Článek
„Kdo se na tohle může nachytat?“ říkáte si možná při čtení zpráv o různých on-line podvodech, kterými útočníci kradou peníze. Při zběžném popisu to často skutečně vypadá, jako že jde o mimořádně „průhledné finty“. To je ale součást toho, proč jsou tyto útoky tak často úspěšné. Když budeme v hlavě nosit představu, že kyberútoky jsou snadno rozpoznatelné a odhalitelné, zvyšujeme šanci, že útočníkům sami sedneme na lep.
Pojďme se tedy na celou problematiku podívat z druhé strany. Přinášíme analýzu několika klasických fíglů a jejich novějších variant. Podíváme se, proč jsou tak úspěšné, jak manipulují lidskou psychiku a jak se jim můžete bránit.
„Zachraňte svůj účet v bance“
Začneme aktuálním fíglem, na který v dubnu upozornila i Policie ČR. Útočníci cílí na mladší i starší lidi, kteří mají své peníze uložené v českých bankách: „Dobrý den, mluvím s panem XY? Volám z vaší banky, došlo k napadení vašeho účtu a hrozí, že byste mohl přijít o své uložené peníze.“ Taková věta může pochopitelně vyvolat paniku i u jinak rozvážných lidí. Následně útočník vysvětlí, že peníze nyní nejsou na napadeném účtu v bezpečí a bude lepší je převést jinam, samozřejmě na číslo účtu, které vám útočník rád nadiktuje a celým procesem vás trpělivě provede.
Tento útok je účinný i díky formě telefonního hovoru. Tento typ útoku – anglicky se mu říká vishing, tedy voice phishing – je pro útočníky časově náročnější, ale o to efektivnější.
Fígl je v tomto případě variace na klasickou taktiku „zloděj volá, chyťte zloděje“. Tím, že nám útočník přímo od začátku říká o hrozbě útoku, minimalizuje naši přirozenou podezřívavost.
Dále se všemi způsoby snaží vyvolat dojem časové tísně a potlačit tak jakékoli naše pochybnosti o jeho dobrých úmyslech. Vždyť se nám jen snaží pomoci ochránit naše peníze… Pocit časové tísně je mimochodem jeden z nejčastějších faktorů, protože pod tlakem náš mozek spíše udělá unáhlené a iracionální rozhodnutí.
Kriminalisté v celé ČR řeší desítky případů tzv. vishingu a spoofingu, což jsou metody sociálního inženýrství, které podvodníci používají k tomu, aby z lidí vylákali peníze. Poškozených jsou desítky a souhrnné škody v řádech milionů Kč.
— Policie ČR (@PolicieCZ) April 23, 2021
Více info 👇👇https://t.co/1ADnYT2tT7
Volající podle policie vystupují profesionálně a mluví perfektní češtinou. Ve všech ohledech se snaží připomínat fungování skutečného call centra, včetně napodobení čísel skutečných call center banky.
„Navíc jsou velmi výmluvní, využívají sociálního inženýrství. Zaútočí přes ten okamžitý šok: Teď vám napadli účet, rychle si peníze převeďte!“ popsal pro Seznam Zprávy taktiku útočníků Ondřej Moravčík z odboru komunikace a vnějších vztahů Policie ČR. Pak napadenému ještě z jiného čísla zavolá někdo, kdo se představí jako policista, a celý příběh potvrdí a opět vyzve k převodu peněz.
„V tu chvíli lidé ztrácí zábrany a své peníze převádějí, často dokonce na účet jiné banky než svojí. Když se o tom pak zpětně dozvědí, diví se, jak mohli být tak důvěřiví a naletět. Ale naletěla na to spousta lidí.“
Proč fígl funguje?
Využívá obav oběti o finanční prostředky. Útočník využívá zdánlivého potvrzení z úst „autority“ (banka, policie). Klíčový je pak dojem časového tlaku: oběť nemá čas se poradit, je na ni vyvíjen tlak, aby jednala co nejrychleji.
Jak se bránit?
Rada je zdánlivě jednoduchá: Nevěřte příchozím hovorům, textovým zprávám ani e-mailům. To vše lze totiž podvrhnout. Raději jděte na oficiální stránky banky a zavolejte na uvedenou infolinku. To samé u policie nebo jakékoli jiné instituce. Nevyžádané příchozí komunikaci zkrátka nevěřte.
