A jedním z nejsnadnějších způsobů, jak je z nás dostat, je sociální inženýrství.

Co je sociální inženýrství?

Sociální inženýrství je soubor technik, které útočníci využívají k psychologické manipulaci svých obětí. Cílem je většinou nasdílení přihlašovacích údajů, potvrzovacích kódů nebo nevědomá instalace malwaru.

Proč je sociální inženýrství tak úspěšné (a tím pádem nebezpečné)? Protože my, lidé, jsme nejen omylní, ale hlavně sociální bytosti naprogramované věřit ostatním lidem a příběhům, které nám vyprávějí. Zvlášť, když je považujeme za autority.

„Sociální inženýrství funguje, protože zneužívá rozporu, který v nás vytváří vrozené sociální instinkty a naučené zásady kybernetické bezpečnosti,“ vysvětluje náš globální bezpečnostní poradce Jake Moore. „Řečeno jednoduše, sociální inženýři využívají naší důvěřivosti a dělají to hodně dobře.“

Sociální inženýrství často nevyžaduje ani malware, ani sofistikované využívání zranitelností našich zařízení. To znamená, že útoky postavené na něm jsou hůř detekovatelné a hlavně levnější. Obě tyto výhody navíc ještě podpořil nástup generativní AI, která umožňuje snadno vytvářet např. bezchybné phishingové e-maily či přesvědčivé deepfaky.

Jak přesně funguje sociální inženýrství?

Moderní útok na bázi sociálního inženýrství většinou probíhá takto:

1. Průzkum. Sociální inženýři si své oběti „šacují“ podobně jako zloději nebo klasičtí podvodníci. Jako zdroje informací jim slouží naše sociální sítě, balíčky kradených dat z dark webu nebo (v případě útoků na firmy) zpravodajství z otevřených zdrojů (OSINT).
2. Plánování. Na základě získaných informací si útočníci zvolí nejdůvěryhodnější kanál (např. e-mail, soukromou zprávu na sociálních sítích, QR kód nebo i osobní setkání), kterým útok uskuteční, a uvěřitelnou „návnadu“.
3. Útok. Útočník nahodí návnadu (např. urgentní žádost, příslib odměny, vzbuzení strachu či odvolání se na autoritu), oběť se chytí a provede požadovanou akci (např. klikne na podvodný odkaz, otevře škodlivou přílohu, převede peníze nebo prozradí své přihlašovací údaje).
4. Únik. Útočník ukradne přihlašovací údaje, inkasuje poslané peníze nebo spustí nainstalovaný malware a užívá si plody své práce.
5. Reakce. Poškozená strana si uvědomí, co se stalo, a ideálně začne podnikat kroky k nápravě.

Sociální inženýrství z pohledu psychologie

Sociální inženýrství a na něm založené kybernetické útoky nejsou v jádru ničím jiným než útokem člověka na člověka. Hlavní zbraní je v tomto případě manipulace, která je podle amerického psychologa Roberta Cialdiniho založená na následujících principech:

• Autorita: Lidé mají tendenci plnit pokyny těch, které vnímají jako vůdce, což je přesně důvod, proč se podvodníci často vydávají za pracovníky bank, státní úředníky, policisty apod.
• Urgence/FOMO: Pokud je na nás vyvíjen nátlak, že když nebudeme hned jednat, stane se něco špatného nebo nám něco vzácného uteče, zvyšuje se šance, že poslechneme. Tento typ manipulace hojně využívá phishing, např. výhružkou, že nám někdo do 24 hodin deaktivuje účet, nebo příslibem výhry, kterou je nutné vybrat včas.
• Vzájemnost (reciprocita): Lidé nemají rádi pocit, že jsou někomu něco dlužní, a mají často potřebu se revanšovat. Toho zneužívají třeba phishingové e-maily, které slibují dárek nebo produkt zdarma výměnou za to, že se někam přihlásíme, na něco klikneme apod.
• Závazek: Většina z nás se snaží zůstat v názorech a jednáních důsledná, což se projevuje například i tak, že pokud na nějaké podmínky přistoupíme jednou, nejspíš to uděláme znovu, i když se po nás tentokrát chce víc. Proto mají sociální inženýři tendence útoky opakovat.
• Sociální schválení: Lidé mají sklony jít s davem, takže pokud v nás někdo vzbudí dojem, že většina lidí udělala, co se po nás chce, existuje vyšší šance, že to uděláme taky. Toho se využívá např. při phishingových útocích na firmy, při kterých se zaměstnancům tvrdí, že kolegové už „potvrdili údaje“.
• Oblíbenost: Většina lidí se rozhoduje na základě sympatií. To znamená, že pokud nám žádost předkládá někdo, kdo se nám líbí, spíš řekneme ano. Proto se sociální inženýři snaží vybudovat co nejpevnější vztah s obětí.

Sociální inženýrství není jen phishing

O tom, že podvody či krádeže dat založené na sociálním inženýrství často nejsou zvlášť technologicky vyspělé, už jsme mluvili. A co je to phishing nejspíš také znovu vysvětlovat nemusíme. Pojďme se tedy podívat na jeho možná méně známé formy:

• Push bombing je bombardování notifikacemi z aplikace pro vícefaktorové ověření. Cílem je příjemce zmást nebo doslova „uhnat“, aby aspoň jedno z nich potvrdil.
• Quishing je phishing pomocí QR kódu, který bývá vyvěšený na veřejných místech nebo zaslaný e-mailem. Stejně jako v případě klasického phishingu vede uživatele na podvodné stránky nebo ke stažení malwaru.
• ClickFix je poměrně nový způsob, jak do zařízení oběti dostat malware. V první fázi jde o klasický phishing, ale jakmile oběť dorazí do cíle (např. na falešnou stránku), vyskočí jí upozornění, že došlo k dočasné chybě, kterou může opravit jen tak, že zkopíruje a vloží kód do příkazového řádku. Tím nainstaluje malware.

Mezi metody sociálního inženýrství, které se neopírají o phishing, patří třeba milostné podvody, podvody na (pra)rodiče nebo sextorze. Tyto typy podvodů hojně využívají deepfaky vytvořené pomocí generativní umělé inteligence, které útočníkům usnadňují vydávat se za někoho jiného nebo vytvořit falešný pornografický materiál pomocí fotek ze sociálních sítí.

Jak se bránit sociálnímu inženýrství?

Metody sociálního inženýrství a způsoby, jak je na nás uplatnit, jsou různé, ale jedno mají většinou společné: žádost o peníze a/nebo přihlašovací či jiné důvěrné údaje. Pokud na takovou žádost narazíme, je naprosto zásadní nechat si ji pořádně projít hlavou.

„Pokud v nás někdo vyvolává urgenci nebo strach, je potřeba zpomalit a všechno si ověřit,“ radí Jake Moore. „Většina útoků sociálního inženýrství se totiž zhroutí ve chvíli, když se odpojíme od platformy, kterou sociální inženýři k útoku používají, a tím narušíme příběh, který nám vyprávějí. To je přesně důvod, proč se nás snaží např. udržet na telefonu, dokud neuděláme, co chtějí.“

Odolnost proti sociálnímu inženýrství můžete podpořit následujícími kroky:

1. Zvyšujte si povědomí o tom, jaké typy podvodů existují a jaké metody a technologie používají.
2. Aktivujte si všechny bezpečnostní prvky, které vám technologie a platformy umožňují (např. vícefaktorové ověření), a pořiďte si dobrý antivir s ochranou proti phishingu nebo blokací pochybných telefonních čísel.
3. Mluvte o hrozbách sociálního inženýrství otevřeně, a to hlavně doma s dětmi a seniory, na které podvodníci cílí také.

Shrnutí:

Sociální inženýrství není úspěšné, protože jsou podvodníci mimořádně technicky zdatní, ale protože je postavené na psychologické manipulaci. A tu neumí zastavit ani nejlepší bezpečnostní software. Jediná spolehlivá ochrana je tedy ta, která kombinuje informovanost, ostražitost a technologickou ochranu, která nás podrží i ve chvíli, když náš úsudek selže.

Mohlo by vás zajímat:
🎭 Sociální inženýrství online, jak nenaletět?
🎭 Sociální inženýrství: Jak se mu efektivně bránit?
🎭 Poznáte phishingový e-mail? Projděte si test, který vytvořil Google

Senioři v číslech

Senioři, tedy lidé ve věku 65 let a více, podle Českého statistického úřadu momentálně tvoří 20,7 % českého obyvatelstva a jejich podíl v populaci stále roste. 59,8 % z nich běžně používá internet a 40,3 % i internetové bankovnictví.

