Urgentní telefonát varující klienta před napadením účtu nemá na svědomí banka, ale vychytralí podvodníci. Oběti mate i fakt, že podvodníci volají ze správného čísla uvedeného na stránkách banky. Jak podvod probíhá a jak se bránit?

• Volá vám banka s tím, že byl váš účet napaden a chce znát heslo či další informace? Zavěste a incident nahlašte.
• Chce po vás operátor po telefonu potvrzení platby v mobilní aplikaci? Nedělejte to.
• Operátor vás žádá o čísla z vaší platební karty, nebo samotný PIN? Neříkejte mu je.
• Stali jste se obětí podvodu a přišli o peníze? Jednejte rychle a incident nahlašte bance i policii.

Co je to vishing?

E-mailové útoky, kdy podvodníci lákají oběti na kliknutí na podvodné odkazy či zaslání bezpečnosních kódů, nejsou v Česku ničím novým. Méně časté však byly podvody telefonické, tzv. vishing (ze spojení anglického „voice“ a „phishing“). Podvody mohou mít za cíl přístup do bankovních účtů, krádeže platebních karet či třeba získání osobních informací.

Pravděpodobně nejpropracovanější vishing v historii zasáhl tento rok klienty banky Air Bank, České spořitelny, Monety, Komerční banky a dalších českých bank. Probíhá dodnes a potkat může prakticky kohokoliv. Obecně si však podvodníci vybírají starší uživatele, kteří bývají důvěřivější a v online prostoru méně zdatní. Jak probíhá útok, před kterým varuje i Česká bankovní asociace?

V mysli podvodníka: Jak telefonický podvod probíhá?

Vše začíná telefonátem, který probíhá překvapivě profesionálně. Operátor/operátorka na druhé straně se představí jako zaměstnanec bezpečnostní agentury Air Bank (nic takového neexistuje) a identifikuje důvod hovoru. Nejčastěji je jako důvod uvedena blokace karty, zablokování pochybné transakce či ochrana účtu po údajném napadení. Pokud zmíníte své pochybnosti o relevantnosti hovoru, operátor odvětí, že jde o akutní bezpečnostní záležitost a že může mluvit pouze s vámi. V opačném případě budete podle podvodníků muset neprodleně na pobočku v Letňanech, což se v daný moment chce málokomu.

Následuje kontrolní otázka, kdy se operátor zeptá např. na datum narození. Jde o informaci, která je obecně snadno dohledatelná, viz níže, ale zároveň budí dojem, že vás druhá strana skutečně zná a jde o banku. Chytré je navíc použití metody, kdy se útočník ptá ve stylu „Pro ověření vaší totožnosti potřebuji, abyste odpověděl/a  na několik kontrolních otázek. 1. Jaký je rok vašeho narození? 2. Jaký je 5. znak z vašeho hesla.“ Pokud začnete rovnou odpovídat, podvodník nemusí tyto informace vůbec znát. Jednoduše stačí, když potvrdí, že jste vše uvedli správně a můžete přistoupit k zadání celého hesla.

„Řekněte nám číslo své karty, musíme ji ochránit před zneužitím, které právě probíhá“ zkouší na oběti útočníci. Banka by číslo karty nikdy znát nechtěla. Foto: Freepik

Následuje moment, který by v případě hovoru se skutečnou bankou nikdy nenastal – podvodník vydávající se ze operátora si vyžádá vaše heslo. Jak na svých stránkách upozorňují prakticky všechny banky – na heslo do bankovnictví se vás skutečná banka nikdy ptát nebude. Pokud ano, neříkejte jej.

Jakmile oběť udělá tu chybu, má podvodník přístup do internetového bankovnictví. Pokud však neudělá chybu i poté, stále ještě nemusí o peníze přijít. Většina českých bank využívá vícenásobné ověřování prostřednictvím mobilní aplikace nebo SMS. V takovém případě následuje od podvodného operátora další požadavek, tentokrát na potvrzení platby v aplikaci (z důvodu údajné ochrany prostředků před zneužitím) či na přeposlání SMS kódu. Zde jde opět o něco, co by po vás banka nikdy nechtěla.

Banky u transakcí v SMS i aplikaci jasně uvádí, o jaký typ platby a v jaké částce jde. Případně o jaký jiný typ úkonu jde. Pokud by vás banka žádala o přístup do účtu, psala by aplikace, že se chce k účtu přihlásit kontaktní centrum, nikoliv, že jde o platbu. Pokud tedy uživatel zbystří a platbu nepotvrdí, stále ještě nemusí o své prostředky přijít. Vystrašený klient však často kvůli strachu o své peníze jedná rychle a pod tlakem, díky čemuž sdělí útočníkům všechny požadované informace.

