Spousta z nás má hrozby na internetu spojené s útokem hackera v mikině s kapucí, který sedí u monitoru někde ve sklepě a složitými příkazy v kódu rozesílá viry, které špehují oběti, zašifrují soubory a vyřazují z chodu úřady a instituce. Jenže malware, tedy škodlivý kód, není již dávno jedinou zbraní, kterou dnes kybernetičtí útočníci mají.
Nebezpečím se dnes také stává takzvané sociální inženýrství. Jedná se o podvodnou manipulativní komunikaci na internetu, jejímž cílem je okrást nás o peníze nebo získat naše citlivé údaje. Ty mají samy o sobě svou cenu například na černém trhu. Obětí může být kdokoli z nás – aby se takový útok podařil, stačí, že jsme lidé a máme emoce. Sociální inženýrství totiž velmi obratně využívá naši zvědavost nebo strach.
Podvody na Bazoši, Sbazaru, Vinted a Marketplace
Jednou z nejčastějších forem sociálního inženýrství jsou phishingové zprávy. Klasicky je můžeme najít především ve svém osobním nebo pracovním e-mailu, objevují se ale čím dál častěji i na sociálních sítích a v chatovacích aplikacích.
Termín pochází z anglického slova „fishing”, které znamená rybaření a označuje tak situaci, kdy si nás útočník chytne na háček a uloví. Do češtiny se phishing někdy překládá jako r(h)ybaření.
Nechvalně proslulým trendem posledních měsíců a aktuálním případem phishingu jsou podvody na internetových bazarech, jako je Bazoš, Vinted, Sbazar nebo Marketplace na Facebooku.
Cílem těchto podvodů jsou samotní prodejci. V chatovací aplikaci, nejčastěji WhatsApp, Viber nebo Messenger, je podvodník osloví z českého anonymního telefonního čísla. Tváří se přitom jako zájemce o koupi zboží a nabídne prodejci, aby si spolu zboží předali přes přepravce, jako je například DPD, GLS nebo Zásilkovna. Zašle prodejci odkaz na platební bránu, přes kterou má obdržet platbu za prodávané zboží.
Pokud prodejce na tuto nabídku kývne, nabere celý podvod rychlý spád. Po kliknutí na odkaz je prodejce přesměrován na falešnou webovou stránku, kde zadává údaje ze své platební karty nebo dokonce k bankovnímu účtu. Tím ale útočníkovi bohužel otevírá dveře ke svým penězům. Výjimkou v podvodech na internetových bazarech nejsou ani případy, kdy se útočníkům podařilo odcizit obětem z účtu veškeré finanční prostředky.
Aktuální situaci dokládá i nedávný průzkum společnosti ESET, podle kterého se s podvodem na internetových bazarech již osobně setkala téměř třetina všech dotázaných (31 %). Necelé desetině vznikla škoda do výše 1000 korun, 5 % dotázaných uvedlo finanční škodu do 5000 korun. Dle zjištěných dat necelých 5 % respondentů uvedlo, že podvod do 24 hodin nahlásilo na Policii ČR, pětina z nich ale uvedla, že vzniklou škodu dosud nehlásila.
Podvodníci své maskování stále zdokonalují
Podvodná komunikace má obecně vždy několik společných rysů. Zprávy se nás snaží buď něčím ohromit a podnítit v nás zvědavost, nebo nás vyděsit a přinutit k unáhlené reakci. Výjimkou tak nejsou sdělení, že jsme zdědili nějaký majetek po vzdáleném příbuzném nebo senzační nabídky investic do kryptoměn.
Druhým a o něco známějším případem jsou potom zprávy, které nás vyzývají k okamžitému přihlášení do internetového bankovnictví či jiného online účtu (např. na sociálních sítích), nebo k zaplacení faktury. Přihlašovací stránky jsou ale v tomto případě falešné a útočníci přes ně mohou získat přístup k našemu účtu a našim penězům.
Manipulativní komunikace přitom již dnes nekončí pouze u e-mailu nebo chatu. Setkat se můžeme i s podvodnými telefonáty, takzvaným vishingem, nebo tradičnější formou podvodných zpráv přes SMS, které dostaly označení smishing.
V případě vishingu můžete někdy narazit také na termín spoofing. Podvodníci se v tomto případě velmi obratně maskují například za pracovníka banky. Používají podvodné telefonní číslo, které dokáží napodobit tak, aby vypadalo jako infolinka banky, a pro své argumenty mohou mít řadu „oficiálních dokumentů“, včetně potvrzení od policie. Útočníci v těchto případech ovládají velmi dobře češtinu a pro větší věrohodnost používají odborné výrazy. Jedná se o velmi pokročilý podvod.
Jak nenaletět podvodníkům na internetových bazarech?
- Pokud se vám ozve zájemce o zboží, věnujte pozornost češtině. Zdá se vám komunikace nápadně strojově přeložená? Zájemce o zboží neskloňuje a má špatný slovosled? Kupující cizí národnosti vás bude spíše kontaktovat anglicky.
- Snaží se kupující obchod nápadně rychle vyřídit? Trvá na předání zboží přes dopravce a posílá vám odkaz na platební bránu? Opakovaně se vás ptá, zda jste už údaje vyplnili? Zpomalte a pořádně si komunikaci znovu pročtěte.
- To, zda není odkaz v komunikaci podvodný, si ověřte na webových stránkách přepravních společností, jako je například DPD, GLS nebo Zásilkovna.
- Vsaďte na svou intuici a pokud se vám cokoli na komunikaci nezdá, klidně ji ukončete. V tomto případě se rozhodně vyplatí opatrnost nad ziskem.
- Udržujte všechna svá zařízení vždy aktuální. Aktualizace operačního systému a programů i aplikací instalujte co nejdříve, obsahují také opravy chyb z předešlých verzí.
- Používejte na svých zařízeních včetně chytrých telefonů spolehlivý antivirový software. Ani ten nezapomínejte pravidelně aktualizovat.
- Pokud jste se stali obětí, nahlaste podvod na internetu Policii ČR na lince 158.