Prostor pro podvody nyní dostávají i méně zkušení podvodníci, podle expertů vedou stopy nejčastěji do Ruska, Uzbekistánu a na Ukrajinu. Svým obětem říkají „mamuti“, což v ruštině evokuje slovo hlupák nebo ten, co se snadno nachytá. Výzkumný tým z ESET popsal funkcionality nástroje, který nazval příznačně „Telekopí“, což je složenina ze slov Telegram a kopí (na mamuty). Rozkryl také samotnou organizaci a hierarchii uvnitř útočných skupin.
Ze zjištění vyplývá, že Česko je v současnosti terčem podvodných kampaní, které cílí především na uživatele online tržišť jako Sbazar, eBay nebo platformu BlaBlaCar. Se stejnými podvody se mohou setkat také lidé, kteří využívají online obchody jako Vinted, Facebook Marketplace nebo Bazoš.
Nachytali vás někdy internetoví podvodníci?
„Podle našich nejnovějších zjištění se útočníci shromažďují v kanálech na Telegramu, kde je jim k dispozici nástroj od rusky mluvících vývojářů, který jim v několika krocích pomůže vytvořit přesvědčivý phishingový útok na uživatele online bazarů,“ uvedl expert z výzkumného týmu ESET Radek Jizba.
Telekopí tak umožňuje i méně technicky zdatným útočníkům, lovcům, vytvářet phishingové stránky z přednastavených šablon, generovat QR kódy a falešné screenshoty a rozesílat podvodné e‑maily a SMS zprávy. V telegramových kanálech navíc mají lovci k dispozici i celou bázi znalostí, jako jsou manuály na práci s obětmi, statistiky úspěšnosti scamů (podvodů) a podobně.
Češi přišli o stovky milionů
Policie odhaduje, že se škody spojené s těmito typy podvodů pohybují v řádech stamilionů korun. Celkový počet registrovaných skutků spáchaných v kyberprostoru pak podle dat policie narostl od ledna do července 2023 o 11,3 procent oproti stejnému období v loňském roce.
Tagováním policejního účtu na sítích nám lidé nepomáhají, říká komisař |
„V posledních letech jsme svědky razantního nárůstu kriminality páchané v kybernetickém prostoru, konkrétně jde zejména o podvodné jednání. Útoky pachatelů jsou čím dál sofistikovanější a častější,“ říká podplukovník Ondřej Kapr, rada odboru hospodářské kriminality Policejního prezidia ČR.
Pachatelé podle Kapra sází na nepřipravenost obyvatel a na značný počet pokusů o útok. „Bohužel se prakticky vždy najde někdo, kdo se nechá zmanipulovat a podvést. Nebezpečí spočívá zejména v neznalosti a podcenění situace, kdy pachatelé užívají různé typy útoků a různé propracované legendy,“ doplňuje Kapr.
V posledních letech si policie také všímá, že útoky jsou stále více organizované a standardním prvkem bývají call centra či jiná společná pracoviště, kde jednotliví útočníci pracují s předem propracovanými scénáři. Ty se neustále zdokonalují a každý útočník si v hierarchii plní svou specializovanou úlohu.
Připravený scénář
„V současnosti se setkáváme především s podvody spojenými s výhodnou nabídkou investice nebo s podvodnými telefonáty, kdy se pachatelé vydávají za pracovníky bank a policisty. A v posledních letech stoupají zejména počty útoků, které nazýváme reverzní inzertní podvody či bazarové podvody,“ dodává Kapr.
Samotný scam, který aktuálně popsali bezpečnostní analytici ze společnosti ESET, má přitom dva scénáře. První funguje tak, že útočník zveřejní na internetovém bazaru inzerát o prodeji zboží a čeká, až se mu někdo ozve. Poté lovec oběti zašle v podvodné SMS zprávě nebo e-mailu odkaz na falešnou webovou stránku, kde má oběť provést platbu za zboží.
Když volají z banky, měli by vás o správné identitě přesvědčit oni, říká expert |
„Po vyplnění údajů útočníci okradou oběť o částku za zboží. Případně se lovec pokusí od oběti zjistit údaj o zůstatku na jejím bankovním účtu a následně se pokusí ukrást právě tuto částku,“ popisuje Jizba.
V druhém případě útočníci na bazarech své oběti sami vyhledávají a předstírají zájem o zboží. Při domluvě o koupi ale požadují od „mamuta“ zaplacení jistiny pro případ, že by mu prodávající nic neodeslal, nebo balíček přišel poškozený. Falešnou platební bránu potom vydávají za úschovnu peněz, kterou má ve správě daný online bazar.