Kam peníze míří? A proč je banka nepošle jednoduše zpět na účet odesílatele? Platby míří přes česká konta psaná na bezdomovce a další bílé koně směrem do zahraničí, kde je již banka nemůže snadno vystopovat.

Jak klientka české banky přišla o statisíce?

O přibližně čtvrt milionu korun přišla kvůli vishingu i klientka banky Air Bank. Hovor proběhl přesně tak, jak je popsáno výše. Klientka na závěr hovoru s falešným operátorem potvrdila několik plateb v mobilní aplikaci. Podvodníci znali datum narození a základní informace o oběti, navíc doopravdy volali z telefonního čísla, které odpovídá číslu infolinky banky. Jak je to možné si povíme níže.

O téměř 250 000 Kč přišla jedna z klientek Air Bank. Naletěla propracovanému vishingu. Obětí je napříč bankami spousta. Foto: Freepik

Podle České bankovní asociace už vishingu naletěla řada klientů. Ti útočníkům vedle svých hesel sdělili např.  i čísla platebních karet. Po následném potvrzení plateb v mobilní aplikaci přišli i tito o finanční prostředky.

Mnozí uživatelé bagatelizovali nedávno zveřejněná data více než půl miliardy uživatelů sociálních sítí. Ale právě tato data slouží jako podklad k dalším útokům. Nedávno zveřejněné databáze telefonních čísel a dalších informací uživatelů sociálních sítí Facebook (1 300 000 profilů z ČR) a LinkedIn (cca 500 000 českých profilů) to potvrzují. V praxi z nich podvodník velmi snadno zjistí vaše datum narození, místo narození, adresu bydliště, telefon či třeba jméno oblíbené kapely.

Jak mohou podvodníci zjistit, zda má volaný skutečně účet u konkrétní banky? Stačilo si kupříkladu porovnat databázi uniklých údajů s aktivitou na stránce banky, kde klienti lajkují a komentují příspěvky.

Ověřit si, zda je vaše číslo a e-mail v databázi také můžete i vy. Stačí do vyhledávání na stránce haveibeenpwned.com zadat svůj e-mail. Stránka bezpečnostního odborníka následně porovná e-mailovou adresu se záznamy z uniklých databází.

Jak je možné podvrhnout telefonní číslo?

Jak padlo výše, útok je unikátní i díky své propracovanosti. Podvodníci mluvící česky využili funkce placené internetové služby, která umožňuje volajícímu využít jako tzv. masku libovolné telefonní číslo. Volaný tak na displeji telefonu doopravdy vidí např. číslo +420 515 202 202 patřící kontaktnímu centru banky Air Bank, +420 800 207 207 patřící infolince České spořitelny, případně číslo další z českých bank.

Operátor na druhé straně hovoru mluví česky. Navíc zní profesionálně a důvěryhodně. Foto: Freepik

Zde by tedy nepomohla jindy dobrá rada, aby si klient ověřil, zda je na správné webové stránce či zda odpovídá telefonní číslo volajícího. Maskování zaručuje, že má uživatel oprávněně pocit, že doopravdy mluví se zaměstnancem banky. Jenže nemluví…

Metodě, kterou se podvodníci maskují, se odborně říká spoofing. Obecně je spoofing využíván při jakémkoliv druh podvodu, kde se druhá strana vydává za jiný subjekt. Probíhat může po e-mailu, po telefonu i prostřednictvím chatovacích aplikací.

Pokud se vám něco podobného stane, i kdyby hovor vypadal sebevíc věrohodně, hovor zruště a zkuste se nejprve bance či jiné instituci ozvat na oficiální infolinku uvedenou na webových stránkách. V takovém případě totiž budete spojeni doopravdy s bankou a nikoliv s podvodníky – maskování funguje naštěstí pouze jedním směrem.

Podvodníci využívají identitu bezdomovců a bílých koní

Situaci již řeší Policie České republiky. Důvěrný zdroj inSmart.cz uvedl, že je trasování podvodníků problematické, neboť jsou účty, na které platby mířily, psané na tzv. bílé koně (často bezdomovci a lidé, kteří ve vší naivitě poskytli své účty k neznámým účelům za určitý finanční obnos).

Při všech situacích nutné myslet na to, že na druhé straně může kdykoliv sedět podvodík a dodržovat proto zmíněné zásady bezpečnosti. Při podobných útocích totiž může trvat velmi dlouho, než se k penězům opět dostanete. Pokud vůbec…

Zdroj: inSmart.cz