Článek
Prodávali jste někdy něco na inzertních serverech? Potom si mohli podvodníci vyhlédnout i vás a vylákat podvodem vaše peníze. Přestože se jedná o celkem nový druh podvodu, internetoví uživatelé se s ním setkávají stále častěji.
Princip tohoto podvodu je jednoduchý. Podvodník získá z inzerátu e-mail nebo telefonní číslo uživatele a kontaktuje ho, většinou prostřednictvím aplikací WhatsApp nebo Messenger s předstíraným zájmem o koupi inzerovaného zboží. Během konverzace ho navádí k tomu, aby uhradil poplatek za přepravu zboží, kterou kupující (v tomto případě tedy podvodník) zajistí, a to přes platební bránu jím domluveného dopravce. V odkazu na falešnou platební bránu, který uživateli ve zprávě zašle, po něm chce vyplnit citlivé údaje o platební kartě včetně PIN, případně přístupové údaje do online bankovnictví včetně hesla a bezpečnostního kódu z autorizační SMS.
Díky získaným údajům se podvodník dostane do online bankovnictví oběti, kde provede převod finančních prostředků na svůj bankovní účet, nebo na základě zjištěných údajů z platební karty provede její tokenizaci a následně v bezkontaktním bankomatu vybere z účtu peníze. Tak popisuje podvod krok za krokem Česká bankovní asociace.
Kampaň #nePINdej!
- Patří k nejrozsáhlejším kampaním v oblasti kyberbezpečnosti u nás. Zapojily se jak orgány státní správy, tak klíčové firmy českého byznysu, jichž samotných nebo jejichž klientů se podvodné útoky také týkají.
- Kromě ČBA a Policie České republiky se kampaně zúčastnily i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), Balíkovna, O2, Visa, ČEZ, ČSOB, Česká spořitelna a Komerční banka.
Dosud jen pražští kriminalisté zadokumentovali celkem přes čtyřicet podobných případů se škodou v řádech milionů korun.
V letošním červnu zadrželi například dva cizince, kteří se v rámci organizované skupiny, která působí po celé Evropě, dopustili řady podvodů. Oba muži od poškozených osob vylákali pod různými záminkami údaje k jejich bankovním účtům. Na jejich základě vytvářeli virtuální platební karty a z účtů poškozených vybírali finanční částky od tisícikorunových položek až po statisíce. Tyto finanční prostředky ihned vkládali na své účty, případně ukládali do bitcoinmatů, uvedla Policie ČR na svých webových stránkách.
A postup byl jasný. K vylákání platebních údajů, informací z platebních karet a internetovému bankovnictví poškozených se spolupachatelé obou obviněných dostávali právě pod legendou fiktivních inzerátů o prodeji či koupi zboží na internetových portálech a díky falešně vytvořeným platebním bran finančních institucí.
Podle Michala Čarného, generálního ředitele společnosti Mastercard pro Česko a Slovensko s rostoucím objemem online transakcí, který ještě zesílil během pandemie covidu, úměrně roste i počet pokusů o podvody.
„Pro většinu útoků platí, že jsou vedeny v co největším rozsahu a bývají obvykle automatizované,“ uvádí Čarný. „Objevují se ale i sofistikované útoky, kdy se útočníci snaží co nejvíce napodobit obvyklé lidské chování nebo se pokouší nakupujícího zmanipulovat či uvést v omyl,“ dodává.
Ukázka jak podvod může vypadat:
Obecně ale podle šéfa Mastercard platí, že platby kartou jsou v současnosti historicky vůbec nejbezpečnější. Je to proto, že dnes funguje celá řada nástrojů založených na datech a umělé inteligenci, které jsou schopny identifikovat a předejít zneužití karet kdekoliv na světě.
Riziko útoků ale ani přesto nezmizí. „Útoky budou sofistikovanější, rychlejší. Vidíme, že se mění i zaměření útoků. Už nyní jsme svědky posunu k útokům na firmy a jejich dodavatelské řetězce s cílem způsobit maximální škodu,“ dodává Michal Čarný.
Jak podvodné platební brány poznat a jak se jim bránit?
