Článek
„Je to ještě dostupné? Poslala bych kurýra…“
Pokud jste někdy zkusili přes internetový bazar prodat nějaké zboží, nejspíše jste na ně narazili. Podvodníci předstírají zájem o to, co prodáváte. Ve skutečnosti je to pro ně jen záminka k tomu, aby na vás zkusili nějakou variantu typického podvodu, který pracovně nazveme „pošlu k vám kurýra“.
Proč jsou tyto podvody tak populární?
Podvody se zásilkami, kurýry a on-line platbami patří k oblíbenému typu internetových podvodů. Jakmile tedy na internetu inzerujete prodej nějakého zboží, je velká šance, že se vám ozvou (mimo jiné) právě podvodníci. Je k tomu několik důvodů:
- Očekávané zprávy – Protože očekáváte, že se vám někdo ozve, je větší šance, že budete těmto zprávám věnovat pozornost a otevřete je.
- Nízké povědomí o on-line službách – Řada lidí se nevyzná v tom, co je a není běžné v oblasti plateb přes internet nebo objednávání kurýrů. Široká nabídka doručovacích služeb znamená, že málokdo zná do detailu všechny možnosti doručení.
- Finanční lákadlo – Pokud něco prodáváte prostřednictvím on-line portálu (Facebook Marketplace, SBazar apod.), nejspíše chcete získat peníze co nejdříve. Ale ve skutečnosti bývá prodávání zdlouhavé. Proto podvodníci jednají rychle a nabízejí snadné a rychlé vyzvednutí a platbu přímo na ruku...
Pokud tuto fintu znáte z médií, zřejmě na ni neskočíte. Nebo pojmete podezření během komunikace s podvodníkem a korespondenci přerušíte. Jak ale celý podvod probíhá, pokud byste podvodníkovy instrukce následovali? Vyzkoušeli jsme to za vás.
(Poznámka: Nedoporučujeme čtenářům s podvodníky komunikovat, a to ani za účelem jejich zdržování nebo napálení. Nejlepší možností je komunikaci nahlásit jako pokus o podvod a dále ji ignorovat.)
Fáze 1: Kontaktování
Paní Jolanta na můj inzerát na Facebook Marketplace reagovala několik minut po jeho uveřejnění: „Dobře, beru to, ale jsem zaneprázdněn. Pošlu UPS listovní doručovatel k vám domů, aby vám dal své peníze v hotovosti a vyzvednout položku.“
Už na první pohled je poměrně jasné, že jde o podvod, a to navíc ne moc propracovaný. Komunikace probíhá špatnou češtinou, střídá se vykání a tykání. Na řadě míst věty nedávají valný smysl, zjevně kvůli strojovému překladu.
První zpráva podvodníka přes Facebook Messenger.
Zajímavé je, že profil, ze kterého zprávy chodily, zjevně není podvodný. Patří starší paní z Polska. Lze spekulovat o tom, že se jejího profilu podvodníci zmocnili nějakým jiným trikem, případně ukradené přístupové údaje někde koupili.
Profil paní z Polska byl zřejmě útočníky ovládnut bez jejího vědomí.
Komunikace z takového existujícího profilu může působit důvěryhodněji, než když útočník píše z nově založeného účtu s jednotkami kontaktů. Navíc by mohlo jít o dobrou záminku, proč komunikace probíhá špatnou češtinou.
Varovná znamení: Podle čeho poznat podvod?
- Nestandardní vyzvednutí/doručení – Typická známka podvodu. Je velmi neobvyklé, že by lidé nakupující použité zboží investovali nemalé prostředky do vyzvednutí skrze doručovatelskou firmu.
- Rychlá odpověď – Může být známkou toho, že podvodníka na nový inzerát upozornil automatický systém.
- Snaha získat co nejvíce údajů – Může jít o známkou podvodu, útočník chce mít o vás co nejvíce informací, budou se mu později hodit. I v případě, že bude tento podvod neúspěšný, může informace o konkrétním „živém“ profilu nadále zpeněžit.
- Podezřelý profil – Pokud jde o profil s malým množstvím kontaktů, nedávno založený profil nebo profil z cizí země, může jít o známky toho, že jde o podvod.
- Podivná komunikace – V případě, že komunikace probíhá lámanou, nepřesnou či strojově překládanou češtinou, je opět dobré mít se na pozoru. Samozřejmě to není samo o sobě důkaz podvodu, ale je to obvykle varovný signál.
