Je ale kyberbezpečnost tohoto e-shopu stejně ohromující jako šířka jeho sortimentu?

Pěkně popořadě: co je Shein?

Shein je čínský e-shop, který vznikl už v roce 2008 jako internetové tržiště. V následujících letech se ale přeorientoval na vlastní výrobu a prodej a po roce 2015 začal být populární i v České republice. Kromě dámské, pánské a dětské módy nabízí například i doplňky nebo kosmetiku. A vše takříkajíc za hubičku.

Kritika, která Sheinu rozhodně není cizí, se většinou soustředí na kvalitu zboží, neetické výrobní praktiky nebo klamavost reklamy. V únoru tohoto roku proti Sheinu Evropská komise dokonce zahájila formální řízení podle aktu o digitálních službách.

Nás tato platforma ale zajímá především z hlediska kyberbezpečnosti, a to hlavně:

• Zabezpečení účtu. Jsou naše data v bezpečí před kyberzločinci? Jak moc se máme bát finančních podvodů a phishingu?
• Ochrana soukromí. Jaká data Shein sbírá a proč? Kam je ukládá a s kým je sdílí? Co s tím můžeme dělat?
• Ochrana spotřebitele. Která platební metoda je nejbezpečnější?

Jak podvodníci zneužívají jméno Shein?

Začneme možná trochu kontroverzně: hlavní nebezpečí při nakupování na Shein nepřichází ze strany obchodu samotného. Jako každý jiný populární e-shop, i Shein láká podvodníky, kteří jeho jméno zneužívají k finančním podvodům.

„Největším rizikem při online nakupování často není transakce samotná, ale marketingový šum, který kolem sebe populární značky vytvářejí. V tom se totiž kyberzločinci snadno schovají. Útočí hlavně za pomoci falešných slev, podvodných kopií stránek či urgentních zpráv, kterými se z lidí snaží vymámit přihlašovací nebo platební údaje,“ vysvětluje náš globální bezpečnostní poradce Jake Moore.

Na co přesně si tedy dát pozor?

• Falešné kopie webu. Najdeme je na adresách, které napodobují oficiální doménu (jako „sheinbargains.com“ nebo „she1n.com“), a jejich cílem je získání přihlašovacích a platebních údajů. Součástí podvodu můžou být i reklamy na sociálních sítích, které vypadají jako oficiální komunikace obchodu, ale vedou právě na podvržený e-shop.
• Phishing přes e-mail/SMS/zprávy. Jde většinou o urgentní zprávy od domnělých zaměstnanců Shein, týkající se objednávek, vracení peněz nebo zadržení zásilek. Objevují se i falešné chaty s podporou.
• Návnada v podobě kuponů. Tato léčka má podobu vyskakovacích oken, e-mailů nebo zpráv, které slibují velké slevy, zboží zdarma nebo mystery boxy (tj. balíčky produktů, které si nakupující sám nevybírá). Kliknutí na ně často vede k výzvě vložit přihlašovací údaje, zakoupení falešného předplatného nebo stažení malwaru.
• Ukradené účty. Útočníci získají přihlašovací údaje pomocí jedné z výše popsaných metod. Ty pak využijí ke změně doručovací adresy a k zakoupení zboží, nebo je prostě prodají dál.
• Slevoví „pomocníčci“. Jde o podvodné aplikace nebo rozšíření do prohlížeče, které „pomáhají“ uživatelům najít ty nejlepší akce a slevy. Ve skutečnosti jde o techniku sociálního inženýrství a jejich pravý účel je získání rozsáhlých oprávnění nebo instalace dalšího softwaru.

Jak se ochránit v případě úniku dat?

Tahle otázka není jen teoretická. K masivnímu úniku dat z Shein už totiž došlo, a to v roce 2022. Ačkoliv postihl 39 milionů zákaznických účtů, Romwe (mateřská společnost Shein) tvrdila, že šlo jen o 6,42 milionu. Stát New York ji následně pokutoval částkou 1,9 milionu dolarů za nezvládnutí situace.

5 kroků, jak si zabezpečit Shein účet:

1. Vytvořte si silné a jedinečné heslo. K jeho vytvoření můžete použít specializované správce hesel nebo ESET Password Generator. Nikdy nerecyklujte hesla, která už někde používáte.
2. Aktivujte si vícefázové ověření. Nejbezpečnější variantou je ověřování pomocí aplikace, ale i ověřování přes SMS zprávy je lepší než nic. Druhá fáze ověřování je totiž často to jediné, co stojí mezi námi a útočníkem, který už má naše přihlašovací údaje.
3. Kontrolujte si účet i e-mail. Chodí vám často zprávy s odkazem na resetování hesla? Objevují se v účtu nové adresy nebo objednávky, které jste neudělali? Změňte okamžitě heslo.
4. Neklikejte na odkazy k přihlášení, které vám přijdou e-mailem nebo zprávou. Raději se přihlaste do svého účtu na oficiální stránce a prověřte situaci přímo tam. V případech, kdy je zpráva urgentní, to platí dvakrát tolik.
5. Chraňte svá zařízení pomocí komplexního bezpečnostního řešení na všech zařízeních. To zablokuje phishingové odkazy dřív, než na ně kliknete, a snižuje tak šanci, že se vaše přihlašovací údaje dostanou do špatných rukou.

A jak je to s daty, která Sheinu dáváme dobrovolně?

E-shopy obvykle potřebují některé naše osobní údaje, aby mohly naši objednávku úspěšně splnit. Kromě jména, adresy a platební metody ale e-shop většinou získává i ID našeho zařízení, ID reklamy (Advertising ID), cookies a další analýzy našeho chování, které pak využívá k cílení reklamy.

Zároveň naše data sdílí s třetími stranami (platební brány, přepravci, pojišťovny), které nemusí mít stejné standardy služeb a zpracování osobních údajů jako původní e-shop. Shein sice tvrdí, že nesdílí data svých zákazníků s nikým dalším, ale stále je přechovává. A to láká kyberzločince.

Tipy, jak ochránit osobní data při nákupu (nejen) na Shein:

• Uvádějte skutečně jen povinné informace a omezujte, k jakým účelům je e-shop může využívat.
• Vytvořte si pro nakupování novou e-mailovou adresu nebo e-mailový alias. To obvykle usnadní rozpoznávání phishingu a pokusů o podvod.
• Nepřihlašujte se pomocí účtů na sociálních sítích a nepropojujte je s účtem na e-shopu. Přihlášení pomocí Facebooku/Google apod. je sice pohodlnější, ale vede ke zbytečnému sdílení dat.
• Nenakupujte a neplaťte na veřejné Wi-Fi. Pokud často využíváte veřejné sítě, zvažte pořízení VPN.
• Používejte spíš prohlížeč než aplikaci.

Jaká platební metoda je na Sheinu nejbezpečnější?

Shein poskytuje hned několik možností platby, ale z hlediska kyberbezpečnosti jsou nejlepší ty bez přímého spojení s bankovním účtem jako PayPal nebo virtuální platební karta. Dobrou variantou jsou i jednorázové karty. Debetní a kreditní karty naopak představují bezpečnostní riziko.

Ať už si ale zvolíte jakoukoliv platební metodu, doporučujeme dodržovat následující opatření pro bezpečné platby na internetu:

• Po platbě si zkontrolujte účet na PayPalu nebo u banky. Pokud si všimnete neznámých plateb, okamžitě jednejte.
• Pokud platíte kartou, neukládejte platební údaje. V případě úniku dat nebo ukradení účtu mají útočníci volnou cestu do vaší peněženky.
• Volte způsob platby, který co nejvíce usnadňuje vrácení peněz. Pro Českou republiku je i v tomto aspektu nejvýhodnější PayPal.

Takže, jsou nákupy na Shein bezpečné?

Odpověď je stejná jako obvykle: samotný nákup na Shein není o nic nebezpečnější než jakýkoliv jiný online nákup ze zahraničí. Vrásky nám ale dělají dřívější úniky dat, a hlavně následná reakce společnosti Shein.

