Vloni touto dobou jsme v článku Finty podvodníků: Když Alr Bank není Air Bank psali o tom, jaké finty zkouší v českém prostředí nejrůznější podvodníci, aby z vás vylákali čísla kreditních karet, hesla k internetovému bankovnictví a další data, která by se jim mohla hodit.
Rok se s rokem sešel a počty podvedených osob neubývají. Spíše naopak. A podvodníci také vymýšlejí další a další finty. Mnoho z nich zaznělo i na policejní konferenci v Ústí nad Labem, na které přednášel také šéfredaktor Měšce, Dalibor Z. Chvátal. Jednu nešťastnou příhodu máme od naší čtenářky, nenaletět podvodníkům prostě není jednoduché ani samozřejmé.
Co vám hrozí
Nástrah číhá v internetovém prostřední více než dost. V zásadě by se hrozby daly rozčlenit do několika kategorií, a to:
- cílené útoky,
- malware,
- ransomware,
- podvody,
- scam,
- phishing,
- sociální inženýrství.
Podle druhu hrozby se pak může lišit i cíl, jakého chce útočník dosáhnout.
O co útočníkům jde?
Ve většině případů chtějí útočníci vaše peníze. Zhruba pětina z nich jde po vašich datech a v 6 % případů je cílem útočníka vás nějakým způsobem poškodit, sabotovat vaši práci apod. To se děje většinou v rámci cílených útoků, které jsou často osobní.
Pozor na zlodějský bankomat
Útočníci necílí pouze na vás jakožto na koncové uživatele. Sice to stále tvoří hlavní část jejich portfolia, ale zaměřují se už i na jiné varianty, kam zacílit svůj útok. A to například na bankomaty. Tam svůj útok směřuje téměř třetina útočníků.
Bankomat je totiž ve své podstatě pouze počítač s nahraným programem. Šikovný útočník se ale skrze software může do bankomatu dostat a přeprogramovat ho. A ten pak začne například rozdávat peníze. To vás asi nijak nepoškodí. Ale taky může bankomat předávat informace o tom, co vy s ním děláte. V kolik jste k bankomatu přišli, jaký jste zadali PIN, kolik jste vybrali, může oskenovat vaši kartu apod. A tam už jsou možnosti, jak vám ublížit, poměrně rozsáhlé.
Video: Ukázka podvodného bankomatu v Brazílii (video je v portugalštině)
Cílené útoky
Ačkoli cílené útoky představují naprostou menšinu všech útoků, dokážou potrápit. Většinou k nim dochází na základě osobních antipatií nebo neshod s nějakou jinou osobou, která se vám následně rozhodne škodit.
Takovou situaci jsme zažili i na Měšci. Jedna osoba se u nás domáhala „svých práv“, která si vykládala po svém. Když jsme jí nevyhověli, ocitli jsme se následně přibližně na půl roku pod DDoS útokem.
Měšec.cz byl pod „palbou“ DDoS útoků a poznaly to všechny servery našeho vydavatelství.
Malware číhá i na Google Play
Malwarové útoky fungují na principu, že si nevědomky stáhnete škodlivý soubor do počítače, potažmo do chytrého telefonu, a aniž byste o tom věděli, virus na pozadí provádí nejrůznější operace.
Jako neškodné možná vnímáte to, že virus odesílá informace o vaší poloze a o tom, co na telefonu děláte, nějaké třetí straně. Ačkoli i tato data se dají zneužít. Díky takovým minivirům se ale z vašeho telefonu může stát třeba rozesílač spamů, součást sítě na těžení bitcoinů apod. Na zisku z vytěžené kryptoměny sice participovat nebudete, ale telefon vám těžba vyřadí z provozu poměrně rychle.
Nespoléhejte ani na to, že když stahujete aplikace z ověřených zdrojů, jste v bezpečí. Takovéto malwary mohou číhat i v obchodě Google Play. O tom jsme vás informovali v letošní lednové aktualitě. Tehdy si aplikaci se škodlivým kódem stáhlo 7 500 000 uživatelů. To už je slušný sběr dat, že?
Video: Malware se může schovávat ve hře a bude čekat na zapojení k firemní síti (video je v angličtině)
Vydírání na dálku
Ransomware, neboli vyděračské programy, cílí téměř výhradně na vaše peníze. Vyděračský program vám v chytrém telefonu například zablokuje galerii fotografií a zobrazí hlášku, že jste se stali cílem útoku. A pokud chcete svá data zpět, musíte zaplatit. Částka přitom nemusí být nijak vysoká, útočník chce například jen 5 eur. Kdo by za veškeré fotografie v telefonu, které pochopitelně nemá zálohované, nedal 5 eur?