Podle Neviditelných se ale za zkušené online uživatele považuje jen 12 % dotazovaných seniorů a celých 45 % dále přiznává, že je kyberhrozby umí pořádně zaskočit. Největší problémy jim přitom dělá technologie deepfake. A kyberšmejdi to bohužel vědí.

Životní úspory = snadný výdělek

Důvod, proč si internetoví podvodníci vybírají zrovna seniory, je stále stejný: velká část lidí má na stáří k dispozici vyšší finanční obnosy a kyberšmejdi je vidí jako rychlou výplatu. Při podvodech jim přitom nahrává:

• Důvěřivost: Starší generace mívají větší respekt k autoritám než jejich děti a vnoučata, což usnadňuje práci podvodníkům, kteří se vydávají za důvěryhodné společnosti či státní instituce.
• Samota: Sociální izolace dělá seniory zvlášť náchylné na podvody založené na budování vztahů. A nemusí přitom nutně jít jen o seznamovací podvody, stačí jen příslib přátelství nebo náhlý a nečekaný zájem od příbuzného.
• Informační zahlcení: Užívání internetu s sebou nese spoustu různých uživatelských účtů, které soutěží o naši pozornost. Falešná vyskakovací okna a podvodné telefonáty se v té změti notifikací snadno ztratí.
• Příliš rychlý pokrok: Spousta seniorů stále používá starší modely zařízení, zastaralý software a stejné heslo pro různé účty. A to jsou v době, která dělá čím dál těžší rozeznat skutečnost od AI, zbytečná bezpečnostní rizika navíc.

I průměrný kyberšmejd si přitom vystačí jen s jednou z výše zmíněných podmínek. S malou pomocí šikovných nástrojů, jako jsou např. databáze osobních údajů z dark webu nebo AI aplikace na klonování hlasu, (pra)rodičům od životních úspor zvládne odlehčit tak snadno, že se ani nestihne zapotit.

Jaké online podvody ohrožují bezpečnost seniorů?

Internetové prostředí nemění taktiku ani scénáře podvodů, dělá je jen rychlejší a hůř odhalitelné. To ale neznamená, že se proti nim nejde nijak bránit. Důležité je hlavně vědět, na co přesně si dát pozor.

Phishing

Podvodné e-maily, SMS zprávy i celé weby, které požadují přihlašovací údaje a další citlivá data, na nás útočí ze všech stran. Pro seniory jsou ale zvlášť nebezpečné ty, které se vydávají za velké instituce jako banky a pojišťovny či za státní orgány, jak ukázal nedávný případ České správy sociálního zabezpečení.

Falešná technická podpora

Tento podvod má většinou podobu varovného vyskakovacího okna nebo urgentního telefonního hovoru, které nás mají za úkol přesvědčit, že je naše zařízení napadené. Cílem je oběť přimět, aby „ajťákovi“ umožnila vzdálený přístup, který většinou vede k instalaci infostealeru.

Podvody se seznamkou

Milostné podvody jsou zvlášť zákeřné, protože můžou probíhat klidně i celé týdny nebo měsíce. Pachatel se napřed musí ujistit, že je jeho vztah s obětí dostatečně emocionální, a pak z ní pod záminkou těžké životní situace začne „tahat“ finance.

Podvody na (pra)rodiče

U tohoto podvodu se kyberpodvodník většinou vydává za dítě, vnouče nebo jiného blízkého příbuzného a urgentně žádá peníze, které mu mají pomoct ze smyšlených problémů. Protože jde o bleskovou hru na city, oběť většinou neřeší detaily a peníze na neznámý účet prostě pošle.

Investiční podvody

Všichni už jsme se nejspíš setkali s reklamou, ve které hlava státu nebo jiná známá osobnost slibuje rychlý výdělek, většinou pomocí kryptoměn nebo jiných vysoce výnosných „soukromých“ nabídek. Zatímco dřív šlo o často až úsměvně nedůvěryhodné fotomontáže, dnes je to díky generativní AI a deepfakům úplně nová liga, kterou není radno podceňovat.

Pokud dojde na nejhorší…

Pokud se kyberšmejdům podvod povede, půjde hlavně o čas. Čím rychleji zareagujete, tím větší máte šanci zmírnit nastalé škody. Bezprostředně po podvodu doporučujeme udělat následující:

1. Okamžitě zablokujte bankovní transakce.
2. Uložte si důkazy v podobě telefonních čísel, zpráv, snímků obrazovky… Zkrátka všeho, co je s podvodem nějak spojené.
3. Obraťte se na Policii České republiky a všechno nahlaste. Využít můžete i portál StopOnline.
4. Poskytněte obětem podporu. Nemá smysl je vinit a už vůbec jim nadávat. Hněvem docílíte jen toho, že pokud se bude situace opakovat, oběť se vám už nesvěří a následky budou ještě horší.

Jak varovat, ale nezahanbit?

Prakticky jediný způsob, jak podobné situaci předejít, je otevřená komunikace. Kyberšmejdi se snaží ve své oběti vzbudit pocit, že musí okamžitě jednat, jinak se stane něco špatného, a to jim obvykle nedává moc času situaci promyslet. Vždycky se ale můžeme připravit dopředu.

V rozhovoru se zaměřte na následující:

• Vysvětlete (pra)rodičům, že online podvodníci cílí na všechny a do jejich sítě se může chytit každý bez ohledu na věk. Pokud se tak stane, není tedy důvod ke studu. Ten jen brání situaci včas a efektivně řešit.
• Mluvte o konkrétních případech, které se skutečně staly. Teoretické příklady nechávají až příliš prostoru namluvit si, že nám se to stát nemůže.
• Vyvolte si v rodině jednoho rádce, který bude starším příbuzným vždy připravený pomoct. To jim dodá sebedůvěru nepodlehnout tvrzení, že musí jednat hned.
• Navrhněte (pra)rodičům, aby důvěryhodné osobě svěřili dispoziční právo k bankovnímu účtu a umožnili jí tak v krizi rychle zasáhnout.
• Naveďte je na pomůcku SENIOR, která jim pomůže se snadněji zorientovat v internetových hrozbách.

Důležité je připomenout i základní technologickou hygienu, a to ideálně tak, že si následující opatření se seniorem krok po kroku projdete a názorně předvedete.

• Používejte správce hesel ke generování a ukládání jedinečných hesel.
• Aktivujte vícefaktorové ověření všude, kde to jde. Upřednostňujte ověřování pomocí aplikace nebo hardwarového klíče.
• Zapněte automatické aktualizace softwaru i zařízení.
• Nestahujte přílohy a neklikejte na odkazy v nevyžádaných e-mailech. Pokud jste přece jen na vážkách, zda je adresa skutečně nebezpečná, ověřte si ji zdarma přes ESET Link Checker.
• Nainstalujte spolehlivé bezpečností řešení, které pomůže blokovat vyskakovací okna, pokusy o phishing a další internetové hrozby. Dívejte se hlavně po funkcích zaměřených na ochranu identity, které vás včas upozorní na únik dat, kterého by kyberšmejdi mohli zneužít.

Shrnutí

Podvody cílené na seniory jsou sice na vzestupu, ale na informovaném (pra)rodiči, který dodržuje základní pravidla bezpečného užívání internetu, si zaslouženě vylámou zuby. K tomu je ale potřeba otevřená komunikace v rodině.

Mohlo by vás zajímat:
🔎 Poznáte phishingový e-mail? Projděte si test, který vytvořil Google
🔎 Kryptoscamů přibývá. Jak je poznat?
🔎 Deepfake v politice: Čemu věřit, když ne vlastním očím?

Náš výzkumný tým zaznamenal kampaň, ve které útočníci zneužívali popularitu CapCut k distribuci několika infostealerů a dalšího malwaru. Slibovali prémiové verze populárního softwaru pro tvorbu obsahu, jako jsou CapCut, Adobe Express a Canva, ve skutečnosti ale falešná aplikace ukradne data nebo dokonce umožní hackerům telefon ovládat.

Podívejte se na video, jak svůj telefon ochránit:

Sliby o AI měly nalákat uživatele

Útočníci se snaží falešné stránky maximálně připodobnit k těm legitimním. Na obrázku níže vidíte takový příklad. Podvodník vydává svou stránku za oficiální web aplikace CapCut. Skutečná prémiová verze se nazývá „CapCut Pro“ (někdy se označuje jen jako ‚Pro‘), nikoli „CapCutProAI“.

Na stránce můžete zadat prompt (neboli zadání pro AI) a nahrát svá data, podle kterých má údajná AI video vytvořit. Stránka poté napodobí zpracování požadavku.

