„Nový trik internetových podvodníků spočívá v telefonickém kontaktování lidí s tvrzením, že se dopustili dopravního přestupku, například překročení rychlosti. Cílem podvodníků je získat přístup k vašemu internetovému bankovnictví a následně provést neoprávněné platby,“ popisuje Michaela Lébrová, komisařka krajského ředitelství policie kraje Vysočina.
„Trik je opět důmyslný a jediná SMS zpráva může lidi připravit o velké peníze,“ varuje Vosála. „Záměrem kyberpodvodníků je vyvolat pocit naléhavosti a stresu, aby člověka donutili reagovat rychle a bez pečlivého zvážení. Obsahuje-li zpráva odkaz, který vás vyzývá k okamžitému zaplacení, buďte na pozoru! Kliknutím na takový odkaz se vystavujete riziku krádeže citlivých informací, nebo dokonce ztráty peněz z účtu,“ vysvětluje Petr Vosála.
Ajťáci od aut mají napilno. Nařízení o kyberbezpečnosti zamíchá kartami |
Přišel o sedm set tisíc
Podvodníci se mohou představit jako zástupci dopravní policie nebo jiného správního orgánu. „V pondělí 19. srpna jsme přijali oznámení od osmadvacetiletého muže, který tímto novým způsobem podvodu přišel o sedm set tisíc korun. Muže telefonicky kontaktoval podvodník z neznámého čísla, který mu sdělil, že překročil povolenou rychlost a nyní musí zaplatit pokutu,“ popsala Lébrová. „Po telefonickém hovoru obdržel muž ze stejného čísla SMS zprávu s odkazem na webové stránky, které mají sloužit k úhradě pokuty.“
Lébrová upozorňuje, že stránky mohou vypadat důvěryhodně, ale ve skutečnosti jde o falešné stránky vytvořené podvodníky. Odkaz může mít i jinou podobu. Po kliknutí na odkaz byl muž vyzván k přihlášení se do svého internetového bankovnictví, aby mohl uhradit pokutu. Muž tedy autorizoval platbu, ale v domnění, že první platba neproběhla, autorizoval ještě další dvě. Autorizací platby tak podvodník získal přístup k jeho účtu. „Podvodník muže následně vyzval k instalaci do jeho mobilního telefonu aplikaci typu ‚Smart klíč‘ pro zvýšení bezpečnosti. Po instalaci muž aktivoval tuto aplikaci, tím umožnil podvodníkovi přístup do bankovního účtu. Jakmile měl podvodník přístup do internetového bankovnictví, neoprávněně zadal platby, o kterých poškozený zpočátku nevěděl, až následně mu to potvrdili na pobočce jeho banky,“ popsala policejní komisařka.
Bezpečnostní expert Petr Vosála z ČSOB zdůrazňuje, že oficiální instituce, jako jsou úřady nebo policie, nikdy nepožadují platby pokut prostřednictvím SMS zpráv s odkazem. „Pokud obdrží člověk podobnou zprávu, v žádném případě by na odkaz neměl klikat a raději by se měl obrátit na příslušnou instituci přímo, aby si ověřil pravdivost tvrzení. To platí obecně. Kyberpodvodníci to zkouší pořád a různými způsoby. Klid a ověřování pravého stavu věcí ale funguje na všechny triky,“ dodává Petr Vosála.
Před podvodníky varuje také Celní správa. I v tomto případě volají lidem z podvodných telefonních čísel jménem celní správy s cílem vylákat peníze za neuhrazené pokuty. „Aktuálně celníci evidují desítky telefonických i písemných dotazů fyzických osob, kterým je voláno z automatu neznámou osobou vystupující jménem celní správy. Podvodníci upozorňují občany na nezaplacené ‚velké pokuty‘, případně že přijdou o body z bodového systému řidiče, pokud nezaplatí dlužnou částku prostřednictvím telefonu či na podvodném odkazu,“ uvedla správa. „V některých případech lidem sdělí i údajné číslo bankovního účtu celního úřadu, na který podvodníci vyžadují platbu dlužné částky v časově omezeném úseku.“
„Důrazně upozorňujeme, že jde o podvod s cílem vylákat z důvěřivých občanů finanční prostředky. Celní správa ČR v rámci dělené správy vymáhá pokuty, poplatky a odvody uložené jinými státními institucemi. S veřejností však nekomunikuje prostřednictvím telefonu či zasíláním SMS zpráv a nepožaduje platby přes telefon,“ upozornila.
„Neotvírejte odkazy v SMS od neznámých čísel. Pokud obdržíte SMS s odkazem na úhradu pokuty, neklikejte na něj. Nikdy neinstalujte aplikace na základě pokynů třetích stran. Aplikace jako Smart klíč instalujte pouze z oficiálních obchodů a nikdy ne na základě žádosti pochybných webových stránek. Pravidelně kontrolujte své bankovní výpisy, sledujte pohyby na svém bankovním účtu a v případě jakýchkoli podezřelých transakcí okamžitě kontaktujte svou banku,“ radí Michaela Lébrová z policejního ředitelství kraje Vysočina.
Na uživatele chytrých mobilů útočily podvodné bankovní aplikaceNa uživatele v Česku zaútočili hackeři podvodnými bankovními aplikacemi pro mobilní telefony. Útočníci několika způsoby přiměli uživatele platforem Android a iOS ke stažení falešných aplikací z webových stránek, aniž se oběť dozvěděla, že jde o program z neoficiálního zdroje. Prostřednictvím těchto aplikací pak získávali jejich údaje k účtům. Uvedla to antivirová firma Eset. Většina aplikací cílila na klienty českých bank, experti nicméně zaznamenali také aplikace zaměřené na banky v Maďarsku a Gruzii. Na základě analyzovaných dat dospěli k závěru, že za kampaněmi stály dvě různé skupiny útočníků. Eset informoval o těchto hrozbách banky obětí a pomohl také několik phishingových domén a řídicích serverů odstranit. Odhalené phishingové kampaně využívaly tři různé způsoby jak doručit škodlivé webové adresy obětem. Mezi těmito mechanismy byly automatizované hlasové hovory, SMS zprávy a škodlivá reklama na sociálních sítích. Volání probíhalo prostřednictvím automatizovaného hovoru, ve kterém útočníci varovali uživatele před zastaralou bankovní aplikací, a podněcovali je tak k okamžité aktualizaci. Uživatelé pak byli vyzváni, aby vybrali následující krok na číselné klávesnici. Po stisknutí správného tlačítka jim byla prostřednictvím SMS zprávy odeslána phishingová internetová adresa. „Rozesílání falešných adres probíhalo podle našich zjištění na náhodná česká telefonní čísla. Zpráva obsahovala phishingový odkaz a text, kterým chtěli útočníci zmanipulovat oběť tak, aby na odkaz klikla. Škodlivá kampaň se šířila také prostřednictvím registrovaných reklam na sociálních sítích společnosti Meta, jako jsou instagram a facebook. Tyto reklamy vyzývaly k nějaké akci, například ke stažení aktualizace v podobě omezené nabídky pro uživatele,“ uvedl bezpečnostní analytik Esetu Jakub Osmani. V případě obou platforem, Android i iOS, byly phishingové aplikace podle Esetu do značné míry nerozeznatelné od skutečných bankovních aplikací, které napodobují. „Pro uživatele chytrých telefonů iPhone může taková kampaň nabourat zažité předpoklady o bezpečnosti ‚uzavřeného ekosystému‘ platformy iOS,“ dodal Osmani. |