Článek
Českem se šíří další vlna SMS podvodů, a tentokrát cílí na neopatrné řidiče. Kyberzločinci hromadně rozesílají zprávy s informací o spáchání dopravního přestupku, pokutu je podle nich třeba uhradit do tří dnů. Jinak hrozí vymáhání a účtování poplatků z prodlení a nákladů řízení.
Že neřídíte a ani nevlastníte automobil? Na tom nezáleží, podvodníci to jednoduše zkouší na všechny strany a takzvaně čekají, kdo se chytne. Cílí hned na několik prohřešků - vysokou rychlost, nezaplacenou dálniční známku nebo mýtné. Majitelům iPhonů může zpráva dokonce přijít prostřednictvím iMessage.
„Jedná se o součást většího mezinárodního útoku, který se neomezuje pouze na Českou republiku. Další cílovou zemí těchto útočných kampaní je například také Maďarsko,“ uvedl pro redakci Seznam Zpráv Byznys Ondřej Novotný, kyberbezpečnostní analytik z pražské výzkumné pobočky společnosti ESET.
Pokud příjemce podvodné SMS klepne na přiložený odkaz, zobrazí se mu věrohodně vypadající internetová stránka s kolonkou na jméno, kontakt i registrační značku vozu. Na falešném webu člověk zadá údaje – jméno, rodné číslo, číslo karty, přihlašovací údaje do banky, Portálu občana nebo ověřovací kód z SMS či z bankovní aplikace. Podvodníci pak mohou zkusit provést platbu, přihlásit se do bankovnictví nebo potvrdit transakci.
Podle Radka Šalši z České bankovní asociace někdy může dokonce následovat i telefonát od „policie“ nebo „ministerstva“, ve kterém útočník tvrdí, že pomůže s dokončením platby nebo ověřením pokuty.
„Kyberzločinci často využívají sociální inženýrství. Snaží se uživatele vystrašit, dostat pod tlak a přinutit k rychlé akci bez přemýšlení. Vidíme to i u aktuální vlny nebezpečných zpráv s varováním o dopravním přestupku. Hrozba pokuty, vydávání se za úřad, možné sankce a časový limit, to vše jsou osvědčené triky, které bohužel stále fungují,“ vysvětluje šéf marketingu kyberbezpečnostní společnosti Check Point Software Technologies David Řeháček.
Pokud se navíc útočníci trefí a oběť má černé svědomí - protože zrovna třeba někde autem překročila maximální povolenou rychlost -, pravděpodobnost úspěchu útoku roste. Řeháček dodává, že odkazy na podvodné weby ve zprávách se mění, aby při zablokování jedné stránky zůstaly další weby aktivní.
„Samozřejmě nic neplaťte, na nic neklikejte, je to jen způsob, jak vás okrást o data a peníze. Žádný úřad by s vámi podobnou cestou nekomunikoval. Pokud dostanete jakoukoli podezřelou zprávu, raději si vždy vše ověřte u dané instituce. Chvilka času na kontrolu vám může ušetřit velké problémy,“ doporučuje.
Podvodná SMS vyzývá k uhrazení pokuty. Odeslána je z e-mailové adresy.
Podvodník cílí na strach oběti. Že se jedná o podvod, napoví už zdánlivý překlep v odkazu.
Podle Šalši se nejedná o úplně nový typ podvodu, spíš jde o známý trik podvodníků v nové podobě - dříve se objevoval třeba jako výzva k zaplacení pokuty za jízdu bez jízdenky. „Cílem je vyvolat v lidech strach, že něco zanedbali. Takových pokusů proběhnou tisíce a na konci se pár lidí chytí,“ popisuje.
Pokud člověku taková zpráva přijde, je ji podle něj vhodné vyfotit nebo uložit a ověřit věc přes oficiální kontakt příslušné instituce, případně ji oznámit policii. Pokud už oběť útoku na podvodném webu zadala údaje k platební kartě nebo k bankovnictví, měla by okamžitě kontaktovat banku, zablokovat kartu či přístupy do internetového bankovnictví a poté podat oznámení.
Podvodný odkaz směřuje na falešný formulář.
Novotný dodává, že se jedná o smishing, formu phishingu, při které podvodníci posílají nebezpečné odkazy do SMS zpráv. „Pro Českou republiku sledujeme v souvislosti s těmito případy nižší stovky zaregistrovaných škodlivých domén,“ říká.
Policie pokuty esemeskou neposílá
Nový podvod zaregistrovala také Policie ČR, hromadně se začal šířit zhruba v polovině dubna. Policie ovšem nevede statistiky podvodů dle způsobu, tedy nedokáže říct, jak rozšířený podvod je. Policie upozorňuje, že tímto způsobem vůbec nekomunikuje.
„Policie ČR nikdy pokuty nevymáhá a ani s nikým ohledně tohoto typu řízení nekomunikuje. Udělit pokutu lze pouze osobně. V případě, že někdo takovou SMS obdrží, je nejjednodušší ji smazat a nereagovat na ni,“ doporučuje policejní mluvčí Ondřej Moravčík.
Co je phishing, smishing a vishing?
Phishing je typem kybernetického útoku pomocí technik sociálního inženýrství, kdy se útočník snaží získat důvěrná data oběti nebo spustit na zařízení oběti škodlivý kód. Nejčastěji probíhá phishingový útok pomocí podvodného e-mailu s žádostí o informace k platební kartě nebo o přihlašovací údaje do internetového bankovnictví. Výjimkou ale není ani výzva v chatovacích aplikacích či nabídky a inzeráty umístěné na sociálních sítích.
Smishing je mixem slov SMS a phishing a jde o formu útoku, která je prováděna prostřednictvím textových zpráv. Podvodníci se z obětí snaží vylákat citlivé údaje k účtům (přihlašovací ID, heslo, mobilní klíč apod.) nebo kartám (celé číslo karty, datum platnosti, kód CVC, kód 3D Secure atd.).
Vishing (voice phishing, podvodné volání) je typem útoku, který používá hlasový hovor a techniky sociálního inženýrství. Útočníci se prostřednictvím telefonního hovoru snaží z oběti vylákat osobní nebo platební údaje, nebo ji rovnou přimět k převodu peněz.
Policie zároveň doporučuje, aby se lidé při obdržení jakékoli podezřelé zprávy zamysleli, neklikali na neznámé odkazy a nevyplňovali nikam své osobní údaje a přihlašovací údaje do internetového bankovnictví.
„Podívejte se také, kdo vám SMS či e-mail zasílá. Na první pohled se jedná o adresu, která je složená z malých a velkých písmen, číslic, cizích koncovek. Odesílatelem je podvodník,“ upozorňuje.
Pokuty sice policie může udělovat několika způsoby, SMS zprávou ale nikdy. Pokutu buď udělí přímo na místě, úřední cestou, případně ji zašle na adresu nebo datovou schránkou.
