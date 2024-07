Obětí takového podvodu se stal i bratr paní Dagmar, který přišel o tři tisíce eur. „Bratr nakupoval na webu knížku pro svůj oddíl karate, a to z účtu klubu, jehož číslo je kvůli členským příspěvkům na klubových stránkách,“ popisuje paní Dagmar, jak celá anabáze začala.

Její bratr David standardně vyplnil všechny potřebné údaje a po přesměrování na platební bránu zadal číslo své platební karty, kterou má spojenou s účtem u Fio banky. „Když ale prováděl platbu, web Megaknihy se zasekl a zobrazoval ikonu hodin, které ukazují, že je platba v procesu,“ pokračuje paní Dagmar. A právě tehdy nastal problém. „Mezitím přišly z Fia další SMS a jedna z nich byla autorizační platba na tři tisíce eur,“ dodává paní Dagmar.

SMS s výzvou k platbě (9. července 2024)

Platební brána vyžadovala pro zaplacení také zadání e-PINu. Pro jeho získání se David musel přihlásit do internetového bankovnictví Fio banky. Kromě původní platby kartou za objednávku na e-shopu v hodnotě 1 657 korun proto přišla panu Davidovi také SMS s autorizačním kódem pro přihlášení do internetového bankovnictví a následně s e-PINem. Do této fáze je vše v pořádku.

„Dodatečné ověření plateb e-PINem funguje již od konce roku 2020 a tento další faktor ověření se týká klientů, kteří své platby kartou na internetu autorizují pomocí SMS kódu,“ uvádí Jakub Heřmánek, tiskový mluvčí Fio banky. Takto splňuje platba nároky na dvoufázové ověření. Platí však, že e-PIN může a nemusí být vyžadován, to záleží na provozovateli platební brány.

Kromě autorizace platby za knihy a e-PINu však přišla panu Davidovi také SMS s autorizačním kódem pro potvrzení okamžité europlatby ve výši tři tisíce eur. Bratr paní Dagmar si bohužel v nastalém zmatku nevšiml, že autorizační kód se týká europlatby na tři tisíce eur a ne jeho skutečné původní objednávky. Kód proto do platební brány zadal a platbu provedl. „Mylně jsem podlehl dojmu, že stále řeším jednu a tutéž platbu,“ uvádí pan David.

Situaci si uvědomil až následně. „To, že jsem schválil platbu tři tisíce eur do Litvy – podle kódu, který nyní vidím, na společnost Paytend – mi došlo až o zhruba dvacet minut později, když jsem vše znovu prověřoval. Hned jsem volal do Fio banky, aby platbu zastavili. Ale tam mi řekli, že nemohou nic dělat a že se mám obrátit na policii a podat trestní oznámení,“ popisuje svou situaci pan David.

Ani policie nepomohla

Na policisty se pan David obrátil záhy, ale z jejich přístupu nebyl o moc klidnější. „Policie mu vlastně hned dala najevo, že se asi nic nevyřeší,“ dodává Dagmar.

Experti na kyberbezpečnost i banky opakovaně nabádají k obezřetnosti. Jak však může ztráta pozornosti vést k podobnému problému?

Jako první se nabízí varianta s podvodným e-shopem, kdy zákazník od začátku nenakupuje na e-shopu, ale na podvodné stránce. „Je otázkou, zda byl klient skutečně na pravých stránkách e-shopu. To, že tvrdí, že tam nakupoval, ještě nemusí znamenat, že se přes nějaký odkaz v emailu, který mu přišel jako nabídka e-shopu nepřihlásil stejně vypadající na falešnou stránku e-shopu,“ říká Radek Šalša, tiskový mluvčí České bankovní asociace.

Podobné případy nejsou vzácné, loni například na zákazníky líčila falešná verze Alzy.

Pan David ale podle všeho skutečně navštívil opravdovou stránku knihkupectví. „Než zareagovali, tak to chvíli trvalo, ale mou objednávku prý mají,“ říká.

V takovém případě přichází v úvahu i varianta, že mohly být napadeny i pravé stránky knihkupectví, které by přesměrovávaly zákazníky na podvodně vytvořenou platební bránu. To však prodejce knih odmítá. „Naše systémy podléhají pravidelnému testování. A náš e-shop neeviduje žádné podobné problémy ani nemáme stížnosti zákazníků,“ říká Ladislav Kožíšek, jednatel společnosti Megaknihy.cz.

Podle Kožíška firma oslovila s žádostí o konzultace i odborníky na kyberbezpečnost, podle nichž může problém souviset i s možným zavirováním počítače pana Davida. Možnost, že zařízení, ze kterého prováděl objednávku a přihlašoval se do internetového bankovnictví, je napadené, zmiňuje i Radek Šalša.

„V takovém případě by se pak jeho zařízení mohlo chovat tak, že klient byl při placení přesměrován na falešnou platební bránu, kde zadal potřebné platební údaje, které útočník pak využil k zadání vlastní platby a pokud ji pak klient potvrdil, peníze odešly tam, kam útočník sám platbu nasměroval,“ vysvětluje.

Podle mluvčího Fio Banky Jakuba Heřmánka je rizikové i hledání přihlašovací stránky do internetbankingu přes vyhledávač. V něm totiž podvodníci dokážou odkaz podvrhnout. „Pokud tam kliknul na podvodný odkaz, tak se už dál vše odehrávalo jako při standardním phishingu a útočníkům tak předal všechny potřebné údaje,“ podotýká mluvčí.

Rychlost řešení je klíčová

Vždy, když klienti zjistí, že jim z účtu odešly peníze, které neměly a stali se tak obětí podvodu, je nutné situaci řešit co nejrychleji. „Pokud nám klient nahlásí phishingový útok nebo jiné zneužití účtu, blokujeme Internetbanking, mobilní bankovnictví i platební karty,“ popisuje postup Heřmánek. Následně banka s klientem prozkoumá historii transakcí a ty, které klient označí za podvodné, nahlásí svému AML oddělení. „Pokud je to možné, kontaktujeme banku, kam peníze odešly, se žádostí o vrácení platby,“ dodává Jakub Heřmánek.

Banka vždy prověřuje, jestli je schopná peníze ještě zachránit. „Pokud už to nejde, jedinou zbývající možností je obrátit se na policii,“ potvrzuje Radek Šalša. Také v takovém případě má na vymahatelnost peněz velký vliv čas. „Velmi často záleží na rychlosti oznámení poškozeného o podvodné platební transakci,“ uvádí tiskový mluvčí Policie ČR Jakub Vinčálek. Policie následně začne spolupracovat s orgány činnými v trestním řízení v zahraničí, ale výsledek je nejistý.

„Jde o delší proces. Ten třeba i může skončit trestem pro podvodníka, ale ani to nezaručí návrat financí poškozenému,“ dodává Jakub Vinčálek. Velkým problémem je právě to, že peníze směřují do zahraničí, případně do kryptoměn. „To je i důvod, proč je složité dostat je zpět k poškozenému. Obzvláště v případech, kdy poškozený transakce sám schválil,“ vysvětluje Jakub Vinčálek.

Příběh pana Davida ale nakonec dopadl dobře. „Peníze mi Fio banka zaslala,“ sdělil redakci iDNES.cz David.

Podobnému podvodu se dá vyhnout jen zvýšenou pozorností. „V těchto případech podvodníci spoléhají zejména na nepozornost uživatelů online služeb. Bohužel až příliš často dochází, že poškozený sám transakci podvodníkům schválí, nebo jim dokonce umožní vzdálený přístup do svého zařízení či internetového bankovnictví,“ uzavírá Jakub Vinčálek.