Článek
Prostřednictvím telefonu a počítače připraví podvodníci obyvatele Česka o miliony korun ročně. Seznam Zprávy v minulých dnech přinesly autentické nahrávky, které jejich metody názorně ukazují.
Připravit návod, který zaručeně ochrání každého, není v lidských silách. Redakce se o to pokusila alespoň částečně a spojila se proto s podplukovníkem Ondřejem Kaprem z Úřadu služby kriminální policie a vyšetřování Policejního prezidia ČR a předsedou Komise pro bankovní a finanční bezpečnost České bankovní asociace (ČBA) Petrem Barákem. Oba odborníci popsali své zkušenosti s tímto typem podvodů a dávají tipy, na co si dávat pozor.
Staronový hit: Falešná investice
„Podvody v online prostředí jsou na obrovském vzestupu. Je to trend současné doby,“ potvrzuje kriminalista. „Jedním z nejčastějších principů jsou podvody založené na možnosti investovat. Podvodníkům jde o to, aby lidé na něco klikli a nějakým způsobem investovali.“
V obětech se snaží vyvolat důvěru odkazem na známé osobnosti, jejichž jména zneužívají ve fiktivních novinových článcích, na banky nebo třeba velké společnosti. V momentě, kdy nabídka člověka zaujme a on na ni klikne, mají podvodníci zpola vyhráno.
„Jakmile útočník oběť kontaktuje, je těžké odolat. Je to velká psychologická hra, na kterou se bohužel nechá nachytat stále větší množství lidí a škoda bývá vysoká,“ vysvětluje Kapr. „Podvodníci využívají celou paletu prvků sociálního inženýrství, kterým vévodí důraz na přirozenou lidskou vlastnost, kterou je ziskuchtivost.“
Poté, co podvodník oběti zavolá, chce po ní zaplatit vstupní investici do příslušné platformy, jejíž hodnota se obvykle pohybuje mezi 5 a 6 tisíci. Podvodníci jsou ale podle policejního rady velmi zkušení v sociálním inženýrství a jejich cílem nejsou nízké tisíce. „Pachatelům jde hlavně o to, aby z vás vylákali další peníze. Statisíce až miliony,“ upozorňuje Kapr a dodává, že ani ukradené miliony nejsou nic neobvyklého.
Vžili jsme se do role podvedeného
Redaktor Seznam Zpráv Petr Juna a youtuber Jiří Burýšek se nechali naoko podvést stále oblíbenějším trikem falešné investice. Podívejte se, jak celý podvod probíhá.
Dalším krokem podvodníků u falešné investice proto bývá pokus o vzdálené připojení do počítače oběti. „Buď se dívají, jestli tam máte ještě další peníze,“ vysvětluje Petr Barák z ČBA, „což znamená, jde mu o to ještě něco získat.“ Jakkoliv to zní hrozivě, tato varianta je ten lepší scénář. „Pak je ještě varianta, že jakmile se na účet dostanou, chtějí ho mít pod svým vlivem. Aby klient nevěděl, co se s účtem děje,“ vysvětluje odborník.
Banka pošle oběti potvrzující zprávu a podvodníci ji přesvědčí, aby krok autorizovala. Netuší přitom, že potvrdila spárování mobilního zařízení útočníka jako autorizační prvek. Podvodníci poté například zkoušejí, zda se jim povede vzít si na jméno oběti půjčku nebo kontokorent. I proto podle ČBA narůstají škody na jednoho podvedeného průměrně do stovek tisíců korun.
Jak přitom Barák zdůrazňuje, neexistuje scénář, při kterém by se bankéř připojoval na dálku do klientova počítače.
Oba experti se shodují, že lidé často ani nevědí, že jsou podvedeni. Zjistí to až v momentě, kdy se pokusí peníze z platformy vybrat. „Jsou známy případy, kdy klient má pocit, že peníze se zhodnocují. Vidí grafy, jak to roste. Až v okamžiku, kdy požádá o výběr, zjistí, že není co. Že peníze dávno nemá,“ vysvětluje Barák.