Pokud se na Shein tedy rozhodnete nakupovat, doporučujeme co nejlépe zabezpečit účet, zvolit bezpečný způsob platby a vynechat aplikaci. A pokud už vám někdy účet ukradli a ochranu dat berete smrtelně vážně, Shein raději úplně přeskočte.

Mohlo by vás zajímat:
🛒 Jak bezpečné je nakupování na Temu a na co si dát pozor?
🛒 Je AliExpress bezpečný? Nenaleťte proklatě nízkým cenám
🛒 Jak poznat podvodný e-shop?

Ačkoliv na naše mobilní telefony útočí hlavně falešné aplikace skrývající malware, a to zejména v podobě adwaru, spywaru, ransomwaru a trojských koní, podceňovat by se neměly ani „prachobyčejné“ podvody. A to hned ze dvou důvodů.

Důvod č. 1: Mobilní telefony máme v ruce pořád

Podle výsledků výzkumu společnosti ESET nakupuje vánoční dárky na internetu celých 97 % dotázaných a 70 % z nich to dělá přes mobilní telefon. 38 % přitom nakupuje na oblíbených čínských e-shopech, jako jsou Temu, AliExpress či Shein.

68 % dotazovaných volí platbu kartou online a 47 % používá Google/Apple Pay. Navzdory tomu má ale bezpečnostní software na telefonu nainstalovaný jen 57 % dotázaných. Další desetina respondentů přitom ani neví, zda má svůj telefon vůbec nějak chráněný.

To je problém hlavně ve chvíli, kdy skáčeme z e-shopu na e-shop a ve spěchu dáváme pozor spíš na výši slevy než na kvalitu prodejce. Velmi snadno se tak může stát, že pod stromeček nedopatřením nadělíme nejen svým blízkým, ale i kyberpodvodníkům.

Důvod č. 2: Generativní umělá inteligence je tady pro všechny

A tím myslíme opravdu pro všechny. Rozšíření a snadná dostupnost generativní AI způsobily, že se nástroje založené na ní velmi snadno zařadily i do arzenálu internetových zločinců a podvodníků.

Kyberzločinci generují například:

• phishingové e-maily, ve kterých se vydávají za e-shopy, doručovací služby nebo platební brány;
• obrázky produktů, které pak využívají pro adware, k prodeji padělků, neexistujících či „zázračných“ produktů, a dokonce i k ilustraci falešných nabídek v rámci phishingu;
• deepfaky, pomocí kterých obcházejí ověření totožnosti rozpoznáním obličeje;
• fiktivní zákaznickou podporu oblíbených značek, tedy hlasy či videa lidí, kteří neexistují;
• falešné recenze i celé produkty na internetových tržištích.

Zároveň už se objevil i první malware PromptLock, který generativní umělou inteligenci sám využívá. Dalším příkladem zneužití AI chatbotů je tzv. Grokking, při kterém útočníci využili legitimního chatbota sociální sítě X k uveřejnění škodlivých odkazů, které by se jim na X jinak publikovat nepodařilo.

Nejde ale jen o vánoční slevy

Internetoví podvodníci se už nevydávají jen za e-shopy, zákaznické linky či dopravce. Dalším oblíbeným terčem jsou nadace a dobročinné spolky, pro jejichž činnost jsou příspěvky vybrané ve vánočním období zcela zásadní. Své o tom ví třeba Charita Česká republika.

Pro zločince je to výnosný byznys, protože ačkoliv podle průzkumu přispívá na charitu celá polovina dotazovaných, 52 % z nich si organizace, kterým darují peníze, nijak neprověřuje, a to buď protože jsou mediálně známé, nebo protože to darující nepovažují za podstatné.

Pokud tedy chcete tyto Vánoce přispět potřebným, pečlivě si ověřte, kdo od vás peníze vybírá, a to například tím, že si najdete recenze z nezávislých zdrojů a zkontrolujete, že má organizace na webových stránkách jak funkční kontakt, tak i údaje o provozovateli.

Podvodníci cílí na všechny

Podle našeho výzkumu se s nějakou formou podvodu při nákupu na e-shopu setkalo 18 % dotazovaných. 7 % vyvázlo bez finanční škody a dalších 7 % nepřišlo o víc než 5 000 Kč. 33 % postižených podvod bohužel nijak dál neřešilo nebo nenahlásilo.

To nám připomíná jednu nepříjemnou, ale naprosto zásadní pravdu. Když totiž dojde na online podvody, v první linii není ani hardware, ani software, ale my, jejich uživatelé. To my klikáme na odkazy, zvedáme telefony a posíláme peníze.

Co tedy můžeme udělat pro svou ochranu?

1. Držte se zásad pro bezpečný nákup na e-shopech.
2. U pochybných e-mailů se dobře podívejte na adresu odesílatele – pokud je z bezplatné domény typu gmail a seznam, nebo pokud obsahuje chyby či překlepy, nejde o důvěryhodného odesílatele.
3. Pokud dostanete podezřelý odkaz, zkontrolujte si ho přes ESET Link Checker.
4. Používejte silná hesla. Podle našeho výzkumu má unikátní heslo jen 27 % dotázaných. 38 % z nich ale zároveň přiznává, že si heslo pamatují z hlavy, což naznačuje, že není tak silné, jak by mělo.
5. Zapněte si vícefázové ověření. Z výzkumu vyplývá, že ho nepoužívá až 67 % dotazovaných, a přitom je to jeden z nejsnadnějších způsobů, jak si pojistit bezpečnost svého účtu.
6. Pravidelně aktualizujte software a používejte spolehlivé bezpečností řešení, které umí zastavit online hrozby hned v několika fázích, např. filtrací spamu, blokováním phishingu či zabezpečením plateb.
7. Při posuzování nabídek se řiďte zásadou, že pokud něco vypadá příliš dobře na to, aby to byla pravda, nejspíš to pravda není.
8. Neustále se vzdělávejte. Mějte přehled o tom, jak vypadají pokusy o podvod, jak se proti nim účinně bránit a kam je nahlásit.

Poznáte online podvod?

Vyzkoušejte náš test
na nejčastější podvodné scénáře.

Otestovat se

Závěrem…

Generativní umělá inteligence zjednodušila produkci kyberútoků a internetových podvodů a zároveň o dost ztížila jejich včasné odhalení. To bývá kamenem úrazu hlavně ve vánočním shonu, kdy máme neustále v ruce telefon s nákupní aplikací a v časové tísni podpořené informačním zahlcením občas prostě ťupneme na lákavě podanou, ale podvodnou nabídku.

Nejspolehlivější způsob, jak se bránit podvodnému AI obsahu, phishingu a ukradeným Vánocům, je spěchat pomalu a pečlivě ověřovat, kam posíláme peníze. Pomůže i pořízení kvalitního bezpečnostního softwaru, který pomůže snížit množství pokusů o podvod usilujících o naši pozornost.

Mohlo by vás zajímat:
🎄 Hrozby pro Android: Rizikem jsou před Vánoci hry a aplikace
🎄 Češi nakupují z mobilu. Jak tím riskují?
🎄 Jak dostat nazpět peníze z podvodníka?

AliExpress.com je globální e-shop, který v roce 2010 založila jedna z největších čínských společností Alibaba Group. Už záhy po svém vzniku dobyl svět, a to především díky extrémně široké nabídce produktů s fantasticky nízkými cenami.

Obojí je možné díky tomu, že AliExpress není klasický e-shop, ale marketplace, tedy internetové tržiště. To znamená, že neprodává vlastní produkty, ale zprostředkovává obchody mezi prodejci a zákazníky. Na stejném principu pracují například i Temu a Wish.

Co obchod, to „fejk“?

V nepřeberném množství produktů sice většina zákazníků najde přesně to, co hledá, ale taky se tam velmi dobře ztratí nekalé živly. Pro AliExpress to platí dvakrát tolik, tamní „prodejci“ totiž dokonale ovládli umění falešné nabídky.

