Co se stane, když naletíte na poštovní podvod? Vyzkoušeli jsme to za vás

Phishing cílící na zákazníky České pošty nepřestává škodit. Nepozorný uživatel může snadno přijít o platební kartu a osobní údaje. Vyzkoušeli jsme za vás co se stane, pokud kliknete na odkaz v podvodné SMS a začnete vyplňovat webovou stránku.

Před několika dny jsme upozornili na nový SMS phishing. Podvodníci se v něm vydávají za Českou poštu a snaží se formou věrohodné SMS donutit zákazníky kliknout na odkaz a „zaplatit“ za neexistující zásilku. Problémů je zde více, ale tím hlavním je fakt, že případná oběť nepřijde o několik málo korun za smyšlený balíček, ale o číslo platební karty. Podvodníci tak oběť mohou připravit o mnohem vyšší částky.

Jako probíhá podvod aneb dobrovolně v pasti

Abychom jen neteoretizovali, chtěli jsme si projít celým formulářem a upozornit čtenáře na podivnosti v jednotlivých krocích. Bohužel již ale odkaz v SMS zaslané čtenářem dříve v týdnu nefungoval. Netrvalo to ale dlouho a SMS s funkčním odkazem se znovu objevila v našem okolí. Mohli jsme tak přistoupit k samotnému pokusu.

SMS tentokrát dorazila z čísla 2563, které pro potvrzovací SMS používají i firmy jako Revolut. Jak je to možné? Podvodníci dnes běžně dokáží čísla maskovat díky spoofingu.

Upozorňujeme, že zvědavost se v podobných případech nevyplácí a sami podobné experimenty raději nezkoušejte, na zprávy neodpovídejte a na odkazy neklikejte. Autor při pokusu dodržel řadu bezpečnostních zásad, použil anonymizační nástroje i smyšlené údaje o platebních kartách. Níže naleznete ukázku toho, jak může méně pozorný uživatel internetu přijít o tisíce.

Obrázek: Co se stane, když naletíte na poštovní podvod? Vyzkoušeli jsme to za vás

Podvodná SMS dorazila i členům redakce. Mohli jsme se tak blíže podívat na metody podvodníků. Foto: Freepik

1. Podivné adresy stránek

Místo mobilu usedáme k PC. Důvodem je mj. bezpečnost. Do adresního řádku zadáváme adresu webové stránky z SMS. Na první pohled je jasné, že o poštu nejde, ta používá výhradně .CZ adresy. Jde o odkaz z tzv. zkracovače, který dokáže jakoukoliv URL adresu zabalit do kratší podoby.

Po kliknutí na zkrácený odkaz je návštěvník přesměrován na dlouhý odkaz, který podvodníci nechtějí, abyste viděli. Je totiž podivně dlouhý a na první pohled podezřelý. Končí totiž ruskou .RU doménou. Celou adresu můžete vidět na snímcích obrazovky níže.

Obrázek: Co se stane, když naletíte na poštovní podvod? Vyzkoušeli jsme to za vás

Pravá URL je schovaná za tzv. zkracovačem adres a několika přesměrováními. Foto: Lukáš Voříšek, inSmart.cz

2. Pozor, podvod!

Na pochybnosti o poctivosti cílové stránky nás k našemu milému překvapení upozornil nejen použitý antivirus Kaspersky, ale i samotná stránka zkracovače Cuttly. Stránka Cutt.ly už dobře ví, že ji podvodníci začali používat jako nástroj k podvodům a své návštěvníky varuje. I přesto někteří naletí. Nutno podotknout, že při použití jiného zkracovače URL a cílové adresy samotné nemusí k podobnému varování dojít.

Obrázek: Co se stane, když naletíte na poštovní podvod? Vyzkoušeli jsme to za vás

Zkracovač je jen služba, kterou může použít kdokoliv. Cuttly proti phishingu a škodlivému obsahu naštěstí aktivně bojuje. Foto: Se souhlasem Cutt.ly

3. Zvláštní stránka s minimem informací

Takto strohé webové stránky bez informací o poskytovateli by vám Česká pošta nikdy neposlala. Logo jako znak pravosti nestačí, použít ho může jako obrázek kdokoliv. Podivné navíc je, že stránka návštěvníka okamžitě žádá o zadání čísla karty. Nikde není zmínka o částce, popis transakce a další důležité informace.

Průběžně koukáme do zdrojového kódu stránky a objevujeme funkci pro automatické odesílání zadaných údajů po každém stisku klávesy. Oběť tedy vůbec nemusí kliknout na tlačítko odeslat. Data se podvodníkům odesílají průběžně.

Obrázek: Co se stane, když naletíte na poštovní podvod? Vyzkoušeli jsme to za vás

Stránka je podezřele prázdná. Neobsahuje žádné informace o částce, adrese příjemce atd. Překvapilo nás ale funkční ověřování zadaných hodnot. Foto: Lukáš Voříšek, inSmart.cz

Pokračujeme ve vyplňování. Vymýšlíme si čísla platebních karet po vzoru číslování karet České spořitelny a zadáváme jindy nepoužívané telefonní číslo a e-mail. Na několikátý pokus se nám podařilo formulář odeslat.