Jakmile zadané video vytvoří, sklapne past. Stránka nabídne hotový soubor s názvem „Creation_Made_By_CapCut.mp4 – CapCut.com“ ke stažení. Ve skutečnosti se jedná o spustitelný soubor pro software pro vzdálený přístup. Pokud jej uživatel stáhne (a nemá spolehlivý antivir), může útočník získat kontrolu nad zařízením.

Vzdálený přístup umožní hackerovi získat data

Legitimní nástroje pro vzdálený přístup, jako jsou ConnectWise ScreenConnect, TeamViewer a AnyDesk, využívají běžně IT profesionálové a pracovníci technické podpory, útočníci ale vzdálený přístup  služby zneužívají. Typicky je využijí pro vytěžení dat, instalaci dalšího malware nebo zneužijí zařízení v dalším útoku.

CapCut není jediný. Útočníci se podobným způsobem zaměřili na další grafické programy. Je zcela běžné, že útočníci zneužívají známé a důvěryhodné firmy.

Jak poznat rizikovou aplikaci?

Nenechte se zlákat podvodníky. Připravili jsme několik znaků, jak podvodnou aplikaci poznáte:

• Aplikace stahujte vždy z oficiálních zdrojů. Pro mobilní telefony jsou to jen obchody Google Play nebo App Store. Pokud tam aplikace není nebo je placená a vy ji najdete zdarma, jde velmi pravděpodobně o podvod.
• Neklikejte na odkazy v nevyžádaných e-mailech nebo zprávách na sociálních sítích. Útočníci spam používají k šíření podvodů a malware.
• Neklikejte na reklamy, které slibují prémiové funkce zdarma nebo jiné zázraky na počkání. Raději navštivte oficiální stránku tvůrců služby a ověřte si nabídku.
• Zkontrolujte adresu webové stránky. Podvodníci často změní jeden znak nebo jinak mírně upraví název URL adresy a spoléhají, že si toho uživatelé nevšimnou.
• Používejte ve všech zařízeních s připojením k internetu bezpečnostní program.
• Pravidelně aktualizujte operační systém i aplikace, abyste se chránili před známými zranitelnostmi.

Anti-phishing

Zabraňuje pokusům o získání citlivých informací, jako jsou uživatelská jména a hesla či údaje o kreditních kartách a účtech. Blokuje podvodné webové stránky.

VYZKOUŠET

Shrnuto, podtrženo:

• Kyberzločinci zneužili popularitu aplikace CapCut a lákali tvůrce obsahu na falešné verze s umělou inteligencí.
• Falešné stránky napodobovaly oficiální weby a nabízely „prémiové“ verze, které kradly data nebo umožňovaly vzdálený přístup k zařízení.
• Malware umožňoval hackerům ovládnout zařízení a zneužít ho k dalším útokům nebo krádeži dat, často pomocí legitimních nástrojů jako TeamViewer nebo AnyDesk.
• Buďte ostražití. Stahujte aplikace jen z oficiálních obchodů, neklikejte na podezřelé odkazy a používejte bezpečnostní software

Kompromitované účty lze prodat na dark webu nebo na sociální síti Telegram. I když jsou výrazně levnější než oficiální předplatné (169 Kč/měsíc), při prodeji ve velkém to podvodníkům vydělá slušné peníze. Jedna úspěšná phishingová kampaň může znamenat stovky až tisíce prolomených účtů.

Co všechno útočníci z účtu mohou získat?

Kromě přístupu k hudbě se mohou dostat i k osobním údajům, platebním údajům, poslouchaným skladbám a někdy i k propojeným sociálním sítím. To může vést k dalším útokům, jako je krádež identity nebo tzv. sociální inženýrství.

Hacknuté účty se navíc používají k manipulaci s počty poslechů, které přináší falešné tantiémy umělcům. Podle dat společnosti Beatdapp až 10 % všech přehrání na streamovacích platformách není reálných – a hudební průmysl tím ročně přichází až o 3 miliardy dolarů.

Jaké typy útoků míří na Spotify?

Phishing

Typickou taktikou, jak účty prolomit, jsou phishingové e-maily. Dávno ale tomu , kdy takové e-maily obsahovaly pravopisné chyby a další podezřelé prvky. Dnes vypadá zpráva oficiálně, nechybí logo Spotify ani věrohodná grafika. Jenže odkaz vede na falešnou stránku, kde zadáte přihlašovací údaje – a ty jdou přímo podvodníkům.

Typicky e-mail posluchače varuje, že mu skončí předplatné nebo že je problém s platbou. To je něco, co by třeba chtěl urychleně vyřešit, takže řada uživatelů bez velkého přemýšlení klikne na tlačítku v mailu.

Falešné aplikace

Útočníci cíleně zneužívají touhu uživatelů získat prémiové funkce bez placení. Na internetu kolují neoficiální aplikace, které slibují „lepší Spotify“ bez reklam. Některé jen upravují vzhled, jiné přímo kradou přístupové údaje.

Vždy používejte oficiální aplikaci – z Google Play, App Store nebo z oficiálního webu Spotify. Pokud vidíte aplikaci, která nabízí placené funkce zdarma, jde jistojistě o podvod.

Malware

Malware, který se zaměřuje na odcizení přihlašovacích údajů, patří mezi nejběžnější kybernetické hrozby v Česku. Navíc jsou tyto útoky čím dál sofistikovanější.

Velmi oblíbeným způsobem šíření jsou podvržené rozšíření prohlížečů: ty slibují offline poslech nebo vylepšení přehrávač. Ve skutečnosti ale kradou údaje. Nejčastěji se šíří přes pirátské weby nebo infikované přílohy.

Úniky dat a slabá hesla

Spousta lidí používá jedno heslo pro více služeb, to ale není příliš bezpečné. Když pak někde dojde k úniku dat (např. v e-shopu), zkusí útočníci to samé heslo použít i na Spotify – a ono to často vyjde.

Používejte silná a unikátní hesla, která si uložíte ve správci hesel.

Jak chráníte vaše prohlížení internetu?

Bezpečně můžete prohlížet web s VPN.
Ta je součástí našich řešení. 

VYZKOUŠET

Jak poznám, že mi někdo hacknul účet?

Mezi typické příznaky toho, že váš účet byl kompromitovaný, patří například změna e-mailové adresy nebo platebních údajů, objevení neznámých umělců ve vaší historii, zmizení starých či naopak objevení nových playlistů, které jste sami nevytvořili, nebo přihlášení z podezřelých zařízení. Často se také stává, že vás aplikace opakovaně a bezdůvodně odhlašuje.

Pokud si něčeho takového všimnete, jednejte rychle:

• nejdříve se odhlaste ze všech zařízení přes nastavení účtu,
• okamžitě si změňte heslo,
• zrušte přístup neznámým aplikacím
• a kontaktujte zákaznickou podporu Spotify.

Zabezpečit účet trvá pár minut, ale může vám to ušetřit hodiny stresu, ale i finanční škody. Pamatujte: v digitálním světě je prevence tou nejlepší ochranou!

Shrnuto, podtrženo:

• Z kompromitovaných účtů útočníci těží osobní a platební údaje nebo manipulují platby za poslechy.
• Nejčastější hrozby jsou phishing, falešné aplikace, malware ale také slabé zabezpečení hesly.
• Základem zabezpečení je silné a unikátní heslo, aktualizace, aplikace z oficiálního zdroje a spolehlivý antivir.
• Prolomení účtu poznáte podle neznámých poslechů, problémy s funkčností nebo změně vašich údajů.
• Při podezření jednejte hned: odhlaste zařízení, změňte heslo a kontaktujte podporu.

Kybernetičtí podvodníci velké kulturní a sportovní událost zneužívají rádi a pravidelně. Nadšení fanoušci se často uchýlí na různá internetová fóra, pokud vstupenky neseženou na oficiálních distribučních místech, a právě v tuto chvíli mají kyberútočníci svou příležitost.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book

Podvodník se vydává za prodejce vstupenky

Pokud hledáte dárkové poukazy a vstupenky na internetových fórech, na Facebooku nebo na internetových bazarech, můžete se v e-mailu nebo chatu setkat s někým, kdo se za prodejce jen vydává.

Dalším typickým scamem před Vánoci jsou e-maily, ve kterých za známé prodejce vydávají. Jejich cílem je shrábnout peníze za vstupenky, které vy ale nikdy neuvidíte. Na ty často upozorňují sami pořadatelé akcí. Stejně tak se snaží eliminovat různé pokoutné přeprodávání. Například loni na mistrovství světa v hokeji pořadatelé přeprodávané vstupenky zneplatnili.

Může se stát, že vy podvodníkovi v dobré víře zaplatíte, ale voucher nebo vstupenky nikdy nedostanete. V horším případě vám podvodníci odkáží na phishingové formuláře a ještě vám vybílí účet.