Jejich podvody jsou často chytře skryté za profesionálně vypadajícími fotografiemi nebo AI vygenerovanými obrázky, falešnými recenzemi a neodolatelnými cenami. Jakmile „produkt“ od podvodníků na marketplace zakoupíme, pravděpodobně nastane jeden z několika možných scénářů:

• Zásilku nikdy nedostaneme
  „Prodejce“ označí za odeslanou zásilku, která ale fakticky není a nikdy nebyla na cestě. Tento podvod je možný odhalit prakticky až ve chvíli, kdy zásilka ve slíbeném termínu nedorazí.
• Místo originálu přijde napodobenina
  „Fejky“ jsou na AliExpressu bohužel naprosto běžnou záležitostí. Stejně tak je běžné, že je podvodníci vydávají za originály a podle toho si účtují i ceny, takže na problém můžete přijít klidně až v okamžiku, kdy zásilku rozbalíte. Nebo taky vůbec.
• Elektronika je plná malwaru
  V některých situacích je koupě padělku nebo marné čekání na zásilku ještě tou lepší variantou. Může se totiž stát, že produkt, který jste si objednali, je už od výrobce vybavený malwarem. Přesně takový případ popsala nezisková organizace Electronic Frontier Foundation (EFF), a to konkrétně se set-top boxy pro televize s operačním systémem Android. Ty se hned po zapojení do sítě spojily s botnet serverem a své nové domovy proměnily v továrnu na podvodné prokliky, nebo dokonce na proxy servery pro kyberzločince.
• Přijde zásilka, kterou jsme si neobjednali
  Nečekaný balíček se objeví zčistajasna a tváří se jako milý dárek, ale není. Jde o tzv. brushing, který je obvykle důsledkem porušení zásad zpracování osobních údajů a může vést až ke krádeži identity.

Jak nakupovat na AliExpressu bezpečně?

Dobrá zpráva je, že ani sebelíbivější fotografie často neskryje pravou tvář nabízeného zboží. Podvodníci se totiž rádi vrací k tomu, co funguje, a trénované oko jejich „provařené“ techniky bez problému odhalí. Pojďme ho tedy společně potrénovat.

Takže, na co si dát pozor?

❌ Příliš nízké ceny. Pokud najdete položku, která je výrazně levnější než u jiných prodejců, může jít o padělek, nekvalitní kopii populárního typu produktu, nebo prostě a jednoduše vůbec neexistuje.

❌ Nízké hodnocení. Prodejce, kteří mají nespokojené zákazníky, nevyřešené stížnosti či špatné recenze, je většinou dobré obejít obloukem.

❌ Podezřele vysoké hodnocení a nicneříkající recenze. Pokud má obchod jen 5hvězdičkové hodnocení a krátké, obecné recenze („Všechno je super!“), je dost pravděpodobné, že za nimi nestojí reálný člověk, ale AI bot.

❌ Nejasné nebo neúplné nabídky. Zboží s vágními popisky, rozostřenými fotkami nebo chybějícími recenzemi může znamenat nejen neseriózní jednání prodejce, ale třeba rovnou i podvod.

❌ Zboží se zárukou nebo speciálními certifikáty. U elektroniky, zdravotnických potřeb, produktů luxusních značek, bezpečnostního vybavení a dalšího zboží, které vyžaduje vysokou záruku kvality, hrozí mnohem vyšší riziko, že narazíte na padělky.

❌ Phishing (ano, zase). Ani AliExpress není imunní vůči podvodníkům, kteří se vydávají za zaměstnance a rozesílají falešné phishingové e-maily a zprávy. Podle našich dat je AliExpress zároveň oblíbeným cílem tzv. typosquattingu, tedy phishingové metody, při které pachatelé vytvoří kopii legitimní stránky, která se často liší jen úmyslným překlepem v URL adrese, a navádějí zákazníky k přihlášení.

Jak se tedy ochránit?

Prověřujte si prodejce

Než si na AliExpressu něco objednáte, dobře si prohlédněte obchod, kterému se chystáte dát peníze. Seriózní prodejce by měl mít zhruba 90% hodnocení a recenze, které obsahují fotografie od zákazníků a detailní zpětnou vazbu s klady i zápory zakoupeného produktu.

Řiďte se štítkem Buyer Protection

AliExpress má vlastní program ochrany zákazníka, který umožňuje vrácení peněz v případech, kdy zboží nedorazí, dorazí poškozené nebo neodpovídá objednávce. Pomůže i v případech, kdy prodejce nedodrží svou část kupní smlouvy a/nebo se chová neadekvátně. Žádost o vrácení peněz můžete podat do 15 dní od potvrzení přijetí zboží označeného odpovídajícím štítkem.

Používejte bezpečnou platební metodu

Platební brána AliExpressu je zabezpečená šifrováním, takže se o vložená data nemusíte bát. To ale neplatí ve chvíli, kdy ji budete chtít obejít a zaplatit přímo prodejcům. Zaprvé se vystavujete riziku úniku dat a zadruhé se na vás nevztahuje ochrana zákazníka.

Pořiďte si kvalitní online zabezpečení

Nakupujte a plaťte z počítače nebo mobilu opatřeného bezpečnostním řešením, které vás včas upozorní na podvodné stránky. Dobrý antivir navíc poskytne i další úroveň ochrany při platbě kartou v zahraničním e-shopu.

Závěrem…

AliExpress je důvěryhodná platforma a nakupování na něm je stejně bezpečné, jako je nakupování přes internet obecně. To znamená, že pro něj platí úplně stejné bezpečnostní zásady jako pro jakýkoliv jiný e-shop: na stránky se přihlašujte vždy přes oficiální doménu, prověřte si prodejce, používejte doporučenou platební metodu a nebojte se dát AliExpressu vědět, když se cokoliv pokazí.

Mohlo by vás zajímat:
🛒 Čtyři z deseti Čechů nakupují v čínských e-shopech, okradených přibývá
🛒 5 kroků, jak se vyhnout podvodům při online nakupování
🛒 Jak bezpečné je nakupování na Temu a na co si dát pozor?

Také nakupujete rádi na internetu? Zopakujte si, jak si chránit osobní  údaje:

Suverénně nejčastěji nakupujeme z chytrého telefonu (69 %), na druhé místě skončil notebook s 53 %. Platíme nejčastěji kartou online nebo přes virtuální peněženky Google Pay či Apple Pay. Potíž je v tom, že obecně podceňujeme zabezpečení telefonu, údaje z karet tak vystavujeme riziku.

„Opakovaně sledujeme, jak mezi lidmi panuje názor, že mobilní telefon není takovým cílem hackerů jako počítač. Opak je ale pravdou, útočníci jsou mistři v přizpůsobení se vývoji. Obliba využívání telefonů roste a my v nich dnes uchováváme řadu osobních a citlivých údajů. Útočníci na ně mohou zaútočit různými způsoby, například podvodnými SMS zprávami s odkazy na nebezpečné webové stránky,“ říká Jakub Souček, vedoucího našeho týmu, který monitoruje kyberkriminální aktivity.

Základem je, aby bylo dobře zabezpečené zařízení, ze kterého nakupujeme. V notebooku má bezpečnostní program 65 % lidí, na telefonu jen 56 %. Paradoxně ale platby a peníze na kartách si chráníme docela dobře.

Češi využívají vícefázové ověření plateb, nastavují si limity na kartě, někteří používají virtuální karty nebo mají oddělenou kartu pro nákupy online. To jsou všechno jednoznačně vynikající kroky, jak snížit rizika. Neméně důležité je to, v jak důvěryhodném obchodě platíme.

E-shop musí být bezpečný, říkají Češi

Právě bezpečnost nákupu je rozhodující kritérium pro většinu Čechů. Dále se vybíráme, kde nakoupit podle toho, zda máme s e-shopem dřívější dobrou zkušenost a podle podmínek nákupu (jako je třeba cena za dopravu).

Jak ale vyhodnotíme, že je daný obchod bezpečný, když je to důležité?

