Precizní práce podvodníků: Falešný web banky klient na první pohled nemá šanci poznat

Phishing je podvod založený na falešné zprávě. Tu můžete najít ve své e-mailové schránce, mezi textovkami v telefonu nebo na sociálních sítích. Vishingje pro změnu klamání založené na přisvojování cizí identity, nepoctivci se obvykle po telefonu vydávají za bankéře či policisty. A snaží se volaného přesvědčit k odevzdání peněz v domnění, že jedině tak je chrání před krádeží. To jsou dva v současnosti nejpoužívanější způsoby takzvaných e-šmejdů. Tím třetím je sázka na tužby lidí —nabídka značkového zboží za mimořádně výhodné ceny, které ovšem zákazníci buď nedostanou vůbec nebo postrádá garantovanou kvalitu.

Phishing
Podvod založený na elektronické komunikaci vedoucí k získání citlivých údajů - čísel kreditních karet, PIN kódů, hesel apod., které útočníky dovedou k penězům klientů. Autoři podvodů se obvykle zaštiťují důvěryhodnými organizacemi, své inzeráty umisťují na nejpoužívanější sociální sítě nebo mnohdy velmi věrohodně napodobují známé e-shopy.

Fungují staré i nové finty. Díky naší vlastní nepozornosti

Podstata zmíněného phishingu obvykle tkví v nevědomosti internetového uživatele, že spolupracuje s nepoctivcem.

„Klient typicky potvrdí částku útočníkovi v domnění, že si kupuje například nějaký luxusní parfém. A jelikož nečte identifikaci platby ve své aplikaci, o jakou transakci se jedná, a přihlásil se na falešný e-shop, tak velmi jednoduše odejdou peníze z jeho účtu,“ vysvětluje princip, na jakém phishingové krádeže probíhají, Pavel Šašek, který v Komerční bance vede oddělení prevence karetních podvodů.

Že je na falešném e-shopu, člověk mnohdy nepozná do doby, než se vyskytnou potíže — zboží neobdrží, případně z jeho platební karty začnou odcházet pochybné platby či ho rovnou s informací o zneužití údajů kontaktuje pracovník banky. Práce „internetové škodné“ už zkrátka dosahuje mnohem vyšší úrovně než v samotných začátcích podvodů. „Rozpoznat falešný e-shop je těžší a těžší, protože samozřejmě i útočníci se zlepšují... Určitě je dobré kontrolovat obchodní podmínky, sídlo obchodníka, klasickým doporučením je nakupovat na známých e-shopech, nepouštět se do vyhledávání produktu a pak jít po ceně. Je dobré využívat značkové shopy a hlídat adresu webu, to je velmi důležité. Že zadáte něco známého, neznamená, že v prvním odkaze bude právě oficiální web toho poskytovatele,“ říká zkušený profesionál.

Dalším krokem, při němž můžeme rozpoznat, že kráčíme špatným směrem, je platba a pokyny k ní. Co nás může varovat? Třeba chybějící konkrétní údaje o obchodníkovi. A dále například. „Špatný překlad, špatná čeština v obchodních podmínkách, v označení výrobků...“ uvádí další příklady Pavel Šašek.

Nejhorším možným trikem, na který lze v případě falešných webů snadno naletět, jsou padělané stránky samotných bank. „Když klient vyhledává banku nebo internetové bankovnictví své banky, zadá to do vyhledávače, který mu může nabídnout falešný odkaz. V ten moment ho klient pozná pouze podle URL adresy. Ty podvody jsou lepší a lepší, útočníci obrazovku přizpůsobí tak, aby klient nic nepoznal. I pro nás na druhé straně je velmi těžké tohle odhalovat a chytat,“ přiznává Pavel Šašek.

Mimochodem čas, kdy se podobné finty začnou na internetu objevovat častěji, se blíží.

„Změna platební morálky u většiny z nás začíná už o letních prázdninách. Lidé ztrácejí kontrolu a soustředí se spíš na to, jak si po roce odpočinout, takže tam jsou útoky časté. A Vánoce, tam začínají žně.“

Mít se na pozoru se vyplatí nejen na internetu

Dobře si chránit údaje ke své platební kartě se vyplatí i při zacházení s fyzickou kartou. Stále méně častým, přesto typickým fíglem podvodníků je skimming. „Dobrá zpráva je, že skimming pomalinku mizí. Je to hlavně díky covidu, který uzavřel hranice, jelikož tu trestnou činnost páchali většinou zahraniční pachatelé. Od té doby je na ústupu. Ale typický scénář je, že pachatelé umisťují skimmovací zařízení na čtečku, kam vkládáme kartu, když nepoužíváme kartu bezkontaktně, nad klávesnici umístí kameru pro sledování vašeho PIN kódu a pak jednoduše zkopírují karetní data na nějakou SD kartu. Následně je na řadě výroba duplikátu karty a třetím krokem je zneužití v zemích, kde se nekontrolují,“ vysvětluje specialista na finanční kyberbezpečnost v pořadu Interview PLUS.

Ověření bankéře prostřednictvím aplikace

Jak se vyhnout vishingu? Většina bank v současnosti nabízí možnost, jak si ověřit, že vám volá skutečný bankéř. Do aplikace vám umí poslat své jméno a komunikační kód. Klientům Komerční banky k tomu slouží KB klíč. Snadno a rychle tak zjistíte, s kým skutečně mluvíte!

A dodává, že spolu s kolegy denně řeší stovky, někdy i tisíce více či méně zdařilých pokusů o zneužití platebních karet. Mnohdy je na ně upozorní sami klienti.

„Klientovi přijde typicky notifikace do aplikace na strženou částku z karty, se kterou nesouhlasí. Může nás kontaktovat a my následně transakci prověříme a samozřejmě dále investigujeme, zda obchodník není falešný a zda tam není napadeno více našich držitelů karet,“ říká Pavel Šašek a doplňuje další způsoby, jak pokusy o nelegální karetní platby objevují.

„Provádíme monitoring všech karetních transakcí, když se nám něco nelíbí a je tam například větší počet transakcí na jednom místě. A z toho chování té karty je zřejmé, že to může být podvod. A v neposlední řadě je to spolupráce napříč trhem, můžeme dostat informaci od karetních společností, jako jsou Visa s Mastercard, případně od konkurenční banky.“

V případě, že se pracovníci oddělení Prevence karetních podvodů o pokusu útočník dozví dříve než samotný klient, což bývá často, majitele karty pochopitelně kontaktují. „Komunikujeme buď esemeskou anebo voláme. Esemeska má větší úspěšnost v tom, že díky chytrým mobilům vám vyskočí přímo na zamčené obrazovce. A i přesto, že má klient například jednání, vidí zprávu o nutnosti s námi mluvit kvůli bezpečnosti, vyběhne z porady a mluví s námi. V některých případech je velmi těžké klienty přesvědčit, že jsme právě z prevence podvodů karet, jelikož třeba před námi mluvili s útočníky, kteří je velmi efektivně přemlouvali například k investici do kryptoměn. A pak jsou to hovory na 40 až 50 minut, abychom přemluvili klienta, aby neinvestoval, protože o ty peníze může přijít. To je velmi těžké, ale snažíme se dělat maximum, aby nám věřili,“ říká zástupce Komerční banky ve vysílání CNN Prima News.