Článek
Podvodníci se opět zdokonalili. Vědí, že před Vánoci mají nejlepší čas lapit nešťastníky do své sítě a přimět je poslat na cizí účet peníze, sdělit osobní data nebo si stáhnout trojského koně, který bude slídit v počítači jako tajný agent a zneužije uložená data.
„Přišla mi esemeska, že je má zásilka uložena ve skladu. Klikl jsem na odkaz, který vypadal úplně stejně jako jiné odkazy, a pak mě to vedlo dál, kdy chci balík doručit a tak. Zarazilo mě pouze to, že mám platit 50 korun za clo. Jenže jsem si nepamatoval přesně, zda jsem v té záplavě balíků i ze zahraničí na něco nezapomněl, tak jsem pokračoval a žádné další podezření jsem neměl, vše vypadalo naprosto standardně,“ popisuje Pavel Hořejší z Prahy, jak přišel na velmi dobře provedený pokus o to, vymámit z něj peníze a zároveň se dostat k jeho citlivým údajům.
![](http://d39-a.sdn.cz/d_39/c_img_QO_i/gY8Kq/podvody-6.jpeg?fl=cro,0,0,1500,688%7Cres,1200,,1%7Cjpg,80,,1)
Podvodné výzvy tvářící se jako zprávy od důvěryhodných organizací zaplavují české sítě. Snaží se buď z lidí získat peníze, nebo jejich citlivé údaje pro pozdější zneužití, či se přímo dostat do počítače a sledovat na něm veškeré dění – a pak ho různými způsoby zneužít.
![](http://d39-a.sdn.cz/d_39/c_img_QN_h/mbkLY/mail-podvod-1.jpeg?fl=cro,0,0,1190,544%7Cres,1200,,1%7Cjpg,80,,1)
Mají různou podobou. Mohou přijít do e-mailové schránky, jako SMS nebo jako zpráva na Messengeru či WhatsAppu.
![](http://d39-a.sdn.cz/d_39/c_img_QM_h/ijaKb/podvody-9.jpeg?fl=cro,0,0,1400,492%7Cres,1200,,1%7Cjpg,80,,1)
Jednou z nejrozšířenějších forem je nyní kolem Vánoc, kdy lidé kupují a následně vracejí zboží zakoupené pod stromeček, zpráva od „České pošty“, že máte zaplatit náklady na doručení.
![](http://d39-a.sdn.cz/d_39/c_img_QM_h/GgEKZ/podvody-10.jpeg?fl=cro,0,0,1300,661%7Cres,1200,,1%7Cjpg,80,,1)
Pokyny „pošty“ i s použitím jejího loga vypadají důvěryhodně. Také slovo „support“ jako podpora v e-mailové adrese odesílatele (příklad vlevo) může nepozorné či neznalé adresáty výzvy zmást na první pohled v tom, že jde o seriózní upozornění, a to navzdory drobné nelogičnosti jedné věty v závěru výzvy informace „Potvrďte platbu 29,99 norštiny...“. Ovšem když adresa odesílatele zní jako „garantinapoulo“ (příklad vpravo), měli by už lidé zpozornět, že není něco v pořádku, i když značka copyright CeskaPosta 2021 se snaží podvodnému e-mailu dodat patřičný punc důvěryhodnosti.
![](http://d39-a.sdn.cz/d_39/c_img_QM_h/VUuKa/podvody-7.jpeg?fl=cro,0,0,1200,565%7Cres,1200,,1%7Cjpg,80,,1)
Phisingové útoky se rok od roku zlepšují. Zatímco na příkladu vlevo nejde kromě faktu, že pošta takovéto výzvy neposílá a koncovka českého poštovního e-mailu se asi stěží bude jmenovat redooc.com, najít žádné větší stylistické ani gramatické chyby. Naopak příklad vpravo ve větě „Za plačanje uključenih naknada kliknite na donju poveznicu,“ ukazuje na to, že autor se buď značně bavil při tvorbě dadaistického textu, nebo neuměl pracovat s překladačem a spletl si češtinu za jiný jazyk.
