Článek
„Tento podvod je již skutečně sofistikovaný. Zazvoní vám telefon, po jeho zvednutí se ozve hlasový automat vydávající se za vaši banku s upozorněním, že vaše mobilní aplikace potřebuje update, a pokud ho chcete provést, máte stisknout ‚jedničku‘,“ popsali průběh podvodu bankéři z ČSOB.
Pokud jim důvěřivci sednou na lep a jedničku na svém telefonu skutečně stisknou, hlasový automat oznámí, že prostřednictvím SMS zprávy zasílá odkaz pro stažení nové verze. Pak už jen automat poděkuje za spolupráci a zavěsí.
Smishing terorizuje uživatele v Česku
Nebezpečná SMS
„V tuto chvíli zdánlivě nic nenasvědčuje tomu, že by se mohlo jednat o podvod, a ani si neuvědomíte, že jste právě naletěli podvodníkovi, který hlasový automat zneužil pro své podvodné jednání,“ doplnili pracovníci banky.
Celý trik totiž spočívá v SMS zprávě, která přijde na mobilní telefon. O žádný update mobilního bankovnictví totiž nejde, odkaz uživatele nasměruje na podvodnou stránku, která imituje web banky. Prostřednictvím těchto stránek se snaží kyberzločinci vylákat z důvěřivců peníze.
„Odborně se tomu říká smishing. Pokud to uděláte, odevzdáte je přímo útočníkům, kteří se tak mohou zmocnit vašeho internetového bankovnictví či mohou získat údaje z vaší platební karty,“ varovali bankéři.
Phishing a smishing
Internetoví podvodníci neustále hledají cesty, jak napálit důvěřivce. Často k tomu využívají phishing – rozesílají e-maily, které vyvolávají dojem, že pocházejí od důvěryhodné firmy, banky, úřadu nebo webové stránky.
Pomocí těchto zpráv se útočníci snaží vylákat citlivé informace, které se týkají například bankovních kont. Tato data následně využívají k odčerpání financí z účtu postiženého.
Smishing funguje prakticky zcela totožně, pouze místo e-mailů kybernetičtí nájezdníci vyvíjejí nátlak na uživatele prostřednictvím SMS zpráv. A přesně takové zprávy se v Česku v poslední době množí.
Telefonát od experta
Útok pokračuje dalším telefonátem od podvodníka, který se představí jako pracovník bezpečnostního oddělení. „Vysvětlí, že jste se nechali nachytat, ale že to vůbec nevadí, protože vám na počkání přihlašovací prvky zablokuje. Pokud na to skočíte, nejen že vaše přihlašovací údaje jsou stále aktivní, ale ještě navíc od vás získal čas na provedení podvodných transakcí,“ varovali pracovníci banky.
Podobný trik přitom zachytily podle agentury ČTK také další banky. Uživatelé by se měli mít rozhodně na pozoru. Pokud sednou podvodníkům na lep, je nutné co nejdříve kontaktovat svoji banku.
Podle údajů společnosti Analytics Data Factory počet podvodných zpráv v porovnání s létem vzrostl před Vánocemi pětinásobně. Podvodníci se nejčastěji vydávají za známé dopravce a doručovatele, jako jsou Česká pošta, Zásilkovna, PPL, DHL nebo UPS, vedle toho ale také za populární obchodní platformy typu Alza či Booking.
„Cílové webové stránky se často tváří opravdu důvěryhodně. Podle našich analýz jsou přitom obvykle registrovány v Rusku, což výrazně zhoršuje boj proti nim. V následujících měsících bude forma podvodů ještě propracovanější a jejich počet bude narůstat. Lidé by si tak měli pečlivě ověřovat, kam své údaje zadávají,“ prohlásil Kamil Mahdal, šéf Analytics Data.
Jak funguje podvod krok za krokem
- Kyberšmejdi vás kontaktují prostřednictvím telefonního hovoru, kde s vámi bude komunikovat hlasový automat a upozorní vás na nutnou aktualizaci. Podrobnosti jsou zaslány SMS zprávou.
- Po kliknutí na odkaz v SMS se ocitnete na falešné stránce. Vypadá skoro jako opravdové internetové bankovnictví, a tak tam vložíte své přihlašovací údaje.
- Vaše přihlašovací údaje se odešlou podvodníkům a ti je obratem zadají do opravdového internetového bankovnictví.
- Za malou chvíli vám banka pošle ověřovací SMS kód nebo Smart klíč, tak jak jste zvyklí. Protože stále nic netušíte, vložíte kód na falešnou stránku, a ten se tak dostane k útočníkům, nebo operaci potvrdíte Smart klíčem.
- Podvodníci teď mají přihlašovací údaje i SMS klíč, případně jste je nechali vstoupit přímo do aplikace. Tedy mají všechno, co potřebují, aby se přihlásili do internetového bankovnictví místo vás.
- Nakonec na vás vyskočí chyba a žádost o nové ověření. Dalším SMS kódem už ale potvrzujete převod vašich peněz do zahraničí nebo aktivaci aplikace Smart klíč.
- Podvodníci spoléhají mimo jiné na to, že někteří klienti nedávají pozor a nečtou všechny informace, které banka posílá v ověřovacích SMS nebo notifikacích do aplikací typu ČSOB Smart klíč. Ty jsou přitom pro bezpečnost vašich peněz důležité, proto jim prosím vždy věnujte pozornost.
Podvodníci si hrají na novináře
Uživatelé by se měli mít na pozoru před různými investičními podvody, ve kterých útočníci zneužívají jméno zpravodajského serveru Novinky.cz. Na snadné výdělky lákají podvodníci zpravidla v souvislosti se známými osobnostmi. V posledních měsících se objevily například falešné články s prezidentem Petrem Pavlem či moderátorem Janem Krausem.
Jde nicméně o typický phishingový podvod, kdy se útočníci snaží pod vidinou snadného zisku ve skutečnosti z lidí vylákat peníze. Podvod je to ale poměrně propracovaný, všechny odkazy ve falešném článku vedou na další podvodný web.
Aby důvěřivce kyberzločinci co nejvíce zmátli, nechtějí po něm v některých případech vyplňovat okamžitě čísla kreditních karet ani odesílat žádné peníze. Vše začíná registrací na dané platformě, načež uživatele bude kontaktovat správce platformy. Teprve s jeho pomocí jsou pak z důvěřivců vylákány peníze. Nemusí ho přitom kontaktovat pouze e-mailem, ale klidně i telefonicky.
Poradíme, na co si dát pozor a jak nesednout podvodníkům na lep, a to v dříve uveřejněném článku.
Vishing, smishing a phishing. Podvodů přibylo, varují bezpečnostní experti
