Hlavní navigace
Měšec.cz  »  Účty a platby  »  Vyznejte se v podvodech. Co je phishing, vishing, smishing a spoofing?

Vyznejte se v podvodech. Co je phishing, vishing, smishing a spoofing?

Dalibor Z. Chvátal
14. 11. 2023
Doba čtení: 11 minut
1 nový názor

Sdílet

Autor: Měšec s využitím DALL-E a Depositphotos
Vysvětlíme si nejčastější typy podvodů na internetu, se kterými se běžně můžete setkat. A také si ukážeme cesty, jak se jim můžete bránit, nebo co dělat, když už jste obětí.

Tak jako se vyvíjí internet, tak se vyvíjejí a zdokonalují podvody na něm.

Co se dozvíte v článku

Nigerijské dopisy

Nigerijské dopisy jsou také známé jako Nigerijský podvod, nebo 419 podvod (v angličtině 419 scam). Patří už do internetového pravěku, ale stále existují a i v českých končinách se na ně umí lidé nachytat. Číslovka vychází z § 419 definujícího podvodné jednání, podle tehdejšího nigerijského trestního zákoníku.

§ 419: Podvádění vydáváním se za jinou osobu: Kdo podvádí osobně, bude potrestán odnětím svobody až na tři léta nebo peněžitým trestem nebo oběma těmito tresty.

Mají typický, předvídatelný průběh.

Základem jsou nápadné e-maily nebo dopisy, ve kterých útočníci tvrdí, že jsou princem, členem vlády, bankéřem nebo jinou důvěryhodnou osobou. V dopisech pak tvrdí, že mají přístup k obrovským peněžním částkám, které potřebují převést do jiné země kvůli různým důvodům, jako je údajný politický konflikt, daňové záležitosti, nebo jiné falešné příběhy.

Partner obsahu

 

V mBank děláme maximum pro to, abychom ochránili finance našich klientů. Neustále vyvíjíme nové funkce a nástroje, které jim pomáhají se zabezpečením jejich financí. 

Záleží nám ale i na tom, aby se naši klienti uměli chránit nejen při využívání bankovních služeb, ale i v každodenním životě – třeba proti podvodům na internetu. Proto jsme připravili bezpečnostní test, ve kterém si každý může vyzkoušet, jak dokáže čelit podvodníkům. Zkuste to i vy a vyhrajte iPhone 14.  #NaBezpecnostiZalezi

Hlavním cílem je přimět vás k poskytnutí osobních informací, bankovních údajů nebo peněžních prostředků, které by měly být použity k „pomoci“ s převodem peněz. Jakmile poskytne peníze nebo citlivé informace, útočníci je zneužijí k podvodům a zmizí.

Nigerijské dopisy jsou velmi známé pro svou nepřesvědčivou povahu, chyby v pravopisu a gramatice a absurdní příběhy. I přesto však stále existují lidé, kteří se stávají oběťmi těchto podvodů, a proto je důležité být obezřetný a nedůvěřovat nevyžádaným e-mailům nebo dopisům, které žádají o peníze nebo osobní informace. Příklad, jak vypadá takový typ podvodu, najdete v článku Kevin Brown: Staňte se milionářem za týden. Podvrh firmy, která neexistuje.

Podvod: Nigerijské dopisy

Autor: Dalibor Z. Chvátal

Phishing

Phishing je technika, při které se útočníci vydávají za důvěryhodnou osobu, organizaci nebo webovou stránku a snaží se získat citlivé informace, jako jsou hesla, bankovní údaje nebo platební karty.

Phishingové útoky často probíhají pomocí e-mailů nebo zpráv přes sociální sítě, kde vám podvodník pošle informaci, která na první pohled vypadá jako legitimní. Ta může obsahovat odkazy na falešné webové stránky, které jsou navrženy tak, aby přesně připomínaly skutečné a důvěryhodné weby, jako jsou banky, online služby, nebo klidně korporátní interní systémy.