Člověk ale může přijít ještě o další prostředky. „Oni jsou dokonce tak drzí, že řeknou: ‚Ano, my vám to vyplatíme, ale protože to je předčasný výběr, musíte zaplatit poplatek za zrušení.‘ Dál z nich tahají peníze,“ popisuje odborník. „Vytvářejí výmluvy, jako že peníze jsou zablokované a je potřeba něco dalšího zaplatit, nebo že jsou zadržené státním orgánem, který prověřuje jejich legálnost.“
Typické scénáře podle Petra Baráka
Vaše peníze jsou v ohrožení = Podvodník se vydává za pracovníka banky. Vyvolá strach na straně klienta tím, že mu tvrdí, že jeho peníze na účtu jsou v ohrožení a pokud je chce zachránit, je tady od toho, aby mu s tím pomohl, a je třeba jednat okamžitě.
Vaše peníze znehodnocuje inflace = Podvodník se vydává za investičního poradce banky / investiční společnosti. Nabízí buď jedinečnou možnost investovat a zhodnotit prostředky na účtu klienta, nebo sděluje klientovi, že se jeho předchozí investice, o které si navíc již sám klient myslel, že mu nic nevydělala, nečekaně zhodnotila a domlouvá s ním způsob jejího vyplacení. Pokud tomu klient uvěří, o své peníze přijde, a to i v druhém případě, kdy je výplata zhodnocené investice podmíněna úhradou nutných poplatků.
Snadný výdělek = Klient banky je vmanipulován do role takzvaného „bílého koně“, a to jako osoba, která za úplatu propůjčí svůj účet podvodníkům, kteří přes něj pak legalizují své příjmy z podvodů. Posílají si na takovýto účet odcizené peníze jiných klientů a jeho majitelem si je pak nechávají vybírat v hotovosti a vkládat například do bitcoinmatů – nakupují přes ně různé kryptoměny – nebo si nechávají posílat odcizené prostředky na jiné účty.
Bazarový prodej = Poté, co klient vystaví na některém bazarovém portálu svůj inzerát na prodej zboží, se mu obratem ozve na jeho telefon pachatel v roli zájemce o koupi zboží s tím, že požaduje umožnění úhrady prostřednictvím takzvané „bezpečné platby“.
Klient je nasměrován na falešné webové stránky, kde jsou od něj vyžadovány údaje k jeho platební kartě, a to včetně uvedení bezpečnostních prvků platební karty. Pokud klient toto vše vyplní, pachatelé ihned zadávají odchozí platby z jeho účtu s tím, že žádají od klienta pod záminkou, že mu již posílají peníze za zboží, aby jim tyto ve skutečnosti odchozí platby ze svého účtu potvrdil. Pokud klient nečte SMS autorizační zprávy ze své banky a jen potvrzuje to, co mu pachatelé říkají, autorizuje si tím sám podvodné platby a přichází o peníze.
Romance fraud = Nabídky na seznámení se s „důstojníkem US armády, lékařem v Africe, atraktivní dívkou ze zahraničí…“, kde je cílem z klienta vylákat postupně stále více peněz za různé nutné výdaje (celní poplatky, poplatky za letenku, poplatky za vyvázání se z vykonávané činnosti a podobně). Pokud tomu poblouzněný klient/klientka věří a platí, přichází o peníze.
Existuje bohužel velké množství osamělých lidí, kteří ani po upozornění bank, že se jedná o podvod (banka například již zná účet příjemce z minulosti a již ví, že je spojen s tímto typem podvodů), nedbají a peníze odešlou. Případně pokud banka sama peníze odmítne odeslat, jsou schopni si je převést na účet v jiné bance a odeslat je odtud, kde jim je banka ještě sama neodmítne odeslat.
Jako obranu před ztrátou peněz doporučuje kriminalista Kapr hlavně neinvestovat na platformách, které nejsou ověřené. Zároveň však zdůrazňuje, že není dobré spoléhat se jen na online recenze, které se dají zfalšovat.
„Nenechte se zlákat lacinou reklamou, falešnými recenzemi a slibem zaručeného zisku, který je bez rizika,“ radí. „Investování je vždy riziková záležitost a každý nese sám odpovědnost za své kroky. Navíc v těchto případech vlastně nejde ani o investici, protože peníze posíláte přímo na účet ovládaný pachatelem nebo si je prostě podvodník převede sám.“
Ondřej Kapr také varuje před přehnanou důvěrou ve své schopnosti. „Četl jsem studii, že těmto podvodům často naletí člověk, který je vzdělanější, inteligentnější,“ upozorňuje. „Jde o to, že víc důvěřuje svojí intuici. Naopak člověk, který v životě zažil zklamání, si může říct, že by zase naletěl.“
Není bankéř jako bankéř
Dalším aktuálním hitem mezi podvodníky je telefonát, ve kterém se oběť dozvídá, že její účet byl napaden a že má peníze převést jinam.