Útočníci si své oběti pečlivě vybírají a zpravidla cílí na ty, kteří nabízejí zboží v hodnotě do pěti tisíc korun, nebo mají na kartě k dispozici alespoň sedm tisíc korun. I přes rozmach nástrojů umělé inteligence, včetně různých chatbotů, Telekopí umělou inteligenci nevyužívá a tyto útočné skupiny pracují zcela manuálně.
„Útočníci si vedou o obětech, mamutech, přesnou evidenci. Vědí tedy, kde naposledy konverzace skončila a o čem už s obětí komunikovali. Ve své znalostní bázi mají také k dispozici překlady krátkých frází, aby v konverzaci působili co nejpřirozeněji, protože většina útočníků mluví rusky,“ pokračuje Jizba.
Útočníci na zprávy nereagují okamžitě, aby věrohodně napodobili chování běžného člověka, který nemá telefon vždy při sobě nebo neodpovídá na zprávy v pracovní době. Tito podvodníci také zpravidla mezi zprávami nechávají osmihodinové okno, které má představovat spánek. Snaží se tak přizpůsobit časovému pásmu obětí.
Při vyhledávání si oběti filtrují a kontaktují jen ty, které splňují několik základních parametrů. V případě, že se při konverzaci objeví ze strany oběti jen drobný náznak pochybností, celý chat zahodí a raději se zaměří na jinou oběť, kterých je na internetových tržištích dostatek.
Někdy se dokonce přihodí situace, že lovec se snaží ulovit lovce. Při takových kolizích se lovci, který nalíčil svou past a čeká, ozve další lovec, který se aktivně snaží ulovit svého mamuta.
Bairbie.me není jediná, nebezpečných aplikací je více. Máte je v mobilu? |
Útočníci, kteří používají druhý model podvodu, dělí svoje oběti do několika skupin. Nejčastěji cílí na nováčky, tedy uživatele, kteří mají čerstvě vytvořený účet a málo nabídek, a na běžné uživatele, kteří už v minulosti něco málo prodali a ještě mají pár aktivních inzerátů. Zároveň se ale vyhýbají uživatelům, kteří dokončili obchod v posledních dnech, a tudíž si dobře pamatují, jak daná platforma funguje.
Právě souhra těchto faktorů podle policie pravděpodobně vede k tomu, že se úspěšnost podvodů těchto skupin napříč všemi regiony pohybuje okolo dvaceti procent.
Dělník, moderátor, lovec
Útočné skupiny jsou organizovány do jasné hierarchie s několika rolemi a strukturou provizí. Nově příchozí se do skupiny dostanou pouze na doporučení současných členů, doporučení z různých hackerských fór nebo z takzvaných učících skupin, které jsou určené začínajícím scammerům. Automaticky pak mají přiřazenou roli dělníka a dostanou se ke všem funkcím Telekopí, které jsou potřebné k vytvoření scamu.
„Noví dělníci začínají s nejhorší provizí, kdy musí odvádět 35 procent z každé částky, kterou na obětech vydělají. Po tom, co dosáhnou určitého počtu uskutečněných podvodů nebo určitého objemu odcizených peněz, posunou se na roli dobrého dělníka a odváděné provize se sníží. Na nové roli si tak vydělají v průměru o deset procent více,“ doplňuje Jizba.
Další rolí je moderátor, který schvaluje nové členy skupiny a mění jejich role. Pokud některý z členů poruší pravidla skupiny, je potrestán a je mu automaticky přiřazena role zablokovaný a ztrácí tak i přístup k Telekopí.
Nejvýše postavenou roli představuje administrátor, který může navíc měnit samotné nastavení Telekopí – přidávat nové šablony, měnit sazby provizí, jejich typ a podobně. Zároveň má také pod kontrolou účet, kam přicházejí všechny ukradené peníze.
Lovec, tedy útočník, si tedy neposílá kradené peníze od oběti přímo na svůj účet, ale na jeden centrální, u kterého se vede přesná evidence o tom, kolik lovec odcizil a jak je úspěšný. Jakmile je lovec oprávněný k výplatě, požádá opět přes Telekopí a po schválení žádosti administrátorem je mu částka vyplacena do jeho kryptoměnové peněženky. Záznamy o výplatách jsou pak vedeny v odděleném telegramovém kanálu.
Jak nenaletět
|