Článek
Mělo chránit internet před podvodníky. Teď se samo stává jejich nástrojem. Známé ověření, při kterém uživatel vybírá obrázky například zvířat, přechodů nebo potvrzuje, že „není robot“, začali kyberzločinci zneužívat k manipulaci lidí. Přes falešné bezpečnostní výzvy je navádějí například k odesílání draze zpoplatněných SMS zpráv do zahraničí nebo k dalším krokům, které je mohou připravit o peníze nebo osobní údaje.
Bezpečnostní firma Infoblox upozornila, že podobných kampaní, které využívají tento bezpečnostní prvek jako zástěrku podvodu, začalo v posledních měsících globálně přibývat.
„Konkrétní scénář se zneužitím CAPTCHA ověření je spíše novější variantou známého principu útoku, kdy se útočník snaží uživatele přimět k tomu, aby provedl krok, který nemůže udělat sám a který by za normálních okolností považoval klient za podezřelý,“ říká Radek Šalša, mluvčí České bankovní asociace s tím, že v Česku dlouhodobě roste objem mobilních a telefonických podvodů.
Jak vypadá podvod s ověřením v praxi, vizualizace AI.
Útok, který nevypadá jako útok
Princip podvodu je jednoduchý. Člověku se na mobilu nebo počítači objeví falešná výzva k ověření uživatele, která ho instruuje, aby například otevřel SMS aplikaci, zkopíroval předpřipravený text a odeslal jej na konkrétní číslo.
Oběť ale netuší, že právě aktivovala placenou službu, kterou nechce, nebo odeslala draze zpoplatněnou zprávu do zahraničí, kde jdou peníze na účet podvodníka. Škodu navíc podvedený zjistí až na konci měsíce z vyúčtování od mobilního operátora.
Podle expertů navíc podobné ověřovací výzvy nemusí být vždy konečným cílem. V některých případech může jít jen o první krok vedoucí k dalšímu útoku, například k instalaci škodlivého softwaru, získání přístupových údajů nebo manipulaci s mobilním bankovnictvím.
„Případy zneužívání falešné CAPTCHA sledujeme přibližně od září 2024. Tehdy se začaly objevovat útoky, při kterých útočníci po obětech chtěli, aby v rámci údajného ‚ověření, že jsou člověkem‘ provedly určitou kombinaci klávesových zkratek. Výsledkem pak bylo spuštění škodlivého příkazu a instalace malwaru do počítače,“ říká Martin Haller, expert na kyberbezpečnost ze společnosti Patron IT.
Protože se podle něj tento princip ukázal jako funkční, útočníci jej začali přizpůsobovat dalším scénářům. „Jedním z nich je i snaha přimět uživatele k odeslání SMS nebo MMS zprávy na zahraniční či prémiově zpoplatněná čísla,“ dodává.
Podvody s falešným ověřením podle Davida Řeháčka z kyberbezpečnostní společnosti Check Point Software Technologies fungují hlavně proto, že zneužívají prvek, který lidé běžně považují za legitimní součást internetu. „Využívání CAPTCHA ověření slouží v řadě případů hlavně ke zvýšení pocitu důvěryhodnosti útoku. Lidé jsou zvyklí podobné ověření odklikávat a v momentě, kdy se objeví, ztrácí část obezřetnosti. Útočníkům to zvyšuje šanci, že člověk klikne nebo zareaguje,“ popisuje expert.
Podle Martina Hallera z Patron IT je navíc technika z pohledu útočníků nenáročná a vlastně jednoduchá.
„Z pohledu útočníků jde o techniku, která je relativně levná, snadno škálovatelná a obtížně se plošně blokuje. Proto ji dnes vnímáme jako další nástroj v arzenálu útočníků, podobně jako phishingové e-maily nebo podvodné SMS zprávy,“ říká.
Lidé přestávají být obezřetní
Právě rutina a automatické chování uživatelů jsou podle expertů hlavním důvodem, proč jsou podobné podvody účinné.
