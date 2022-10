Podvody na bazarech se rozjely ve velkém. A to v takovém stylu, že když zadáte inzerát na bazoš.cz nebo sbazar.cz, napíšou vám podvodníci doslova do minuty zpět. A ne jedni.

Byla sobota a nechtělo se mi pracovat. Prvního podvodného zájemce jsem proto poměrně brzy odpálkovala s tím, že můj čas je na takovou zbytečnou konverzaci příliš drahý. Když mi ale napsal další, přemohlo mě novinářské puzení prozkoumat blíže, jak přesně scénář probíhá, a přistoupila jsem na jeho hru.

Třetího a čtvrtého jsem se zkoušela ptát, jaké pohnutky je vedou k tomu, že si na živobytí vydělávají tímto způsobem a zda by bylo možné si o tom anonymně upřímně pohovořit. Fakt mě to zajímá, ale – světe, div se – neodpověděli.

Pátého už jsem však v neděli poslala do míst, kam slunce nesvítí, protože je trochu frustrující celý víkend odepisovat podvodníkům, když v první chvíli doufáte, že se konečně ozval reálný zájemce.

Pět zájemců na jedno brdo

Nejvíc podvodníků se mi ozvalo přes WhatsApp. Napsali mi sem hned čtyři. Ten pátý se ozval přes e-mail.

Všechny podvodné reakce na bazarový inzerát jsou „jak přes kopírák“. Po ujištění, zda je nabídka aktuální, se mě všichni (s mírnými stylistickými chybami) ptají, zda je možné doručení i platba přes dopravce, který vyzvedne zásilku a zinkasuje od adresáta peníze za dopravu i zboží:

Je možné zařídit doručení Zasilkovna? Mam u této společnosti vlastní účet a mohu snadno zaplatit za zboží a poštovné, nevadí vám to?

Je možné zaslat zásilku kurýrem DPD po předchozí platbě na účet? Objednám kurýra a uhradím náklady na dopravu. Kurýr ji zabalí a odveze domů. OK?

Žiju v Brně, mohu si objednat kurýrní službu Zásilkovnu ‚Od dveří ke dveřím‘. Platbu obdržíte před odesláním. Vyhovuje vám to?

Rád bych zboží zařídil kurýrem DPD, peníze dostanete na kartu před příjezdem kurýra a nic neriskujete, kurýr od vás zboží převezme a zabalí, je to pro vás výhodné?

Je možné ji poslat kurýrní službou DPD? Za zboží zaplatím hned. Objednám si kurýra a zaplatím za doručení. Kurýr si zásilku vyzvedne u vás doma. Dobře?

I když opět zdůrazníte, že chcete platbu předem na účet, přijde vám následně odkaz na zdařilý podvodný web, který – v mém konkrétním případě – vypadá jako stránka dopravce DPD.

Ze slibované platby na účet se záhy vyklube něco úplně jiného Autor: Gabriela Hájková

Už tento odkaz by vás měl upozornit na to, že něco nehraje. Kompletní adresa webu totiž nevypadá zrovna jako oficiální adresa DPD. Stačí, když v tento moment přejdete na svůj vyhledávač a sami si najdete web dopravce DPD. Pak uvidíte, že adresa vypadá jinak.

Když kliknu na odkaz, zobrazí se cosi jako shrnutí nějaké objednávky a tlačítko s takovou pěknou a typickou češtinou „získat funds“.





Shrnutí objednávky Autor: Gabriela Hájková

Adresa není úplná a čeština na tlačítku pokulhává Autor: Gabriela Hájková

Mezitím se podvodná aplikace interaktivně připomene se zprávou od chatbota z domnělé podpory. Je to chytré načasování, protože později mě na něj při mém váhání útočník může odkázat jako na nějakou nezávislou stranu, která mi zdůvodní, proč mám uvádět své citlivé údaje.

Chatbot má zvýšit důvěru a útočníci se na něj odkazují v případě váhání, ale i tady čeština pokulhává Autor: Gabriela Hájková

Následuje seznam bank, jaký bývá na e-shopech pro volbu rychlého převodu na účet. Mezi logy komerčních bank, ze kterých si mám vybrat tu svou, mě pobaví ikona České národní banky.

Další zářez, mezi komerčními bankami je i Česká národní banka Autor: Gabriela Hájková

Volím proto právě ji a dostávám se na stránku, kde bych měla zadat kompletní čísla své platební karty.

