Masivní útočná kampaň cílená na peníze důvěřivých lidí trvá už tři čtvrtě roku. Podvodníci rozesílají SMS zprávy a maily, v nichž se vydávají za státní instituce, úřady či banky. Napodobují domény a webové stránky. Experti radí nejvyšší obezřetnost a neklikat na podezřelé odkazy.

Kyberzločinci měsíčně vytvářejí desítky nových domén, které používají ke škodlivým aktivitám a krádežím identity. Česká bankovní asociace proto nabádá k maximální obezřetnosti | Foto: Shutterstock

Pachatel zaslal ženě SMS zprávu, která obsahovala její celé jméno a také to, že má nárok na příspěvek na bydlení a na úsporný energetický tarif. Odkázala ji na falešnou internetovou stránku ministerstva práce a sociálních věcí. Důvěřivá žena z Prachaticka se nakonec na internetu „proklikala“ až k tomu, že jí byly bez jejího vědomí a souhlasu převedeny peníze na cizí účet. „Přišla o více než 170 tisíc korun,“ sdělila tamní policejní mluvčí Martina Joklová.

Pozor na podvodné SMS. Odkazují na falešný Portál občana, varoval Bartoš

Nedávný případ je jedním z mnoha podobných útoků v Česku. Začaly v srpnu loňského roku a pokračují dodnes. Podvodnou technikou měsíce března vyhlásil Národní úřad pro kybernetickou a informační bezpečnost právě takzvaný smishing – podvodné SMS zprávy se šíří jako lavina. Nebezpečné jsou i falešné maily (phishing) či přímo telefonáty od podvodníků (vishing).

Primárním cílem je získat údaje lidí k jejich bankovní identitě a následná krádež. „Útočníci v SMS zprávách napodobují domény a webové stránky Ministerstva práce a sociálních věcí ČR, České správy sociálního zabezpečení, Portálu občana nebo České pošty. Kampaň je problematická zejména kvůli své vytrvalosti a poměrně vysoké aktivitě útočníků,“ informoval úřad.

Banky nabádají k obezřetnosti

Útočníci měsíčně vytvářejí desítky nových domén, které používají ke škodlivým aktivitám a krádežím identity. Česká bankovní asociace proto nabádá k maximální obezřetnosti.

„Útočníci vždy cílí na nejslabší článek celého řetězce, a tím je klient, od kterého se snaží vylákat informace. Není pro ně totiž možné prolomit systém banky, proto na to musí jít jinak. Snaží se člověka dostat pod tlak, vyvolat u něj strach, popřípadě ho dostat alespoň pod časový tlak. Ten, kdo podlehne a odevzdá svoje citlivé údaje, jako například číslo karty včetně bezpečnostního kódu z druhé strany karty nebo hesla do internetového bankovnictví, může přijít o veškeré peníze, které má na účtu,“ upozornil mluvčí asociace Radek Šalša.

V ČR se šíří podvodná sms: Máte příspěvek na bydlení, uvádí. Vyluxuje však účet

Jak zdůraznil, banka po klientovi po telefonu nikdy citlivé údaje nechce. „Pokud lidem někdo zavolá a něco takového po nich chce, je dobré si to vždy ověřit. Jde to jednoduše, stačí zavolat do banky a vše si zjistit,“ poradil Šalša.

Banky doporučují také nejvyšší možnou obezřetnost a prověřování SMS a mailových zpráv, odkazů a domén.

Jaké jsou nejčastější typy podvodů na klienty bank?



1) Podvodné maily – phishing

2) podvodné SMS – smishing

3) Podvodné telefonáty falešných bankéřů, policistů či investičních poradců – vishing

4) Podvodné m-platby a platební brány

5) Podvodné e-shopy, webové stránky, aplikace

„Banka nikdy nezasílá mailové zprávy s výzvou ke sdělení identifikačních údajů, hesel nebo PIN. Pokud se jeví zpráva podezřele, je rizikové ji otevírat a pracovat s přílohami a odkazy. Při smishingu formou textových zpráv podvodníci chtějí vylákat osobní data. Klienty takto kvůli osobním datům nekontaktujeme,“ uvedl třeba mluvčí Unicredit Petr Plocek.

Odborníci radí všímat si nápadných chyb v textech zpráv, podezřelých čísel se zahraniční předvolbou, prověřovat správnost webových odkazů a nedůvěřovat nabídkám, které jsou až příliš lákavé.

Útočníci neustále mění finty

Ani to mnohdy nestačí. Banky a jiné finanční instituce sice zdokonalují své systémy, kyberzločinci se však také přizpůsobují a mění své taktiky, aby mohli obcházet různé zavedené bezpečnostní protokoly. „K penězům se již dávno nesnaží dostat jen s pomocí e-mailů slibujících snové dědictví či falešných stránek plných gramatických chyb a překlepů,“ upozornila interaktivní stránka kybertest.cz. Ta veřejnost seznamuje s nejčastějšími kybernetickými podvody.

Finty zločinců se mění, zdokonalují je. Vicepremiér pro digitalizaci Ivan Bartoš (Piráti) třeba nedávno varoval před podvodníky, kteří rozesílají SMS zprávy odkazující na falešný Portál občana, jehož prostřednictvím chtějí na lidech vylákat přístupové údaje k jejich bankovnímu účtu.