Samozřejmě se na inzertních portálech setkáte i s férovými prodejci, jen je třeba být obezřetný. Ty nepoctivé poznáte například podle těchto rysů:

V komunikaci s případným prodejcem si vždy všímejte celého znění e-mailu nebo zprávy. Je komunikace moc formální nebo naopak příliš uvolněná? Obsahuje text nějaké gramatické chyby? I přes rozšířené množnosti využití nástrojů, jako je například ChatGPT, zůstává čeština pro podvodníky z cizích zemí tvrdým oříškem.

Pokud vás kontaktuje někdo jménem známého prodejce, zkontrolujte, zda adresa odesílatele doslovně sedí s oficiální adresou. Běžně se setkáte s homoglyfovými podvody, kdy útočník mění různé znaky z různých abeced, aby adresa vypadala podobně.

Pokud zpráva obsahuje nějakou přílohu nebo odkaz, měli bychom být obzvlášť opatrní. Obecně platí, že bychom neměli otevírat přílohy a klikat na odkazy z nevyžádaných e-mailů, pokud se nejedná o prokazatelně oficiální komunikaci nějaké známé autority – to ostatně můžeme zjistit podle kontroly adresy odesílatele.

Je důležité připomenout, že útočníci v Česku dlouhodobě šíří nebezpečné e-maily, jejichž přílohy obsahují spyware. Taková příloha může mít příponu .exe. Pokud si nejste jistí, že se jedná o oficiální a bezpečnou komunikaci, není nic špatného na tom si zprávu obratem ověřit na oficiální zákaznické podpoře.

Vstupenky jsou výhodně k sehnání v méně známém e-shopu

Vstupenky jsou na e-shopech nejznámějších poskytovatelů vyprodané, ale na bazary a fóra se zatím vydat nechcete. Tak prohledáváte internet a narazíte na vstupenky v nějakém méně známém obchodu třetí strany. I tady je ale dobré zbystřit – pokud se nejedná o solidního poskytovatele, může se stát, že za vstupenky zaplatíte, ale nikdy je neuvidíte.

I když by se e-shop mohl zdát méně rizikový než internetová fóra nebo tržiště, mohou zde nastat problémy. U e-shopu je vždy důležité zkontrolovat, zda je webová stránka šifrovaná, zvlášť, pokud má e-shop svou vlastní platební bránu. To zjistíte snadno při kliknutí na ikonku nastavení v řádku pro zadání URL adresy. V nabídce pak můžete zkontrolovat šifrování a certifikát webové stránky.

Pokud na webu nakupujete poprvé, není od věci prozkoumat recenze a přečíst si informace v záložce „O nás“ a „Kontakty“ – zde například zjistíte, kde má e-shop hlavní sídlo a zda se v případě problémů budete mít kam dovolat. Pokud by se vám na e-shopu cokoli nezdálo, před nákupem se určitě majitele můžete na informace doptat. Rizikové e-shopy můžete zkontrolovat také na webu České obchodní inspekce.

Podvržené aplikace pro nákup vstupenek

Možná jste se rozhodli, že vstupenky pořídíte přes aplikaci některého z prodejců. Vstupenku tak budete mít v elektronické podobě přímo ve svém účtu a budete ji moct snadno přeposlat a poskytnout obdarovanému – což ocení především mladší generace.

Takové aplikace ale vždy stahujte pouze z oficiálních obchodů, jako je například Google Play nebo App Store. Bezpečnostní týmy Googlu a Applu aplikace pravidelně prověřují na přítomnost škodlivého kódu a odstraňují falešné aplikace, které se snaží nějakou oficiální napodobit. Vy tak budete mít větší jistotu, že si stahujete aplikaci bez škodlivého kódu nebo adwaru.

Pokud se naopak rozhodnete aplikace stahovat z obchodů třetích stran nebo z internetových úložišť, je vysoce pravděpodobné, že si s aplikací stáhnete také škodlivý kód. Aplikace může sice fungovat bez větších potíží, ale na pozadí poběží například adware, který zobrazuje reklamy s podvodným obsahem a odkazy na nebezpečné webové stránky nebo stahovat další škodlivé kódy do vašeho zařízení. Může být také rizikem pro naše soukromí na internetu.

Jak se při vánočních nákupech vyhnout podvodům?

V jakékoli komunikaci s neznámou osobou je dobré zpomalit a všímat si detailů – pospíchá na vás protistrana? Dělá v textu chyby? Zdá se vám komunikace psaná strojově? Změnil se tón komunikace od doby, kdy jste s domnělou službou komunikovali naposledy? I když umělá inteligence přípravu podvodů mohla usnadnit, čeština je pro podvodníky z cizích zemí stále těžká.

Bezpečnostní program (antivir) vás na phishingové formulář, potenciálně rizikové aplikace nebo podvodný odkaz upozorní, dřív než byste mohli vyplnit jakékoli citlivé údaje. ESET spolupracuje i s Českou obchodní inspekcí, náš program vás tak upozorní, pokud si otevřete některý z obchod, před kterými ČOI varuje. Bezpečnost nákup také zvýší používání speciálních funkcí pro zabezpečení plateb, které najdete už v základním produktu ESET.

Štít, přes který se hackeři nedostanou

Předcházejte malware díky jedinému řešení. ESET
spolehlivě ochrání vaše zařízení i data. 

VYZKOUŠET

Za podvody stojí organizovaná síť zločinců. Ještě zkraje roku operovali na internetových tržištích, jako je Vinted, eBay, Facebook Marketplace, Bazoš či Sbazar. Během léta ale mírně změnili modus operandi a nástroj zvaný Telekopí (nebo Telekopye) použili na ubytovacích službách. Dokázali zneužít legitimní účty hotelů a pronajímatelů ubytování s cílem přimět oběti k zadání údajů z platebních karet do formulářů na falešných webových stránkách.

Tento scénář si podvodníci vyzkoušeli během léta, nedá se ale očekávat, že by si dali zimní přestávku.

„S ohledem na velký nárůst tohoto nového typu podvodů se lze domnívat, že je nový scénář pro podvodníky natolik atraktivní, že v něm budou pokračovat i v budoucnu,“ říká náš expert z výzkumného týmu Radek Jizba.

Škodlivý kód používá několik na sobě nezávislých skupin. Tvůrci Telekopí pocházejí pravděpodobně z východní Evropy, jejich oběti jsou ale z celého světa. Finanční škody spojené s těmito podvody činí podle údajů policie více než 100 milionů korun.

Stáhněte si příručku
o sociálním inženýrství

Poznejte techniky sociálního inženýrství a naučte se, jak se proti nim úspěšně bránit.

STÁHNOUT PŘÍRUČKU

Útočník ví, že jste si rezervovali hotel

Podvodníci nejprve získají přístup k legitimním účtům hotelů a pronajímatelů na platformách Booking.com a Airbnb.

„Přístupy k těmto účtům pravděpodobně získávají nákupem ukradených přihlašovacích údajů na kyberzločineckých fórech. Díky přístupu k nim vyhledávají uživatele, kteří si nedávno rezervovali pobyt, za který buď ještě nezaplatili, nebo zaplatili poměrně nedávno, a na ty se zaměří,“ vysvětluje Radek Jizba.

Obětem zasílají e-mail či zprávu v oficiálním chatu ubytovací platformy s tvrzením, že došlo k problému s platbou za rezervaci, a je proto nutné platbu znovu provést. Odkaz z chatu vede na falešnou webovou stránku, která vypadá velice věrohodně.

Na podvržené stránce odevzdejte údaje z karty

V podvrženém formuláři uživatel vidí předvyplněné informace o své rezervaci jako je termín příjezdu a odjezdu, cena a místo. Tyto údaje odpovídají skutečné ubytování, kterou uživatel skutečně provedl. Následně má uživatel zadat údaje z platební karty.

Ukázka phishingové stránky, prostřednictvím které útočníci sbírali údaje z platebních karet.

Jde o takřka dokonalý kybernetický zločin: Podvodník vás kontaktujte interním chatem, jménem hotelu, který jste si rezervovali, a dokonce vám jako důkaz předloží údaje, které jste sami zadali.

„Oběti na informacích nevidí nic podezřelého, a také webové stránky vypadají naprosto legitimně. Jedinými viditelnými znaky, které naznačují, že něco není v pořádku, jsou URL adresy webových stránek, které neodpovídají napodobovaným, legitimním webům,“ dodává Radek Jizba.

Jak se nestat mamutem a podvod odhalit?