![](http://d39-a.sdn.cz/d_39/c_img_QR_h/tO9LN/1-baliky-podvod-11.jpeg?fl=cro,0,0,900,651%7Cres,1200,,1%7Cjpg,80,,1)
Tato výzva zahlcuje české e-maily od začátku prosince. V posledním adventním týdnu prorážela zdatně kromě osobních schránek i skrze dobře chráněné firemní servery. Má přitom velkou šanci na úspěch. Ve spěchu člověk nepřečte nesmyslnou a dlouhou koncovku v adrese odesilatele, zapomene na to, že pošta takto peníze nevyžaduje, nevzpomene si na to, kolik balíků si objednal a zda někde neudělal chybu. Případné pochybovače může utišit i informační e-mail v patičce zprávy, které odpovídají skutečné České poště, stejně jako uvedené číslo. A klikne. Tato výzva přichází i jako SMS, kde se po odkliknutí na odkaz chová podobně.
![](http://d39-a.sdn.cz/d_39/c_img_QN_h/z4ILW/2.jpeg?fl=cro,0,0,1100,620%7Cres,1200,,1%7Cjpg,80,,1)
Další stránka vypadá velmi důvěryhodně. Krok po kroku ukazuje, co se s vaší zásilkou děje. Přesně tak je na to člověk u seriózních firem zvyklý. Mezikroky v podobě nabíhajících informací vypadají také seriózně, zvlášť když je piktogram zakončen odškrtávacím znaménkem.
![](http://d39-a.sdn.cz/d_39/c_img_QQ_j/v47KD/baliky-podvod-2.jpeg?fl=cro,0,0,1100,539%7Cres,1200,,1%7Cjpg,80,,1)
V tomto kroku by adresáta mohlo znejistit to, že má platit nějaký celní poplatek – zvlášť když si žádný balíček z ciziny neobjednával. Když ho přehlédne, pokračuje dál a objeví se mu na první pohled další důvěryhodná stránka – možnost výběru převzetí balíčku. Ve skutečnosti má však adresát jen jednu volbu, a to nechat si imaginární balík doručit. Když člověk klikne na volbu „sběrné místo“, dozví se, že „Parcel is already at the depot,“ tedy že balíček je už připraven v depu na přímé doručení.
![](http://d39-a.sdn.cz/d_39/c_img_QL_m/jbnKM/baliky-podvod-4.jpeg?fl=cro,0,0,1500,455%7Cres,1200,,1%7Cjpg,80,,1)
I další stránky pokračují v navazování důvěry.
![](http://d39-a.sdn.cz/d_39/c_img_QN_h/Ie0LX/baliky-podvod-8.jpeg?fl=cro,0,0,900,682%7Cres,1200,,1%7Cjpg,80,,1)
Následující stránka si už hraje s principem „mamonu“ – touhy získat za „pouhých“ 50 korun iPhone 13, pokud vyplníte všechny údaje do pěti minut, které na obrazovce jasně odtikávají. Ale nebojte, když se zpozdíte, časomíra 05:00 se objeví znovu a znovu, neustále dokola.
![](http://d39-a.sdn.cz/d_39/c_img_QI_m/QKeKk/baliky-podvod-9.jpeg?fl=cro,0,0,1000,810%7Cres,1200,,1%7Cjpg,80,,1)
Když vyplníte i další stránku, jste kousek od toho, abyste „byli ztraceni“, tedy minimálně oloupeni.
![](http://d39-a.sdn.cz/d_39/c_img_QJ_h/EnnKv/baliky-podvod-12.jpeg?fl=cro,0,0,750,565%7Cres,1200,,1%7Cjpg,80,,1)
Když si chráníte počítač, zastaví neuvážený krok místo vás.
![](http://d39-a.sdn.cz/d_39/c_img_QI_m/Dx9Kj/podvody-8.jpeg?fl=cro,0,0,900,623%7Cres,1200,,1%7Cjpg,80,,1)
Podvodné e-maily si však vypůjčují také jiná důvěryhodná loga, jako je doručovatel DHL.
![](http://d39-a.sdn.cz/d_39/c_img_QM_h/JsoKc/podvody-4.jpeg?fl=cro,0,0,1250,1310%7Cres,1200,,1%7Cjpg,80,,1)
Nebo balíkový dopravce DPD.