• 83 % lidí se orientuje podle dřívější zkušenosti
• 57 % dá na recenze
• 55 % se řídí značkou
• 40 % si nechá poradit od přátel a rodiny.

Tato kritéria ale hlediska kybernetické bezpečnosti nejsou 100%. Měli bychom se zajímat spíše a to, aby adresa začínala znaky https://,  přísné nároky na bezpečnost hesla či ověření přihlášení pomocí druhého faktoru.

Jak poznat bezpečný e-shop?

„Známé značky představují dobré reference i s ohledem na bezpečnost nákupu, jsou ale často zneužívány kyberpodvodníky. Ti dokáží vytvořit věrohodnou kopii známého e-shopu i s falešnými recenzemi na produkt nebo službu,“ doplňuje Souček.

Na falešný internetový obchod nás může upozornit několik věcí:

• podivně znějící internetová adresa e-shopu
• jeho zabezpečení, které můžeme například zjistit kliknutím na ikonu nastavení na začátku adresního řádku v prohlížeči
• text na webu je strojově přeložený
• některé části nejsou vůbec přeloženy do češtiny
• nekonzistentní formátování textu napříč webem
• některé odkazy se zobrazují v nestandardním formátu
• chybí adresa firmy, kontaktní údaje na ni (pretujte e-mail a telefon před formulářem)
• chybí obchodní a reklamační podmínky

„Spotřebitele opakovaně upozorňujeme, aby věnovali pozornost tomu, kde nakupují a ještě předtím, než učiní závazné kroky, aby si ověřili důvěryhodnost prodávajícího a věděli, s kým smluvní vztah uzavírají. Kdo je provozovatelem e-shopu, kde sídlí, zda uvádí své kontaktní údaje a obchodní podmínky. Pokud tyto údaje nemá, subjekt je anonymní, neinformuje řádně například o právu na vrácení zboží nebo uplatnění práv z vadného plnění, doporučujeme zvolit jiného prodejce,” říká mluvčí České obchodní inspekce František Kotrba. ČOI.

Nenaleťte kyberšmejdům

Nákupy online mohou přijít draho.  Nakupujte na e-shopech z celého světa bez starostí díky ESET.

VYZKOUŠET ZDARMA

Kybernetičtí podvodníci velké kulturní a sportovní událost zneužívají rádi a pravidelně. Nadšení fanoušci se často uchýlí na různá internetová fóra, pokud vstupenky neseženou na oficiálních distribučních místech, a právě v tuto chvíli mají kyberútočníci svou příležitost.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book

Podvodník se vydává za prodejce vstupenky

Pokud hledáte dárkové poukazy a vstupenky na internetových fórech, na Facebooku nebo na internetových bazarech, můžete se v e-mailu nebo chatu setkat s někým, kdo se za prodejce jen vydává.

Dalším typickým scamem před Vánoci jsou e-maily, ve kterých za známé prodejce vydávají. Jejich cílem je shrábnout peníze za vstupenky, které vy ale nikdy neuvidíte. Na ty často upozorňují sami pořadatelé akcí. Stejně tak se snaží eliminovat různé pokoutné přeprodávání. Například loni na mistrovství světa v hokeji pořadatelé přeprodávané vstupenky zneplatnili.

Může se stát, že vy podvodníkovi v dobré víře zaplatíte, ale voucher nebo vstupenky nikdy nedostanete. V horším případě vám podvodníci odkáží na phishingové formuláře a ještě vám vybílí účet.

Samozřejmě se na inzertních portálech setkáte i s férovými prodejci, jen je třeba být obezřetný. Ty nepoctivé poznáte například podle těchto rysů:

V komunikaci s případným prodejcem si vždy všímejte celého znění e-mailu nebo zprávy. Je komunikace moc formální nebo naopak příliš uvolněná? Obsahuje text nějaké gramatické chyby? I přes rozšířené množnosti využití nástrojů, jako je například ChatGPT, zůstává čeština pro podvodníky z cizích zemí tvrdým oříškem.

Pokud vás kontaktuje někdo jménem známého prodejce, zkontrolujte, zda adresa odesílatele doslovně sedí s oficiální adresou. Běžně se setkáte s homoglyfovými podvody, kdy útočník mění různé znaky z různých abeced, aby adresa vypadala podobně.

Pokud zpráva obsahuje nějakou přílohu nebo odkaz, měli bychom být obzvlášť opatrní. Obecně platí, že bychom neměli otevírat přílohy a klikat na odkazy z nevyžádaných e-mailů, pokud se nejedná o prokazatelně oficiální komunikaci nějaké známé autority – to ostatně můžeme zjistit podle kontroly adresy odesílatele.

Je důležité připomenout, že útočníci v Česku dlouhodobě šíří nebezpečné e-maily, jejichž přílohy obsahují spyware. Taková příloha může mít příponu .exe. Pokud si nejste jistí, že se jedná o oficiální a bezpečnou komunikaci, není nic špatného na tom si zprávu obratem ověřit na oficiální zákaznické podpoře.

Vstupenky jsou výhodně k sehnání v méně známém e-shopu

Vstupenky jsou na e-shopech nejznámějších poskytovatelů vyprodané, ale na bazary a fóra se zatím vydat nechcete. Tak prohledáváte internet a narazíte na vstupenky v nějakém méně známém obchodu třetí strany. I tady je ale dobré zbystřit – pokud se nejedná o solidního poskytovatele, může se stát, že za vstupenky zaplatíte, ale nikdy je neuvidíte.

I když by se e-shop mohl zdát méně rizikový než internetová fóra nebo tržiště, mohou zde nastat problémy. U e-shopu je vždy důležité zkontrolovat, zda je webová stránka šifrovaná, zvlášť, pokud má e-shop svou vlastní platební bránu. To zjistíte snadno při kliknutí na ikonku nastavení v řádku pro zadání URL adresy. V nabídce pak můžete zkontrolovat šifrování a certifikát webové stránky.

Pokud na webu nakupujete poprvé, není od věci prozkoumat recenze a přečíst si informace v záložce „O nás“ a „Kontakty“ – zde například zjistíte, kde má e-shop hlavní sídlo a zda se v případě problémů budete mít kam dovolat. Pokud by se vám na e-shopu cokoli nezdálo, před nákupem se určitě majitele můžete na informace doptat. Rizikové e-shopy můžete zkontrolovat také na webu České obchodní inspekce.

Podvržené aplikace pro nákup vstupenek

Možná jste se rozhodli, že vstupenky pořídíte přes aplikaci některého z prodejců. Vstupenku tak budete mít v elektronické podobě přímo ve svém účtu a budete ji moct snadno přeposlat a poskytnout obdarovanému – což ocení především mladší generace.

Takové aplikace ale vždy stahujte pouze z oficiálních obchodů, jako je například Google Play nebo App Store. Bezpečnostní týmy Googlu a Applu aplikace pravidelně prověřují na přítomnost škodlivého kódu a odstraňují falešné aplikace, které se snaží nějakou oficiální napodobit. Vy tak budete mít větší jistotu, že si stahujete aplikaci bez škodlivého kódu nebo adwaru.

Pokud se naopak rozhodnete aplikace stahovat z obchodů třetích stran nebo z internetových úložišť, je vysoce pravděpodobné, že si s aplikací stáhnete také škodlivý kód. Aplikace může sice fungovat bez větších potíží, ale na pozadí poběží například adware, který zobrazuje reklamy s podvodným obsahem a odkazy na nebezpečné webové stránky nebo stahovat další škodlivé kódy do vašeho zařízení. Může být také rizikem pro naše soukromí na internetu.

Jak se při vánočních nákupech vyhnout podvodům?

V jakékoli komunikaci s neznámou osobou je dobré zpomalit a všímat si detailů – pospíchá na vás protistrana? Dělá v textu chyby? Zdá se vám komunikace psaná strojově? Změnil se tón komunikace od doby, kdy jste s domnělou službou komunikovali naposledy? I když umělá inteligence přípravu podvodů mohla usnadnit, čeština je pro podvodníky z cizích zemí stále těžká.

