Měsíc před Vánocemi je pro velkou část obchodníků v Česku tím nejvýdělečnějším obdobím roku. To samé ovšem platí i pro internetové podvodníky, kteří se i letos snaží ztenčit konta vystresovaných klientů na minimum. Je to pro ně ideální doba – lidé jsou v jednom kole a často si ani nepamatují, na kolik balíčků z e-shopů vlastně čekají. Když jim proto přijde upomínka třeba SMS zprávou, že mají uhradit smyšlený poplatek přepravní společnosti, aby svůj dárek dostali ještě před Štědrým večerem, neváhají často ani sekundu. 

HN přinášejí výčet těch nejčastějších podvodů, na které si letos klienti bank v předvánočním shonu musí dát pozor. A radí, jak internetovým kriminálníkům nenaletět.

Balíček nelze doručit

Podvody zneužívající jména známých přepravních společností, jako je Balíkovna, Zásilkovna nebo Česká pošta, jsou evergreenem posledních let. Jedním ze zcela běžných způsobů je, že lidem chodí formou SMS nebo e-mailem zpráva o tom, že jejich balíček se někde na cestě zasekl. Například proto, že nebyla správně zadána doručovací adresa klienta, a je proto potřeba ji vyplnit znovu. Společně s ní ovšem útočníci žádají i vyplnění přihlašovacích údajů do internetového bankovnictví či údajů z platební karty včetně CVV kódu ze zadní strany. A to s odůvodněním, že mají k dispozici jakýsi registr, ve kterém si ověří, že adresa a bankovní účet či karta jsou přiřazeny právě k danému adresátovi.

Po kliknutí na přiložený odkaz v SMS nebo e-mailu se otevře formulář či platební brána. Když do ní klient zadá své údaje, dává je k dispozici podvodníkům. Ti pak kartu převedou do své digitální peněženky. Pakliže nepozorný člověk přitom tento úkon potvrdí v potvrzovací SMS, v mobilní aplikaci či klíči, útočník pak může do určitého limitu platit z jeho účtu bez omezení. „Zní to sice neuvěřitelně, ale děje se to zcela běžně. Lidé totiž tyto potvrzovací zprávy nečtou a je jedno, jestli jim přijdou na mobil nebo do e-mailu,“ říká Petr Vosála, manažer bezpečnosti digitálních kanálů v ČSOB.

Oběti nekalého jednání podobným způsobem často potvrdí i vytvoření nového mobilního klíče na útočníkově telefonu. Tento úkon dokáže podvodník sám zadat v internetovém bankovnictví díky dřívějšímu odcizení přihlašovacích údajů oběti. Pokud klient vytvoření klíče potvrdí, útočník už ho k ničemu nepotřebuje a může jeho účet doslova vysát.

O zboží mám zájem, peníze pošlu předem

Tento takzvaný bazarový podvod patří dlouhodobě k nejčastějším – a v době před Vánoci případů opět masivně přibude. Útočníci zde pod smyšlenými profily a jmény prakticky ihned reagují na jakýkoliv inzerát, který klienti vyvěsí na Marketplace od Facebooku či na online bazarech typu Vinted či Sbazar. Podvodník se přitom na Messengeru či WhatsAppu prodávajícího ptá, zdali je schopen poslat předmět do jiného města, než ve kterém autor inzerátu bydlí. Peníze a proplacení doručení podvodník slibuje předem. Když prodávající reaguje kladně, je mu zaslán odkaz vedoucí nejčastěji na falešnou platební bránu, kde má zadat své údaje ke kartě. Útočník přitom klientovi tvrdí, že je potřebuje kvůli dokončení „platby z karty na kartu“.

„To je samozřejmě nesmysl, nic takového se nestane. A opět jsme u toho, že klient si nepřečte, co vlastně v SMS zprávě stojí. Pak v internetovém bankovnictví nebo přímo v mobilní aplikaci či klíči potvrdí odchozí platbu v řádech i několik tisícovek (podle toho, co zrovna prodává). Vůbec mu nedojde, že nejde o žádnou příchozí platbu,“ vysvětluje Marek Macháček, expert na kybernetické podvody v Komerční bance. A dodává, že příchozí platby navíc příjemce nikdy nepotvrzuje.