![](http://d39-a.sdn.cz/d_39/c_img_QP_i/uBuK2/podvody-2.jpeg?fl=cro,0,0,1240,906%7Cres,1200,,1%7Cjpg,80,,1)
Podvodné jednání při doručování věcí se přesunulo i do osobní konverzace pomocí aplikace WhatsApp či Messenger. Ta je zrádná v tom, že ji člověk sám vyvolá tím, že podvodník reaguje na jeho vlastní inzerát. Při vzájemné komunikaci o předání zboží ho nenapadne, že na druhé straně nesedí zájemce o koupi zboží, ale zkušený podvodník.
![](http://d39-a.sdn.cz/d_39/c_img_QJ_h/BceKw/podvody-5.jpeg?fl=cro,0,0,1500,841%7Cres,1200,,1%7Cjpg,80,,1)
I zde jde o to vylákat z lidí citlivé osobní údaje, a to „jménem DPD“. V individuální konverzaci se podvodník může dozvědět další nebezpečné detaily ze života inzerenta, kdy se například zdržuje na své adrese a kdy jde něco vyřizovat.
![](http://d39-a.sdn.cz/d_39/c_img_QM_h/EW0Kd/podvody-3.jpeg?fl=cro,0,0,1294,897%7Cres,1200,,1%7Cjpg,80,,1)
„Naše společnost nezprostředkovává prodej zboží nebo služeb pro jiné subjekty a nezprostředkovává žádné platební transakce s výjimkou doručení zboží na dobírku. Nikdy nevyžadujeme zadávání platebních údajů do neautorizovaných zdrojů. Nikdy touto formou nepožadujeme po svých klientech – ať odesílatelích, nebo příjemcích zásilek, čísla platebních karet, kódy CVV apod.,“ říká Miloš Malaník, generální ředitel DPD.
![](http://d39-a.sdn.cz/d_39/c_img_QK_i/jIGKS/sms-1.jpeg?fl=cro,0,0,580,799%7Cres,1200,,1%7Cjpg,80,,1)
Podvodné e-maily se z vás však ve vánočním čase mohou pokusit získat peníze i jinak než pomocí zprávy o doručení balíku. Například vratkou od finančního úřadu.
![](http://d39-a.sdn.cz/d_39/c_img_QJ_h/nA5Ku/baliky-podvod-14.jpeg?fl=cro,0,0,800,699%7Cres,1200,,1%7Cjpg,80,,1)
Kdo by takové nečekaně radostné zprávě – zvlášť před Štědrým dnem, ale i po něm – odolal.
![](http://d39-a.sdn.cz/d_39/c_img_QP_i/Yg4K6/cs-podvod.jpeg?fl=cro,0,0,1200,637%7Cres,1200,,1%7Cjpg,80,,1)
S phisingovými výzvami se potýká i Česká spořitelna.
![](http://d39-a.sdn.cz/d_39/c_img_QK_i/wYHKV/podvod.jpeg?fl=cro,0,0,900,723%7Cres,1200,,1%7Cjpg,80,,1)
I zde jde o to získat přístup k citlivým údajům.
![](http://d39-a.sdn.cz/d_39/c_img_QM_h/2PMKf/image001-1.jpeg?fl=cro,0,0,600,1115%7Cres,1200,,1%7Cjpg,80,,1)
V polovině prosince banka varovala před výzvou, která nabízela 1 500 korun za dokončené očkování.
![](http://d39-a.sdn.cz/d_39/c_img_QL_m/J9NKN/podvody-1.jpeg?fl=cro,0,0,630,771%7Cres,1200,,1%7Cjpg,80,,1)
Poslední zachycenou výzvou je žádost o vyplnění dotazníku sloužícímu ke zlepšení služeb. Kdo by neztratil pár minut „dobrým skutkem“, když je navíc odměněn stokorunou.
![](http://d39-a.sdn.cz/d_39/c_img_QP_i/8APK5/podvod-pcr.jpeg?fl=cro,0,0,1200,1705%7Cres,1200,,1%7Cjpg,80,,1)
Policie ČR říká, že různé formy podvodných jednání jsou nejrozšířenější oblastí kriminality v on-line prostředí. Zde jsou její rady, jak takovým útokům předejít a nenechat se napálit.