Phishingové e-maily a zprávy často vyvolávají pocit naléhavosti nebo strachu, například varují před neautorizovaným přístupem k účtu nebo potřebou ověření identity, aby vás podnítily k rychlé reakci bez důkladného zvážení. Když se pokusíte vstoupit na falešnou stránku a zadáte své informace, tyto informace jsou okamžitě odeslány útočníkovi.

V Česku se s phishingem setkáte imitací přihlašovacích stránek bank, ale útočníci se už naučili napodobovat i státní instituce nebo přepravní společnosti. Typicky jde o podvodné weby vydávající se za Českou poštu a další kurýrní společnosti, mezi oblíbené weby podvodníků patří i Ministerstvo práce a sociálních věcí se sekcí výplaty sociálních dávek.

Podoba podvodné zprávy

Podoba podvodné phishingové zprávy

Autor: mBank

Jak se bránit

1. Pozornost k detailům

Všímejte si překlepů nebo jiných nesrovnalostí ve zprávách a na webových stránkách.

2. Ověření zdroje

Než odpovíte na jakoukoli požadovanou akci, ověřte si, že zpráva pochází z důvěryhodného zdroje. Zavolejte na infolinku dané instituce. Rozhodně na daný e-mail neodepisujte.

3. Neklikat na podezřelé odkazy

Vyhněte se klikání na odkazy v e-mailech nebo zprávách, pokud si nejste zcela jisti jejich původem. Nezapomeňte, že například banky po vás nikdy nebudou chtít, abyste se k účtu přihlašovali přes zaslané odkazy.

4. Používat dvoufázové ověření

Kdekoliv je to možné, zapněte si dvoufázové ověření pro veškeré online (nejen bankovní) účty. To vám může pomoci zabránit neoprávněnému přístupu i v případě, že někdo získá vaše heslo.

Vishing

Vishing je podvodný hovor, při kterém vám útočníci telefonují a snaží se získat citlivé informace nebo peníze. Často se vydávají za úředníky, bankovní pracovníky nebo jiné důvěryhodné osoby.

Vishing je podobný phishingu, ale namísto využití e-mailů nebo textových zpráv používá hlasové komunikační prostředky, jako jsou telefonní hovory, hlasové zprávy nebo systémy automatického volání, aby vás podvodníci přiměli k poskytnutí osobních nebo finančních informací.

Termín „vishing“ je složenina slov z anglického „voice“ (= hlas) a „phishing“(= rhybaření, házet udičku, chytat).

Podvodníci často používají různé formy strašení nebo naléhavé scénáře, aby vás přiměli k okamžité reakci. Například tvrdí, že došlo k podezřelé aktivitě na vašem účtu nebo že váš účet bude zrušen, pokud okamžitě neposkytnete požadované informace.

Právě vishing patří mezi poslední trendy podvodů v České republice. Příběhy, kdy někdo dobrovolně vložil peníze do (jinak bezpečného) bitcoinmatu jen proto, aby je „ochránil“, týdně plní weby zpravodajských médií. A přesně takto funguje vishing.

Vlevo varovný plakát Policie ČR u bankomatů a bitcoinmatu. (2. 9. 2022)

Vlevo varovný plakát Policie ČR u bankomatů a bitcoinmatu. (2. 9. 2022)

Autor: Dalibor Z. Chvátal

Jak se bránit?

1. Poznejte varovné signály

  • Volající žádá o osobní, finanční nebo bezpečnostní informace.
  • Volající vyvíjí silný tlak, abyste museli jednat rychle a bez možnosti to důkladně zvážit.
  • Volající používá strašení nebo vyhrožování, jako jsou hrozby právními kroky, nebo finanční ztrátou, pokud nebudete jednat okamžitě.