„Největší riziko není digitální negramotnost, ale je to přesvědčení, že nám se to stát nemůže. Kdo si myslí, že podvody jsou pro ‚naivní lidi‘, je paradoxně zranitelnější, protože přestane být pozorný,“ říká Maria Šimůnková, spoluzakladatelka organizace Nekrachni.
Podle ní podvodníci necílí primárně na neznalost technologií, ale hlavně na rutinu a nepozornost. „CAPTCHA test je pro technicky zdatného uživatele tak samozřejmý úkon, že ho splní automaticky, bez přemýšlení,“ dodává.
Z podvodu databáze kontaktů
Podobné podvody navíc podle Davida Řeháčka z Check Point Software Technologies nemusí sloužit jen k okamžitému finančnímu zisku. Útočníci si díky nim mohou vytvářet databáze aktivních telefonních čísel a kontaktů pro další phishingové kampaně.
Co je to phishing?
- Phishing (nebo také rybaření) je jedním z druhů internetového podvodu.
- Pachatel se snaží pomocí elektronické komunikace vylákat z důvěřivců citlivé údaje, aby se dostal k jejich penězům.
- Nejčastěji probíhá pomocí podvodného e-mailu s žádostí o informace k platební kartě nebo přihlašovací údaje do internetového bankovnictví.
- Princip podvodu spočívá ve věrohodném napodobení nějaké žádosti (např. z banky), aby majitel či správce konta byli k požadovanému úkonu „donuceni“.
„Jakékoliv číslo, které na podobný podvod reaguje, získává pro útočníky vyšší hodnotu. Vědí totiž, že daný uživatel je náchylnější na podobné zprávy reagovat. Tyto databáze jsou pak samy o sobě dalším zdrojem příjmů,“ upozorňuje Řeháček.
Podle Hallera se přitom možné dopady mohou výrazně lišit podle toho, co se útočníkovi podaří oběť přimět udělat. „Dopady mohou být různé, od vysokého účtu za telefonní služby přes instalaci škodlivého softwaru, únik dat z počítače nebo telefonu, zašifrování souborů až po ztrátu peněz z bankovního účtu,“ říká.
Zatímco konkrétní scénář s draze zpoplatněnými SMS zprávami řadí spíše mezi drobnější kyberkriminalitu, mnohem větší problém nastává ve chvíli, kdy falešná ověřovací výzva slouží jako první krok k dalšímu útoku. „Například k instalaci malwaru, získání přístupových údajů nebo manipulaci s mobilním bankovnictvím,“ dodává.
Jak se bránit
Odborníci doporučují zpozornět ve chvíli, kdy po vás bezpečnostní ověření chce něco mimo běžné fungování webové stránky, například otevření SMS aplikace, odeslání zprávy nebo volání na neznámé číslo. Standardní ověřovací mechanismy fungují přímo v internetovém prohlížeči a nemají důvod uživatele přesměrovávat k podobným úkonům. Podezřelé by mělo být také číslo s cizí mezinárodní předvolbou nebo jakýkoli požadavek, který vytváří tlak na rychlou reakci bez možnosti si situaci ověřit.
Škody prudce rostou
Podobné podvody přitom nejsou ojedinělým fenoménem a uživatelé se s různými formami kybernetických útoků setkávají stále častěji.
Jen za první tři měsíce letošního roku například banky v Česku zaznamenaly téměř 24 tisíc kybernetických útoků. Ve srovnání s loňskem jde o mírný nárůst, zásadní změna ale nastala v objemu škod. Ty podle dat České bankovní asociace dosáhly 798 milionů korun, což je více než dvojnásobek oproti stejnému období loni.
Podvodníci se přitom pokusili ukrást ještě mnohem více. Celkový objem pokusů přesáhl čtyři miliardy korun, bankám se ale podařilo většině útoků zabránit. Klientům uchránily téměř 3,4 miliardy korun.
Zároveň vzrostla průměrná škoda na jednoho klienta, a to z loňských 15 854 korun na letošních 33 460 korun.
