Podvodníci volají z čísel českých bank a kradou z účtů statisíce: Jak poznat nebezpečný podvod?

Urgentní telefonát varující klienta před napadením účtu nemá na svědomí banka, ale vychytralí podvodníci. Oběti mate i fakt, že podvodníci volají ze správného čísla uvedeného na stránkách banky. Jak podvod probíhá a jak se bránit?

  • Volá vám banka s tím, že byl váš účet napaden a chce znát heslo či další informace? Zavěste a incident nahlašte.
  • Chce po vás operátor po telefonu potvrzení platby v mobilní aplikaci? Nedělejte to.
  • Operátor vás žádá o čísla z vaší platební karty, nebo samotný PIN? Neříkejte mu je.
  • Stali jste se obětí podvodu a přišli o peníze? Jednejte rychle a incident nahlašte bance i policii.

Co je to vishing?

E-mailové útoky, kdy podvodníci lákají oběti na kliknutí na podvodné odkazy či zaslání bezpečnosních kódů, nejsou v Česku ničím novým. Méně časté však byly podvody telefonické, tzv. vishing (ze spojení anglického „voice“ a „phishing“). Podvody mohou mít za cíl přístup do bankovních účtů, krádeže platebních karet či třeba získání osobních informací.

Pravděpodobně nejpropracovanější vishing v historii zasáhl tento rok klienty banky Air Bank, České spořitelny, Monety, Komerční banky a dalších českých bank. Probíhá dodnes a potkat může prakticky kohokoliv. Obecně si však podvodníci vybírají starší uživatele, kteří bývají důvěřivější a v online prostoru méně zdatní. Jak probíhá útok, před kterým varuje i Česká bankovní asociace?

V mysli podvodníka: Jak telefonický podvod probíhá?

Vše začíná telefonátem, který probíhá překvapivě profesionálně. Operátor/operátorka na druhé straně se představí jako zaměstnanec bezpečnostní agentury Air Bank (nic takového neexistuje) a identifikuje důvod hovoru. Nejčastěji je jako důvod uvedena blokace karty, zablokování pochybné transakce či ochrana účtu po údajném napadení. Pokud zmíníte své pochybnosti o relevantnosti hovoru, operátor odvětí, že jde o akutní bezpečnostní záležitost a že může mluvit pouze s vámi. V opačném případě budete podle podvodníků muset neprodleně na pobočku v Letňanech, což se v daný moment chce málokomu.

Následuje kontrolní otázka, kdy se operátor zeptá např. na datum narození. Jde o informaci, která je obecně snadno dohledatelná, viz níže, ale zároveň budí dojem, že vás druhá strana skutečně zná a jde o banku. Chytré je navíc použití metody, kdy se útočník ptá ve stylu „Pro ověření vaší totožnosti potřebuji, abyste odpověděl/a  na několik kontrolních otázek. 1. Jaký je rok vašeho narození? 2. Jaký je 5. znak z vašeho hesla.“ Pokud začnete rovnou odpovídat, podvodník nemusí tyto informace vůbec znát. Jednoduše stačí, když potvrdí, že jste vše uvedli správně a můžete přistoupit k zadání celého hesla.

Obrázek: Podvodníci volají z čísel českých bank a kradou z účtů statisíce: Jak poznat nebezpečný podvod?

Řekněte nám číslo své karty, musíme ji ochránit před zneužitím, které právě probíhá“ zkouší na oběti útočníci. Banka by číslo karty nikdy znát nechtěla. Foto: Freepik

Následuje moment, který by v případě hovoru se skutečnou bankou nikdy nenastal – podvodník vydávající se ze operátora si vyžádá vaše heslo. Jak na svých stránkách upozorňují prakticky všechny banky – na heslo do bankovnictví se vás skutečná banka nikdy ptát nebude. Pokud ano, neříkejte jej.

Jakmile oběť udělá tu chybu, má podvodník přístup do internetového bankovnictví. Pokud však neudělá chybu i poté, stále ještě nemusí o peníze přijít. Většina českých bank využívá vícenásobné ověřování prostřednictvím mobilní aplikace nebo SMS. V takovém případě následuje od podvodného operátora další požadavek, tentokrát na potvrzení platby v aplikaci (z důvodu údajné ochrany prostředků před zneužitím) či na přeposlání SMS kódu. Zde jde opět o něco, co by po vás banka nikdy nechtěla.