2. Ověřte identitu volajícího

  • Nikdy nevěřte volajícímu, zvláště pokud po vás chce citlivé informace.
  • Pokud se volající vydává za zástupce instituce, zavěste a zavolejte na oficiální číslo uvedené na webových stránkách instituce nebo vaší poslední oficiální korespondenci.
  • V případě některých bank můžete identitu volajícího bankéře ověřit prostřednictvím oficiální mobilní aplikace dané banky. Skutečný bankéř pošle kód k ověření, nebo se vám v aplikaci zobrazí přímé údaje o volajícím.

3. Nedávejte informace předem

  • Nikdy nezadávejte osobní informace v reakci na nevyžádaný telefonní hovor, bez ohledu na to, jak legitimním se volající zdá být.

4. Používejte technologické prostředky

  • Zvažte použití služeb, které filtrují nebo blokují nevyžádané hovory. Nejsou sice 100% účinné, ale mohou pomoci filtrovat již známá spamovací čísla.
  • Některé telefony a služby již mají zabudované funkce pro detekci a blokování podezřelých volání.

5. Naučte se neposkytovat informace

  • Mějte na paměti, že podvodníci mohou být přesvědčiví a mohou vědět některé informace o vás. Nejčastějším zdrojem jsou sociální sítě, na kterých jste aktivní, vaše osobní webová stránka, pracovní stránka či uniklé databáze, například z e-shopů.
  • Nepředpokládejte, že volající musí být důvěryhodný, protože zná nějaké detaily o vašem účtu nebo životě.

6. Pochybnosti jsou ve váš prospěch

  • Pokud máte jakékoli pochybnosti o identitě volajícího, je lepší být opatrný a hovor ukončit.
  • Zapamatujte si, že prevence je nejlepší obranou, a to znamená buďte stále ostražití a informovaní o různých způsobech, jakými se podvodníci mohou pokusit získat vaše osobní údaje.

Smishing

Smishing je forma podvodné činnosti podobná phishingu a vishingu, ale místo e-mailu nebo telefonního hovoru se útočník pokouší o klamání prostřednictvím SMS či obdobných zpráv (RCS, iMessage apod.).

Slovo „smishing“ je odvozeno ze spojení „SMS“ (Short Message Services) a „phishing“.

U smishingu podvodníci posílají textové zprávy, které se tváří jako legitimní organizace, jako jsou banky, přepravní společnosti, státní instituce nebo známé obchodní sítě. Oběti často lákají k akci, která vyžaduje zadání osobních nebo finančních informací. Textová zpráva může obsahovat naléhavou výzvu k akci, například varování o nespecifikované aktivitě na účtu, informaci o zásilce z ciziny, nebo lákavé nabídky, které se zdají být příliš dobré na to, aby byly pravdivé.

Smishingové zprávy často zahrnují odkazy na podvodné webové stránky, které napodobují oficiální stránky a žádají vás o zadání citlivých údajů, jako jsou čísla účtů, čísla platebních karet, PIN kódy, přihlašovací údaje do různých registrů, internetových účtů apod. V některých případech mohou tyto zprávy požadovat, abyste odpověděli textovou zprávou s osobními informacemi.

SMS z francouzského čísla zaslaná na české číslo. Odkaz vede na podvodné stránky „České pošty“. které chtějí vylákat údaje o vaší platební kartě. (13. 9. 2023)

Smishing v praxi. SMS z francouzského čísla zaslaná na české číslo. Odkaz vede na podvodné stránky „České pošty“, které chtějí vylákat údaje o vaší platební kartě. (13. 9. 2023)

Autor: Dalibor Z. Chvátal

Jak se bránit?

1. Buďte přirozeně nedůvěřiví

  • Nevěřte automaticky SMS a podobným zprávám, které vás žádají o osobní nebo finanční informace.
  • Zprávy, které obsahují neobvyklé nebo podezřelé žádosti, vždy ve vás musí vzbudit podezření.