Podvodník vydávající se za paní Jolantu ze mne následně vytáhne jméno, adresu a e-mailový kontakt. Všechny údaje samozřejmě posílám fiktivní.
Podvodník žádá o jméno, adresu, částku a e-mail. Tyto údaje prý potřebuje pro doručovatelskou společnost.
Pokud ale někdo nezná tento typ podvodu, může tyto celkem neškodné informace vyplnit. Podvodník tak získá vše, co potřebuje pro tvorbu falešného e-mailu od doručovatelské firmy.
Hraju nachápavého a jsem zvědav, jaký e-mail mi přijde.
Fáze 2: Falešný e-mail
Navenek se mnou podvodník komunikuje coby paní Jolanta, která teď zadá objednávku doručovatelské službě. Ve skutečnosti to byl samozřejmě samotný podvodník, který na základě nějaké předem sestavené šablony vytvořil e-mail, který mne má informovat o vytvořené objednávce.
Nejde o zrovna zdařilý podvodný e-mail, čekali jsme trochu více snahy. Ale pro ukázku toho, jaké taktiky podvodníci používají, poslouží dobře.
Podvodný e-mail od „kurýrní společnosti“
Takto vypadal první e-mail, který jsem od podvodníka dostal.
- Adresa odesílatele se snaží předstírat, že jde o oficiální komunikaci. V tomto případě je ale celkem jednoduché odhalit, že jde o nějaký gmailový účet, který si mohl založit naprosto kdokoli.
- E-mail na míru má za úkol vzbudit mou pozornost. Proto co nejčastěji používá mé jméno a adresu, které jsem předtím podvodníkovi sdělil.
- Pojištění je samotné jádro tohoto podvodu. Podvodník mi tvrdí, že částku 2672 Kč (100 eur) platím doručovatelské firmě, nikoli jemu.
- Podvodný odkaz zcela zjevně vede na doménu, která nemá s kurýrní firmou nic společného. Útočníci se ani nepokusili adresu nějak zakrýt. Ve skutečnosti není důležité, jakou adresu vidíte v e-mailu, ale jaká adresa je zadaná v kódu e-mailu (pozor, nemusejí být stejné).
- Náznak budoucí výhrůžky najdeme už na konci prvního mailu. Jde o upozornění, které nám pak podvodník bude opakovat: vše už je zaplaceno, teď už to nelze vzít zpět!
Tím, že podvodník neposílá odkaz přímo v komunikaci přes Messenger, v nás chce vyvolat pocit, že se ve skutečnosti bavíme s nějakou důvěryhodnou institucí. V tomto případě se snaží tvářit jako doručovatelská společnost UPS. Dodejme, že tento mail rozhodně nepatří k těm nejpovedenějším…
Relativně chytrým trikem je ale přesměrování na existující firmu, která nabízí mimo jiné nákup předplacených platebních karet. Výhodou takového odkazu je, že nám žádný prohlížeč nebude psát nějaká varování o tom, že odkaz vede na nebezpečnou doménu.
Co když si nejste jistí?
Pokud vám přijde e-mail, o jehož pravosti máte pochybnosti:
- Neklikejte na odkazy v tomto e-mailu.
- Nevolejte na čísla uvedená v tomto e-mailu.
- Neodpovídejte na tento e-mail.
Namísto toho vyhledejte (ne přes odkazy v e-mailu) webové stránky firmy či organizace, ze které e-mail údajně přišel. Zavolejte jim na oficiální uvedené kontakty a zeptejte se jich, zda o tomto e-mailu něco vědí.
Je velká šance, že nebudete první obětí daného podvodu, a firma tak bude vědět, o co jde. Snadno tak získáte jistotu, zda jde skutečně o podvodný e-mail.
Pokud jde o komunikaci přes pracovní e-mail, můžete také požádat po pomoc IT oddělení své firmy.
Každopádně v této fázi by snad většina lidí poznala, že jde o podvodný e-mail, a na odkaz by neklikla. Ale co když kliknete?
Fáze 3: Transakce
Každý podvod se dříve nebo později musí pokusit na vás nějak vydělat. Někdy to trvá i několik týdnů – třeba u romantických podvodů využívajících mýtus „vojáka na zahraniční misi“. V našem případě bazarového podvodu přišla na finanční transakci řada už dvě hodiny po první zprávě.