Právě před posledním krokem se zarazil. „Když to po mně chtělo všechny údaje z karty, které jsem při objednávce už zadával, zarazil jsem se a už jsem nepokračoval. Možná ale kdybych byl ve větším shonu, tak bych se ani tady nezarazil a mechanicky bych to udělal,“ přiznává Hořejší. Podobná výzva s logem České pošty mu přišla také do e-mailu.
Pošta potvrzuje, že se počet útoků zvyšuje. „Česká pošta se setkává s podvodnými e-maily velmi často. Průměrně jednou týdně. Četnost je náhodná, ale před Vánoci bývá takovýchto podvodných e-mailů víc. Hackeři spoléhají na to, že lidé hodně nakupují, spěchají, jsou ve stresu a snadněji uvěří podvodným e-mailům,“ říká mluvčí České pošty Ivo Vysoudil.
Podle něj záleží na daném e-mailu, jak moc má šanci oklamat příjemce. Někdy jde na první pohled poznat, že jde skutečně o podvodný e-mail, například kvůli gramatickým chybám, ovšem někdy je to mnohem složitější. „Hodně se to zlepšuje oproti loňskému roku, grafická podoba je propracovanější, jazyk je bez gramatických chyb a phishingové útoky mají i shodné znaky s originální aplikací,“ dodává Vysoudil.
![](http://d39-a.sdn.cz/d_39/c_img_QN_h/z4ILW/2.jpeg?fl=cro,0,0,1100,620%7Cres,1200,,1%7Cjpg,80,,1)
Výzva k vyzvednutí zásilky, kterou obdržel Pavel Hořejší esemeskou, vypadala po rozkliknutí důvěryhodně.
Na podobné zneužití svého jména narážejí i další přepravci. „Bohužel i my se v předvánoční sezoně setkáváme s různým typem podvodných aktivit a evidujeme jejich nárůst. Neznámí pachatelé vytvářejí velmi sofistikovaně fiktivní internetové stránky, k jejichž věrohodnosti využívají i logo naší společnosti. Cílem těchto útoků je především získat údaje o platební kartě, jejichž prostřednictvím pak podvodník může získat neoprávněně finanční prostředky z bankovního účtu zákazníka,“ potvrzuje mluvčí Zásilkovny Kamil Chalupa. Tímto jednáním pak poškozují podle něj jak adresáta výzvy, tak reputaci společnosti.
PPL podle Milana Loidla, šéfa rozvoje byznysu a marketingu, podobné aktivity neeviduje, ale jméno DPD je naopak podle generálního ředitele této společnosti Miloše Malaníka zneužíváno k nové formě podvodu – podvodnou WhatsApp komunikací.
Ta probíhá tak, že kybernetický šejdíř reaguje na inzeráty na veřejných inzertních serverech, přičemž předstírá zájem o koupi věci. V komunikaci však zasílá odkaz, na němž požaduje „jménem DPD“ vyplnění údaje o platební kartě, na kterou má následně DPD zaslat platbu, kterou údajně vybere.
„Toto podvodně označuje za ‚bezpečnou platbu na dobírku‘. Obdobnou komunikaci ze strany podvodníka evidujeme jak v češtině, tak ve slovenštině. Způsob snahy o vylákání údajů je zatím v obou případech totožný,“ říká Malaník.
Anketa
Dopravce nyní zaznamenal více takových útoků než v průběhu roku, ale i během roku jich zachytil hodně. „Intenzita byla letos pravděpodobně vyšší než loni, přisuzujeme to i nárůstu e-commerce,“ dodává šéf DPD.
Také Česká spořitelna se kromě podvodných e-mailů snažících se vymámit citlivé údaje pod záminkou dokončení konkrétní transakce setkala v polovině prosince s novým typem útoku, a sice odměnou za dokončené očkování. Za vyplněný dotazník a potvrzenou identitu nabízeli podvodníci jménem banky 1 500 korun s odkazem na péči o její klienty.
„Nezapomeňte, že žádná banka po vás nikdy nechce vaše přihlašovací údaje do internetového bankovnictví ani k platební kartě. Proto je nikdy nikomu nesdělujte, a to ani vaší bance nebo bankéři!“ upozorňuje banka na Twitteru.
