Nesdělujte osobní údaje, nepřeposílejte přístupové údaje a kódy

Kyberbezpečnost v kostce

Toto téma úzce souvisí s předchozí kapitolou. Zde navíc útočník používá více prvky sociálního inženýrství. Cílí na vaše emoce a snaží se získat ty nejcitlivější informace – osobní údaje, zdravotní stav, přístupové údaje do banky apod. A proč to chtě? Aby zacílil na nejcitlivější místa, a tak vás dostali do svých pastí.

Útočníci se často vydávají za někoho jiného

Velice často se útočník vydává za někoho jiného – útoky maskuje z „pravého“ telefonního čísla (vishing), e-mailu (phishing), ale také z věrohodně vypadající webové stránky, například vaší banky. Takovému útoku se říká obecně spoofing. Nejčastěji zneužívanou skupinou jsou starší lidé. V současnosti používají útočníci ale velice sofistikované nástroje, takže i pozorný uživatel může naletět. Kromě ztráty citlivých dat to většinou končí i finanční ztrátou v řádech desítek až stovek tisíc korun.

Obecně lze na obranu proti spoofingu říci: „buďte obezřetní při tom, co a jak po vás osoba na druhém konci žádá“.

Pamatujte si, že pravý hovor, email nebo sms, především z banky, policie nebo počítačové podpory po vás nebude nikdy žádat:

  • váš věk,
  • přístupové údaje do služeb (např. do emailu) nebo do bankovnictví, např. PIN, heslo, zákaznické číslo,
  • potvrzení přístupu nebo platby v bankovní aplikaci,
  • vyplnit číslo kreditní karty, platnost a CVC kód (trojmístné číslo na zadní straně),
  • poskytnutí přístupu do zařízení nebo instalaci aplikace pro vzdálenou podporu,
  • stažení a spuštěni aplikace z divných webových stránek,
  • osobní údaje, například datum narození, rodné číslo a místa narození,
  • provedení okamžité akce, jinak se stane něco spatného (například odeslání bankovní platby na podivný účet v zahraničí).

Když si nejste jistí, jestli se jedná o podvod, nereagujte na výzvy, neklikejte na odkazy nebo zavěste. Lepší je třeba položit pravý hovor z banky, než naletět a přijít o životní úspory. Pokud ale přece jen naletíte, neprodleně kontaktujte policii, případně také banku. Pokud je to možné, změňte si co nejdříve přístupové údaje do těchto služeb.

Podvodníci se vydávají třeba za vojáky nebo těžce nemocné

Jednou z klasických technik, které podvodníci na internetu používají k navázaní kontaktu je, že se vydávají za vojáky v zahraničí nebo těžce nemocnou osobu, která má pohádkové jmění a chce vám ho odkázat. Podvodník se Vás snaží přesvědčit, že je v tíživé situaci a navodit vztah důvěry. Snaží se psát tak, ať se vám to líbí a aby vás zaujal. Snaží vás manipulovat, píše líbivé věty a neštítí se třeba nabízet svatbu nebo jiné věci. Mnohdy k tomu využívá prostředníka, který pak má tyto věci za něho řešit. Může to být třeba právní kancelář, ředitel banky atd.

Vždy to ale končí tím, že podvodník potřebuje zaplatit nějaký poplatek za služby, většinou 100 až 500 USD. Může to být poplatek za převod peněz, za internet, za jídlo, za dopravu atd. Vždy zaleží na situaci, kde vás podvodník dostane.

Některé podvody jsou velice rychlé. Podvodník se snaží tlačit na co nejrychlejší převod peněz (například přes Western Union, Revolut, bankovním převodem do zahraničí). Jindy se snaží udržovat dlouhodobý kontakt, aby svou oběť co nejvíce zmanipuloval a ta přestala být pozorná. V pravou chvíli nabídne třeba svatbu/stěhování a začne pomaličku oběť obírat o peníze.