2. Neotvírejte podezřelé odkazy

  • Nevstupujte na webové stránky z odkazů v SMS a podobných zprávách, které nejsou ověřené nebo se zdají podezřelé.
  • Odkazy mohou vést na podvodné webové stránky nebo mohou obsahovat malware.

3. Ověřte si informace

  • Pokud SMS zpráva pochází od údajného zástupce banky nebo jiné instituce, zavolejte přímo na oficiální kontaktní číslo instituce a ověřte si, zda zpráva byla skutečně od nich odeslána.
  • Pozor na to, že takřka jakékoli telefonní číslo lze zfalšovat. Volající se může identifikovat skutečně existujícím číslem dané organizace, ale přitom pro hovor používá zahraničního operátora. Více najdete v části s názvem spoofing.

4. Neposkytujte osobní údaje

  • Nikdy nereagujte na SMS a podobné zprávy, které žádají o vaše přihlašovací údaje, hesla, PINy, čísla a platnost vašich osobních dokladů nebo jakékoli jiné citlivé osobní informace.

5. Víte, kam a komu dáváte telefonní číslo?

  • Omezte, kde a komu poskytujete své mobilní číslo. Čím více je vaše číslo ve veřejném prostoru, tím větší je riziko smishingových útoků.
  • Dobrou ochranou je místo mobilního čísla zadávat do různých databází číslo vaší pevné linky. Přitom nemusí jít o fyzický telefon, ale třeba jen o virtuální číslo (přesměrované na váš mobil).

Spoofing

Spoofing je podvodná praxe, kdy se útočník maskuje za jinou osobu, zařízení nebo uživatele. Cílem je získat neoprávněný přístup k datům, šířit malware, oklamat oběti a odhalit citlivé informace, nebo obejít bezpečnostní opatření.

1. Podvržený e-mail

Útočník odesílá e-maily s falešnou hlavičkou, takže vypadají, jako by pocházely od důvěryhodného zdroje, například od banky nebo známého jedince. Tato taktika je často používána ve phishingových útocích.

2. Telefonní číslo volajícího nebo SMS

Útočník mění informace zobrazované na volajícím ID, aby se vám zdálo, že hovor pochází z legitimního zdroje, například z úřadu, od policie či z banky.

Typickým příkladem je situace, kdy vám útočník volá a vy na displeji telefonu vidíte skutečné existující číslo třeba banky, nebo vám přijde SMS z čísla, které vaše banka skutečně používá.

Podvodník přitom jen použil zahraničního telekomunikačního operátora, který nabízí službu změny ID volajícího. Je to sice nelegální, ale děje se to.

Zatímco v telekomunikační síti je tato záměna vidět a dříve či později je odhalena a zablokována, koncový příjemce hovoru či zprávy ji nemá šanci rozeznat.

3. Podvržený web

Útočník vytvoří falešnou verzi důvěryhodné webové stránky s cílem vás oklamat, abyste zadali své osobní informace nebo přihlašovací údaje.

Jak se bránit?

E-mail

  • Používejte e-mailové filtry, které identifikují a blokují podezřelé e-maily.
  • Ověřte adresu odesílatele, abyste se ujistili, že je legitimní.
  • Neklikejte na odkazy nebo přílohy v e-mailech, pokud si nejste zcela jisti jejich pravostí.
  • Nikdy se přes zaslané odkazy nepřihlašujte ke svým účtům nebo do nich nezadávejte citlivé údaje.

Telefon

  • Neuvádějte osobní informace po telefonu, pokud si nejste zcela jisti totožností volajícího.
  • V případě i menších pochybností raději zavěste a zavolejte na oficiální číslo společnosti, kde si informace ověřte.