Telefonní číslo skutečně odpovídá tomu, které banka používá. Útočníci posílají i oficiálně vypadající dokumenty, aby zvýšili svou důvěryhodnost. S použitím těchto nástrojů pak manipulují obětí, aby jim pod silným psychickým tlakem sama peníze dobrovolně poslala.
„Mají hlavičkový papír dané banky a mají napsáno, že jde o bezpečný účet pro ochranu peněz,“ popisuje Barák. „Je to vytvořené jen proto, aby to vzbudilo dojem, že je všechno v pořádku.“
Jakmile ale člověk peníze pošle, může se s nimi rozloučit.
Jinou variantou stejného podvodu je, že podvodníci donutí oběť vybrat všechny své prostředky a pošlou jí adresu bitcoinového bankomatu, kam má finance vložit. Barák se tak v praxi setkává s až neuvěřitelnými příběhy. „Zavolali paní, ne úplně seniorního věku, z Pardubic, nebo Hradce, která tomu uvěřila,“ vzpomíná na konkrétní podvod. „Řekli jí, že peníze bude muset vložit do konkrétního bitcoinmatu. Věděli, kde bydlí, tak jí řekli, ať jede, dejme tomu, z Hradce do Pardubic. Tak se domluvila se synem, peníze vybrala a syn ji odvezl do Pardubic. Rozleželo se jim to v hlavě až poté, co peníze vložili do bitcoinmatu.“
Autentická nahrávka: Jak probíhá podvod
Psychický nátlak, vyhrožování i falešná nabídka pomoci. Poslechněte si, co všechno zažívají oběti vishingu.
U tohoto typu podvodu je ideální pamatovat na to, že postup, který praktikují podvodníci, by skutečná policie ani banka nezvolily. Všechno je navíc možné řešit i osobně, takže před jakýmkoliv zásadnějším krokem je dobré jít na pobočku banky nebo policie a zeptat se, jestli se nejedná o podvod.
Útoků přibývá, banky sází na prevenci
Útoků v kyberprostoru výrazně přibývá. Podle České bankovní asociace se devět z deseti organizací dotázaných Národním úřadem pro kybernetickou bezpečnost v roce 2021 setkalo s phishingovým útokem nebo pokusem o něj. Pokus o útok zaznamenalo také 81 % bankovních institucí. Počet útoků na klienty bank se pak za dva roky zečtyřnásobil.
Banky se proto ve spolupráci s policií rozhodly ještě více zaměřit na prevenci. Jako příklad může sloužit nedávno spuštěný edukativní projekt nePINdej, který má problematiku přiblížit a naučit lidi, jak se nestat obětí podvodu. Součástí toho je například online hra kybertest, kde si mohou lidé vyzkoušet, jestli by před útočníky obstáli.
Více o kyberútocích na klienty bank
Detailně se kyberútokům v bankovnictví věnovaly Seznam Zprávy například v tomto článku:
Podle Lukáše Kropíka z České spořitelny existuje několik rad, které je dobré si pamatovat. Například jde o kontrolu telefonního čísla, ze kterého někdo volá. Není to sice stoprocentní zbraň, ale na internetu je možné dohledat, jestli s volajícím měl někdy někdo v minulosti negativní zkušenost.
„Nikdy do telefonu nesdělujte citlivé a bezpečnostní údaje, jako jsou třeba bezpečnostní údaje k internetovému bankovnictví (vaše ID a heslo, datum narození) nebo ke kartám (číslo karty, platnost karty, PIN, třímístný kód CVV/CVC z její zadní strany),“ vypočítává dále Kropík. „Chráníte tím především své peníze.“
Upozorňuje také na to, že člověk by nikdy neměl předávat bezpečnostní kód z SMS a v rámci dvoufaktorového ověření neměl potvrzovat něco, co nedělá on sám.
„Některé banky již nyní pracují na možnosti ověření, zda vám skutečně volá zaměstnanec banky,“ vysvětluje Kropík. „Například Česká spořitelna během podzimu umožní v bezpečností aplikaci George klíč u všech příchozích hovorů z banky jednoduše ověřit, zda volá skutečný bankéř. Již od jara letošního roku tuto funkcionalitu testuje na vybraných call centrech.“