4. Vymýšlíme si potvrzovací kódy

Na váš mobilní přístroj bude zaslán ověřovací kód,“ tvrdí stránka v dalším kroku. Podezřelý je zde už samotný text, který slibuje zaslání kódu do 10 minut. Běžná praxe jsou jednotky minut, většinou SMS dorazí do několika sekund. Zde se však nic nestane. Zpráva ani přes opakované vyžádání nedorazila. Kód si tedy vymýšlíme a… opět funguje.

Obrázek: Co se stane, když naletíte na poštovní podvod? Vyzkoušeli jsme to za vás

SMS kód nikdy nepřišel. Ve chvíli zadání čísel z platební karty už totiž podvodníci měli vše potřebné. Foto: Lukáš Voříšek, inSmart.cz

5. Cesta končí na pravých stránkách České pošty

Po zadání kódu jsme přesměrováni na stránky České pošty. Tentokrát na ty oficiální na adrese www.ceskaposta.cz. Proč by to podvodníci dělali? Aby oběť nabyla dojmu, že je vše v pořádku, že šlo o legitimní situaci a není se čeho bát.

Oběti tak v tomto bodě většinou spokojeně zavřou prohlížeč a těší se na svůj balíček. Jenže ten nikdy nedorazí. A nejen to. V horším případě začnou z účtu odcházet platby a peníze postupně mizí. Někdy banka zareaguje ihned, jindy se podvodníkům nějaká ta platba povede. U platebních karet naštěstí většinou nebývá problém s vrácením odcizené částky na účet oběti, ale spoléhat na to nemůžete.

Obrázek: Co se stane, když naletíte na poštovní podvod? Vyzkoušeli jsme to za vás

Oficiální stránky České pošty, na které je oběť na závěr procesu přesměrována. Foto: Webové stránky České pošty

Co dělat, pokud jste formulář vyplnili? Obratem kontaktujte svoji banku a nechte platební kartu zablokovat. Platí to i v případě, kdy jste vyplněný formulář nakonec neodeslali. V případě dalších podezřelých hovorů a zpráv situaci nahlašte příslušné instituci. Podvodníci dokáží volat z čísel, která odpovídají oficiálním číslům bankovních institucí, jak jsme psali v textu Podvodníci volají z čísel českých bank a kradou z účtů statisíce: Jak poznat nebezpečný podvod?

Pokud nezačnou peníze z účtu mizet, nutně to ještě nic neznamená. Data o kartách jsou na dark webu oblíbeným zbožím. Stejně tak informace o naivních obětech. Podvodníci si nezřídka přeprodávají osobní údaje obětí, které další podvodníci použijí k dalším a dalším podvodům. Naivní uživatel je ideálním cílem.

Přišla vám podvodná zpráva? Přepošlete nám ji

Přišla vám podobná SMS s podvodným odkazem, nebo jste svědky jiného podvodu v prostředí internetu? Pošlete nám zprávu na podvody(zavináč)insmart.cz. My díky tomu budeme moci pokračovat ve snaze o informování široké veřejnosti o nových podvodech a pomůžete tím i policejním složkám.

Úvodní fotografie: Freepik

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Huawei se Evropy nevzdá, představilo nový obchod, "rtěnku" a hodinky
Huawei se Evropy nevzdá, představilo nový obchod, „rtěnku“ a hodinky
Obrázek: Levné minipočítače Raspberry Pi poprvé v historii zdražují. Mohou za to čipy
Levné minipočítače Raspberry Pi poprvé v historii zdražují. Mohou za to čipy
Obrázek: Znáte značku Vivo? Stala se 4. největším výrobcem chytrých telefonů
Znáte značku Vivo? Stala se 4. největším výrobcem chytrých telefonů
Obrázek: Aktualizace Windows 10 má chyby, tiskárny od HP, Canon, Brother, Panasonic a Ricoh mohou mít problémy
Aktualizace Windows 10 má chyby, tiskárny od HP, Canon, Brother, Panasonic a Ricoh mohou mít problémy
Obrázek: Platby s náramkem Xiaomi konečně fungují v ČR. Zatím jen někde
Platby s náramkem Xiaomi konečně fungují v ČR. Zatím jen někde
Obrázek: Pozor na podvodné e-maily od Netflixu: Jsou česky a kradou údaje i čísla karet
Pozor na podvodné e-maily od Netflixu: Jsou česky a kradou údaje i čísla karet
Obrázek: Jak snadno stáhnout aplikace do mobilu Huawei? Je to čím dál jednodušší
Jak snadno stáhnout aplikace do mobilu Huawei? Je to čím dál jednodušší
Obrázek: Tip z Microsoftu: Jak nainstalovat Windows 11 na PC s nepodporovaným procesorem?
Tip z Microsoftu: Jak nainstalovat Windows 11 na PC s nepodporovaným procesorem?