VZP varuje před podvodnými e-maily: Žádají zaplacení dluhu a přístup k účtu

„Falešné weby kopírují grafickou podobu skutečného portálu a adresátovi nabízí přihlášení skrze bankovní identitu. Uživatel je následně přesměrován na falešnou stránku banky, kde mu při vyplnění formuláře může podvodník odcizit údaje pro přístup do internetového bankovnictví,“ popsala mluvčí Kabinetu vicepremiéra pro digitalizaci Anna Urbanová.

V poslední době využívají často třeba bazarové podvody na internetu. Útočníci se snaží obchod urychlit, posílají externí odkazy například do WhatsAppu a po kliknutí na ně chtějí po prodávajících zadání citlivých údajů k účtu. „Časté jsou i takzvané investiční podvody. Podvodníci slibují zhodnocení peněz v době velké inflace. Nejčastěji cílí na čísla karet a přístupové údaje do účtů. Vždy se u lidí snaží získat nejdřív důvěru, proto ze začátku nemusí nic naznačovat, že jejich jednání je nekalé,“ doplnil za Českou bankovní asociaci Šalša.

Národní úřad pro kybernetickou a informační bezpečnost nabádá, aby lidé nové podvodné domény hlásili na webu StopOnline.cz, provozovaném sdružením CZ.NIC, případně také na policii.

Smishing. Rady policie:



- U každé zprávy pečlivě posuzujte hlavně obsah.

- Nevyžádané SMS, např. o výhře v soutěži, do které jste se nikdy nepřihlásili, jsou podezřelé.

- SMS s chybami naznačuje strojový nebo automatický překlad.

- Odkazy často vybízejí k vyplnění osobních údajů, potvrzení přístupových hesel nebo poskytnutí přístupu do vašeho telefonu.

- Pamatujte, že banky, úřady ani poskytovatelé doručovacích služeb po vás nikdy nebudou chtít osobní informace prostřednictvím

SMS.

- Pokud z odkazu v SMS nepoznáte, na jaké stránky vás navedou, neklikejte na něj.

- Nikdy nepřeposílejte nikomu žádné autorizační kódy.

- Pravost SMS můžete ověřit u odesílatele. K tomu ale využijte kontakty z oficiálních zdrojů banky, úřadu, pošty atd. Ty v SMS mohou být opět zavádějící.

- Pokud v návaznosti na popisované jednání přijdete o peníze na účtu, řešte vše obratem s bankou, která může v některých případech peníze ještě zachránit. Pokud je vám způsobena škoda, oznamte to policii.



Otázky pro bezpečnostního odborníka: Luis Corrons, společnost Gen (dříve Avast)

Jaké jsou hlavní způsoby kyberzločinců, jak vyluxovat peníze z bankovního účtu oběti?

Jsou dva. Útoky BEC (Business Email Compromise). Při nich se kyberzločinci vydávají za vedoucí pracovníky v organizaci, obvykle prostřednictvím e-mailu. Poté přesvědčí zaměstnance, obvykle ty, kteří mají přístup k firemním financím, aby převedli peníze na účty ovládané útočníky. Tyto požadavky často vypadají jako naléhavé a jsou podávány s pocitem autority, aby se zvýšila pravděpodobnost, že jim zaměstnanec vyhoví. Útoky BEC mohou být díky cílené povaze přístupu velmi účinné a mnoha organizacím už způsobily značné finanční ztráty.

Časté jsou ale i krádeže identity…

Ano, to je druhý způsob. Ukradení identity oběti a vydávání se za ni při komunikaci s bankou pro přímý výběr peněz z účtu nebo použití ukradených údajů z kreditní karty k nákupům. To lze provést různými způsoby, kombinací útoků s využitím sociálního inženýrství a/nebo malwaru.

SMS nebo e-mail. Zprávy od hackerů umí nepozorné připravit o desetitisíce korun

Jaké jsou tyto techniky?

1. Phishing: Jedná se o zasílání podvodných e-mailů nebo zpráv, které se tváří jako z legitimních zdrojů, například bank nebo finančních institucí, a žádají uživatele o poskytnutí citlivých údajů, například přihlašovacích údajů nebo údajů o účtu.

2. Malware (bankovní trojské koně, keyloggery atd.) Kybernetičtí zločinci používají škodlivý software k průniku do systému uživatele a ke krádeži přihlašovacích údajů potřebných k přístupu k bankovnímu účtu oběti nebo k informacím o její platební kartě.

3. „Magecart“ útoky. Jedná se o taktiku, při které útočníci napadají webové stránky e-shopů s cílem ukrást informace o platebních kartách zákazníků. Obvykle toho dosáhnou vložením škodlivého kódu JavaScriptu do stránek pro zpracování plateb na webových stránkách. Tento kód zachycuje platební údaje při jejich zadávání zákazníky a poté je odesílá na servery útočníků. Útoky Magecartu se zaměřily na různé e-shopy, velké i malé, a vedly k odcizení značného počtu údajů o platebních kartách. Velké útoky typu Magecart postihly významné maloobchodní prodejce a firmy, což vedlo ke značným finančním ztrátám i k poškození pověsti.

4. Krádež dat. Když je firma napadena a dojde k úniku dat, kdy útočníci ukradnou bankovní informace (obvykle údaje o kreditních kartách) uložené u zákazníků, dodavatelů atd.