Phishing cílící na zákazníky České pošty nepřestává škodit. Nepozorný uživatel může snadno přijít o platební kartu a osobní údaje. Vyzkoušeli jsme za vás co se stane, pokud kliknete na odkaz v podvodné SMS a začnete vyplňovat webovou stránku.
Před několika dny jsme upozornili na nový SMS phishing. Podvodníci se v něm vydávají za Českou poštu a snaží se formou věrohodné SMS donutit zákazníky kliknout na odkaz a „zaplatit“ za neexistující zásilku. Problémů je zde více, ale tím hlavním je fakt, že případná oběť nepřijde o několik málo korun za smyšlený balíček, ale o číslo platební karty. Podvodníci tak oběť mohou připravit o mnohem vyšší částky.
Jako probíhá podvod aneb dobrovolně v pasti
Abychom jen neteoretizovali, chtěli jsme si projít celým formulářem a upozornit čtenáře na podivnosti v jednotlivých krocích. Bohužel již ale odkaz v SMS zaslané čtenářem dříve v týdnu nefungoval. Netrvalo to ale dlouho a SMS s funkčním odkazem se znovu objevila v našem okolí. Mohli jsme tak přistoupit k samotnému pokusu.
SMS tentokrát dorazila z čísla 2563, které pro potvrzovací SMS používají i firmy jako Revolut. Jak je to možné? Podvodníci dnes běžně dokáží čísla maskovat díky spoofingu.
Upozorňujeme, že zvědavost se v podobných případech nevyplácí a sami podobné experimenty raději nezkoušejte, na zprávy neodpovídejte a na odkazy neklikejte. Autor při pokusu dodržel řadu bezpečnostních zásad, použil anonymizační nástroje i smyšlené údaje o platebních kartách. Níže naleznete ukázku toho, jak může méně pozorný uživatel internetu přijít o tisíce.
Podvodná SMS dorazila i členům redakce. Mohli jsme se tak blíže podívat na metody podvodníků. Foto: Freepik
1. Podivné adresy stránek
Místo mobilu usedáme k PC. Důvodem je mj. bezpečnost. Do adresního řádku zadáváme adresu webové stránky z SMS. Na první pohled je jasné, že o poštu nejde, ta používá výhradně .CZ adresy. Jde o odkaz z tzv. zkracovače, který dokáže jakoukoliv URL adresu zabalit do kratší podoby.
Po kliknutí na zkrácený odkaz je návštěvník přesměrován na dlouhý odkaz, který podvodníci nechtějí, abyste viděli. Je totiž podivně dlouhý a na první pohled podezřelý. Končí totiž ruskou .RU doménou. Celou adresu můžete vidět na snímcích obrazovky níže.
Pravá URL je schovaná za tzv. zkracovačem adres a několika přesměrováními. Foto: Lukáš Voříšek, inSmart.cz
Ani koncem roku 2021 aktivity podvodníků nekončí. Čtenář Jakub K. nám zaslal další z podvodných SMS, která mu dorazila z čísla 2563. Opět jde o poštovní podvod, tentokrát s využitím zkracovače bit.ly.
„[CeskA Posta] Vas balicek dorazil do naseho zarizeni. Zaplatte prosim naklady na doruceni prosrednictvim nasledujiciho odkazu bit.ly/xxx,“ zní zpráva. Foto: Se souhlasem Jakuba K.
2. Pozor, podvod!
Na pochybnosti o poctivosti cílové stránky nás k našemu milému překvapení upozornil nejen použitý antivirus Kaspersky, ale i samotná stránka zkracovače Cuttly. Stránka Cutt.ly už dobře ví, že ji podvodníci začali používat jako nástroj k podvodům a své návštěvníky varuje. I přesto někteří naletí. Nutno podotknout, že při použití jiného zkracovače URL a cílové adresy samotné nemusí k podobnému varování dojít.