Věty, které by měly vzbudit vaši ostražitost: „Váš účet byl napaden.“ „Převeďte peníze do bezpečí.“ „Musíte jednat rychle.“
„Vaše zásilka je na cestě“
Útočníci dobře využívají aktuální situace, a té nyní celosvětově už rok dominuje covidová pandemie. To znamená mimo jiné nárůst on-line nakupování a tedy i zvýšené množství zásilek, které si lidé nechávají posílat domů.
Pokud tedy ve schránce najdete upozornění na „zásilku na cestě“, je pravděpodobné, že skutečně v tu dobu nějakou tu zásilku čekáte. Možná dost netrpělivě. A této netrpělivosti útočník využije ke snížení vaší přirozené ostražitosti.
„Nemůžeme vám doručit váš balíček, protože jste nezaplatil clo ve výši jedné koruny deseti haléřů,“ využívá útočník jak naší nedočkavosti, tak sdílené zkušenosti s často absurdními formalitami České pošty a dalších doručovacích společností. I proto řada lidí klikne na odkaz, aby zanedbatelný obnos rychle zaplatila.
Jenže odkaz nevede na oficiální stránky, ale na stránky falešné. Rozdíl lze poznat například pozornějším pohledem na adresu (URL), ale ve spěchu to uživatel snadno přehlédne. A v následující minutě už uživatel místo platby 1 Kč odevzdá údaje ke své platební kartě útočníkům.
Falešná doručenka patří nyní k nejoblíbenějším typům útoku i globálně: „Nejčastěji jsou při phishingových útocích zneužívané značky technologických organizací, následují dopravní společnosti a banky vystřídaly na třetím místě maloobchod,“ uvedl Petr Cícha, mluvčí bezpečnostní firmy Check Point, která jednou za čtvrt roku publikuje přehled značek nejčastěji zneužívaných pro phishing (zde pro jaro 2021).
„Útočníci přizpůsobují své techniky a taktiky a reagují na prudký nárůst online plateb a s ohledem na koronavirovou pandemii celkově větší závislost na online bankovnictví, nakupování a doručování.“
Proč fígl funguje?
Je velká šance, že někdo z adresátů hromadně rozesílaného mailu skutečně bude očekávat balíček. Tím útočník vytváří dojem, že jde o očekávanou zprávu, nikoli spam. Dále je uvedena až legračně nízká částka k zaplacení, což snižuje ostražitost.
Jak se bránit?
Neklikejte na odkazy v mailu. Místo toho jděte přímo na stránky dané instituce, a to tak, že její adresu napíšete do prohlížeče. A v žádném případě nezadávejte údaje ke své platební kartě, dokud si nejste zcela jisti tím, že jste na správné, zabezpečené a oficiální stránce.
„Já si k tobě pošlu kód“
Internetové bankovnictví je obvykle chráněno nejen vaším jménem a heslem, ale pro potvrzení všech důležitých operací je potřeba také druhý ověřovací faktor, nejčastěji zadání ověřovacího kódu z textové zprávy. To vypadá jako spolehlivé zabezpečení, které nemůže obejít nikdo, kdo nemá jak vaše heslo, tak váš telefon. Ale i s touto překážkou si útočníci – za vydatné a ochotné asistence oběti – umí poradit. Využívají k tomu známou lidskou slabost: ochotu pomáhat.
Jak to funguje? Útočník využije identity někoho z okolí oběti, například pomocí hacknutého facebookového účtu. Oběť tak myslí, že pomáhá kamarádce v nouzi, ale místo toho útočníkům dá přístup ke svému účtu.
„Jsem na účtu v mínusu, poslal bys mi prosím 30 Kč?“ přijde oběti zpráva na chat (příklad pochází z převyprávěné reálné situace). Protože jde o dobrou kamarádku a malou částku, nemá adresát problém pomoci. Kamarádka rychle vyzví, u které banky má oběť účet, a bude tvrdit, že ona tu platbu potřebuje poslat do jiné banky. Ale má řešení: odkaz na web, který prý umí expresní platby. Tím ale přes phishing získá přihlašovací údaje oběti. Jenže stále jí chybí ověřovací kód. Co s tím?
„Hele, já si to nakonec pošlu ze svého spořícího účtu, ať mi to nemusíš posílat. Mně ale nějak nefunguje posílání těch kódů, můžu si to poslat k tobě na číslo?“ napíše kamarádka/útočník. Oběť je ráda, že nemusí posílat peníze, a obdrženou potvrzovací SMS přepíše do chatu. Tím právě potvrdila přenos statisícové částky ze svého účtu. A ještě má dobrý pocit, že pomohla kamarádce…
Prozaičtější a méně komplikovaná varianta spočívá v tom, že vám přijde ověřovací kód (například žádost o reset hesla) následovaná zprávou „Promiň, omylem jsem si poslala kód na tvoje číslo, můžeš mi jej přeposlat?“ Samozřejmě i zde platí: v žádném případě nepřeposílat ověřovací kód. Pokud jste to udělali, právě jste se vzdali kontroly nad svým účtem.
