Jak z obětí vylákat peníze? Podvodníci milují klasiku, ale rychle se učí

Útočníci v kyberprostoru jsou stále vynalézavější. Uživatelé se pravidelně setkávají s novými typy útoků, přesto největší hrozbou online prostředí zůstává ověřená klasika – phishing.

„Mezi nejčastější podvody stále patří zejména plošné phishingové kampaně, které se snaží využít nepozornosti uživatele a přimět jej kliknout na škodlivý odkaz,“ říká mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lenka Soukupová.

Útočníci podle manažera bezpečnosti UniCredit Bank Vojtěcha Hájka metodu, jejímž cílem je vylákat přístupové údaje do internetového bankovnictví oběti a ukrást jí peníze, neustále vylepšují a přizpůsobují aktuálním trendům, což z ní dělá efektivní nástroj pro manipulaci s uživateli.

„Vzhledem k tomu, že tyto útoky cílí na lidskou chybu, zůstávají velmi účinné. Tato varianta útoku je navíc pro útočníky velmi levná, a proto cílí na velký počet potenciálních obětí,“ upozorňuje Vojtěch Hájek.

V současnosti je podle dat experta z UniCredit Bank jedním z nejproblematičtějších typů phishingu právě ten, který se zaměřuje na bankovní a finanční služby, kde útočníci imitují autentické e-maily nebo SMS zprávy od bank a jiných institucí.

Phishingové útoky ale v posledních letech neproudí pouze prostřednictvím e-mailových schránek. Podle NÚKIB jsou naopak stále nebezpečnější kombinace forem phishingu pomocí SMS a volání, tedy takzvaného smishingu a vishingu.

„Různé formy phishingu se vyvíjejí, nicméně jádro hrozby, tedy zneužití nepozornosti a vyvolání časového tlaku, zůstává stejné. V současnosti zaznamenáváme nárůst případů s velmi nebezpečným modem operandi, a to kombinací podvodné SMS zprávy a podvodného telefonátu,“ popisuje mluvčí úřadu Soukupová.

Aktuálním případem, kterým se už zabývá také policie, jsou pokusy útočníků vylákat citlivá data se záminkou zaplacení pokuty například za rychlou jízdu.

„Muže telefonicky kontaktoval podvodník z neznámého čísla, který mu sdělil, že překročil povolenou rychlost a nyní musí zaplatit pokutu,“ vysvětluje komisařka Krajského ředitelství policie Kraje Vysočina Michaela Lébrová. „Po telefonickém hovoru obdržel muž ze stejného čísla SMS zprávu s odkazem na webové stránky, které mají sloužit k úhradě pokuty,“ popsala s tím, že podvod stál oběť 700 tisíc korun.

A situace se zhoršuje, rostoucí trend v tuzemsku hlásí data České bankovní asociace – jen za prvních devět měsíců letošního roku bylo napadeno 65 774 klientů bank, loni to bylo za stejné období 48 452.

„Falešný telefonát je nejrizikovější formou kybernetického podvodu. Je úspěšnější než například plošné rozesílání e-mailů, působí totiž věrohodněji,“ upozorňuje na riziko takzvaného vishingu Michal Straka, analytik agentury Ipsos, která pro Českou bankovní asociaci průzkum realizovala.

Oprávněné obavy z kybernetických útoků, které se snaží z uživatelů vylákat citlivé údaje pomocí podvodných odkazů v e-mailech, SMS nebo prostřednictvím volání, by podle odborníků měli mít nejen individuální uživatelé, ale také firmy.

Podle NÚKIB totiž v poslední době v tomto odvětví dostává větší prostor takzvaný CEO podvod.

„Útočníci při něm napodobují konkrétního nadřízeného zaměstnance v rámci nějaké společnosti. Typicky se pak snaží například autorizovat falešné platby. Při tom mohou být využity některé nástroje umělé inteligence, například ke snaze napodobit hlas či videozáznam imitované osoby,“ popisuje mluvčí úřadu Lenka Soukupová.

„Jedná se sice o méně častý útok, NÚKIB je však eviduje a nelze vyloučit, že se jejich počet bude zvyšovat,“ dodává.

Že útočníci stále častěji míří na zaměstnance firem, kteří mají přístup k citlivým datům, finančním transakcím nebo systémovým oprávněním, potvrzuje také společnost Itego, která firmám IT řešení dodává.

„Takové útoky mohou mít za následek finanční ztráty, úniky dat nebo narušení provozu,“ upozorňuje marketingový manažer Jakub Kotál.

Útočníci se snaží získat přístupy k penězům lidí či firem také prostřednictvím QR kódů. O úspěchu phishingových útoků ve všech svých podobách svědčí data Microsoftu, který ve svém nejnovějším Digital Defense Reportu mapoval aktuální situaci v oblasti kyberbezpečnosti. Konkrétně QR kódy tvoří na celkových pokusech celou čtvrtinu.

Firem, které si uvědomují rizika a aktivně se věnují jejich minimalizaci v této souvislosti, podle Kotála rychle přibývá. „Bohužel nutno říct, že velmi často se tak stane až po nějaké negativní zkušenosti,“ říká.

„Je důležité, aby uživatelé/zaměstnanci uměli využívat všechny dostupné bezpečnostní prvky, jako jsou silná hesla, šifrování dat, vícefaktorové přihlašování, a hlavně by pak ve firmě měly probíhat bezpečnostní audity, které se zaměřují na odhalování slabých míst IT infrastruktury,“ dodává odborník z Itega.

Jak jsou na tom vaše znalosti základních principů bezpečného chování na internetu, si můžete vyzkoušet v online interaktivním kybertestu, který v rámci vzdělávací kampaně #nePINdej spustila Česká bankovní asociace.

Seznam Zprávy jsou mediálním partnerem kampaně #nePINdej.