WhatsApp nebo Messenger s předstíraným zájmem o koupi inzerovaného zboží.
Během konverzace vás navádějí k tomu, abyste uhradili poplatek za přepravu zboží, kterou kupující (tedy podvodník) zajistí, a to přes platební bránu jimi domluveného dopravce. V odkazu na falešnou platební bránu, který vám ve zprávě zašlou, po vás chtějí vyplnit citlivé údaje o platební kartě včetně PIN, případně přístupové údaje do online bankovnictví včetně hesla a bezpečnostního kódu z autorizační SMS.
Díky získaným údajům se podvodník dostane do online bankovnictví, kde provede převod finančních prostředků na svůj bankovní účet nebo na základě zjištěných údajů z platební karty provede její tokenizaci a následně v bezkontaktním bankomatu vybere z vašeho účtu peníze.
Ukázka podvodné platební brány.
Podvodníci většinou pracují organizovaně a posílané zprávy jsou automatizované. Proto na inzerát přichází reakce téměř okamžitě po jeho vystavení. Několik skupin, které za účelem získání přístupových údajů do internetového bankovnictví poškozených vytvářely phishingové napodobeniny reálných webových stránek přepravních společností a bank, se v roce 2023 podařilo rozkrýt během mezinárodní operace RIP a VICTORY.
Podvodné e-shopy
Dalším trikem, který podvodníci na internetu využívají, je zakládání falešných internetových obchodů. Tam nabízí e-šmejdi zboží výrazně levnější než u „konkurence“, ovšem s jedním zásadním rozdílem – žádný balíček nedorazí, peníze ale z účtu zmizí rychle.
„Založí e-shop, vymyslí mu nějakou legendu a historii s tím, že nabízí zboží. V případě, že to zboží nebo více těch položek je zaplaceno, tak ho ruší a vytváří nový,“ uvedl pro SZ Byznys již dříve tiskový mluvčí policejního prezidia Jakub Vinčálek.
Jak podvodníkům nenaletět
1. Ověřujte identitu obchodníka
Než poskytnete jakékoliv údaje, ověřte si osobu, se kterou obchodujete.
2. Nesdílejte citlivé údaje
Nikdy neposkytujte své platební údaje nebo přístupy k účtům.
3. Ignorujte podezřelé odkazy
Nevyplňujte žádné údaje na stránkách, které vám zašle kupující, pokud nejde o ověřené platformy.
Tento typ podvodů je podle něj ale náročný na přípravu, protože je nejenom potřeba vytvořit falešné stránky, ale také získat nebo vytvořit kladné recenze, aby vypadal důvěryhodně a mohl potenciální oběti ukázat nějakou historii. „To je samozřejmě náročnější než klasicky reagovat na nějaké inzeráty nebo nabízet nějaké zboží, které pak neodpovídá popisu,“ dodává.
Jen letos v Česku výzkumníci Avastu odhalili přes 7500 falešných webů. Celosvětově jich zaznamenali dokonce téměř 80 tisíc. Upozorňují, že nejvíce jich přibylo v posledních měsících. V Česku podle Avastu podvodníci napodobují e-shopy známých značek, jako například Calzedonia, Tezenis, Zara, Puma, Roxy, Ryanair nebo Rieker, a z nakupujících se snaží vymámit osobní nebo finanční údaje.
Vyhněte se podvodným e-shopům
Máte-li pochybnost o tom, zda je e-shop, na kterém plánujete nakoupit, bezpečný, nebo na něm nakupujete poprvé a nejedná se o známý internetový obchod, vyplatí se jej pořádně prověřit. To je možné hned několika způsoby, pozor byste si měli dát na tyto věci.
Měl s tímto e-shopem problém někdo již dříve?
Můžete si zkontrolovat, jestli si na něj v minulosti již někdo nestěžoval. Vyhledat můžete e-shop podle jména například na stránkách České obchodní inspekce, kde se zároveň dozvíte, proč je prodejce veden jako nedůvěryhodný. Podobnou službu provozuje také spotřebitelská organizace dTest. Ta skrze stránku VašeStížnosti.cz jednak zprostředkovává dosažení dohody mezi spotřebiteli a podnikateli ve sporech, ale slouží také jako databáze pro online sdílení a řešení spotřebitelských problémů.
Kaiseršotová uvádí příklad, kdy falešnému internetovému obchodu naletěl jeden z klientů banky.
„Klient nakupoval zboží z www.notinoperfume.shop, následně nepřišlo žádné potvrzení objednávky. Po kontaktování reálného Notina mu bylo nejdřív sděleno, že objednávku neevidují, později zjistili, že platba byla provedena nikoli ve prospěch Notina, ale ve prospěch obchodníka https://luoowe.com,“ vysvětluje.
„Transakce v tomto případě byla ověřena ve 3DS – kdyby si klient býval přečetl info v RB klíči, viděl by, že potvrzuje platbu jinému obchodníkovi než Notinu. Opakovaně tedy zdůrazňujeme důležitost pečlivého sledování a čtení všeho, co klienti potvrzují,“ dodává Kaiseršotová.
Co dělat, když člověk podvodnému e-shopu přece jen naletí? Podle Vinčálka se řešení liší případ od případu. Záleží totiž na rozsahu podvodu a jeho následků. Na základě toho se pak případem může zabývat policie nebo třeba Česká obchodní inspekce.
„V některých případech se jedná o to, že se společnost a právnická osoba chovají jako špatný obchodník. To potom spadá do gesce mimo policii. V případě, že se jedná o podvod, tak to samozřejmě spadá do naší gesce a potom se tím zabývá policie,“ vysvětluje.
„Bohužel velmi často se podvodníci pohybují na hraně té trestněprávní roviny zákona, takže v některých případech se jedná o nekalé obchodní praktiky, takové ty klasické šmejdské praktiky a ne vždy to spadá do gesce Policie České republiky,“ dodává.
Kampaň #nePINdej!
- Patří k nejrozsáhlejším kampaním v oblasti kyberbezpečnosti u nás. Zapojily se jak orgány státní správy, tak klíčové firmy českého byznysu, jichž samotných nebo jejichž klientů se podvodné útoky také týkají.
- Kromě ČBA a Policie České republiky se kampaně zúčastnily i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), Balíkovna, O2, Visa, ČEZ, ČSOB, Česká spořitelna a Komerční banka.
Jak jsou na tom vaše znalosti základních principů bezpečného chování na internetu, si můžete vyzkoušet v online interaktivním kybertestu, který v rámci vzdělávací kampaně #nePINdej spustila Česká bankovní asociace.
Seznam Zprávy jsou mediálním partnerem kampaně #nePINdej.