Potíž je v tom, že i když zaplatíte, útoky nepřestanou. Ano, útočník vám za oněch 5 eur fotky odblokuje. Přijdou ale další útočníci a zablokují vám další data a celá situace se bude opakovat. Na tzv. dark webu totiž existuje i hodnocení a statistiky takových útoků. A vedou se tam i záznamy o vašem přístroji. Kdo ho napadl, jestli jste zaplatili, za co jste zaplatili, tedy jakých dat si ceníte. Za co jste naopak zaplatit odmítli a jaká data jste odepsali, tedy jinými slovy, čeho si neceníte a na co se útočník nemá namáhat cílit.
Video: Útokům ransomware může podlehnout kdokoli. I nemocnice a města (video je v angličtině)
Jupí, vyhrál jsem milion. Jen musím zadat svoje data
Ráno si uděláte kávu, posadíte se do křesla a místo ranních novin otevřete chytrý telefon. Projíždíte zprávy a novinky ze světa a najednou vám přes obrazovku skočí soutěž. Stačí odpovědět na primitivní otázku, vybrat si výhru a těšit se. Na primitivní otázku odpovídáte vy, dárek si také vybíráte vy, ale těší se útočník, a to na vaše data.
Podvodné soutěže.
A je to jakou s tou Alr Bank – Air Bank. Pozornému čtenáři neunikne, že webová stránka uvedená v adresním řádku rozhodně není Seznam.cz. Nepozorný čtenář se ale zahledí na soutěž, gratuluje si, a že dělá správně, si ověří dole v komentářích. Jak vidíme, paní Soně Vávrové výhra dorazila, už se doma tetelí blahem a není tedy čas váhat. A nejen Soně přišel iPhone.
Podvodné komentáře.
O tom, že i tyto komentáře jsou podvod, není třeba diskutovat. Dnes už existují i specializované firmy, které vám na zakázku napíší recenze a komentáře k čemukoli. Tito útočníci, kteří vám právě oznamují, že jste vyhráli, vás oberou „pouze“ o vaše data. Ať zvolíte jakoukoli odpověď, vždy vám vyskočí následující okénko.
Podvodné soutěže – vyhráli jste, ať už zadáte jakoukoli odpověď
Přesně tak, vyhráli jste. Není důležité, jakou odpověď jste zvolili. Útočníkům jde o vaše data, a tak jsou všechny odpovědi nastaveny na výhru. Všimněte si také té zajímavosti, že na výběr původně bylo ze 3 výher. Nyní už ale zbývá pouze jediná.
Na výběr už zbývá jediná výhra. Kupodivu ta nejdražší.
Kupodivu jde o tu nejdražší ze všech. Poněkud zvláštní, nepřijde vám? Češi by standardně nejdříve brali tu nejdražší výhru a až pak to, co zbude. A ne naopak. Nicméně některým lidem taková souvislost nedojde a pokračují v „soutěži“ ještě dál. A tady se dostáváme k tomu, proč je celá soutěž falešná a jedná se jen o scam na vaše data.
Výhra může být vaše. Jen když zadáte svá data.
Nyní nás totiž web přesměruje na webovou stránku aldaniti.net, která o nás data začne sbírat. Ačkoli jste správně odpověděli na soutěžní otázku, pro zařazení do soutěže musíte vyplnit ještě následující dotazník.
Dotazník je jednoduchý. Firma ale slouží jen k tomu, aby sbírala data.
Je pro vás důležitá rodina? Máte děti? Chcete je? Máte zájem o více informací o pojištění na stáří? Dotazník je velice jednoduchý. Po jeho vyplnění jste samozřejmě zařazeni do soutěže. O tom, že žádná neexistuje, se nikdy nedozvíte. Komentáře jsou falešné, což ale mnoha lidem také nemusí dojít. Vše by vám došlo až při prozkoumání informací o společnosti.
Společnost má jediný účel. Shromažďovat data.
Společnost má totiž jen jediný účel, a to shromažďovat data. A s těmi si může nakládat jakkoli. Viz pravidla soutěže:
Společnost jen sbírá data o uživatelích. A ty pak může použít jakkoli.
