Jeden klik v mobilu a přišla o peníze. Podvodníci mají nové triky

Autorizační SMS od České pošty, přihlášení do Apple Pay. Běžný proces, zvlášť v době, kdy většina nákupů probíhá prostřednictvím e-shopů. Pro Annu (nejde o skutečné jméno podvedené. Její identitu redakce zná, z důvodu ochrany osobnosti se rozhodla ji nezveřejňovat) začátek reklamací a řešení s bankou i policií. Podvodníci jí ukradli vyšší desítky tisíc.

„Obdržela jsem SMS od České pošty, která mě informovala o doručení zásilky s tím, že čeká platbu ve výši 99 korun,“ popisuje oběť podvodu. Podezření neměla, nebyl důvod. Zásilku totiž skutečně očekávala. Klikla proto na odkaz ve zprávě s tím, že částku rovnou uhradí.

Ani zde nebylo nic zvláštního. Na obrazovce se objevil symbol pro načítání a po něm aplikace Apple Wallet, běžně k online platbám používaná. Aplikace sice ukázala potvrzení o úspěšném přidání platební karty, což Annu zarazilo, protože svou kartu v aplikaci má uloženou dlouhodobě. Větší pozornost tomu však nevěnovala.

Software se mohl aktualizovat a jen znovu potvrdit, že vše funguje, jak má. Po letmé kontrole účtu zjistila, že se peníze neodečetly, ale ani to moc neřešila.

První jasný signál, že je něco špatně, přišel až o den později. Při objednávání taxi jí byla zamítnuta platba. Důvodem byl nedostatek peněz na účtu. Zkontrolovala proto zůstatek v aplikaci. Ten byl mírně přes sto korun.

A v historii plateb osm transakcí, které měly dohromady hodnotu vyšších desítek tisíc korun. Všechny směřovaly do Dánska, konkrétně do dvou obchodů. To vše během čtrnácti minut.

Pro Annu tak začalo kolečko řešení s bankou a policií, kdy se snažila své peníze dostat zpět. Banka navíc její první reklamaci zamítla: podle ní Anna platby autorizovala.

„Máme zákonnou povinnost u reklamací těchto plateb rozhodnout už do druhého pracovního dne. Když je rozhodnutí takové, že platby klientům proplatíme, jsou rádi, popisuje tisková mluvčí Air Bank Jana Pokorná. „Když reklamaci zamítneme, mohou mít bohužel někdy klienti pocit, že jsme je příliš rychle odbyli. Chtěla bych ale zdůraznit, že krátký zákonný termín na rozhodnutí o reklamaci v žádném případě neznamená, že bychom prošetření nevěnovali dostatečný čas nebo bylo neodůvodněné,“ dodává.

Nakonec měla Anna štěstí, Air Bank se i po zapojení Seznam Zpráv do případu rozhodla ztrátu jako výraz dobré vůle kompenzovat.

Ne každý příběh však končí podobně optimisticky, mnozí své finance již nikdy neuvidí. A nebezpečí hrozí i na sociálních sítích.

Podobnou situaci totiž zažili také někteří uživatelé Facebooku, konkrétně chatovací platformy Messenger. Těm přišla zpráva, ve které je jejich kontakt žádal o zaslání telefonního čísla.

Na to pak přišla zpráva s kódem, a když jej poškození zaslali zpět, zmizelo jim z účtu 600 korun. Operátor přitom před podobným chováním přímo ve zprávě varoval.

„Většina těchto případů je SMS phishing přes platební bránu operátora, takže se nejedná o bankovní aplikace, popisuje Miloslav Lujka ze serveru Digitální pevnost. „Nicméně zaznamenali jsme i případy, kdy se nahlásí přes platební brány, na které máte navázanou kreditní kartu, a pokud pošlete autorizační SMS, tak vás může obrat i o peníze na účtu,“ dodává.

A další triky? Podle Lujky útočník vytvoří falešný web na nákup kreditu na cokoliv, například mikrotransakce v počítačových hrách, kde platby jsou realizované přes SMS bránu patřičného operátora. Kód, který oběť obdrží, je potvrzovací kód nákupu. Z pohledu operátora je to legitimní transakce, s níž oběť souhlasí právě tím, že ji potvrdí právě tímto kódem.

„Většina lidí má povolen nákup Premium SMS u svého operátora a ani o tom netuší,“ vysvětluje Lujka. Operátor tak bez důvodu k podezření převede fyzické peníze a podvod je dokonán.

„Toto se dá nahlásit a reklamovat u operátora. Díkybohu většina operátorů toto dokáže refundovat zpět. Je třeba ale jednat rychle a je to v podstatě na jejich dobré vůli.“ Proto i Lujka razí pravidlo „na nic neklikat a nic nikam neposílat“. I kdyby to vypadalo, že se jedná o přítele.

Některé z obětí navíc přišly o svůj účet na sociální síti, který pak dál rozesílal mezi kontakty podvodné zprávy. „Ideální je absolutně nereagovat a případně to nahlásit Facebooku, že máte podezření na pokus o krádež pomocí phishingu nebo zneužití profilu,“ radí Lujka.