Jo, s kartou centrální banky by se to utrácelo Autor: Gabriela Hájková

To samozřejmě neudělám, vyplním smyšlené údaje a zkouším, co bude dál. Podvodníci nepohrdnou žádnými citlivými údaji, protože stránka mě přesměruje ještě na formulář, kde bych měla zadat své přihlašovací údaje.

Pro jistotu se útočníci shánějí i po kompletních přihlašovacích údajích Autor: Gabriela Hájková

Po ověření zadaných dat jsem byla odhalena. Web dpd-cz.order5231.biz si stěžuje, že údaje o účtu/kartě jsou nesprávné.

Chyba: účet se nepodařilo vybrat Autor: Gabriela Hájková

Mezitím mě na WhatsAppu útočník popohání, zda už jsem potvrdila prodej, že postrádá oznámení o úspěšném nákupu.

Když vyjádřím obavy nad tím, že po mě chce aplikace zadat čísla mé karty, kontruje pohotově útočník s tím, že půjde asi o ověření pro nové uživatele a odkazuje mě na podvodného chatbota, který se mi před pár minutami tak příhodně představil sám.

Když si trvám na svém a připomenu platbu na účet, moje konverzace s útočníkem končí. Chápu. Není čas ztrácet čas.

Útočníci si při pochybách snaží zvýšit důvěru chatbotem Autor: Gabriela Hájková

Kolem a kolem jsou tyto bazarové podvody co do provedení už docela zdařilé. Přesto ne dokonalé. I pokud byste pominuli špatnou češtinu nebo divný odkaz stránek domnělého dopravce, vždy by vás mělo zastavit, že po vás chce někdo někam zadat všechna čísla z karty nebo váš login i s heslem.

Pamatujte také na to, že tyto podvody se množí na bazarech obecně, ne jen na zmíněných dvou, ze kterých útoky mířily na mě. Příběhy jsou také podávány v různých mutacích, kdy vás útočníci mohou „pozvat“ na podvodný web České pošty, Zásilkovny nebo jiného dopravce.

Kompletní konverzaci a screenshoty z podvodného webu najdete v galerii.

Příklady podvodů mířené na klienty bank

Velkou vlnu podvodů zaznamenávají u svých klientů i banky. Ačkoli se ty snaží vytvářet robustní zabezpečené systémy, s naivitou klientů nebo bezmyšlenkovitým chováním ale mohou bojovat jen do určité míry. Útoků je přitom čím dál více. To potvrzují nejen banky, ale vyplývá to i ze statistik Policie ČR.

V meziročním srovnání evidujeme, že počet vishingových útoků vzrostl šestinásobně. Celkový počet podvodných útoků ve srovnání s rokem 2020 sice stagnoval, nicméně počet útoků skrze elektronickou komunikaci (SMS, e-mail, messenger apps) se zdvojnásobil, upozorňuje na nepříjemný trend Filip Horký z České spořitelny.

Phishing na sto způsobů

Nejčastěji se u svých klientů setkávají právě s phishingem na bazarových portálech či s falešnými SMS o nějakém nedoplatku či balíku nebo potřebě aktualizace bankovnictví. Ve zkratce jde vždy o snahu odkázat na falešnou stránku a vylákat přes ni z klienta přihlašovací údaje do bankovnictví a čísla platební karty. Mohou být rozesílány např. jménem finančního úřadu nebo i Ministerstva práce.

Již téměř rok se setkáváme s podvody, které začínají SMS zprávou informující o přeplatku na daních a obsahující link na falešný web, tvářící se jako Česká pošta. Zde je klient podvodně informován o tom, že obdržel přeplatek na daních, a aby jej obdržel, musí se přihlásit do internetového bankovnictví, líčí Jakub Ptáčník, manažer kybernetické bezpečnosti MONETA Money Bank a pokračuje s tím, že na následující stránce klient vybere svou banku a je přesměrován na falešnou přihlašovací stránku internetového bankovnictví. Zde dojde k odcizení údajů a útočník se přihlásí pod identitou klienta do jeho internetového bankovnictví, ze kterého může registrovat nové mobilní zařízení nebo odeslat platbu .

Dále jsou to falešné telefonáty nazývané jako vishing.