Už jsme zmínili, že útočníci označují své oběti jako mamuty. (V rusky mluvících zemích je to označení pro někoho, „kdo se snadno nachytá“). Jak se tedy nestat někým takovým a tento podvod odhalit? Bohužel je to těžké. Ale pomáhá fakt, že jste si vědomi, že takovéto podvody existují.

Jediným vodíkem pro potenciální oběti mohly být adresy webových stránek s formuláři pro zaplacení, které neodpovídaly skutečným stránkám hotelů.

Jak si online rezervovat pobyt bezpečně?

1. Ověřte si platbu: Hlásí vám systém chybu při placení? Zkontrolujte nejprve svůj účet, zda skutečně platba odešla. Teprve poté zvažte další pokus o úhradu ubytování.
2. Používejte antivir: Spolehlivý bezpečnostní software vás před podvodnou stránkou varuje.
3. Nepřecházejte na jinou stránku: Před vyplněním jakýchkoli formulářů souvisejících s rezervací se vždy ujistěte, že jste neopustili oficiální webové stránky nebo aplikaci dané platformy. Přesměrování na externí URL adresu pro provedení rezervace a platby je indikátorem možného podvodu.
4. Kontrolujte URL adresy: Před zadáním jakýchkoli údajů zkontrolujte, zda jste na oficiální webové stránce nebo aplikaci.
5. Kontaktujte podporu: Pokud máte pochybnosti, kontaktujte oficiální zákaznickou podporu platformy nebo nahlaste bezpečnostní problém.
6. Zavolejte do hotelu: Máte pochybnost? Kontaktujte přímo poskytovatele ubytování.
7. Chraňte svůj účet na AirBnB nebo Booking.com: Ať už rezervujete ubytování, nebo ho pronajímáte, používejte silné heslo a zapněte dvoufaktorové ověřování, kdykoli je to možné.

Máte obavu, že jste naletěli?
Okamžitě kontaktuje svou banku a zablokujte platební kartu!

Pojďme se podívat na to, proč jsou telefonní čísla vyhledávaným cílem  kyberútočníků, a probrat rizika spojená s jejich vyzrazením.

$cam jako předmět podnikání

Neradi to říkáme, ale kyber zločin pořád ohromně vynáší. Tolik, že vznikají celé zločinecké gangy, které vymýšlejí propracované způsoby, jak uživatele okrást. Typickým příkladem může být budování falešného vztahu nebo volání falešného pracovníka technické podpory nebo bankéře.

Jádrem mnoha takových scénářů je phishing a další útoky zneužívající postupy sociálního inženýrství. Útočníci se snaží vyvolat emoce (typicky strach) a pracují s naléhavostí. Zkrátka musíte teď hned něco udělat, abyste zabránili katastrofě.

Stáhněte si příručku
o sociálním inženýrství

Poznejte techniky sociálního inženýrství a naučte se, jak se proti nim úspěšně bránit.

STÁHNOUT PŘÍRUČKU

Navzdory nárůstu digitální komunikace telefonní hovory a zprávy zůstávají pro mnoho lidí důvěryhodnou metodou výměny informací. Často máme dojem, že když slyšíme druhého a vidíme na displeji jeho číslo, je všechno tak, jak má být.

Jak lze zneužít vaše telefonní číslo?

Vishing

Pokud útočník zná vaše telefon číslo, může zkusit tzv. vishing. Jde o podvodný telefonát, jehož cílem je vylákat z vás osobní, platební nebo přístupové údaje. Patrně vás kontaktuje jménem nějaké autority. Často se zločinci vydávají za pracovníky bank, policisty nebo státní úředníky. Často argumentují tím, že vás zrovna někdo okrádá a abyste své úspory zachránili, musíte okamžitě převést peníze jinam, nebo nahlásit do telefonu své heslo k internetovému bankovnictví.

Smishing

Typickým podvodem je smishing, kdy útočníci rozesílají SMS zprávy s infikovaným nebo škodlivým odkazem, který odkazuje na phishingové stránky. Typicky přijde jménem nějaké renomované společnosti, často takto zneužívají platební službu PayPal nebo přepravní společnosti. Evidujeme třeba také zprávy, které přišly zdánlivě z finančního úřadu.

Cílem je vylákat z vás přihlašovací údaje nebo jiné osobní údaje na phishingových webových stránkách nebo si stáhnout nějaký malware.

Přesměrování hovorů

K podvodům lze využít přesměrování hovorů. Jak to funguje? Ozve se vám podvodník a vydává se za nějakou autoritu, třeba pracovníka technické podpory vašeho operátora. Vyzve vás, abyste vytočili specifické telefonní číslo (většinou začíná *).

Jakmile oběť toto číslo vytočí, neúmyslně přesměruje volání na útočníky. Ti teď budou za vás přijímat hovory a v nich mohou odposlouchávat cenné informace.

Výměna SIM karet

Podvodníci se mohou pokusit přimět operátora, aby aktivoval vaši starší SIM nebo vám vydal novou. Nejdříve si sežene potřebné informace a poté kontaktuje mobilního operátora a požádá o přenos telefonního čísla na SIM kartu, kterou vlastní pachatel. Podvodník nejčastěji tvrdí, že je nutné SIM vyměnit kvůli krádeži nebo ztrátě telefonu

Po provedení tohoto procesu oběť ztratí přístup k mobilní síti a telefonnímu číslu, zatímco útočník  bude nyní přijímat hovory a textové zprávy oběti. Tohoto podvodu byste si ale rychle všimli, protože v jeho důsledku ztratíte přístup k telefonní síti.

Spoofing

Podvodníci mohou maskovat svou identitu a vydávat své číslo za jiné, známé.  Této metodě se říká spoofing. V praxi se to projeví tak, že vám místo náhodného čísla vyskočí telefonní číslo, které znáte. V takovém případě na straně oběti odpadá prvotní podezřívavost.

Na vašem soukromém telefonu loví útočníci služební data

V dnešní době mnoho zaměstnanců používá ke kontrole služebních e-mailů mobilní telefony. Vzniká tím pro útočníky zcela nový prostor. I oni totiž vědí, že mobilní telefony máme méně zabezpečené než počítače.

Útočník si dá více práce s rešerší a podvod cílí na konkrétní firmu (tomu se říká spearphishing). Takže si spojí telefonní číslo a veřejně dostupné informace (například jména vedoucích pracovníků, interní software nebo výše obratů). A tyto informace využije, aby se vydával za někoho, s kým pracujete nebo třeba za dodavatele.

Konečným cílem mnoha podvodníků je totiž získat přístup k podnikovým systémům a finančním prostředkům.

CEO fraud

Specifickým typem spear phishingu je takzvaný CEO fraud. V takovém případě se útočník vydává za vysoce postaveného managera (například výkonného ředitele, anglicky CEO).

Představte si, že jste účetní ve velké společnosti. Právě řešíte mzdy, práce máte nad hlavu a do toho, vám zavolá šéf šéfa a požádá vás o převod peněz. Jde o urgentní záležitost. Je potřeba zaplatit zálohu na akvizici, o které se už dlouho šušká. Musíte ale jednat ihned. Obchodní partner čeká.

Sice víte, jak se vedení firmy jmenuje, ale běžně s ním nejednáte. Nechcete jej ztrapnit na tak důležitém obchodním jednání. Navíc má informace, která dávají smysl: oslovil vás jménem, volal na služební číslo. A šéfům s přece neodmlouvá. Tak transakci provedete.

Bohužel i když se jedná o telefonát, může to být podvod. Existují AI nástroje, které například z veřejných rozhovorů umí napodobit tón hlasu.

Jak se před telefonními podvody chránit?

1. Prověřujte, prověřujte, prověřujte
   Nikdy nereagujete na nezvyklé požadavky ihned, ani když jsou od vašich blízkých. Nejdříve vždy sami kontaktujte tazatele a ověřte si, že opravdu potřebuje pomoci. V případě, že vám volá kolega, můžete jej kontaktovat prostřednictvím interních komunikačních nástrojů. Blízkým klidně zavolejte na jejich číslo. Naklonovat číslo tak, aby podvodník uměl i přijímat hovor, zatím možné není. Zeptejte se na něco, co nikdo nepovolaný nemůže vědět.
2. Obraťte se na poskytovatele služby
   Pokud vám volá bankéř, policista nebo jiný důvěryhodný pracovník, neplňte požadavek hned. Zavěste zpět na číslo poskytovatel služby, které běžně používáte. Doptejte se, zda vám skutečně volal někdo s urgentním požadavkem, případně poskytovatele informujte, že někdo zkouší podvést jejich zákazníky.
3. Nebuďte slušní
   Útočníci s vámi po telefonu budou manipulovat, často jsou hrubí a vydírají své oběti argument na jako „Jsem policista, nespolupracovat je trestný čin.“ „To opravdu chcete přijít o všechno, jak vám to mám jako vysvětlit.“
   Klidně telefon uprostřed věty típněte a vraťte se k předchozímu kroku a volejte sami zpět na vám známé číslo.
4. Dávejte pozor na to, co sdílíte
   Abyste zabránili podvodníkům ve shromažďování dalších údajů o vás, dávejte si pozor na to, co o sobě sdílíte online. Impersonizace spočívá v tom, že útočník použije veřejně dohledatelné informace, aby vás přesvědčil že je váš kamarád, šéf nebo kolega.
5. Používejte vícefaktorovou autentizaci
   Povolte ve všech službách vícefaktorové ověřování. Upřednostněte raději aplikace namísto SMS. Je to bezpečnější
6. Zabezpečte si telefon
   Phishing, ať už prostřednictvím zpráv nebo hovorů, lze odhalit pomocí spolehlivého mobilního bezpečnostního softwaru. Podnikům může obrana proti mobilním hrozbám a bezpečné ověřování pomoci takové hrozby překonat.