Značková zimní bunda za polovic

Na inzeráty odkazující jako reklamy na podvodné e-shopy lze nejčastěji narazit na sociálních sítích, například na Instagramu, Facebooku i YouTube. E-shopy mají různá jména, klienti o nich ale často nikdy neslyšeli. Pokud zákazníci na reklamu inzerující například zimní bundu známé značky klikne, objeví se na stránkách falešného e-shopu. Ten přitom nevypadá nijak zvlášť podezřele. Varovným signálem je snad jen to, že v popisku produktu – který je jinak napsaný srozumitelně a většinou i gramaticky správně – není explicitně uvedena značka daného produktu. Pravé logo se objevuje jen na produktové fotce, která vypadá zcela reálně. Podezřelá je velká sleva, a tím pádem mnohem nižší cena než na reálném e-shopu.

Příklady podvodných nevyžádaných zpráv

Další 3
fotografie

Rozdíl u tohoto druhu podvodu je v tom, že proces placení je zde naprosto věrohodný. Dokonce lze zvolit i možnost platby na dobírku až po převzetí zboží například na poště. Že byl nakupující ošálen, pak zjistí až po otevření balíku – v něm totiž není módní bunda, nýbrž bezcenná a směšně vypadající imitace. Experti radí, aby lidé nakupovali pouze na ověřených online obchodech. „Doporučujeme si e-shop ověřit na internetu přes recenze zákazníků,“ říká Pavel Plocek, mluvčí UniCredit Bank.

A inflaci nějak řešíte?

To je jedna z mnoha otázek, kterou vám může položit volající na druhé straně, když přijmete hovor z neznámého čísla. Vše vypadá jako klasický telemarketing či volání z call center, které je dnes zcela běžné (zvuky v pozadí imitují skutečné prostředí call centra). Volající se klientů začne vyptávat na jejich aktuální finanční situaci a zajímá ho, zdali by nechtěli své úspory ochránit před vysokou inflací tím, že budou výhodně investovat. Pokud klient projeví zájem, útočník mu SMS zprávou nebo e-mailem odešle odkazy vedoucí často i na stránky reálných investičních platforem. Často přitom na klienta ani nevyvíjí časový tlak, že investice je výhodná jen dalších 24 hodin, a je tak proto potřeba rychle jednat. Podvodník tímto tzv. sociálním inženýrstvím svou oběť pomalu zpracovává a navozuje s ní jakýsi „pracovní a důvěryhodný“ vztah.

Výsledkem bývá, že útočník chce po klientovi, aby odeslal na neznámý účet – který se tváří jako investiční – určitou částku, aby se peníze začaly zhodnocovat. Ještě v horším případě si pak na vlastní počítač nainstaluje program na vzdálený přístup (například AnyDesk či TeamViewer) a nechá si peníze ze svého konta odčerpat přímo podvodníkem. Celkové škody v těchto případech dosahují vyšších stovek až milionů korun. 

Nemusí jít ovšem jen o investice. Volající si často „půjčují“ i jména pracovníků komerčních bank a snaží se citlivé údaje vylákat z klientů pod záminkou toho, že jejich účet je napaden a peníze je potřeba převést na bezpečné konto. „Nejste-li si jisti, že volající je skutečně bankéřem České spořitelny, využijte možnost okamžitého ověření identity bankéře v aplikaci George v mobilu zadáním kódu, který vám pracovník po vyžádání musí sdělit,“ říká Filip Hrubý, mluvčí ČS.

Budou klienti více chráněni?

Že nejde o banální věci, potvrzují i čísla České bankovní asociace. V prvních devíti měsících letošního roku zaznamenaly banky na 50 tisíc případů kybernetických útoků, při kterých internetoví podvodníci odčerpali lidem téměř jednu miliardu korun. Průměrná škoda na jednoho klienta dosáhla 20,8 tisíce korun.

Lidé mají jen velmi omezené možnosti transakce reklamovat. Tím, že dobrovolně vydají podvodníkům své citlivé údaje o kartách či internetovém bankovnictví, porušují obchodní podmínky dohodnuté s bankou. To se ale do budoucna může změnit, protože Evropská komise předložila návrh směrnice PSD3, která si mimo jiné klade za cíl větší ochranu klientů v online prostoru. Kdyby směrnice prošla ve stávající podobě, banky by nově za některé výše zmíněné případy byly odpovědny a musely klientům peníze vracet. I proto finanční domy utrácejí stále větší peníze za vzdělávací reklamy a kampaně, jako je třeba Kybertest od České bankovní asociace.

Příklady podvodných nevyžádaných zpráv

Další 3
fotografie

Chcete vědět, co se děje v české a světové ekonomice? Co si o aktuálních trendech myslí lidé z byznysu, majitelé firem a jejich šéfové? Každý týden v pátek vám naši top autoři přinášejí výběr toho nejlepšího a pohled z byznysové strany. Odebírejte Byznys newsletter.