Bezpečnostní program (antivir) vás na phishingové formulář, potenciálně rizikové aplikace nebo podvodný odkaz upozorní, dřív než byste mohli vyplnit jakékoli citlivé údaje. ESET spolupracuje i s Českou obchodní inspekcí, náš program vás tak upozorní, pokud si otevřete některý z obchod, před kterými ČOI varuje. Bezpečnost nákup také zvýší používání speciálních funkcí pro zabezpečení plateb, které najdete už v základním produktu ESET.

Štít, přes který se hackeři nedostanou

Předcházejte malware díky jedinému řešení. ESET
spolehlivě ochrání vaše zařízení i data. 

VYZKOUŠET

Za podvody stojí organizovaná síť zločinců. Ještě zkraje roku operovali na internetových tržištích, jako je Vinted, eBay, Facebook Marketplace, Bazoš či Sbazar. Během léta ale mírně změnili modus operandi a nástroj zvaný Telekopí (nebo Telekopye) použili na ubytovacích službách. Dokázali zneužít legitimní účty hotelů a pronajímatelů ubytování s cílem přimět oběti k zadání údajů z platebních karet do formulářů na falešných webových stránkách.

Tento scénář si podvodníci vyzkoušeli během léta, nedá se ale očekávat, že by si dali zimní přestávku.

„S ohledem na velký nárůst tohoto nového typu podvodů se lze domnívat, že je nový scénář pro podvodníky natolik atraktivní, že v něm budou pokračovat i v budoucnu,“ říká náš expert z výzkumného týmu Radek Jizba.

Škodlivý kód používá několik na sobě nezávislých skupin. Tvůrci Telekopí pocházejí pravděpodobně z východní Evropy, jejich oběti jsou ale z celého světa. Finanční škody spojené s těmito podvody činí podle údajů policie více než 100 milionů korun.

Stáhněte si příručku
o sociálním inženýrství

Poznejte techniky sociálního inženýrství a naučte se, jak se proti nim úspěšně bránit.

STÁHNOUT PŘÍRUČKU

Útočník ví, že jste si rezervovali hotel

Podvodníci nejprve získají přístup k legitimním účtům hotelů a pronajímatelů na platformách Booking.com a Airbnb.

„Přístupy k těmto účtům pravděpodobně získávají nákupem ukradených přihlašovacích údajů na kyberzločineckých fórech. Díky přístupu k nim vyhledávají uživatele, kteří si nedávno rezervovali pobyt, za který buď ještě nezaplatili, nebo zaplatili poměrně nedávno, a na ty se zaměří,“ vysvětluje Radek Jizba.

Obětem zasílají e-mail či zprávu v oficiálním chatu ubytovací platformy s tvrzením, že došlo k problému s platbou za rezervaci, a je proto nutné platbu znovu provést. Odkaz z chatu vede na falešnou webovou stránku, která vypadá velice věrohodně.

Na podvržené stránce odevzdejte údaje z karty

V podvrženém formuláři uživatel vidí předvyplněné informace o své rezervaci jako je termín příjezdu a odjezdu, cena a místo. Tyto údaje odpovídají skutečné ubytování, kterou uživatel skutečně provedl. Následně má uživatel zadat údaje z platební karty.

Ukázka phishingové stránky, prostřednictvím které útočníci sbírali údaje z platebních karet.

Jde o takřka dokonalý kybernetický zločin: Podvodník vás kontaktujte interním chatem, jménem hotelu, který jste si rezervovali, a dokonce vám jako důkaz předloží údaje, které jste sami zadali.

„Oběti na informacích nevidí nic podezřelého, a také webové stránky vypadají naprosto legitimně. Jedinými viditelnými znaky, které naznačují, že něco není v pořádku, jsou URL adresy webových stránek, které neodpovídají napodobovaným, legitimním webům,“ dodává Radek Jizba.

Jak se nestat mamutem a podvod odhalit?

Už jsme zmínili, že útočníci označují své oběti jako mamuty. (V rusky mluvících zemích je to označení pro někoho, „kdo se snadno nachytá“). Jak se tedy nestat někým takovým a tento podvod odhalit? Bohužel je to těžké. Ale pomáhá fakt, že jste si vědomi, že takovéto podvody existují.

Jediným vodíkem pro potenciální oběti mohly být adresy webových stránek s formuláři pro zaplacení, které neodpovídaly skutečným stránkám hotelů.

Jak si online rezervovat pobyt bezpečně?

1. Ověřte si platbu: Hlásí vám systém chybu při placení? Zkontrolujte nejprve svůj účet, zda skutečně platba odešla. Teprve poté zvažte další pokus o úhradu ubytování.
2. Používejte antivir: Spolehlivý bezpečnostní software vás před podvodnou stránkou varuje.
3. Nepřecházejte na jinou stránku: Před vyplněním jakýchkoli formulářů souvisejících s rezervací se vždy ujistěte, že jste neopustili oficiální webové stránky nebo aplikaci dané platformy. Přesměrování na externí URL adresu pro provedení rezervace a platby je indikátorem možného podvodu.
4. Kontrolujte URL adresy: Před zadáním jakýchkoli údajů zkontrolujte, zda jste na oficiální webové stránce nebo aplikaci.
5. Kontaktujte podporu: Pokud máte pochybnosti, kontaktujte oficiální zákaznickou podporu platformy nebo nahlaste bezpečnostní problém.
6. Zavolejte do hotelu: Máte pochybnost? Kontaktujte přímo poskytovatele ubytování.
7. Chraňte svůj účet na AirBnB nebo Booking.com: Ať už rezervujete ubytování, nebo ho pronajímáte, používejte silné heslo a zapněte dvoufaktorové ověřování, kdykoli je to možné.

Máte obavu, že jste naletěli?
Okamžitě kontaktuje svou banku a zablokujte platební kartu!

V článku si ukážeme, jak funguje NFC a jak tyto platby nastavit. Samozřejmě vám také poradíme, jak ochránit mobil před zneužitím NFC technologie, abyste měli jistotu, že vaše bankovní údaje zůstanou v bezpečí.

NFC v telefonu umožňuje platit přes Google Pay

NFC je zkratka pro near field communication. Je to bezdrátová technologie, která umožňuje rychlou a bezpečnou výměnu dat na velmi krátkou vzdálenost (do 4 cm). Používá se v zařízeních, jako jsou chytré telefony, tablety, počítače, platební a přístupové karty. Podobá se v některých vlastnostech technologii bluetooth.

Funkci NFC umožňují 3 klíčové věci: telefon s podporou této technologie (nejčastěji je součástí vašeho telefonu nebo chytrých hodinek), platební terminál a transakční aplikace (např. Google Pay a Apple Pay).

Při placení zapnete funkci NFC, otevřete si ve svém telefonu platební aplikaci, ve které máte spárovanou platební kartu, a přiložíte mobil k NFC štítku (platebnímu terminálu).

Jak platba pomocí NFC bezpečná?

Placení pomocí NFC technologie je pro vaše bankovní účty bezpečné. Jedním z důvodů je to, že funguje jen mezi aktivními nfc zařízeními do vzdálenosti několika centimetrů. To znamená, že pokud by někdo chtěl ukrást informace z vašeho telefonu nebo platební karty, musel by stát velmi těsně blízko vás.

Jak funguje NFC, neboli near field communication?

1. Platba se odesílá prostřednictvím zabezpečeného připojení mezi dvěma zařízeními. Přenos dat je šifrován 256bitovým šifrováním AES, což v praxi znamená, že bylo by obtížné data dešifrovat do čitelné podoby.
2. Při platbě obchodník nevidí údaje o vaší platební kartě ani telefonní číslo. Vaše transakce jsou tak pro obchodníka anonymní.
3. Při placení pomocí terminálu nemusíte kartu fyzicky ukazovat ostatním nakupujícím, což snižuje riziko odhalení čísla karty a bezpečnostního kódu CVC (trojčíslí na zadní straně karty). Pokud pomocí technologie NFC vybíráte z bankomatu, eliminujete riziko zkopírování vaší karty.
4. NFC funguje na velmi krátkou vzdálenost několika centimetrů. Pokud by vás útočník chtěl takto okrást, musel by čtečku přiložit přímo k vašemu zařízení. A toho byste si dozajista všimli.
5. Větší platby je nutné autorizovat, typicky pomocí PINu. Nehrozí tedy, že byste přišli bez vašeho vědomí o velkou částku. Navíc lze tyto útoky nahlásit vaší bance a s velkou jistotou dostanete peníze zpět.