Neříkejte nebo nepřeposílejte osobní údaje, hesla piny aj.

Neposílejte žádné přístupové údaje, PINy a hesla, pokud Vás o to žádá blízká osoba přes SMS nebo chat. Nikdy nevíte, jestli není na druhé straně útočník, vydávající se za známou osobu. 

Představte si situaci, kdy vám kamarád napíše, že se mu zablokoval mobil a potřebuje pomoct. Vy ochotně souhlasíte. On vás požádá o vaše telefonní číslo, které má v tom zablokovaném telefonu. Vy mu ho pošlete a on vám napíše, že pro odblokování potřebuje PIN, který si pošle na váš telefon. A on jen potřebuje, ať mu ten PIN přepošlete. Co uděláte? NIC neposílejte a raději kamarádovi zavolejte, jestli je to opravdu on. V drtivé většině případů se nějaký útočník dostal k účtu vašeho kamaráda a snaží se z vás vylákat autorizační PIN k provedení nějaké SMS platby. Tu ale budete platit vy ze svého kreditu.

Útočník se snaží nalákat uživatele na zajímavé videa

Možná se vám to už stalo. Na Faceboom Messenger vám od kamarád dojde zpráva, jestli jste na tom videu vy. Zvědavost Vám nedá a kliknete na odkaz, který směruje na podvodnou stránku, tvářící se jako známa služba, například Facebook. Nachází se zde i zmíněné video, které je možno spustit až po přihlášení do nějaké služby, kterou používáte, např. Facebook. Po ťuknutí na video se zobrazí přihlašovací okno, které se tváří jako legitimní stránka dané služby, např. Facebooku.

Vy zadáte přihlašovací údaje a ty se předají útočníkovi, který se během chvilky přihlásí na váš účet a začne rozesílat podobné odkazy vaším přátelům. Na Facebooku navíc zjistí, jestli máte navedenou platební kartu v platebním portále (například pro správu reklam na Facebooku) a pak ji zneužije pro své aktivity.

Podvodné reklamy (nejen) na sociálních sítích

Na sociálních sítích se můžete setkat s řadou podvodných reklam. Ty vás většinou nabádají na pohádkové výhry nebo velké měsíční výdělky. U většiny těchto podvodných reklam se zobrazují známé osobnosti nebo “reálné” ukázky z banky, televizního pořadu atd. Vždy je to ale nereálná manipulace.

Ve většině případů tyto podvodné reklamy cílí na:

  • instalaci nějaké aplikace (hry), kde pak budete muset platit nějaké poplatky, ať se dostanete k výhře nebo k nějakým funkcím.
  • registraci do podvodného portál, kde zadáte své telefonní číslo (nebo údaje z platební karty). Velice brzy vás bude kontaktovat útočník s cílem nainstalovat do vašeho počítače aplikací na dálkové ovládání zařízení (AnyDesk, TeamViewer, SupRemo aj.). Bude ale tvrdit, že aplikace je pouze na chatovou komunikaci, kdyby něco. Po spuštění už ale uvidí vše, co na PC děláte a navíc ho může ovládat. Útočník vás bude dále přesvědčovat, ať se přihlásíte do banky. Cílenou manipulací vás zmate tak, že bude schopen z bankovního účtu zadat převod vašich peněz na svůj účet, většinou do zahraničí.

Další variantou jsou podvodné video reklamy. Podvodníci často zneužívají služeb umělé inteligence a tvoří podvodné videa. Snaží se tvořit falešné známé osobnosti, aby oběť nalákali. Tyto videa jsou často velmi přesvědčivá a mohou obsahovat falešné zprávy, nabídky produktů nebo investiční příležitosti, které jsou ve skutečnosti podvodné.

Nejčastěji jsou tyto podvodné reklamy šířeny prostřednictvím sociálních médií, e-mailových kampaní, nebo dokonce i na legitimních webových stránkách prostřednictvím zavádějící reklamy. K identifikaci těchto podvodných videí se zaměřte na neobvyklé chování a mluvu, pochybné odkazy nebo nabídky.