- Pokud na inzerát reaguje cizinec, zbystřete.
- Buďte na pozoru, když kupující požaduje nestandardní způsob dopravy nebo způsob platby. Příkladem je zajištění jeho platby „přepravní společností“, která peníze uvolní, až bude zboží na cestě, nebo platební brána, která vyžaduje údaje z platební karty prodávajícího.
- Nereagujte na požadavky kupujícího, že zaplatí přes neznámé služby různých nebankovních platebních společností nebo v kryptoměně.
- Nepřistupujte na platbu nedoplatků, přeplatků či kaucí a nikam nezadávejte své platební údaje, například číslo karty. Kupující má platit vám, ne vy jemu.
Zdroj: ČBA, Kybertest
Ale nejsou to jen platební brány a citlivé údaje v nich, které by měly být uživatelem bezpečně střeženy. Jistou hrozbu představují také podvody páchané prostřednictvím zneužití plateb přes mobilního operátora. Na rozdíl od placení kartou ale v tomto případě nejsou peníze strženy z účtu, ale z předplaceného kreditu nebo měsíčního tarifu u mobilního operátora majitele telefonního čísla.
Platbou přes operátora je možné hradit různé internetové nákupy, ale i jízdenky na MHD, předplatná do aplikačních obchodů jako Google Play či App Store nebo nákupy spojené s herním průmyslem. Při využití plateb přes operátora nemusí uživatel prodejci poskytovat údaje o své platební kartě, ale nákup potvrdí jednorázovým kódem, který mu operátor pošle v textové zprávě.
Existují případy podvodů, které mají za cíl získat telefonní číslo, prostřednictvím kterého se podvodník buď nabourá do profilu uživatele na sociální síti, nebo napodobí profil někoho jiného a následně jménem této jiné osoby rozesílá zprávy do profilů v adresáři.
„Tento druh podvodů se stává a riziko s tím, jak se stále více dostáváme do on-line prostředí, roste. V tomto případě bych volil politiku nulové důvěry. Pokud se člověk setká s tím, že mu známý píše prostřednictvím účtu na sociálních sítích a požaduje po něm autorizační SMS nebo jakákoliv hesla, doporučuji rozhodně tyto informace nezasílat,“ vysvětluje za mobilního operátora O2 Lukáš Pohan, manažer segmentu plateb.
Typicky podle jeho slov podvodníci prostřednictvím napadených profilů vytvářejí na potenciální oběť jistou naléhavost, protože autorizační kódy mají omezenou platnost, často v řádu minut.
Celkově ale obliba mobilních plateb roste. Jen u O2 je za necelé 3 roky vidět nárůst unikátních uživatelů, kteří m-platbu používají opakovaně, na několikanásobek. Počet unikátních transakcí je pak více jak dvojnásobný.
Jak podvodné m-platby poznat a jak se jim bránit?
- Profily na sociálních sítích mějte zabezpečené dvoufázovým ověřením. Pokud by pachatel získal vaše přihlašovací údaje, musel by z vás vylákat ještě i autorizační kód.
- V případě, že vám někdo profil na sociální síti napadl, ihned kontaktuje zákaznickou podporu sociální sítě a okamžitě si změňte heslo.
- Na sociální sítě, do e-mailových profilů, do on-line bankovnictví apod. se přihlašujte pouze z oficiálních webových stránek.
- U sociálních sítí a v kyberprostoru v běžné písemné komunikaci obecně platí, že nikdy nevíte, s kým reálně komunikujete. Na to myslete pokaždé, když s někým takto komunikujete nebo pokud chcete odeslat citlivé údaje. Pro ověření identity protistrany raději využijte jiný komunikační kanál.
- Nikdy nikomu nesdělujte žádné kódy, které jste obdrželi, ať již v SMS, nebo jiným způsobem.
Zdroj: ČBA, Kybertest
Jak jsou na tom vaše znalosti základních principů bezpečného chování na internetu, si můžete vyzkoušet v online interaktivním kybertestu, který v rámci vzdělávací kampaně spustila Česká bankovní asociace.
Seznam Zprávy jsou mediálním partnerem kampaně #nePINdej.