V případě phishingových e-mailů postupují útočníci metodou „kobercového náletu“ a jeden e-mail mohou poslat až na statisíce e-mailových adres.
Česká spořitelna eviduje podobně jako loni nižší tisícovky phishingových útoků, které cílí na získání údajů o platební kartě klienta. „Částky, které útočníci z klientů vylákají, dosahují nicméně nižších hodnot než v případě phishingových útoků, které cílí na internetové bankovnictví,“ upozorňuje Martina Kadlecová, bezpečnostní analytička v České spořitelně.
Ročně podle ní přijdou klienti v důsledku dokonaných phishingových útoků (cílených na karty nebo na internetové bankovnictví) a podvodů na falešných e-shopech o vyšší jednotky milionů korun.
Podle Petra Baráka, předsedy Komise České bankovní asociace pro bankovní a finanční bezpečnost, je třeba si uvědomit, že útoků, respektive pokusů o útok je ve skutečnosti daleko více, než vykazují dostupná čísla, a banky se o některých vůbec nemusí dozvědět.
Na sítích jsme narazili na phishing lákající na finanční odměnu od Spořky. Nezapomeňte, že žádná banka po vás nikdy nechce vaše přihlašovací údaje do internetového bankovnictví, ani k platební kartě. Proto je nikdy nikomu nesdělujte, a to ani vaší bance nebo bankéři!☝️ pic.twitter.com/gJGzOFcTMM
— Česká spořitelna (@Ceskasporitelna) December 15, 2021
„Například v případě phishingových e-mailů postupují útočníci metodou „kobercového náletu“ a jeden phishingový e-mail tak mohou poslat až na statisíce e-mailových adres svých potenciálních obětí,“ upozorňoval už v červnu Barák.
Že je problém phishingových útoků velmi rozsáhlý, potvrzuje Policie České republiky, podle níž jsou různé formy podvodných jednání nejrozšířenější oblastí kriminality v online prostředí. A připadá na ně 60 procent všech podvodů. „Podvodníci zkouší pod různými legendami připravit poctivé lidi o peníze i v kyberprostoru. Nárůst této trestné činnosti v posledním desetiletí samozřejmě souvisí s rozvojem informačních a komunikačních technologií i zvyšujícím se počtem uživatelů,“ říká Jakub Vinčálek, vrchní komisař Policejního prezidia ČR.
Jde podle něj o pestrou škálu útoků – podvodné e-shopy, podvodné inzeráty, investiční podvody, podvržené e-maily (tzv. nigerijské dopisy), krádeže peněz z bankovních účtů za pomoci phishingu, CEO podvody a v neposlední řadě případy, které se objevují více v poslední době: vishing (podvod pomocí telefonátu a vyvolání tísně), smishing (SMS phishing) a spoofing (komunikace s klientem pomocí telefonního čísla, jména i e-mailu, jež vypadají jako skutečné číslo, e-mail a jméno).
Nejlepší prevencí proti kyberzločinům je podle komisaře Vinčálka myslet kriticky a používat selský rozum, neklikat na neznámé či nečekané odkazy, neotvírat a nereagovat na nečekané e-maily, SMS a telefonáty.
Dále by si podle něj měli lidé uvědomit, že nikdo nikdy nedá nikomu nic zadarmo, že je třeba nastavit v e-mailu filtr pro spam, aktualizovat si software a antivirový program, neuvádět osobní údaje na internetu v podobě registrací do různých obchodů a neotvírat domnělou poštu. Pokud už lidé naletěli a zaplatili, mají to hned oznámit Policii ČR, aby mohla jednat.
„Loni jsme v oblasti kriminality spáchané v kyberprostoru evidovali 8 073 skutků, což je o 4,1 procenta méně než v roce 2019. Nejvíce trestných činů prověřovali kolegové z hlavního města Prahy a z Jihomoravského kraje. Za letošní rok budeme mít statistické výstupy v lednu,“ dodává Vinčálek.
![](http://d39-a.sdn.cz/d_39/c_img_QN_h/RjpLf/podvod-1.jpeg?fl=cro,0,0,1100,627%7Cres,1200,,1%7Cjpg,80,,1)
https://twitter.com/Ceskasporitelna/status/1471170121418919941?s=20