Pro útočníky jsou takové podvody poměrně nízkonákladové, potenciální zisk vysoký. Navíc je velmi složité najít a usvědčit skutečného viníka. Ke všemu může stačit jeden „úspěšný“ telefonát, aby se celá operace vyplatila.

Proč jsou všechny tyto podvody takovou hrozbou? V dnešní době se mnoho online služeb spoléhá při ověřování a obnově účtu na mobil. Kompromitace telefonního čísla může vést k obejití bezpečnostních opatření, včetně dvoufaktorového ověřování (2FA). Podvodníci se navíc mohou vydávat za vás a podvést vaše přátele nebo vašeho zaměstnavatele.

Zatím se ale příliš nemluví o tom, že AI slouží i jako návnada nebo jako trojský kůň, ve kterém se malware skrývá. Loni naši kolegové popsali kampaň na Facebooku, která vyzývala uživatele, aby vyzkoušeli poslední verzi legitimní aplikace Bard (AI společnosti Google). Místo nového AI nástroje si ale stáhli škodlivý adware, který jim zamořil prohlížeč reklamou.

Takové kampaně jsou příkladem znepokojivého trendu. Doposud útočníci zneužívali k podvodům jména bank nebo různé spediční společnosti. Bohužel, pokud lidé vidí logo jim známé značky, často přehlédnou další varovné signály. Pojďme se podívat, jak podvod poznat a ochránit si tak data.

Jak útočníci zneužívají AI k nalákání obětí?

Kyberzločinci používají různé způsoby, jak vás nalákat k instalaci malwaru, který se vydává za legitimní AI aplikace. Patří mezi ně:

Phishingové stránky

Ve druhé polovině roku 2023 naše programy zablokovaly přes 650 000 pokusů o přístup na škodlivé domény obsahující slova jako „chapgpt“. Oběti se na tyto stránky nejčastěji dostanou po kliknutí na odkaz na sociálních sítích nebo prostřednictvím e-mailu nebo SMS zprávy. Některé z těchto phishingových stránek obsahovaly odkazy na instalaci malwaru, který se vydává za různé AI aplikace.

Rozšíření prohlížeče

Na konci loňského roku jsme zaznamenali obrovský nárůst detekcí škodlivého rozšíření prohlížeče. Jde o malý prográmek, který si uživatelé instalují přímo do prohlížeče, aby měli rychlý přístup k nějaké službě – například e-mailu nebo password manageru.

V tomto případě lákaly k jeho stažení reklamy na Facebooku a slibovaly přístup na oficiální webové stránky OpenAI’s Sora nebo Google’s Gemini. Přestože se toto rozšíření vydávalo za Google Translate, ve skutečnosti šlo o infostealer známý jako „Rilide Stealer V4.“ Tento typ malware slouží k odcizení uživatelských přihlašovacích údajů k Facebooku.

Od loňského července jsme zachytili 4 000 pokusů o stažení jen tohoto konkrétního rozšíření.

Falešné aplikace

Setkat se lze také s falešnými aplikacemi, které se vydávají za známé AI nástroje. Objevují se zejména v obchodech s mobilními aplikacemi. Mnohé z těchto aplikací obsahují malware určený ke krádeži citlivých informací ze zařízení, typicky se útočníci zajímají o přihlašovací údaje, osobní identifikační údaje, finanční informace a další.

Další jsou scamy, které mají podvodníkům vydělat tím, že slibují pokročilé funkce umělé inteligence za poplatek. Po stažení mohou uživatele bombardovat reklamami, požadovat další nákupy v aplikaci nebo předplatné za služby, které buď neexistují nebo jsou velmi nekvalitní.

Podvodné reklamy

Zločinci využívají popularitu AI nástrojů k nalákání uživatelů na kliknutí na škodlivé reklamy. Takováto inzerce (malvertising) je obzvláště na Facebooku rozšířená. Meta varovala, že mnoho z těchto kampaní je navrženo ke kompromitaci „firem s přístupem k reklamním účtům na internetu.“

Útočníci se zmocní legitimního účtu nebo stránky, změní informace v profilu tak, aby vypadal jako autentický ChatGPT nebo jiný známý AI nástroj, a poté účty použijí ke spuštění falešných reklam.

Jaké triky používají útočníci?

Kyberútočníci nejčastěji pracují s našimi emocemi, využívají k tomu metody sociálního inženýrství. Nejčastěji v nás chtějí vyvolat strach, radost z výhry nebo chamtivost. Častým trikem je dostat uživatele do časového presu, například omezením nabídky na určitý počet stažení. To proto, abyste se nestihli v klidu zamyslet (protože byste pak podvod pravděpodobně prokoukli).

Útočníci dobře vědí, že často prohlížíme zprávy ve spěchu na mobilu a detailům věnujeme jen málo pozornosti. K šíření podvodů používají více kanálů. A maskují malware za vše od ChatGPT a tvůrce videí Sora AI až po generátor obrázků Midjourney, DALL-E a editor fotografií Evoto. Mnohé z verzí, kterými se ohánějí, ještě nejsou k dispozici, například „ChatGPT 5“ nebo „DALL-E 3“, čímž lákají další oběti.

Konkrétní podobu malwaru často mění, aby unikali detekcím. Věnují spoustu času a úsilí tomu, aby jejich návnady (například reklamy na Facebooku) vypadaly věrohodně.

Stáhněte si příručku
o sociálním inženýrství

Poznejte techniky sociálního inženýrství a naučte se, jak se proti nim úspěšně bránit.

STÁHNOUT PŘÍRUČKU

Co se stane, když si stáhnete malware?

Pokud kliknete a stáhnete si infikovanou aplikaci, půjde v mnoho případech o tzv. infostealer. Ten slouží k odcizení citlivých informací, například přihlašovacích údajů k vašim online účtům, pracovních hesel, údajů z platební karty a mnoho dalšího.

Hacker tak může použít vaše osobní informace k odcizení identity (a s ní dále páchat trestnou činnost). Může vás okrást o peníze z platební karty či bankovního účtu.

Může získat kontrolu nad vaším počítačem či telefonem a dále jej zneužívat. Takto infikovaná zařízení obvykle slouží k řetězovým DDoS útokům nebo se využívá jejich výpočetní výkon k prolamování hesel a dalším kybernetickým útokům.

Jak se vyhnout podvodům s AI?

Existuje několik obecných principů, které vás chrání i před těmito podvody. Důležité je primárně nevěřit lákavým nabídkám a vše si prověřit.

• Aplikace si instalujte výhradně z oficiálních obchodů. Nikdy je nestahujte z webových stránek nebo dokonce diskuzních fór.
• Zkontrolujte vývojáře aplikací a recenze.
• Buďte opatrní při klikání na digitální reklamy. Pokud je reklama velice lákavá, ověřte si její pravost ještě na jiném kanálu prodejce.
• Před instalací kontrolujte rozšíření webového prohlížeče. Prověřte si tvůrce a recenze.
• Používejte komplexní bezpečnostní software od renomovaného dodavatele.
• Dávejte pozor na phishing. Přečtěte si podrobný článek, jak phishing poznat.
• Zapněte dvoufaktorové ověřování (2FA), kdykoli to je možné.
• Buďte ostražití.

S rozvojem umělé inteligence se objevují nové příležitosti pro podvodníky, kteří využívají naši zvědavost a touhu po nejnovějších technologiích. Je důležité být obezřetný a dodržovat základní bezpečnostní pravidla, jako je instalace aplikací pouze z oficiálních zdrojů a ověřování recenzí a vývojářů. Buďte vždy na pozoru a nezapomeňte se chránit před potenciálními hrozbami v online světě.