Web

  • Ujistěte se, že navštěvujete webové stránky s bezpečným připojením (https://, a ne http://), a hledejte ikonu zámku v adresním řádku prohlížeče.
  • Zadejte URL adresy přímo do prohlížeče místo klikání na odkazy v e-mailech.
  • Používejte rozšíření prohlížeče nebo bezpečnostní služby, které poskytují varování o podezřelých webových stránkách.
  • Nezapomeňte si zkontrolovat, kdo má zakoupený certifikát – stačí kliknout na zámeček. Zámeček sám o sobě totiž neznamená, že si certifikát nemohli zakoupit podvodníci.

Sociální inženýrství

Podvod pomocí sociálního inženýrství je proces, kdy útočník využívá psychologické manipulace k tomu, aby vás přiměl k odhalení důvěrných informací nebo k provedení určitých akcí, které jsou v jeho zájmu.

Jde o zákeřný druh podvodu, protože se spoléhá na lidský faktor, který je často nejslabším článkem v bezpečnostním řetězci. Útočníci pro to používají tyto metody:

Výzkum

Útočník shromažďuje informace o cíli, jako jsou jména, role ve společnosti, informace zveřejněné na sociálních sítích a další osobní údaje, které mohou být použity k získání vaší důvěry.

Vytvoření přesvědčivého příběhu

Na základě shromážděných informací vytvoří útočník přesvědčivý příběh nebo scénář, který použije k vaší manipulaci.

Nasazení technik manipulace

Útočník může použít různé techniky sociálního inženýrství, jako je předstírání, že je důvěryhodným zaměstnancem, obchodním partnerem nebo technickou podporou, a žádat o důvěrné informace nebo přístup. Nejčastěji využívají vishingu, tedy manipulace po telefonu.

Využití naléhavosti nebo strachu

Často na vás útočníci vyvíjejí tlak, abyste jednali rychle, vytvářejí iluzi naléhavosti nebo vyhrožují negativními důsledky za nečinnost.

Shromažďování informací nebo získání přístupu

Pokud je sociální inženýrství úspěšné, oběť poskytne citlivé informace nebo provede akce, jako je otevření infikované přílohy e-mailu, poskytnutí přístupových kódů nebo převod peněz.

Zneužití získaných informací

Nakonec útočník zneužije získané informace k přístupu k bankovním účtům, provádění neoprávněných transakcí, krádeži identity nebo k dalším škodlivým aktivitám.

Ilustrační obrázek: sociální inženýrství

Autor: Měšec.cz s využitím DALL-E

Jak se bránit?

Pamatujte, že sociální inženýrství hraje na lidské emoce a důvěru, takže vždy dbejte na to, abyste zachovali kritické myšlení a nepodléhali tlaku nebo manipulaci.

Vzdělávání a povědomí

  • Učte se o běžných sociálně-inženýrských taktikách, jako je phishing, vishing (telefonní podvody), smishing (SMS podvody) a dalších.

Používání silných hesel a autentizace

  • Používejte silná, jedinečná hesla pro různé účty a pravidelně je měňte.
  • Aktivujte dvoufaktorovou autentizaci, kdekoliv je to možné.

Ověření žádostí o informace

  • Nikdy nesdílejte osobní nebo finanční informace v reakci na nevyžádané telefonní hovory, e-maily nebo zprávy.
  • Ověřte identitu osoby nebo organizace, která po vás požaduje informace, a to nezávislým způsobem (například zavoláním na oficiální telefonní číslo).

Opatrnost při sdílení na sociálních sítích

  • Buďte obezřetní, co sdílíte na sociálních médiích, protože útočníci mohou použít osobní informace k vytvoření cílených útoků.
  • Používejte nastavení soukromí na sociálních sítích, aby vaše informace nebyly veřejně přístupné.

Bdělost a zdravý skepticismus

  • Buďte vždy opatrní při získávání nečekaných nabídek nebo požadavků.
  • Nenaleťte na schémata, která vyžadují okamžitou akci nebo nabízejí příliš dobré výhody na to, aby mohly být pravdivé.