Typy útoků, které cílí na zařízení s NFC

Proti NFC lze provést několik typů útoků. Podívejme se na tři nejběžnější z nich.

• Prvním typem útoku je zachycení a změna dat přes nfc. Útočník zachytí komunikaci, dešifruje data, a poté odešle upravenou verzi dat do vašeho telefonu tak, aby platba přišla na účet jemu. Tento útok vyžaduje, aby se útočník nacházel v těsné blízkosti a byl schopen data dešifrovat. Obojí je pro útočníka velmi obtížné.
• Druhý typ útoku spočívá v narušení komunikace. Jedná se o útok, který je založen na narušení přenosu dat mezi vaším telefonem a platebním terminálem. Cílem není získat data, ale znemožnit použití dané metody.
• Útočník může zneužít NFC, pokud se mu podaří ukrást váš mobilní telefon nebo chytré hodinky. Pokud budete mít mobilní telefon řádně uzamčený silným heslem nebo biometrickými údaji, prakticky takové zneužití znemožníte.

6 tipů pro bezpečnější platby

I přesto, že NFC umožňuje velmi bezpečné placení, doporučujeme dodržovat několik zásad:

1. V mobilním telefonu nebo chytrých hodinkách vypínejte funkci NFC. Přepínač nfc najdete v nastavení. Eliminujete tím riziko, že dojde k platbě bez vašeho vědomí.
2. Můžete si pořídit speciální peněženku, pouzdro na platební kartu nebo dokonce batoh se speciální ochranou proti bezdrátovému přenosu signálu.
3. Používejte pro platby oddělený bankovní účet, který bude obsahovat pouze nezbytné prostředky na drobné nákupy.
4. Nezkoušejte NFC štítky (takzvané NFC tagy), kterým nedůvěřujete.
5. Nainstalujte si antivirus pro mobily, který umožňuje ztracené zařízení lokalizovat.
6. Vždy si zamykejte obrazovku telefonu, nejlépe biometrickým údajem nebo heslem. Nikdo tak nebude moci zneužít vaše zařízení, pokud jej ztratíte nebo někde zapomenete.

Jak zjistit, zda telefon podporuje NFC?

Pro nastavení plateb stačí postupovat podle jednoduchého návodu.

1. Zjistěte, zda váš telefon podporuje NFC – Otevřete nastavení a do vyhledávání zadejte „NFC“. Pokud telefon funkci najde, otevřete ji a  zapněte. Pokud funkci v telefonu nevidíte, pravděpodobně platit telefonem nemůžete.
2. Zjistěte, jestli vaše banka a karta podporuje platby NFC pomocí aplikací typu Google Pay či Apple Pay. Většina bank vydává nové karty a tyto platební metody podporují.
3. Nainstalujte si aplikaci pro bezkontaktní platby. Na výběr máte Google Pay, Apple Pay, Garmin Pay, FitBit Pay nebo obdobné aplikace.  Dávejte pozor a instalujte pouze aplikace z oficiálních obchodů (tj. Obchod Play nebo App Store).
4. Do aplikace přidejte vaší platební kartu.
5. Při placení zapněte NFC. Telefon či jiné zařízení nemusíte ani odemykat. Přiložte jej k platebnímu terminálu k místu, kde je logo pro bezkontaktní platby. Pak už je to stejné jako u platby kartou. Po pípnutí se provede platba a přímo v aplikaci najdete informace o proběhlé transakci.
6. Pokud platíte do 500 Kč, obvykle nebude nutné zadávat PIN kód ani potvrzovat platbu odemčením. U větších plateb je však vaše autorizace potřeba. To je jedině dobře, protože tím je zajištěno bezpečné placení.

Vzhledem k obrovské rozmanitosti zboží a velkému počtu cenově výhodných nabídek přilákala tato stránka mnoho nakupujících, kteří hledají levnější alternativu k dražším položkám v tuzemských obchodech. Výběr mají obrovský – dle odhadů má e-shop nabízet až desítky milionů položek.

Nakupujete také rádi online? Poslechněte si rady našeho kolegy Michala, jak platit online bez rizika:

Vše, co potřebujete vědět o Temu

Temu, západní odnož čínského online gigantu Pinduoduo, nabízí zákazníkům možnost nakupovat přímo od čínských výrobců, kteří jsou známí svými nízkými cenami. Uživatelům také nabízí celou řadu bonusů, například možnost získat kredity nebo slevu na budoucí nákupy, a to buď vytočením si slevy v kole štěstí, nebo tím, že doporučí ostatním lidem, aby na webu také nakupovali.

Není to ale vždy tak růžové, jak by se mohlo na první pohled zdát. Mnohé recenze zákazníků nejsou zrovna oslnivé. Uživatelé Temu často vytýkají nevyžádanou poštu, potíže s vrácením peněz a špatný stav zboží. Objevují se i případy, kdy zboží zákazníkům vůbec nedorazí.

Podvodníci budou vždy tíhnout tam, kde je nejvíce uživatelů. Měli bychom proto počítat s tím, že se na čínského prodejce s oranžovou značkou budou pravděpodobně čím dál víc zaměřovat.

Top 5 podvodů na Temu

1. Nahé fotky celebrit

Pokud chcete získat kredity nebo odměny z nákupu na Temu, jednou z možností je doporučit tržiště ostatním a poskytnout jim svůj doporučující kód. Podvodníci však využívají sociální sítě, aby uživatele přiměli k zadávání těchto kódů pod falešnou nabídkou. Jejich trikem je například zveřejnit lechtivé fotografie celebrit (např. na Twitteru, TikToku atd.) se zprávou, která naznačuje, že uživatelé se mohou dostat k dalším podobným fotkám, pokud zadají svůj kód do Temu. Žádné další fotky samozřejmě uživatelé neuvidí a podvodník jednoduše sbírá další a další doporučující kódy.

Výhody pro Fortnite a Roblox

V tomto případě podvodník zveřejní na sociálních sítích příspěvek, v němž tvrdí, že uživatelé mají přístup k bezplatné dárkové kartě Roblox Robux, která jim umožní zakoupit vylepšení pro jejich avatary nebo si na webu koupit pro své herní postavy speciální schopnosti. Jediné, co musí pro získání odměny udělat, je zadat doporučující kód na Temu. Dalším oblíbeným lákadlem je také falešná nabídka „skinů“ (převleků) pro postavy ve hře Fortnite. Podvodník jednoduše využívá zvědavosti uživatelů sociálních sítí a skutečnosti, že Temu a široká nabídka zboží na tomto online tržišti stále nejsou všeobecně známé.

Zboží nápadně připomínající známé značky

Ačkoli sesterská společnost Pinduoduo figuruje na americkém seznamu jako tzv. „Notorious Markets for Counterfeit Products and Piracy“, nic nenasvědčuje tomu, že by prodejci na Temu nabízeli padělané výrobky. Objevily se však zprávy o výrobcích, které se již pohybují blízko hranic porušování ochranných známek a patentů. Pokud uživatel zadá do vyhledávače například „Apple“, může se mu zobrazit vzhledově podobné zboží za zlomek ceny. Pokud to včas neodhalí, po rozbalení doručeného zboží ho pravděpodobně čeká nemilé překvapení.

Spolupráce s celebritami

Dalším podvodem na sociálních sítích, který využívá přitažlivou sílu Temu, jsou falešné příspěvky celebrit nebo influencerů, kteří vypadají, že mají placené partnerství s tímto čínským obchodem. Konečným cílem je i zde přesvědčit fanoušky, aby navštívili stránky, zadali slevový kód a zakoupili si tak zlevněné zboží. Opět se však o žádnou takovou dohodu s celebritami nejedná a získané kódy podvodníkovi pouze opět připisují další bonusy.