Banky u transakcí v SMS i aplikaci jasně uvádí, o jaký typ platby a v jaké částce jde. Případně o jaký jiný typ úkonu jde. Pokud by vás banka žádala o přístup do účtu, psala by aplikace, že se chce k účtu přihlásit kontaktní centrum, nikoliv, že jde o platbu. Pokud tedy uživatel zbystří a platbu nepotvrdí, stále ještě nemusí o své prostředky přijít. Vystrašený klient však často kvůli strachu o své peníze jedná rychle a pod tlakem, díky čemuž sdělí útočníkům všechny požadované informace.

Kam peníze míří? A proč je banka nepošle jednoduše zpět na účet odesílatele? Platby míří přes česká konta psaná na bezdomovce a další bílé koně směrem do zahraničí, kde je již banka nemůže snadno vystopovat.

Jak klientka české banky přišla o statisíce?

O přibližně čtvrt milionu korun přišla kvůli vishingu i klientka banky Air Bank. Hovor proběhl přesně tak, jak je popsáno výše. Klientka na závěr hovoru s falešným operátorem potvrdila několik plateb v mobilní aplikaci. Podvodníci znali datum narození a základní informace o oběti, navíc doopravdy volali z telefonního čísla, které odpovídá číslu infolinky banky. Jak je to možné si povíme níže.

Obrázek: Podvodníci volají z čísel českých bank a kradou z účtů statisíce: Jak poznat nebezpečný podvod?

O téměř 250 000 Kč přišla jedna z klientek Air Bank. Naletěla propracovanému vishingu. Obětí je napříč bankami spousta. Foto: Freepik

Podle České bankovní asociace už vishingu naletěla řada klientů. Ti útočníkům vedle svých hesel sdělili např.  i čísla platebních karet. Po následném potvrzení plateb v mobilní aplikaci přišli i tito o finanční prostředky.

Mnozí uživatelé bagatelizovali nedávno zveřejněná data více než půl miliardy uživatelů sociálních sítí. Ale právě tato data slouží jako podklad k dalším útokům. Nedávno zveřejněné databáze telefonních čísel a dalších informací uživatelů sociálních sítí Facebook (1 300 000 profilů z ČR) a LinkedIn (cca 500 000 českých profilů) to potvrzují. V praxi z nich podvodník velmi snadno zjistí vaše datum narození, místo narození, adresu bydliště, telefon či třeba jméno oblíbené kapely.

Jak mohou podvodníci zjistit, zda má volaný skutečně účet u konkrétní banky? Stačilo si kupříkladu porovnat databázi uniklých údajů s aktivitou na stránce banky, kde klienti lajkují a komentují příspěvky.

Ověřit si, zda je vaše číslo a e-mail v databázi také můžete i vy. Stačí do vyhledávání na stránce haveibeenpwned.com zadat svůj e-mail. Stránka bezpečnostního odborníka následně porovná e-mailovou adresu se záznamy z uniklých databází.

Jak je možné podvrhnout telefonní číslo?

Jak padlo výše, útok je unikátní i díky své propracovanosti. Podvodníci mluvící česky využili funkce placené internetové služby, která umožňuje volajícímu využít jako tzv. masku libovolné telefonní číslo. Volaný tak na displeji telefonu doopravdy vidí např. číslo +420 515 202 202 patřící kontaktnímu centru banky Air Bank, +420 800 207 207 patřící infolince České spořitelny, případně číslo další z českých bank.

Obrázek: Podvodníci volají z čísel českých bank a kradou z účtů statisíce: Jak poznat nebezpečný podvod?

Operátor na druhé straně hovoru mluví česky. Navíc zní profesionálně a důvěryhodně. Foto: Freepik

Zde by tedy nepomohla jindy dobrá rada, aby si klient ověřil, zda je na správné webové stránce či zda odpovídá telefonní číslo volajícího. Maskování zaručuje, že má uživatel oprávněně pocit, že doopravdy mluví se zaměstnancem banky. Jenže nemluví…

Metodě, kterou se podvodníci maskují, se odborně říká spoofing. Obecně je spoofing využíván při jakémkoliv druh podvodu, kde se druhá strana vydává za jiný subjekt. Probíhat může po e-mailu, po telefonu i prostřednictvím chatovacích aplikací.