Vishing na sto způsobů

Například investiční vishing probíhá třeba tak, že klient sám reaguje na nějaký inzerát nabízející často rychlé zbohatnutí formou investic. Tím dává na sebe podvodníkovi kontakt. Nebo podvodník přímo kontaktuje klienta a tvrdí mu, že na jeho fiktivním účtu leží zapomenuté bitcoiny a on mu volá, aby je společně zpeněžili, a proto potřebuje jeho součinnost, nastínila další „příběh“ z praxe Jana Pokorná, mluvčí Air bank.

V obou případech se podle ní podvodník zpravidla snaží přesvědčit klienta, aby si do svého počítače a mobilu nainstaloval program pro vzdálenou správu (obvykle AnyDesk) a mohl se dostat do jeho bankovnictví. Jakmile se tam podvodník díky součinnosti klienta dostane, na účtu si potom může dělat, co chce, a to přímo před očima samotného klienta. Klient navíc často přímo vidí, že se mu podvodník pohybuje v jeho bankovnictví, a třeba že i odesílá platby, popsala Pokorná s tím, že někteří klienti dokonce i v této fázi s podvodníkem spolupracují, protože si stále myslí, že je to součástí správného postupu.

Klient KB je telefonicky kontaktován podvodníkem z podvrženého čísla 800 521 521, které je číslem oficiální infolinky KB, s tím, že jsou jeho finance na účtu KB v nebezpečí či zneužívány. Pro posílení důvěry je klientovi zaslána ‚karta zaměstnance‘ přes aplikaci WhastApp, nastínil také Michal Teubner z Komerční banky s tím, že v další fázi je klientovi sděleno, že někdo z pobočky se snaží finance zneužít a musí své finance vybrat z bankomatu, aby je ochránil. Následně je má vložit na „bezpečný kryptoměnový účet“ přes nejbližší bitcoinomat.

Jak vidno, i příběh, na který se vás snaží lapit útočníci v rámci vishingu, může mít různé podoby. Často se útočníci vydávají například za bankéře, který se prokáže kartou zaměstnance banky, zaměstnance centrální banky nebo příslušníka Policie ČR. Variant může být nekonečně mnoho. Směřují ale všechny k tomu samému. Vylákat z vás přihlašovací údaje do vašeho bankovnictví nebo čísla platební karty.

Sponzorované odkazy

Letos v červenci jsme zaznamenali ve vyhledávačích Google a Seznam.cz sponzorované odkazy na podvodné webové stránky, které napodobují přihlašovací stránku do našeho bankovnictví George. Jakmile tyto odkazy zaznamenáme nebo nás na ně upozorní klienti, ihned je ve spolupráci s Googlem odstraňujeme a jednotlivé stránky necháváme blokovat. V případě, že zaznamenáme podezřelé transakce, klienty obvoláváme, upozornil na další „fígl“ mluvčí České spořitelny Filip Horký.

Sponzorované odkazy samozřejmě necílí jen na klienty Spořky, ale obecně na klienty větších bank. Pamatujte na to, že je vždycky lepší ručně zadat přímo adresu banky a jít do aplikace bankovat přes oficiální web banky než použít odkaz ve vyhledávači (a když už, tak zkontrolovat HTTPS protokol a adresu webu).

Nigerijský princ stále v kurzu

Registrujeme řadu případů klientek i klientů, kteří byli nebo stále jsou v kontaktu s tzv. catfishery, lidmi vydávajícími se za někoho jiného (nigerijského prince, amerického válečného veterána, milionářskou dědičku upoutanou na vozík atd.) a dobrovolně jim posílají finanční podporu, aniž by je kdy viděli jinak, než skrze zprávy nebo krátká videa na sociálních sítích, zdůraznil Horký a dodal, že i v případě, že má banka indicie, jež na podvod ukazují, a snaží se s klienty opakovaně komunikovat, stejně někteří posílají své peníze na cizí účty dál.

Další příklady aktuálních podvodů namířených na klienty bank najdete například na webu ČSOB, webu Komerční banky nebo na YouTube kanálu České spořitelny.

Okamžité platby z vašeho účtu

Kyberútokům nahrávají okamžité platby. I když jsou jinak velice pohodlné, v případě, že vám je z účtu odesílá útočník, kterého jste pustili do svého internetového bankovnictví, nemá banka manévrovací prostor, jak tomu zabránit.

Okamžitá platba je realizována v řádu vteřin, zastavit ji tedy nelze. U platebních karet se částka transakce na účtu zpravidla nejprve blokuje a k zaúčtování dochází až s časovým odstupem od jejího provedení. Zaúčtování karetní transakce zamezit nelze, pokud přijde pokyn, musí ji banka zaúčtovat, teprve až po zaúčtování ji lze reklamovat, řekla nám Lucie Brunclíková z Banky Creditas.

