Článek
Článek si také můžete poslechnout v audioverzi.
V e-mailu se špatnou češtinou psalo: „Aktualizujte prosím své platební údaje. Máme nějaké potíže s vašimi aktuálními údaji. Zkusíme to znovu, ale mezitím možná budete chtít aktualizovat své platební údaje. Jakmile budou tyto údaje aktualizovány, můžete si nadále užívat Netflix.“ A následoval odkaz.
Už na druhý pohled si lze všimnout podezřelé adresy, z které je e-mail odeslán. A taky lámané češtiny. Jenže při množství pošty, které průměrný člověk dostává, a při troše nepozornosti se snadno stane chyba: „Nesoustředil jsem se, pořádně mail ani nepřečetl, přestože znaků, že se jedná o podvod bylo dost. E-mailová adresa, nezvyklá slovní spojení, větné konstrukce. Moje hloupost, spoustu podobných mailů jsem ani neotevřel nebo hned smazal,“ popisuje Filip.
Asi jsem naletěl
„Odkaz na prodloužení předplatného na Netlixu jsem rozkliknul, požadovali údaje o kartě, tak jsem je zadal,“ pokračuje klient České spořitelny. Pak přišla žádost o potvrzení na Filipův mobil. „Chtěli, abych potvrdil v aplikaci banky platbu ve výši 120 kanadských dolarů, to mi přišlo divné, nepotvrdil jsem to. Ale přišlo to znova a já znovu nepotvrdil. Šel jsem na stránku Netflixu a tam jsem zjistil, že jsem asi naletěl a považoval jsem to za vyřízené.“
Jenže číslo karty a její přístupové údaje si už podvodníci stačili zkopírovat. „V pondělí mi volali z České spořitelny, jestli jsem udělal platbu ve výši 690 eur za wellness ubytování ve Francii. Což jsem neudělal. Navíc se prý někdo v Istanbulu pokoušel vložit mou kartu do walletu na svém iphonu,“ vysvětluje majitel zneužité platební karty.
Nejjednodušší způsob, jak nachytat dušičky
Banka konstatovala, že jde o evidentní zneužití karty. Podle experta na kyberbezpečnost Jana Dachovského z České spořitelny jde o klasický phishing: „Je to příslovečné rybaření, je to nejjednodušší způsob, jak nachytat dušičky. Není za tím moc invence,“ uvedl pro SZ Byznys.
Spořitelna kartu okamžitě zablokovala, a když se platba zaúčtovala, banka s klientem problém dořešila na pobočce. O svých v přepočtu 17 000 korun Filip nepřišel. Transakci vyreklamoval jako podvodnou. „Do večera peníze vrátili,“ uzavírá.
Když je potvrzeno, že jde o phishingový útok, banky klienty zpravidla odškodní, nejdříve ze svého. Transakci následně reklamují přes karetní asociace a své peníze dostanou nakonec zpět od obchodníka, který částku zaúčtoval.
Jak funguje phishing? A jak se bránit?
Anglický novotvar phishing označuje oblíbenou techniku internetových útočníků a zločinců. Má mnoho podob a forem: Může jít o e-mail tvářící se jako upozornění na nedoplatek, zprávu varující, že byl zablokován váš účet, nebo třeba SMS od zájemce o bazarové zboží.
Cíl je ale vždy stejný: Dostat oběť na falešnou internetovou stránku, která se tváří jako oficiální web důvěryhodné instituce. Pokud sem oběť zadá své přihlašovací údaje nebo číslo karty, útočník je má okamžitě k dispozici a může je zneužít. V ohrožení jsou tak nejen soukromá data, ale často i finanční prostředky.
Jak se bránit? Nejdůležitější je být ostražitý a neklikat na odkazy z neznámých zdrojů. Pokud po vás nějaká stránka chce přihlašovací údaje, heslo nebo číslo kreditní karty, vždy raději dvakrát zkontrolujte, že jste skutečně na stránce dané instituce.
Pozor si dejte zejména na „podobné“ domény, které například zaměňují malé písmeno M za písmena RN (m – rn), nebo písmeno L za číslici jedna (l – 1). Často také nesedí národní doména (.cn místo .cz apod.). Jasným varovným signálem je i přeškrtnutý nebo červený zámek vlevo vedle adresy v adresním řádku, který signalizuje, že komunikace neprobíhá po zabezpečeném kanále.
Kdykoli po vás někdo – třeba i váš dlouhodobý známý – žádá o nějaké přeposlání kódu, zpozorněte. Chtějte s ním mluvit (textová komunikace může být podvržená). Pokud se někdo vydává za zástupce banky, zavěste a místo toho zavolejte do své banky. Pokud se někdo vydává za zástupce policie, požádejte o identifikační údaje a zavolejte na policii, abyste ověřili pravost.
Další varovné signály, které mohou (ale nemusejí) phishing provázet:
- Podivná gramatika, lámaná čeština,
- zprávy jsou velmi neurčité a vágní,
- zpráva se snaží vyvolat dojem urgence,
- zpráva obsahuje oslovení vaším jménem získaným z vaší e-mailové adresy.
Nikdy neklikejte na přílohy ani na odkazy v takovýchto e-mailech. Pokud jste již klikli, požádejte o pomoc odborníka nebo firemní IT podporu. V případě napadení je také vhodné zavolat do banky a změnit svá hesla.
Phishingové útoky v posledních měsících prakticky neustávají. Nedávno tu byly podvodné e-maily, které se vydávaly za Českou poštu či DHL. „Přes 90 % útoků je neúspěšných. Jsou desítky případů ročně, kdy jim to vyjde. Jedním e-mailem zasáhnete miliony lidí, ale stačí vám, když se chytnou dva, tři lidi,“ vysvětluje Dachovský.
Nikomu neříkejte údaje z karty. Banka je nikdy nechce
Základní pravidlo, jak se vyluxovanému účtu vyhnout, je jednoduché: „Nikdy nikomu nesdělujte přihlašovací údaje ke kartě ani k internetovému bankovnictví, žádná skutečná banka ani bankéř je po vás nikdy nechce,“ radí Filip Hrubý, tiskový mluvčí České spořitelny. Od věci není jednat rychle. V určitých případech jde blokace částky ještě pozastavit.
Princip phishingových útoků zůstává stejný. Klient v dobré víře sám podvodníkům číslo karty i CVC kód poskytne. Tzv. dvoufázové ověření, které si požadavek na platbu ještě ověřuje přes mobil, je povinné jen u online nákupů v Evropské unii. Řada amerických nebo asijských e-shopů s ním nepracuje.
Jak takové dvoufázové ověření funguje? „Potřebujete číslo karty a CVC kód. Pak je potřeba platbu ověřit. Dáte potvrdit a obchodník ověří, že jste to vy, to je to potvrzení v klíči. Když mu banka řekne: ‚Ano, je to on, můžete si to naúčtovat,‘ tak paralelně obchodník pošle platbu do ověření a tím dojde k zaúčtování,“ vysvětluje Jan Dachovský.