Zkracovač je jen služba, kterou může použít kdokoliv. Cuttly proti phishingu a škodlivému obsahu naštěstí aktivně bojuje. Útočníci ale rádi používají i alternativní zkracovače typu bit.ly. Foto: Se souhlasem Cutt.ly
3. Zvláštní stránka s minimem informací
Takto strohé webové stránky bez informací o poskytovateli by vám Česká pošta nikdy neposlala. Logo jako znak pravosti nestačí, použít ho může jako obrázek kdokoliv. Podivné navíc je, že stránka návštěvníka okamžitě žádá o zadání čísla karty. Nikde není zmínka o částce, popis transakce a další důležité informace.
Průběžně koukáme do zdrojového kódu stránky a objevujeme funkci pro automatické odesílání zadaných údajů po každém stisku klávesy. Oběť tedy vůbec nemusí kliknout na tlačítko odeslat. Data se podvodníkům odesílají průběžně.
Stránka je podezřele prázdná. Neobsahuje žádné informace o částce, adrese příjemce atd. Překvapilo nás ale funkční ověřování zadaných hodnot. Foto: Lukáš Voříšek, inSmart.cz
Pokračujeme ve vyplňování. Vymýšlíme si čísla platebních karet po vzoru číslování karet České spořitelny a zadáváme jindy nepoužívané telefonní číslo a e-mail. Na několikátý pokus se nám podařilo formulář odeslat.
4. Vymýšlíme si potvrzovací kódy
„Na váš mobilní přístroj bude zaslán ověřovací kód,“ tvrdí stránka v dalším kroku. Podezřelý je zde už samotný text, který slibuje zaslání kódu do 10 minut. Běžná praxe jsou jednotky minut, většinou SMS dorazí do několika sekund. Zde se však nic nestane. Zpráva ani přes opakované vyžádání nedorazila. Kód si tedy vymýšlíme a… opět funguje.
SMS kód nikdy nepřišel. Ve chvíli zadání čísel z platební karty už totiž podvodníci měli vše potřebné. Foto: Lukáš Voříšek, inSmart.cz
5. Cesta končí na pravých stránkách České pošty
Po zadání kódu jsme přesměrováni na stránky České pošty. Tentokrát na ty oficiální na adrese www.ceskaposta.cz. Proč by to podvodníci dělali? Aby oběť nabyla dojmu, že je vše v pořádku, že šlo o legitimní situaci a není se čeho bát.
Oběti tak v tomto bodě většinou spokojeně zavřou prohlížeč a těší se na svůj balíček. Jenže ten nikdy nedorazí. A nejen to. V horším případě začnou z účtu odcházet platby a peníze postupně mizí. Někdy banka zareaguje ihned, jindy se podvodníkům nějaká ta platba povede. U platebních karet naštěstí většinou nebývá problém s vrácením odcizené částky na účet oběti, ale spoléhat na to nemůžete.
Oficiální stránky České pošty, na které je oběť na závěr procesu přesměrována. Foto: Webové stránky České pošty
Co dělat, pokud jste formulář vyplnili? Obratem kontaktujte svoji banku a nechte platební kartu zablokovat. Platí to i v případě, kdy jste vyplněný formulář nakonec neodeslali. V případě dalších podezřelých hovorů a zpráv situaci nahlašte příslušné instituci. Podvodníci dokáží volat z čísel, která odpovídají oficiálním číslům bankovních institucí, jak jsme psali v textu Podvodníci volají z čísel českých bank a kradou z účtů statisíce: Jak poznat nebezpečný podvod?
Pokud nezačnou peníze z účtu mizet, nutně to ještě nic neznamená. Data o kartách jsou na dark webu oblíbeným zbožím. Stejně tak informace o naivních obětech. Podvodníci si nezřídka přeprodávají osobní údaje obětí, které další podvodníci použijí k dalším a dalším podvodům. Naivní uživatel je ideálním cílem.
Přišla vám podvodná zpráva? Přepošlete nám ji
Přišla vám podobná SMS s podvodným odkazem, nebo jste svědky jiného podvodu v prostředí internetu? Pošlete nám zprávu na podvody(zavináč)insmart.cz. My díky tomu budeme moci pokračovat ve snaze o informování široké veřejnosti o nových podvodech a pomůžete tím i policejním složkám.
Úvodní fotografie: Freepik
Aktualizováno: 22. 11. 2021