Bohužel stejně jako celý internet se tyto platformy staly semeništěm podvodníků a dezinformátorů. Enormní množství globálních uživatelů, dynamická povaha vytvářeného obsahu a přizpůsobivost podvodníků způsobuje, že pro poskytovatele je náročné tyto platformy kontrolovat. To znamená, že musíme vzít věci tak trochu do vlastních rukou.

Sociální média jsou pro podvodníky rájem

Mezi největší hrozby, na které je třeba dávat na sítích pozor, patří přátelé a sledující, kteří se za ně jen vydávají. Podvodníci takové profily, které jsou často registrované a spravované automatizovanými boty, využívají k šíření spamu – příliš dobrých nabídek, chytlavých příběhů lákajících ke kliknutí, milostných podvodů a další manipulativní komunikace. Může se jednat o různé nabídky pochybných služeb a zboží nebo dokonce o falešné investiční příležitosti.

Podvodníci chtějí vaše peníze nebo vaše údaje. Budou vás lákat ke kliknutí na škodlivý odkaz. Tak si do zařízení můžete stáhnout malware, nebo jim dobrovolně předat své osobní údaje.

10 tipů, jak falešné přátele na sítích odhalit

Provozovatelé sociálních médií se v odstraňování falešných profilů a účtů zlepšují. Ale ani zdaleka se jim to nedaří stoprocentně. Všichni tak musíme být podezíravější k tomu, co na sítích vidíme. Zde je několik osvědčených způsobů, jak podvodníky odhalit:

1. Neobvyklé „bio“

Falešné účty mohou mít informace obsažené v tzv. biu (úvodní popisu na profilu) zkopírované a aktualizované z jiných profilů. To pak vede k tomu, že informace spolu tvoří nesourodou směsici vět. Pozor bychom si měli dávat na překlepy, nadměrné množství emotikonů nebo na strojově strnulý jazyk, který může prozradit, že za profilem stojí bot.

2. Catfishing

Podvodníci mohou využívat falešné profily na sociálních sítích a na seznamkách k tomu, aby s obětí navázali romantický a důvěrný online vztah. Po nějaké době navazování vztahu a důvěry ji ale požádají o zaslání peněz. K odhalení podvodníka tohoto typu může pomoct zpětné vyhledání profilové fotky na internetu – snadno tak odhalíte, zda se jedná o skutečnou osobu, nebo podvodník obrázek zkrátka z webu ukradl a stáhl.

3. Nesoulad mezi počtem sledujících a sledovaných

Tento problém se objevuje zejména na Instagramu. Falešné účty automaticky sledují stovky nebo tisíce profilů, ale jen málo z nich sleduje takový účet zpět.

4. Účty s profilovými fotkami vašich přátel

Někdy se podvodníci pokusí naklonovat účet někoho z vašich přátel. Poté vám mohou poslat naléhavou zprávu, v níž předstírají, že jsou v nesnázích, a žádají o peníze. Je to jednodušší, než se zdá, a stále to oklame spoustu uživatelů a uživatelek na sociálních sítí. Vždy se proto vyplatí u každého podobného požadavku od vašich přátel překontrolovat, zda vám skutečně píše ten správný člověk. Se svými přáteli si můžete takové zprávy ověřit prostřednictvím jiného komunikačního kanálu. Případně důkladně prověřte účet, ze kterého vám zpráva přišla. Nenajdete v tomto případě náhodou některý ze zde uvedených varovných znaků podvodu?

5. Spam v direct messages

Podvodník se může pokusit zaslat vám přímou zprávu s falešnou nabídkou a vyzvat vás, abyste také poslali přímou zprávu někomu dalšímu nebo navštívili nějakou webovou stránku a zjistili více informací. Takové účty jsou opět falešné a slouží k prodeji všeho možného, od podvodů s investicemi do kryptoměn až po podvody s různým zbožím.

6. Žádný oficiální štítek ověření

Sociální sítě Instagram, Facebook nebo X (Twitter) využívají štítky a značky ověření, které označují oficiální účty firem, celebrit a dalších osob. Pokud uvidíte účet, který se vydává za nějakou významnou organizaci nebo jednotlivce, ale není u něj žádné takové označení, pravděpodobně je účet podvodný.

7. Nepravidelné zveřejňování příspěvků

Falešné účty často zveřejní hodně obsahu najednou, klidně s podobným nebo stejným textem, a pak se odmlčí. Nebo dokonce obsah na sítích vůbec nezveřejňují. U podezřelého profilu proto zkontrolujte množství a kvalitu příspěvků, i jak často jsou pod účtem zveřejňovány.

8. Dárky zdarma

Dejte si pozor na účty, které vám nabízejí dárky nebo peníze. Podmínkou k jejich získání může být například vyplnění dotazníku. Útočníci se mohou v tomto případě vydávat za známou značku. Chtějí ale pouze vaše osobní údaje. Pamatujte – když něco vypadá až příliš lákavě, většinou to mívá háček.

9. Neuvěřitelná sleva na zboží

Falešné účty mohou také propagovat luxusní zboží, a to s výraznou slevou oproti jejich standardní ceně. I zde platí, že pokud je něco příliš dobré na to, aby to byla pravda, tak svému podezření můžete věřit.

10. Náhodné komentáře

Pokud nějaký účet zanechává u vašich příspěvků komentáře, které s daným příspěvkem nesouvisí, jedná se s velkou pravděpodobností o falešný účet.

Jak nahlásit falešné účty

Dobrou zprávou je, že mnoho provozovatelů sociálních médií jako Instagram a LinkedIn neustále hledá způsoby, jak zlepšit ověřování účtů a odstranit neautentické uživatele a boty ze svých platforem. Jedním z nejlepších nástrojů, jak odhalit falešné účty, jsou však stále jejich ostražití uživatelé. Pokud narazíte na falešný profil na jedné ze čtyř hlavních sociálních sítí, zde je návod, jak ho nahlásit:

Facebook

Pokud se někdo vydává za vás, navštivte tuto stránku. Pokud si všimnete jiného falešného účtu, klikněte na tlačítko se třemi tečkami v záhlaví profilu a poté zvolte „Nahlásit“.

X (dříve Twitter)

Nahlásit falešný účet můžete zde. Nebo klikněte na tři tečky vedle jména účtu a poté postupujte podle pokynů.

Instagram

Klikněte na tři tečky vedle jména účtu a poté na „Nahlásit“. Nebo klikněte zde a nahlaste účet, který se vydává za vás, vaši firmu nebo za dítě.

LinkedIn

Klikněte na tři tečky u jména účtu a poté vyberte „Nahlásit zneužití“.

Nejlepší obranou proti podvodníkům, kteří se vydávají za přátele a sledující, je mít soukromý profil a důkladně prověřit každého, kdo nás chce sledovat. Pokud z různých důvodu potřebujete mít své účty veřejné, mějte na paměti alespoň výše uvedené znaky, které mohou na sítích podvodníky prozradit.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book

V roce 2022 používalo seznamovací aplikace celosvětově více než 350 milionů lidí. Kromě výhod, jako je například snadné a rychlé propojení s lidmi se stejnými zájmy a preferencemi, však na těchto platformách číhají i osoby, se kterými se nikdo seznámit nechce – podvodníci a hackeři. Popularita seznamovacích aplikací a sociálních médií zkrátka usnadnila falešným nápadníkům najít ideální oběť a vylákat z ní peníze.

Romantika je klíčová součást úspěšných podvodů

Scénář, kdy osamělá důvěřivá srdce namísto lásky skončí s finanční a citovou ztrátou, je častější, než byste si mysleli. Podle zprávy Federální obchodní komise USA měly romantické podvody v roce 2022 téměř 70 000 obětí a vyžádaly si škody ve výši ohromujících 1,3 miliardy dolarů. To však stále nevykresluje celý obrázek. Mnoho obětí seznamovacích podvodů se totiž příliš stydí, než aby podvod nahlásily.

O podvodech s milostnou tématikou mluvil v našem podcastu TruePositive také kapitán Ondřej Penc, vrchní komisař z odboru prevence Policejního prezidia České republiky:

Mnoho obětí milostných podvodů se bohužel nevědomky stane tzv. bílými koni – spolupachatelem ve větší trestné činnosti a zároveň poškozeným. Milostné podvody mohou být propojeny s investičními podvody do kryptoměn – jedná se například o podvody typu pig butchering nebo sugar daddy. Podvodníci neustále inovují osvědčené postupy. Stále ochotněji si na pomoc berou také generativní nástroje umělé inteligence, aby byly jejich finty ještě přesvědčivější.