Podvodná reklama a spam

Pozor byste si měli dát také na reklamu na webových stránkách a nevyžádané e-maily slibující obrovské slevy. Využívají klasické techniky sociálního inženýrství, jako je vytváření pocitu naléhavosti prostřednictvím časově omezených a úžasných nabídek. Pokud na ně kliknete, dostanete se na věrohodnou kopii webu v podobě phishingové stránky. Zadáte-li údaje o své platební kartě, s velkou jistotou skončí v rukou útočníků.

Jak zůstat v bezpečí při nakupování na Temu

• Nikdy neklikejte na odkazy v nevyžádaných e-mailech nebo na reklamy.
• Pokud chcete zkontrolovat nabídku od Temu inzerovanou online, navštivte přímo oficiální stránky tržiště.
• Neukládejte si platební údaje do svého účtu. Nastavte si také dvoufaktorové ověřování (2FA), aby byl váš účet chráněn více než jen heslem. Temu nyní nabízí 2FA ověření prostřednictvím SMS.
• Dávejte pozor na nabídky, které po vás požadují zadání doporučujícího kódu na Temu – zejména na ty, ve kterých vystupují známé osobnosti.
• Vždy si pečlivě prohlédněte, co kupujete, abyste se vyhnuli pozdějšímu zklamání.
• Temu sice nabízí speciální nabídky a nízké ceny, ale až příliš senzační akce budou pravděpodobně podvod. Pamatujte – pokud zní nabídka až příliš dobře na to, aby to byla pravda, pravděpodobně to pravda vskutku není.

V neposlední řadě dávejte pozor na to, kolik údajů o sobě zveřejňujete a jaké druhy oprávnění aplikaci Temu nebo jakékoli jiné mobilní aplikaci udělujete.

Co na to říkají kyberbezpečnostní experti?

„Temu jako jiné nákupní aplikace sbírá osobní údaje, které jsou potřebné k uskutečnění nákupu. Dále sbírá například i data o zařízení, o používání služby a také údaje o poloze. Uvádí, že tyto informace může sdílet se třetími stranami, např. se svými přidruženými společnostmi. Pokud tyto společnosti sídlí v Číně, bude nakládání s daty uživatelů podléhat tamější legislativě, a tedy nemusí být v souladu s evropskými principy a standardy zpracování dat,“ říká Vladimíra Žáčková z ESETu.

Zde je několik tipů, co dělat, pokud se obáváte, že aplikaci Temu nebo mnoha dalším online obchodům a tržištím prozradíte příliš mnoho svých osobních údajů.

Podle průzkumu společnosti ESET se již čtvrtina z nás setkala při online nakupování s podvodem. Číslo podvedených navíc meziročně vzrostlo o 6 % a rozhodně bychom měli počítat s tím, že kybernetičtí podvodníci nebudou spát na vavřínech. V dnešním článku se tak podíváme, jaké věci při online nakupování pohlídat a útočníkům jejich práci ztížit.

Poslechněte si základní doporučení, jak nakupovat online bezpečně:

#1 Smartphone zabezpečte stejně jako počítač

Nejčastějším zařízením pro online nákupy je dle průzkumu notebook (54 %), polovina z nás však využívá také chytrý mobilní telefon. Především mezi nejmladší generací ve věku 18-24 let se jedná o nejoblíbenější zařízení k online nakupování (70 %).

Chytré telefony však stále pokulhávají v řádném zabezpečení za notebooky a stolními počítači. Přitom v nich dnes uchováváme celou řadu osobních a citlivých informací. Kromě řádného nastavení uzamčení telefonu a potvrzování operací – ideálně biometrickými údaji – je důležité pravidelně aktualizovat operační systém chytrého telefonu i všechny aplikace v něm. V neposlední řadě i do smartphonu stáhněte bezpečnostní software, který ho ochrání před spywarem, adwarem a nebezpečnými webovými stránkami.

#2 E-shop nevybírejte jen podle známé značky

Ačkoli je podle průzkumu pro většinu z nás při výběru e-shopu důležitá důvěra v bezpečnost nákupu, mnozí z nás ji hodnotí podle kritérií, která o skutečné bezpečnosti příliš nevypovídají – jsou to například dřívější dobrá zkušenost s nákupem (90 %), recenze (57 %) či známosti značky (56 %).

Co na to říkají kyberbezpečnostní experti?

„Známé značky jsou často zneužívány kyberpodvodníky, ti jsou schopni vytvořit věrohodnou kopii známého e-shopu, někdy dokonce s falešnými recenzemi na produkt nebo službu. Zvlášť během podzimní a zimní nákupní sezóny zneužívají nepozornosti uživatelů a snaží se je nachytat také například na podezřele výhodné nabídky nebo velké slevy,“ říká Vladimíra Žáčková, specialistka kybernetické bezpečnosti ve společnosti ESET.

Jak doporučují právě kyberbezpečnostní specialisté, při výběru e-shopu je potřeba zaměřit pozornost i na řadu dalších věcí. Na falešný internetový obchod nás může upozornit podivně znějící internetová adresa nebo nedostatek informací o provozovateli e-shopu a obchodních podmínkách. Informace na webu se také mohou jevit jako strojově přeložené, případně některá část textu nemusí být ani přeložena do češtiny. Části textu mohou mít na webu také různé formátování.

#3 Jedno heslo opravdu nestačí

Právě unikátní hesla se objevují vždy mezi doporučeními, jak mít bezpečně v rukou svůj digitální život. A má to své důvody. Heslo zatím zůstává hlavní bezpečnostní závorou mezi našimi účty – a to i těmi bankovními – a zbytkem světa. Hesla jsou dlouhodobě lovnou zvěří řady kyberútočníků a potenciální nebezpečí může představovat i únik dat u poskytovatele, jehož služby využíváme.

Při online nakupování používá unikátní heslo jen čtvrtina z nás. V porovnání s loňským rokem sice klesl počet lidí, kteří svá hesla takzvaně „recyklují“, tedy opakovaně je nebo jejich části využívají pro přihlášení do více účtů, stále jich je ale třetina.

Opakované používání hesel bychom možná očekávali od starších lidí, ale není tomu tak. Zatímco pouze 17 % lidí starších 75 let používá pouze jedno heslo, u lidí ve věku 25-34 let je tomu v 45 % případů.

Pokud využíváme jedno heslo pro více služeb, výrazně tím ohrožujeme naši digitální bezpečnost. Útočníci mohou heslo prolomit prostřednictvím útoků hrubou silou nebo ho získat z databáze uniklých hesel. V případě, že přístup následně opravdu získají, otevírají se jim dveře k našim dalším online účtům.

Doporučení je v tomto případě velmi jednoduché – vytvářet pro každý účet dostatečně silné a vždy jedinečné heslo, které si nezapíšeme nikam na papírek nebo do sešitu, ani neuložíme volně jako textový soubor v počítači ani v chytrém telefonu. S tvorbou a bezpečným ukládáním hesel nám mohou pomoci specializované programy zvané správci hesel.

#4 Platební karta v hledáčku zlodějů

Nejraději platíme online platebními kartami, i když podle posledních dat tato metoda trochu ztrácí na oblibě – oproti minulému roku výrazně ubylo takových plateb, a to z 76 % na 65 %. V letošní sezóně se naopak těší zájmu českých uživatelů stará dobrá platba přes dobírku nebo převodem.

A jak řeší čeští uživatelé zabezpečení plateb kartami? Nejčastěji nastavením limitů na kartě (72 %) a pomocí vícefázového ověření (70 %). Virtuální platební kartu využívá necelá pětina lidí, nicméně u lidí do 24 let se jedná o podíl 50 %.

Nastavení limitů na kartě ale bohužel nebrání kyberútočníkům v tom, aby se dostali k našim finančním prostředkům, pouze snižují škody v případě úspěšného útoku. Oproti tomu vícefázové ověření může rovnou zabránit neoprávněné transakci nebo neoprávněnému přístupu k našemu online účtu.