Nevěřte na pohádkové investice a zapomenuté Bitcoiny

Telefonicky nebo přes internet vás kontaktuje podvodník, vydávající se za zástupce nějaké (bitcoinové) obchodní platformy. Sdělí Vám, že u nich existuje již velice dlouho na vaše jméno účet, na kterém je určitý počet bitcoinů. Aby Vám nalákal, přepočte kurz na dolary, eura nebo české koruny. Dále se vás zeptá, jestli budete chtít bitcoiny vybrat nebo investovat. Důvod kontaktování pak ještě podtrhne tím, že se na váš účet již dlouho nikdo nepřihlásil a byla by škoda, kdybyste o peníze přišli.

V další fázi se útočník snaží o instalaci „potřebné“ aplikace pro převod do vašeho počítače nebo mobilu. Jedná se o aplikace pro vzdálenou správu (AnyDesk, TeamViewer, SupRemo aj.). Ujistí vás, že jste v bezpeční a nic nehrozí. Spuštěním a nadiktováním přístupového čísla se ale dostane do vašeho počítače nebo mobilu a vidí veškerou vaši aktivitu.

Následně po vás bude žádat bankovní údaje, kde se bude provádět výplata. Aby vás donutil přihlásit se do internetového bankovnictví, bude po vás požadovat informace, které neznáte. Například technické číslo účtu (takové neexistuje), které je údajně ve vašem bankovnictví lehce dohledatelné.

Alternativou bankovního účtu je registrace na některý z bitcoinových burz, např. Binance, kde si takto založíte účet. Při registraci musíte přiložit váš doklad totožnosti, který vidí také útočník.

Výsledkem tak třeba je to, že útočník získá vaše osobní údaje a je schopný založit na vaše jméno úvěr přes vaše bankovnictví. Pravděpodobně vám brzy dojde informace o tom, že žádost o úvěr byla schválená a přijdou vám peníze na účet. Podvodník vás kontaktuje, že asi došlo ke špatnému převodu (automat v bance založil úvěr, místo převedení peněz) a bude se muset celá transakce provést znova. Útočník vás navede k tomu, že vlastně jen stačí poslat peníze na nějaký bankovní účet automatu (útočníka) a že automat pozná, že se jedná o vratku a úvěr zruší. Jenže se nejedná o žádný účet automatu, ale o účet podvodníka, který peníze okamžitě vybere a vy o ně nenávratně přijdete.

Falešné stránky na sociálních sítích

Na sociálních sítích se můžete setkat s řadou podvodných webových stránek, které se vydávají za oblíbený obchod. Snaží se vás nalákat na nějakou výhodnou akci nebo oslavu narozenin. Záměrem útočníka je, ať sdílíte tuto podvodnou akci na svém profilu. Tím se šíří podvodný příspěvek mezi vaše přátelé. Dále vás útočník vyzve, ať napíšete do chatu pod tuto akci nějaké slovo, třeba Hotovo.

Příspěvek ani nemusíte sdílel, stačí pouze napsat cokoliv k danému příspěvku. Během chvíle vás bude kontaktovat útočník, aby vám sdělil, že jste byl vybrán a vyhráváte nějakou cenu. Na přiloženém odkazu se „pouze“ zaregistrujete. Jedná se ale o podvodnou webovou stránku, kde z vás chce útočník vylákat citlivé údaje, přihlašovací údaje nebo informace o vaší platební kartě.

Rozhodně takové podvodné příspěvky ignorujte a informujte osobou, která ho sdílela, že se jedná o podvod!

Máte dotaz?

Nerozumíte něčemu, nebo se chcete na něco zeptat? Ťukněte na tlačítko vpravo a napište mi váš dotaz do formuláře. Já se pokusím na vaše otázky odpověděť do nejdříve.