Pokud se tedy vydáme na internet hledat spřízněnou duši (ale AI společník nebo společnice zatím není nic pro nás), co můžeme udělat, abychom se ochránili před lidmi, kteří leda tak milují naše osobní data a finance? Na následujících příkladech se blíže podíváme na to, jak fungují podvody na seznamovacích aplikacích.

1. Catfishing: milostný podvod s falešnou identitou

Jednou z nejrozšířenějších metod, kterou podvodníci v seznamovacích aplikacích používají, je tzv. catfishing – vytváření falešných profilů, přes které chtějí podvodníci oklamat svou oběť. Používají k tomu často ukradené fotky nebo fotografie z fotobank a vymyšlené osobní údaje. Existuje mnoho webových stránek, které nabízejí generování obrázků pomocí umělé inteligence k vytváření fotografií reálně vypadajících lidí, kteří, jak jistě už tušíte, neexistují. Podvodníci díky těmto nástrojům vytvoří v online světě reálně vypadající osobu.

Přes ni se pak propojí s nic netušícími oběťmi. Díky falešným profilům si mohou vyfiltrovat vhodné cíle a zasílat vytipovaným uživatelům a uživatelkám zprávy. Jakmile zjistí, že je jejich oběť schopna poskytnout jim, co chtějí, vrhnou se do další fáze – vybudování důvěry a zdání skutečného vztahu na síti.  Od toho je pak už jen krok k tomu, aby podvodník svou oběť okradl – využije zpravidla smyšlené historky o osobních krizích a naléhavých situacích a požádá oběť o peníze. Oklamaní pak mohou opakovaně převádět peníze, kupovat dárky nebo dokonce hradit cestovní náklady v naději, že podpoří svého partnera či partnerku.

Možná vás napadne, že to přece musí jít poznat, ale nenechte se zmást. Podvodníci si dělají poctivý průzkum a mohou vypadat stejně uvěřitelně, jako ostatní reální uživatelé a uživatelky na svých profilech. Mohou se na sociálních sítích dozvědět více o koníčcích, názorech a zvycích svého cíle a pomocí těchto informací vytvořit iluzi společných zájmů, aby vytvořili ještě silnější pouto a měli sílu nás emocionálně manipulovat.

Jak se můžete chránit před catfishingem:

Když jsme poblázněni a v opojení romantiky, naší první myšlenkou pravděpodobně nebude ujistit se, že osoba, se kterou mluvíme, je skutečná. Ať už se jedná o trochu kontroly sociálních sítí, žádost o osobní setkání, kladení konkrétně mířených otázek nebo to, že požádáme protistranu o doložení dokladu totožnosti. Bohužel, všechny tyto kroky nám ale zaručí to, že se skutečně bavíme s krásnou Janou, a ne s Honzou ve staré mikině, který nám píše od jednoho ze svých počítačů.

A co když všechno dobře dopadne a váš objekt zájmu doopravdy existuje? Podezíravost a opatrnost je přesto na místě, a to obzvlášť v případech, kdy tento stále cizí člověk žádá o peníze, laskavosti nebo cenné informace. I úmysly skutečných lidí nemusí být tak čestné, jak bychom si přáli. Až příliš často se stává, že při online randění naletí lidé na falešné vzlykavé historky o tom, že jejich online láska potřebuje peníze, aby pomohla zaplatit účty za léčení nemocného příbuzného, že jejich začínajícímu podnikání se nedaří tak, jak doufali, nebo že by měli využít investiční příležitost, která se naskytne jen jednou za život.

2. Klasické online podvody – phishing a malware

Seznamovací aplikace jako online platforma představují snadný prostředek pro phishingové útoky a šíření malwaru. Zločinci mohou vytvářet profily a posílat zdánlivě nevinné zprávy se škodlivými odkazy nebo přílohami. Lstí a tlakem na emoce pak mohou přimět důvěřivé nezadané oběti, aby na ně klikly nebo přílohy otevřely. Mohou k tomu také využívat internetové boty a kliknutí na nebezpečný odkaz může vést k instalaci malwaru do našeho zařízení. V ohrožení jsou pak veškeré naše osobní údaje a data uložená v zařízení, což může vést až ke krádeži naší identity a podvodům s platebními kartami.

Jak se můžete chránit před phishingem a malwarem:

V počátečních fázích konverzace, než se o svém protějšku dozvíte něco víc, neotvírejte žádné přílohy ani neklikejte na žádné odkazy, které vám ve zprávách nebo v e-mailu pošle. I když se zdá, že jde o neškodný odkaz na vychvalovanou restauraci, kterou zmiňujete na svém profilu, podvodníci mohou být kreativní v tvorbě názvů domén, aby odkazy vypadaly lákavěji a uvěřitelněji. Zkrátka chvilku počkejte, než si budete jisti, že svému protějšku můžete důvěřovat.

3. Podvodem získané informace k vydírání

Online seznamovací platformy uchovávají celou řadu osobních údajů, což z nich činí atraktivní cíl pro hackery – ví o všem, co se nám líbí a čemu dáme „like“, jaké máme zájmy, mají naše fotografie, seznamy přátel a informace o našich vztahových preferencích.

Podvodníci mohou k získání těchto citlivých údajů z profilů používat různé metody, například tzv. data mining. Může však dojít ale také k úniku dat u samotného provozovatele online seznamovací platformy. Citlivé informace jsou pak vystaveny veřejnosti. Například v loňském roce byly odhaleny fotografie a soukromé záznamy z chatů na 260 000 lidí.

Jak můžeme chránit svá data:

V dnešní době je to v online světě často „něco za něco“. Mnoho aplikací vyžaduje přístup k některým našim údajům, aby poskytly požadované funkce a uživatelský zážitek. Je však důležité si uvědomit, jaké údaje platforma shromažďuje a jak jsou využívána. Zvážit bychom nicméně měli, zda se úplně vyhnout aplikacím, které neumožňují odmítnout sdílení dat se třetími stranami.

Jakmile jednou informace o sobě zveřejníme na internetu, nedá se s tím už mnoho dělat. Nejlepší je tedy dávat si pozor na to, co sdílíme online. Nezveřejňujme nic, co by mohlo být použito proti nám – určitě ne videa, která jsme pořídili na kamarádově rozlučce se svobodou.

Ještě závažnější důsledky může mít to, pokud podlehneme pokušení poslat protistraně své pikantní fotografie nebo videa. Stává se to zejména mladším lidem a často to začíná tím, že falešný nápadník sdílí „své“ explicitní fotografie a žádá si to samé na oplátku. Pokud mu vyhovíme, může obratem začít vydírání – podvodník pohrozí sdílením materiálu s vašimi kontakty na sociálních sítích, pokud nezaplatíte nebo nepošlete další kompromitující fotografie či videa. Abyste se sextorzi, jak se tento typ manipulace a podvodu nazývá, vyhnuli, nikdy nesdílejte fotografie, za jejichž zveřejnění na internetu byste se styděli.

4. Podvody zneužívající naši polohu

Mnoho seznamovacích aplikací využívá služby založené na poloze, abychom se mohli propojit s vhodnými lidmi ve svém okolí. Tato funkce nám sice usnadňuje hledání perspektivních protějšků, ale zároveň otevírá dveře i potenciálním hrozbám. Hackeři mohou využívat údaje o poloze ke sledování a zaměřování osob, což může ohrozit také jejich bezpečnost v reálném světě.

Jak si můžeme chránit informace o naší poloze:

Asi nechceme vypínat služby polohy ve své seznamovací aplikaci, protože se chceme přeci seznámit s někým, kdo je jen kousek od nás, a ne na druhém konci světa. Kompromisem ale může být vypnutí služeb určování polohy, když zrovna aktivně neprohlížíme zájemce o seznámení nebo již své spárované favority. Budeme tak zase o něco méně zranitelní a tím méně atraktivním cílem pro ty, kteří chtějí navázat vztah leda tak s naší peněženkou.

S romantikou a přeskakováním jisker se vyplatí počkat

S rostoucí popularitou online seznamování (do roku 2028 bude mít podle odhadů více než 450 milionů uživatelů) roste i riziko, že se staneme terčem podvodů a hackerů. Pro ty, kteří se pohybují ve světě online seznamek, by měly být podezřelé odkazy a nejistota ohledně skutečné identity protějšku na prvním místě seznamu tzv. Red Flags (červených vlajek). V online světě je to bohužel daleko důležitější, než zda má osoba na druhé straně radši psy nebo kočky.

Pokud se vám cokoli zdá neobvyklé nebo máte pocit, že něco tak úplně nehraje, profil nahlaste a zablokujte.

I přes všechna rizika však více než 70 % lidí randících online uvádí, že našlo romantický vztah, a zdá se tak, že online seznamování může být i velmi úspěšné.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book