#5 Nepodceňte podvodníky na bazarech

Internetová online tržiště patří mezi oblíbené platformy, kam se vydáváme nejen za nákupem nového zboží, ale můžeme zde prodat i věci, které již nepotřebujeme. Necelá třetina dotázaných v průzkumu uvedla, že internetové bazary již několikrát k nákupu využila, přičemž 7 % uživatelů na bazarech dle svých slov nakupuje velmi často.

Internetová tržiště jako Sbazar, Bazoš, Vinted nebo Facebook Marketplace jsou pro různé podvodníky zlatým dolem. Ti se dokonce seskupují do organizovaných skupin a k přípravě útoků využívají speciální nástroj, který bezpečnostní experti z ESETu nazývají Telekopí. Podvody na bazarech jsou jedním z nejčastějších podvodů na českém internetu a obezřetnost je v tomto případě více než důležitá.

Jsem obětí podvodu při online nákupu – co dál?

Podle dostupných informací řeší čeští uživatelé podvod při online nakupování nejčastěji s bankou (26 %), pětina se obrací na policii a jen lehce přes 10 % na provozovatele internetového obchodu.

V případě, že se stanete obětí podvodu, je důležité se z chyby zbytečně neobviňovat, poučit se z ní, dostat co nejdříve celou situaci pod svou kontrolu a zaměřit se na prevenci. Podvodníci se snaží být vždy o krok napřed a obětí se může stát každý z nás.

Internetové bazary jsou nejen ve světě, ale bohužel i v Česku jedním z nejčastějších dějišť kybernetické kriminality. Podle odhadů Policie ČR se finanční škody spojené s těmito typy podvodů pohybují v řádech stamilionů korun. Celkový počet registrovaných skutků spáchaných v kyberprostoru pak podle dat policie narostl za období od ledna do července 2023 o 11,3 % oproti stejnému období v loňském roce.

Podvodníci si útok připraví jen na pár kliknutí

Pravděpodobnost, že se zrovna i vy stanete obětí kybernetického podvodu, je velká, a to i kvůli tomu, že příprava phishingových útoků se automatizuje. Již dávno není pravda, že si vás útočníci pečlivě vytipují a pak upnou všechny sílí k tomu, aby uškodili právě vám. Naopak. Plošný útok slibuje, že se vždycky alespoň někdo chytí do pasti.

Experti z ESETu nedávno odhalili útočné kampaně, které na Česko míří nejčastěji z Ruska, Ukrajiny a Uzbekistánu. Podle jejich zjištění se útočníci shromažďují v kanálech na komunikační platformě Telegram, kde je jim k dispozici nástroj od rusky mluvících vývojářů – Telekopí. Nástroj jim v několika krocích pomůže vytvořit přesvědčivý phishingový útok na uživatele internetových bazarů, kterým podvodníci říkají mamuti.

Mamut je v rusky mluvících zemích označením pro toho, kdo se snadno nachytá.

Podvody na bazarech jsou byznys se vším všudy

Věčná potíž s kyberútočníky a kybernetickými podvodníky tkví v tom, že bývají o krok napřed před námi uživateli. Spolehlivou obranou je tak zjišťovat si o podvodech a hrozbách na internetu co nejvíce dostupných informací. Co tedy o podvodnících z bazaru víme?

1. Podvodníci z bazarů fungují podle dvou scénářů

Podle prvního scénáře podvodník zveřejní na internetovém bazaru inzerát o prodeji zboží a čeká, až se mu někdo ozve. Poté oběti zašle v podvodné SMS zprávě nebo e-mailu odkaz na falešnou webovou stránku, kde má oběť provést platbu za zboží.

Poté, co oběť vyplní údaje, útočníci ji okradou o inzerovanou částku za zboží. Může se ale také stát, že se útočník pokusí od oběti zjistit údaj o zůstatku na jejím bankovním účtu a následně se pokusí odcizit celý zůstatek.

Ve druhém případě útočníci na bazarech svoje oběti sami vyhledávají a předstírají zájem o zboží. Při domluvě o koupi zboží požadují zaplacení jistiny pro případ, že by mu prodávající nic neodeslal nebo balíček přišel poškozený. Falešnou platební bránu potom vydávají za úschovnu peněz, kterou má ve správě daný online bazar. Je to ale opět past a pokud prodávající, v tomto případě tedy také oběť, vyplní údaje o své kartě nebo bankovním účtu, opět přijde o peníze.

Útočníci si své oběti pečlivě vybírají a zpravidla cílí na ty z nás, kteří nabízejí zboží v hodnotě do 5 000 Kč nebo mají na kartě k dispozici alespoň 7 000 Kč.

2. Podvodníci rozřazují oběti do skupin

Útočníci si vedou o obětech, mamutech, přesnou evidenci. Vědí, kde naposledy konverzace přes chatovací aplikaci skončila a o čem už s obětí komunikovali. Mají také k dispozici překlady krátkých frází, aby v konverzaci působili co nejméně nápadně – většina útočníků podle posledních zjištění totiž mluví rusky.

Úspěšnost podvodů napříč všemi regiony se pohybuje okolo 20 %.

Na zprávy nereagují okamžitě, aby věrohodně napodobili chování běžného člověka, který nemá telefon vždy po ruce nebo neodpovídá na zprávy v pracovní době. Mezi zprávami nechávají také 8hodinové okno, které má představovat spánek.

Při vyhledávání si své oběti vybírají a kontaktují jen ty, kteří splňují několik základních parametrů. V případě, že se během konverzace objeví ze strany oběti jen drobný náznak pochybností, celou konverzaci zahodí a raději se zaměří na jinou oběť.

Svoje oběti také dále dělí do několika skupin. Nejčastěji cílí na nováčky, tedy uživatele, kteří mají čerstvě vytvořený účet a málo nabídek, a na běžné uživatele, kteří už v minulosti něco málo prodali, a ještě mají pár aktivních inzerátů. Zároveň se ale vyhýbají uživatelům, kteří dokončili prodej nebo nákup v posledních dnech, a tudíž si dobře pamatují, jak daná platforma funguje.

3. Kybergangy na bazarech jsou organizované

Útočné skupiny jsou organizovány do jasné hierarchie s několika rolemi. Mají také svůj vlastní provizní systém.

Nově příchozí se do skupiny kyberpodvodníků dostanou pouze na doporučení současných členů, doporučení z různých hackerských fór nebo z tzv. učících skupin – ty jsou určené začínajícím podvodníkům. Automaticky pak mají přiřazenou roli dělníka a dostanou se ke všem funkcím nástroje Telekopí, které jsou potřebné k vytvoření scamu.

Noví dělníci začínají s nejhorší provizí, kdy musí odvádět 35 % z každé částky, kterou na obětech vydělají. Po tom, co dosáhnou určitého počtu úspěšně provedených podvodů nebo určitého objemu odcizených peněz, posunou se na roli dobrého dělníka a odváděné provize se sníží. Na nové roli si tak vydělají v průměru o 10 % více.

Další rolí je moderátor, který schvaluje nové členy skupiny a mění jejich role. Pokud některý z členů poruší pravidla skupiny, je potrestán a je mu automaticky přiřazena role zablokovaný a ztrácí tak i přístup k Telekopí.

Nejvýše postavenou roli představuje administrátor, který může měnit samotné nastavení Telekopí – přidávat nové šablony, měnit sazby provizí, jejich typ apod. Zároveň má také pod kontrolou účet, kam přicházejí všechny odcizené finanční prostředky.

Podvodníci si neposílají kradené peníze přímo na svůj účet, ale na jeden centrální, u kterého se vedou přesné záznamy o tom, kolik peněz podvodník odcizil a jak je úspěšný. Jakmile je podvodník oprávněný k výplatě, požádá opět přes Telekopí. Pokud administrátor žádost schválí, je podvodníkovi částka vyplacena do jeho kryptoměnové peněženky.