Po kliknutí na odkaz v podvodném e-mailu (což vy samozřejmě nedělejte!) se oběť dostane na stránku s nákupem položky s názvem „PCS Mastercard 100 EUR“.
Webovou stránku nevytvořili podvodníci, jen využívají existujícího e-shopu.
V tomto případě si útočníci značně usnadnili práci. Místo aby vytvářeli vlastní podvodný web, který by předstíral řekněme funkčnost vaší banky, použili existující on-line obchod prodávající předplacené platební karty. Pod položkou „PCS Mastercard“ se tedy skrývá cosi jako kupon.
Podvodník „Jolanta“ po mně chce, abych zadal do kolonky adresa svůj e-mail a zaplatil „pojištění“.
„Jakmile provedete platbu, dejte mi vědět.“
Ve chvíli, kdy bych koupil tuto předplacenou platební kartu, došel by mi na můj e-mail kupon. Ten bych poslal „kurýrní službě UPS“, tedy ve skutečnosti podvodníkovi. Z účtu by mi zmizelo 100 eur a žádný kurýr by samozřejmě nepřijel. A kdybych si stěžoval u provozovatele e-shopu, taky bych nepochodil. Oni mi prodali funkční produkt, za který já jsem zaplatil. Že jsem pak koupený kód poslal někomu dalšímu, to přece není jejich chyba.
Jak útočníci vydělávají na online podvodech?
- Krádež platebních karet – Podvodník může trikem získat čísla k vaší platební kartě. Ta pak využije k nákupu zboží nebo k dalšímu prodeji.
- Vzdálený přístup na počítač – Podvodník vás pod nějakou záminkou vyzve k instalaci programu pro vzdálený přístup. Pak může ovládat váš počítač a například vás sledovat, když se přihlásíte do svého internetového bankovnictví.
- Platba skrze kryptoměny – Podvodníci často využívají bitcoin nebo další kryptoměny k získání finančních prostředků od svých obětí. Může jít například o vydírání (ransomware) nebo další tipy podvodů.
- Falešné investice – Útočník nabídne výhodné investice, ve skutečnosti se ale jedná o tzv. Ponziho schéma (systém tzv. letadla, či pyramidy), kde jsou výnosy pouze virtuální.
- Falešná výhra, falešné dědictví – Podvodník oběti slíbí zaslání velké finanční částky. Ta je, jak se později ukáže, podmíněna zasláním menší částky na pokrytí nákladů spojených s transakcí.
- Platba skrze alternativní platební systémy – Útočník může požadovat platbu prostřednictvím kreditů, kuponů nebo služeb pro posílání peněz do ciziny (Western Union, Moneygram apod.).
- Přeposlání kódů – Útočník může obejít dvoufaktorové ověření tak, že vás pod nějakou záminkou požádá o přeposlání SMS s potvrzovacími kódy.
- Prodej osobních údajů – Útočník může získat osobní údaje, přihlašovací jména nebo hesla, která pak dále přeprodává jiným podvodníkům k dalšímu využití.
- Instalace škodlivého softwaru – Útočník může na počítač nebo mobil oběti nainstalovat skrytou aplikaci, která umožní nepřetržité sledování oběti.
Kdykoli po vás někdo na internetu požaduje cokoli z uvedeného, je čas zbystřit. A to i v případě, že jde o člověka, kterého dobře znáte. Je totiž možné, že se jeho profilu zmocnil útočník, který se za vašeho známého pouze vydává.
Kdybychom peníze poslali, podvod by tím skončil. Útočník by možná ještě zkusil kout železo, dokud je žhavé, a přesměroval by nás na nějaký další spřízněný podvod.
Co když ale odmítneme peníze poslat?
Fáze 4: Přemlouvání
„Chtějí po mně platbu 2667 korun,“ napsal jsem podvodníkovi. „To platit nebudu.“
Podvodník je na tuto eventualitu připraven. Nalistuje příslušnou stránku scénáře a zkouší to napřed po dobrém: „Pokud jste si všimli, že jsem do zprávy připsal 2667 Kč, nemáte se čeho obávat. To já se musím bát, protože přijdu o své peníze, pokud poplatek nezaplatíte.“
Útočník apeluje na emoce a chce v oběti vzbudit pocit viny.