Odborníci z Avastu také nabádají k opatrnosti. Mezi ověřovací triky patří například pozorná kontrola gramatiky zprávy. Čeština patří mezi málo známé jazyky, a proto při překladu může docházet k nelogickým či nepoužívaným spojením. Podezřelé jsou také časově omezené a naléhavé výzvy, které se snaží oběť donutit konat co nejrychleji.

V případě e-shopů pak obvykle platí, že informace o zásilkách posílají dvěma kanály, například SMS a e-mailem. Pokud se obě informace v obou zprávách shodují, riziko je nižší.

„Pokud máte pochybnosti, neklikejte na žádný z odkazů v e-mailu, zavolejte do příslušné instituce a sdělte jim podrobnosti ze zprávy,“ radí seniorní analytik malwaru v Avastu Ladislav Zezula. „V případě probíhající podvodné kampaně je možné, že už o ní vědí a potvrdí vám, že jde o podvod,“ doplňuje.

Opatrnost je důležitá i při stahování softwaru do zařízení. „Uživatelům vždy doporučujeme používat pouze oficiální aplikace daných institucí, případně aplikace předinstalované v telefonu,“ vysvětluje analytik. „V obchodech s aplikacemi je lze poznat podle toho, že jméno vývojáře se obvykle shoduje s názvem společnosti a aplikace mají velké množství uživatelských hodnocení.“

Tento přístup doporučuje i sama Air Bank. „Klient by měl být pozorný, kam zadává své údaje, jaké platby potvrzuje či jaké aplikace si stahuje do telefonu,“ připomíná Pokorná. „Pokud má pochybnosti, měl by nás co nejrychleji nejlépe telefonicky kontaktovat.“

Ani sebelepší aplikace navíc finance nedokáže ochránit v momentě, kdy sama oběť nechtěně podvodníkům pomáhá. Podle odborníků tak platí, že lidský faktor je věc, kterou lze při návrhu zabezpečení pokrýt jen částečně. „Nakonec je to samotný uživatel, který může zadat svoje přihlašovací údaje do falešné webové stránky,“ říká Zezula.

Mezi klasické případy patří zadávání platebních údajů na falešných stránkách například České pošty. „Lidé často nečtou znění SMS zpráv, kde se jasně píše, že jde o nahrání karty do aplikace, a kód bohužel automaticky přepíší,“ popisuje Pokorná.

Další problém je již zmíněný škodlivý software. „Klient stáhne aplikaci, která se tváří jako neškodná, a neví, že si tím do mobilu nainstaloval podvodný malware, který pak dokáže přečíst vše, co se objeví na obrazovce telefonu, včetně SMS,“ popisuje Pokorná.

Před tím varovala například začátkem května i Asociace provozovatelů mobilních sítí, na oko software pro sledování zásilky dal útočníkům přístup k celému zařízení.

„V době, kdy se více finančních operací odehrává přes internet, budou vždy existovat snahy o podvedení uživatelů a převedení jejich financí na účty kyberpodvodníků,“ uzavírá Zezula. Týká se to jak běžných peněz, tak i kryptoměn.

Všeobecně odborníci Avastu neví o žádné konkrétní hrozbě, která by mohla jinak vysát účet bez zadání přístupových údajů. O to víc tak apelují na to, že na odkazy v SMS zprávách se nekliká. Doporučují také instalaci antivirového programu. Ten může do určité míry pomoci, například detekováním podvodné stránky podle jejího URL neboli webové adresy.

„Obecně doporučujeme stahovat důvěryhodné aplikace pouze z oficiálních obchodů, dávat si pozor na veškeré podezřelé aktivity, které uživatele vybízejí k vyplnění údajů, a vždy své zařízení chránit antivirovým programem,“ zní z Avastu shrnutí prevence.

Hackeři navíc nejsou aktivní jen ve zprávách. Podle tiskové zprávy Národního úřadu pro kybernetickou bezpečnost a poradenské společnosti BDO se znásobil počet podvodných telefonátů, celkově loni vzrostl počet útoků cílících na slabost uživatelů. Podle zprávy se s těmito útoky setkala třetina zaměstnanců.

„Volající se snaží těmito podvodnými hovory z obětí vylákat citlivé údaje, nejčastěji se jedná o hesla a uživatelská jména do internetového bankovnictví, čísla účtů, debetních a kreditních karet,“ vypočítává cíle Martin Hořický, expert na kyberbezpečnost z poradenské společnosti BDO. „Důležitým bodem je v lidech vyvolat pocit akutní potřeby danou informaci sdělit, příkladem může být záminka nutného zabezpečení peněžních prostředků. Lidé, kterým útočníci volají, si v tu chvíli neuvědomí, že banka kvůli bezpečnosti tyto údaje nikdy nechce od svých klientů sdělovat po telefonu,“ vysvětluje.