Nedělejte online to, co byste v offline světě neudělali

 

Žijeme čím dál víc online. A s tím přibývá i nových rizik, se kterými se musíme potýkat. Někdy je prostě složité vyznat se, co je na internetu pravda, a která nabídka, jež nám přistane do mailu nebo do zpráv na sociálních sítích, je podvod.

Rozhodli jsme se vám život na síti usnadnit tím, že vám v sérii článků nazvané Bezpečně s Měšcem poradíme, jak se bezpečně chovat při online nakupování, jak se vyhnout podvodným soutěžím nebo co lze dělat při krádeži vaší identity.

Vstoupit do diskuse (1 názor)
  • Našli jste v článku chybu?

Byl pro vás článek přínosný?

+48
Líbí
Nelíbí

Autor článku

Dalibor Z. Chvátal

Dalibor Z. Chvátal

Autor se věnuje publikační činnosti v oblasti osobních financí. Specializuje se na finanční produkty, spotřebitelská témata a oblast dopravy.

Seriál Bezpečně s Měšcem

Témata:

Přečtěte si všechny díly seriálu Bezpečně s Měšcem nebo sledujte jeho RSS
Poslední dobou mi často chodí maily, které si hrají na vyděrače - odesílatel jakoby používá moji vlastní e-mailovou adresu, což mi předkládá jako důkaz, že mě hacknul, a pak vyhrožuje, že kdy mu nepošlu bitcoiny nebo dolary, tak zveřejní videa, která natočil skrze mojí údajně hacknutou kameru na počítači. Jediná chyba je v tom, že kameru mám trvale odpojenou (externí příslušenství), takže tyhle pokusy rovnou mažu.
:václav:

Nejžádanější

Komerční sdělení

Atmoskop.cz - Hodnocení zaměstnavatelů »
Atmoskop.cz - Hodnocení zaměstnavatelů »

Mohlo by vás zajímat

Školení pro účetní
Novinky v daních a v účetnictví vyplývající z konsolidačního balíčku
11. 12. 2023
9:00
Více
Dvoudenní školení pro začínající a mírně pokročilé mzdové účetní
18. 3. 2024
9:00
Více

Aktuální kurzovní lístek - EXCHANGE s.r.o. dne 11. 12. 2023

TIP: VYDĚLÁVÁTE V ZAHRANIČÍ?
Pošlete si výplatu na svůj CZK účet - bez poplatků!

Dále u nás najdete

MarketVoice

Boom market place se dal čekat, přijdou ještě další hráči

Spolknutá baterie dokáže proděravět jícen za čtyři hodiny

Máte po aktualizaci pomalé Windows 11? Zkuste tohle řešení!

Prodeje smartphonů už zase rostou, je po krizi?

Zuby to nekončí. Co všechno si lze čistit v ústech a čím?

Penny zlevňuje potraviny, ale jen pro vybrané skupiny lidí

Jak dlouho vydrží data na vaší paměťové SD kartě?

Nordic Telecom je na prodej, vážným zájemcem je PODA

Přehled změn v sociálním pojištění OSVČ v roce 2024

Vědci zkoumají viry v trusu žiraf a lemurů, které by mohly léčit

Čekat zlevnění potravin bylo naivní, snížení DPH bylo marginální

PET lahve a plechovky budou od roku 2025 zálohované

VZP změnila podmínky čerpání bonusů. Starou účtenku neuplatníte

Používání internetu snižuje riziko úmrtí, ukázala studie

Nová verze Portálu občana? Užitečné změny, ale i nedodělky

AI Bard je zase chytřejší. Google nasadil model Gemini

Změny v nemocenských dávkách od roku 2024

Windows jako aplikace je na obzoru

Pivo v hospodách zdraží kvůli vyšší DPH. Víme, o kolik

Úřad práce „utáhne kohoutky“. Jak se od ledna změní podpora?

Rejstřík firem a OSVČ

Nejžádanější na měšec.cz

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).