Těm není v zásadě co vytknout, tedy až na poslední větu. A to, že společnost může s vašimi daty tak, jak uzná za vhodné. Tedy jakkoli. Může je vylepit na billboard, házet lidem do schránek, cokoli. Ano, skutečně cokoli. A vy jste souhlasili. Chtěli jste přece vyhrát iPhone.
Aby společnost podpořila svoji důvěryhodnost, můžete si prohlédnout rovněž weby a loga partnerů.
Tito partneři často ani nemusí tušit, na čem participují.
Se společností Aldatini podle všeho kamarádí i velká kanadská pojišťovna Colonnade, působící i v Česku. Na její možnou obranu, ani ona nemusí tušit, že společnost Aldatini se dopouští nekalých praktik a pod záminkou soutěže láká z lidí data. Nicméně tím Colonnade riskuje svoji reputaci. A ta data následně putují k mnoha dalším společnostem.
Komu dalšímu předáváte svá data vyplněním jednoduchého dotazníku u soutěže?
Příběh parního čističe
V úvodu článku jsme zmiňovali, že máme nešťastný příběh od čtenářky Měšce. Napsala nám do redakce, jak nejspíše podvodníkům naletěla její maminka. Ta je doma na neschopence a ve volném čase si chtěla přivydělat nějaké peníze. Rozhodla se doma protřídit věci a ty, které nepoužívá, následně prodat na webu prodejhned.cz. Jednou z těch věcí byl i parní čistič.
O něj projevila zájem jistá Němka. Připsala, že ráda pošle i 1000 Kč na dopravu, a tak se paní nemusí bát, že by se jí obchod nevyplatil. Paní tedy čekala na peníze a čistič už měla připravený k odeslání. Milá Němka ale poslala paní jakési potvrzení s tím, že peníze už odeslala na příslušný účet, ale banka chce potvrzení, že byl čistič odeslán, aby peníze poukázala na účet prodejce.
Falešné potvrzení z banky, které žádá, aby paní odeslala čistič dříve, než jí přijdou peníze.
Falešné potvrzení z banky, které žádá, aby paní odeslala čistič dříve, než jí přijdou peníze.
A tak paní čistič odeslala. Za vlastní peníze. Poté přišel od Němky další požadavek, tentokrát na zaplacení poplatku 2000 Kč. To už paní znejistěla a o všem informovala i svou dceru, která vše následně napsala nám. Tou dobou už Česká pošta předala balíček německé straně a byl prakticky nedohledatelný. Poslední informací je, že balíček si někdo převzal. Peníze ale samozřejmě nikdy nepřišly a paní tak přišla jak o peníze, tak o parní čistič.
Není to příjemné, ale je to bezpečné
Oproti roku 2017 narostl finanční phishing o 6,5 %. Každý čtvrtý útok je navíc směřován na klienty bank. Většina lidí si chrání počítače, ale málokdo si chrání chytrý telefon. Ani ty nejlepší ochrany vám však nepomohou, pokud vy sami nebudete obezřetní.
Nejrizikovější je v tomto chytrý telefon s operačním systémem Android. Dalo by se říci, že je pouze tak chytrý, jako jeho uživatel. Pokud bezmyšlenkovitě kliknete na kdejakou soutěž a přihlášení do banky, aniž byste si ověřili, kam vás adresní řádek směřuje, můžete se také ocitnout v pořádném průšvihu. O něco bezpečnější je v tomto iPhone, ale pouze do určité míry. Nejlepší variantou je paradoxně Windows Phone, protože je tak málo rozšířený, že ani útočníkům se nevyplatí na něj cílit.
A jak tedy na bezpečné bankování? Pokud máte v mobilním telefonu nainstalovanou i mobilní banku, nepoužívejte na SMS autorizaci totožný telefon. V ideálním případě mějte dva. Jeden na mobilní banku, druhý na autorizační SMSky. Nastavte si také limity pro platby mobilem, aby vám zloděj v případě krádeže telefonu nevybílil účet.
Všude, kde to jde, využívejte dvoufaktorovou autentizaci. Neumožňujte aplikacím sběr polohy a dalších dat, pokud to není nutné. Například u kalkulačky to jistě potřeba není. A sledujte také, jaká oprávnění svým souhlasem aplikacím udělujete. Vše totiž ve výsledku závisí jen na tom, kdo telefon drží v ruce.
ČLÁNKY DO MAILU