I tak samozřejmě platí, že jakmile začnete tušit nějaký problém, okamžitě volejte svou banku. Platební kartu je možné často zablokovat přímo v aplikaci, ke které může útočník rychle zkusit změnit heslo. V případě platebního příkazu se může podařit platbu zadržet ještě v bance klienta, případně jiné české bance, dává naději Ptáčník.

Autorizovanou platbu nevyreklamujete

Ani nejlepší zabezpečení banky nemusí stačit, pokud nebudete jednat s rozmyslem. Zvlášť pečlivě byste se měli věnovat ověřovacím SMSkám nebo potvrzením z autorizační aplikace. Pokud přes ně totiž podvodnou platbu potvrdíte, pro banku je z vaší strany posvěcená.

Pokud klient provede autorizaci SMS/mKlíčem, ať už okamžité platby, nebo platby kartou, není možné tuto platbu stornovat, varuje Kristýna Dolejšová z mBank.

Bezpečnostní expert Michal Špaček na sesterském serveru Lupa.cz: Před připojováním na veřejné Wi-Fi sítě už nevaruju

Banky bohužel připouští, že přesně to podvedení klienti často dělají, ačkoli právě tento okamžik je tím, kdy se jich nejvíc také na poslední chvíli zarazí.

V situacích, kdy útočníkům předáte vše potřebné k provedení podvodné platby, příliš nepočítejte s tím, že by vám banka reklamaci takové platby uznala. Musí před tím samozřejmě posoudit, jestli došlo z vaší strany k porušení bezpečnostních pravidel. Odevzdání citlivých údajů do rukou útočníků ale do této kategorie spadá.

Každý případ klienta, který předal své přihlašovací údaje nebo údaje ze své platební karty třetí osobě a následně přišel o peníze, posuzujeme individuálně a zkoumáme, do jaké míry šlo o hrubou nedbalost klienta. Většinu dokonaných případů phishingu jsme bohužel nuceni vyhodnotit jako důsledek hrubé nedbalosti klienta, a nemůžeme tedy přistoupit k finanční kompenzaci klienta, řekl nám Horký z České spořitelny. Zároveň ale připustil, že v jednotkách případů ročně klienty, kteří se stali obětí phishingu, banka finančně kompenzuje, jakkoli celkové kompenzace obvykle nepřekročí jeden milion korun ročně a představují tak jednotky procent z celkové škody, která klientům, jež předají své přihlašovací údaje podvodníkům, za rok vznikne.

Obecně zamítáme reklamace, které držitel karty autentizoval, tj. dal k nim svůj souhlas – zadal PIN na ATM/POS nebo e-commerce transakci potvrdil Smart klíčem (3DS transakce). V případě, že PIN / Smart klíč držitel karty úmyslně/neúmyslně vyzradil podvodníkovi, a tudíž ho zadal podvodník, tak osobní údaj byl vyzrazen a i za takové transakce nese odpovědnost držitel karty, potvrdil podobný přístup také Madle z ČSOB.

V případě, že klient sdělí ‚kupujícímu‘ číslo platební karty, její platnost a CVV/CVC kód a následně transakci potvrdí prostřednictvím KB Klíče, nemá dle platných obchodních podmínek nárok na náhradu škody. V případě, že pouze sdělí údaje o své platební kartě a nepotvrdí transakci, je každý takový případ řešený individuálně, uvedl i Teubner z Komerční banky.

Pokud klient potvrdí provedení platby kartou v systému 3DS, je považována za autorizovanou a nelze ji reklamovat. S drtivou většinou těchto případů se klient musí obrátit na Policii ČR a řešit to s ní, sdělila nám také Dolejší z mBank.

Vždy je důležité si v mobilní aplikaci nebo SMS přečíst, jakou akci autorizuji. Pokud klient platbu tímto způsobem autorizuje, jedná se o jeho pochybení a je pak velmi obtížné tyto platby reklamovat. V případě vyzrazení autorizačních kódů nebo citlivých údajů se jedná o pochybení klienta – je to podobné, jako kdyby někomu na ulici odevzdal peněženku, potvrdil i Ptáčník z Monety.

Banky se samozřejmě zaklínají tím, že každou podobnou reklamaci řeší individuálně. Přístup k takovým situacím ale mají hodně podobný. Ruku na srdce, není se jim co divit.