„V případě phishingu a jiných podvodných e-mailů cílících na naše klienty odhadujeme počet pokusů na desetitisíce ročně,“ uvedl pro SZ Jakub Ptáčník, bezpečnostní analytik banky Moneta.
„Úspěšných případů, kdy došlo k odcizení přihlašovacích údajů nebo údajů o platebních kartách pak, evidujeme řádově stovky. Útočníci obvykle útočí plošně (tzv. shotgun approach, tedy brokovnicový přístup, pozn. red.) a čekají, kdo se chytí. Obětí se však zpravidla stanou důvěřivější, méně technicky znalí klienti.“
Proč fígl funguje?
Lidé chtějí pomáhat, zvláště svým blízkým. Tím, že se útočník vydává za někoho blízkého, dokáže obejít téměř veškerou opatrnost. Je totiž nanejvýš nepohodlné požadovat po někom blízkém ověření toho, že je to opravdu on.
Jak se bránit?
Udělejte tu nepohodlnou věc a ověřte, zda ta osoba, která s námi komunikuje a chce pomoci, je skutečně tou, za koho se vydává. Ideálně zavolat. Hlas někoho, koho znáte, pravděpodobně útočník nenapodobí.
Obecně hlavně platí, že ověřovací kód nikomu a nikdy nepřeposílejte.
„V současné době jsou útoky sofistikovanou kombinací analýzy ukradených dat, psychologických triků a vhodného načasování. Je to sázka na pravděpodobnost. Čím více o vás útočník ví, tím větší šanci má vás zaskočit ve slabý okamžik a vymámit z vás přístupové údaje,“ popisuje Petr Barák, předseda Komise České bankovní asociace pro bankovní a finanční bezpečnost.
Klienti by si podle něj měli uvědomit, jak ve skutečnosti banky fungují: „Banky přihlašovací údaje, PINy ani údaje z platebních karet od klientů nikdy nevyžadují. Stejně tak neposílají v mailech, SMS ani jinak odkazy na stránky, kam mají klienti tyto údaje zadávat. Údaje nikomu na vyzvání neposkytujte a urychleně kontaktujte svou banku – můžete tak pomoci někomu, kdo již tak obezřetný jako vy nebude.“
„Pomůžu vám to napravit na dálku“
Kombinací skoro všech výše zmíněných fíglů je nedávno odhalený podvod, který je zatím rozšířený například v USA. Začíná buď e-mailem, nebo telefonátem s následujícím sdělením: „Z vaší kreditní karty jsme strhli 200 dolarů za objednávku předplatného. Pokud jste tuto transakci neprovedli vy, zavolejte na toto bezplatné číslo a peníze vám vrátíme.“
Pokud se někdo na tuto vějičku chytí, dovolá se do profesionálního call centra podvodníků. Ti oběti vysvětlí, že pomohou na dálku vyplnit žádost. Ve skutečnosti ale oběť provedou instalací programu typu AdyDesk nebo TeamViewer, která dá útočníkovi kompletní přístup k dálkovému počítači oběti, a to s jejím svolením. Společně se pak přihlásí do on-line bankovnictví. Útočník nechá oběť, aby na speciální (a zcela fiktivní) stránce vyplnila žádost o vrácení peněz.
A teď ten fígl: protože má útočník na dálku přístup ke klávesnici uživatele, upraví při vyplňování posílanou částku. Když oběť píše 200 dolarů, přiklepne k tomu dvě nuly a částku potvrdí. „To snad ne, vy jste si poslala 20 tisíc dolarů,“ vyhrkne útočník s předstíraným zděšením. „Ale zachovejme klid, třeba ještě nepřišly na váš účet!“
Jenže útočník mezitím několika primitivními – ale pro laika naprosto nepostřehnutelnými – triky upraví webovou stránku internetového bankovnictví oběti. Přidá sem řádek s příchozími 20 000 USD. Když se tedy oběť podívá na svůj účet, vidí, že tyto peníze sem dorazily (ve skutečnosti samozřejmě žádné peníze nikam neputovaly).