Pokud se vám něco podobného stane, i kdyby hovor vypadal sebevíc věrohodně, hovor zruště a zkuste se nejprve bance či jiné instituci ozvat na oficiální infolinku uvedenou na webových stránkách. V takovém případě totiž budete spojeni doopravdy s bankou a nikoliv s podvodníky – maskování funguje naštěstí pouze jedním směrem.

Podvodníci využívají identitu bezdomovců a bílých koní

Situaci již řeší Policie České republiky. Důvěrný zdroj inSmart.cz uvedl, že je trasování podvodníků problematické, neboť jsou účty, na které platby mířily, psané na tzv. bílé koně (často bezdomovci a lidé, kteří ve vší naivitě poskytli své účty k neznámým účelům za určitý finanční obnos).

Při všech situacích nutné myslet na to, že na druhé straně může kdykoliv sedět podvodík a dodržovat proto zmíněné zásady bezpečnosti. Při podobných útocích totiž může trvat velmi dlouho, než se k penězům opět dostanete. Pokud vůbec…

Zdroj: inSmart.cz

10 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Karel

Dobrý a poučný článek o podvodnících .

Karel

Banka sama posílá zprávu do účtu a nikdy klientovi nevolá.Posílejte ty idioty rovnou do řiti.

Ave Já

To je někdo fakt tak blbej, že po telefonu vykecá PIN karty a heslo k internetovému bankovnictví?!?!?!

Zidane

Věřte tomu, že jsou tací.

hermina

I když jsem nahlásila v Monetě toto jednání,úředníce se jen zasmála že o nic nejde….

Když budou sedět v bance podobné,je marné se snažit o nápravu!

Na všech ouřadech jen nezájem…neotravujte lůzo…..

Pepan

Zapomněla jste na napsat, co s tou informací asi tak měla dělat…? Tady není problém na straně bank, ale některých klientů, kteří se chovají jak malé děti – o nic nestarají a myslí si, že za ně vždy někdo bude tahat kaštany z ohně. Evidentně mezi takové patříte i vy…… Číst více »

Jerry

v případě těchto hovoru uvedu záměrně špatný údaj. Chtějí rok narození? No tak uvedu špatný rok. A pokud “operátor” tohle odsouhlasi, pošlu ho do takové prdele, o jaké se mu ani nezdálo!

sono io

Jak je vůbec možné, že je povolena takováto „služba“ maskování jiným telefonním číslem? Kdo takovou službu poskytuje, operátor? To je přece pouze „služba podvodníkům“! Normální člověk to vůbec nepotřebuje používat. To by mělo být zakázáno!

Obrázek: Nejlepší telefony v Česku: Jaký vybrat, pokud chcete to nejlepší?
Nejlepší telefony v Česku: Jaký vybrat, pokud chcete to nejlepší?
Obrázek: Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Obrázek: Recenze IQOS ILUMA i PRIME: Smartphone mezi nahřívanými tabákovými výrobky
Recenze IQOS ILUMA i PRIME: Smartphone mezi nahřívanými tabákovými výrobky
Obrázek: Konec jedné éry: Muskova společnost SpaceX se připravuje na likvidaci Mezinárodní vesmírné stanice
Konec jedné éry: Muskova společnost SpaceX se připravuje na likvidaci Mezinárodní vesmírné stanice
Obrázek: Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Obrázek: Jak vytěžit z Black Friday nabídky Samsungu co největší slevu? Poradíme, jak fungují výkupy a cashback
Jak vytěžit z Black Friday nabídky Samsungu co největší slevu? Poradíme, jak fungují výkupy a cashback
Obrázek: Black Friday letos odstartoval extrémně brzy: Jak si ověřit, že je sleva skutečná?
Black Friday letos odstartoval extrémně brzy: Jak si ověřit, že je sleva skutečná?
Obrázek: Jak vyfotit kometu mobilem? 5 tipů, jak dosáhnout skvělých výsledků
Jak vyfotit kometu mobilem? 5 tipů, jak dosáhnout skvělých výsledků