Cíl této fáze je jasný. Uklidnit oběť, že o peníze opravdu nepřijde, a zároveň vyvolat pocit viny. Vždyť paní Jolanta už peníze poslala, věřila mi. A já jí teď nevěřím! Ona kvůli mně přijde o velké peníze, protože transakci už nejde zrušit.
„Proč pojištění nemůžete zaplatit vy?“ ptám se na celkem pochopitelnou otázku. Nejsem asi první, protože i na ni jsou podvodníci připraveni, jakkoli jde o značně nepřesvědčivé vysvětlení.
„…aby byla transakce konečně dokončena a dopravce se mohl dostat do vašeho domova…“
Fáze 5: Vyhrožování
Trvám na svém. „Nic předem platit nebudu. Působí to na mne nedůvěryhodně. V UPS mi říkali, že to zní jako podvod,“ napsal jsem podvodníkovi vystupujícímu pod identitou Jolanta. A tím dávám útočníkovi pokyn k zahájení poslední přesvědčovací fáze. Když to nejde po dobrém, může to jít po zlém.
Začíná vyhrožování žalobou, policií, Interpolem atd.
„Já proti vám mám veškeré důkazy,“ připomíná mi útočník. „Vyhrazuji si právo stíhat vás za obtěžování a pokus o vydírání. Kontaktoval jsem policii a Interpol.“
Následují dokonce konkrétní hrozby: pokuta 95 tisíc eur a odnětí svobody na pět let. Poselství je jasné: opravdu vám to za to stojí? Opravdu by nebylo lepší zaplatit dva a půl tisíce korun než žít s rizikem toho, že vám hrozí takováto pokuta, či dokonce trestní stíhání?
Krátce poté ještě útočník poslal falešný e-mail, ve kterém výhrůžky zopakoval, tentokrát pod hlavičkou dopravní společnosti.
Tento e-mail působí hodně zmateně, ale cíl je jasný…
E-mail sám o sobě je dosti nekvalitně přeložen. Doufejme tedy, že by v praxi nefungoval a nikoho by k poslání peněz podvodníkům nezviklal. Pokud by ale někdo zcela jistě nevěděl, že se jedná o podvod, mohl by dopis přeci jen navodit nejistotu a zkazit den.
Podobných psychologických triků lze ale využít i věrohodněji, a tím pádem i účinněji. Zvláště romantické podvody nebo vydírání mladistvých mohou využít toho, že oběť se stydí nebo má pocit, že ve své situaci nenajde zastání.
Pokud byste se nechali na podvod nachytat, rozhodně nejste první ani poslední. Důkazem, že tyto podvody fungují, je už jen fakt, že to podvodníky ještě nepřestalo bavit. Zjevně jim tyto – v mnoha ohledech primitivní a ohrané – triky stále fungují. Pracují totiž s lidskou přirozeností a důvěřivostí. Vidina rychlého zisku může snadno převážit nad obezřetností.
V jednu chvíli prodáváte použitou sedačku… Než se nadějete, posílá na vás nebohá paní z Polska výzkumnou divizi Interpolu… A to jde zatím jen o staromódní, velmi neobratně přeložené scénáře. Až se do toho ve větší míře zapojí generativní umělá inteligence, objeví se na míru připravené triky, které budou o dost méně nápadné.
Hlavní rady, jak se bránit on-line podvodům
- Obezřetně zacházet s přihlašovacím jménem a heslem, nejlépe všude zapnout dvoufázové ověření.
- Neposkytovat citlivé údaje bez dobrého důvodu.
- Nezadávat platební údaje mimo důvěryhodné weby.
- Nevěřit telefonátům, SMS nebo e-mailům (lze podvrhnout). Ověřovat si, s kým komunikujeme.
- Nevěřit odkazům v textových zprávách a e-mailech.
- Nedávat cizím lidem přístup na svůj počítač/mobil.
- Nevěřit nabídkám „zaručeného výdělku“ nebo snadného zisku.
- Nekupovat jakékoli produkty či nástroje, kterým zcela nerozumím (kryptoměny, kupony, předplacené karty apod.).
- Neinstalovat software na základě doporučení neznámého člověka.
- V případě podezření se nebojte říci si o pomoc, kontaktujte svou banku, policii apod.