Operátor pak využije pocitu provinění a přesvědčí oběť, aby peníze co nejrychleji vybrala v hotovosti a poslala mu je, jinak přijde o práci a bude muset škodu zaplatit ze svého. Protože jde o vysokou částku (v přepočtu skoro půl milionu korun), oběť často zpanikaří. Nechce operátorovi způsobit škodu, peníze vybere a pošle v hotovosti.
Proč fígl funguje?
Tento typ podvodu pracuje s postupným stupňováním tlaku. Nejprve má oběť pocit, že jí bylo ukřivděno a dělá vše, co je jí řečeno, aby se dostala ke svým penězům. Fígl spočívá ve zdánlivém obrácení situace: oběti je vnucen pocit, že někoho poškodila a neoprávněně se obohatila na cizí účet. To vede oběť k zoufalé snaze domnělou chybu napravit.
Jak se bránit?
Rozhodně na svůj počítač neinstalujte nějaký neznámý program jen proto, že vám to radí neznámý člověk po telefonu. Dáváte tím cizím lidem vstup do svého počítače. Dále si dávejte pozor, zda vás někdo nemanipuluje ve snaze dostat vás do pozice dlužníka.
„Nechcete, aby to vaše rodina viděla“
Celkem častým trikem zůstává nevyžádaná e-mailová či chatová zpráva, která obvykle začíná nějak takto: „Do vašeho počítače jsem nainstaloval skrytý software a již nějakou dobu sleduji, co děláte on-line. Aktivoval jsem také vaši webovou kameru a nahrával jsem vás, když jste u počítače.“
A útočník využívá toho, že řadu lidí v tu chvíli napadne velmi konkrétní moment, ve kterém by u svého počítače nechtěli být natočeni. Nenechává je na pochybách o tom, že právě v této situaci je nejen natočil, ale dokonce si dal tu práci a vytvořil video, které ukazuje zároveň to, co sledujete, i to, co u toho děláte. Tomuto typu podvodu se proto říká sextortion (ze slov sex a extortion, tedy sexuální vydírání).
„Toto video pošlu vaší rodině, všem vašim přátelům a kolegům,“ pokračuje útočník, ale pak dodává. „Věřím, že se dohodneme. Pokud mi pošlete určitý obnos, zapomenu na to a video smažu.“ Poté požaduje platbu v bitcoinech na konkrétní adresu. Dodává i časovou lhůtu: „Jinak pošlu video vašich hrátek všem vašim kolegům, přátelům a příbuzným!“
Proč fígl funguje?
Tento jednoduchý podvod je velmi nenáročný na přípravu, která spočívá v podstatě jen v rozesílání nevyžádané pošty. Útočník spoléhá na to, že se strefí do schránky někoho, kdo skutečně odpovídá profilu „dělal před webkamerou choulostivé věci“. A správně předpokládá, že pocit hanby a strach z veřejné potupy může převážit nad opatrností.
Jak se bránit?
Takovou zprávu označte jako spam a smažte. Neodpovídejte a neplaťte.
Náš výčet rozhodně není kompletní. Slouží spíše jako ukázka širokého spektra technik, které útočníci využívají. Za povšimnutí každopádně stojí, že některé psychologické taktiky jsou až nápadně podobné:
Časová tíseň: Útočník se snaží u oběti vyvolat pocit urgence a nutnosti rychlé reakce. Oběť ve snaze reagovat okamžitě zapomene na zásady opatrnosti.
Obavy ze ztráty peněz: Lidé vědí, že jim na internetu může hrozit nebezpečí, a jsou opatrní. Paradoxně ale právě této opatrnosti mohou útočníci využít k tomu, aby se vetřeli do vaší pozornosti.
Odkaz na autoritu: Útočníci se pomocí různých triků vydávají za policii, daňový úřad, banku a další známé značky či firmy. Cílem je snížit nedůvěru oběti a vynutit si její poslušnost.
Tlak na city: Nezřídka využívají útočníci celou škálu emocionálních útoků, od romantiky přes žádosti o pomoc až po vydírání.
Tyto společné rysy zůstávají, přestože konkrétní podoba útoků se mění. A proto je vhodné naučit se rozpoznávat spíše tyto obecné taktiky a metody než konkrétní scénáře podvodu. Používáme sice ke komunikaci stále sofistikovanější internetové nástroje a šifrované ověřovací kódy. I tak jsme ale schopni stále naletět na podvody, které jsou jen moderními variantami věky ověřených podvůdků.