Pro vishing (z anglického voice phishing, tedy hlasové získávání hesel) je typické, že útočníci oběti volají v hodinách, kdy pravděpodobně nebude tolik obezřetná - to znamená zejména v pozdních nočních, nebo naopak brzkých ranních hodinách.
To je i případ klientky České spořitelny, kterou podvodník na začátku srpna loňského roku vzbudil "naléhavým" telefonátem okolo půl druhé ráno.
Banka on-line deníku Aktuálně.cz poskytla nahrávku, která detailně zachycuje, jak se podvodník snaží ženu zmanipulovat a vylákat z ní údaje k platební kartě.
"Já se omlouvám, že vám musíme volat v tuhle hodinu, ale když to počítač vyhodnotil, že když zadáváte ty platby, že vám máme okamžitě volat," sděluje v nahrávce mužský hlas rozespalé ženě. "A s kým mluvím teda?" ptá se zmatená klientka České spořitelny. "Jan Nesvadba," reaguje neurčitě podvodník. "A vy jste odkud?" trvá na svém žena. "Já jsem z platebního oddělení, ze servisní linky. Když si zavoláte na tu linku z druhý strany, co máte na vaší platební kartě, tak se dovoláte mně," nenechá se muž odradit, aniž by uvedl jméno konkrétní instituce. Pravděpodobně totiž ani neví, u které banky žena účet má.
Falešnému bankéři jde o jediné - snaží se ženu přesvědčit, že když si okamžitě nenechá zablokovat kartu, proběhne z jejího účtu několik převodů na cizí účet. Vysvětluje jí, že se nesmí "za žádnou cenu" přihlásit do svého internetového bankovnictví, naopak mu musí po telefonu "ověřit" svoji platební kartu - což znamená nadiktovat mu veškeré údaje z ní a následně i bezpečnostní kód, který ženě dorazí formou SMS na mobil.
"Bohužel klienti se většinou leknou, kdo by se nelekl, a udělají přesně to, co po nich operátor chce," vysvětluje pro on-line deník Aktuálně.cz Martina Kadlecová z bezpečnostního IT týmu České spořitelny.
V nahrávce žena začne podvodníkovi svoje údaje z platební karty skutečně diktovat. Těsně předtím, než udá číselný kód ze zadní strany, ji ale zadrží manžel. "Neříkej mu to," vyhrkne na ni. S útočníkem pak telefonní hovor razantně ukončí.
Telefonních útoků přibývá
V tomto případě měla klientka štěstí, Česká spořitelna ale potvrzuje, že není výjimkou - s vishingem se v poslední době její klienti setkávají často. Bohatou zkušenost s ním má také většina ostatních bank v Česku.
"Poslední měsíce se klienti bank na českém trhu s tímto typem podvodu setkávají více než kdy dříve," potvrzuje například Roman Macháček z komunikace Air Bank. "Bohužel se setkáváme s tím, že někteří klienti tyto údaje neznámému volajícímu opravdu předávají, a dokonce i potvrzují platby, které oni sami nedělali," varuje.
Banky svým klientům přitom opakovaně vysvětlují, jak s osobními údaji nakládat, a dlouhodobě také upozorňují, že by za žádných okolností nikdy neměli:
- instalovat do počítače programy na základě telefonního hovoru
- povolovat vzdálený přístup do počítače cizí osobě
- potvrzovat transakce, které zadá někdo cizí
- sdílet autorizační SMS kódy
- předávat přihlašovací údaje nebo údaje k platební kartě
Nárůst pokusů, při kterých se podvodníci snaží z klientů vylákat informace o platebních kartách nebo autorizační kódy pro potvrzení platby, nyní registruje i Moneta Money Bank.
"Klienti nám při popisu podezřelých telefonátů sdělili, že volající věděl některé informace o jejich platební kartě, například posledních šest číslic nebo zůstatek na účtu a základní informace o klientovi (bydliště, telefon). Z uvedeného usuzujeme, že informace mohli získat od napadené třetí strany, například e-shopu. Dále často uváděli, že volající nehovořil spisovně a měl znatelný východní přízvuk," popisuje pro on-line deník Aktuálně.cz bezpečnostní analytik banky Jakub Ptáčník.
Klienti jsou ale podle Ptáčníka obezřetnější než v dřívějších letech. A v případě pochybností kontaktují banku pro ověření informací. "Sofistikovanost útočníků se však neustále zvyšuje a někteří klienti se i tak občas stanou obětí podvodníků," upozorňuje.
Oproti tomu třeba Raiffeisenbank eviduje od začátku letošního roku jen pár případů vishingu. "V těchto případech ani nedošlo k žádné škodě," doplňuje manažerka komunikace Petra Kopecká.
Před vishingem koncem letošního dubna varoval také Národní úřad pro kybernetickou bezpečnost (NÚKIB). "Bankovní instituce po svých klientech nikdy nechtějí po telefonu sdělit citlivé údaje ani potvrdit převod financí. Důrazně doporučujeme nikdy nepotvrzovat platby, které jste sami nezadali. V případě, že si nejste obdrženým hovorem jisti, doporučujeme zavěsit a zavolat zpět na známé číslo klientské linky," varuje úřad.
"Podezřelé hovory doporučujeme ohlásit na Policii ČR a v případě orgánů a osob spadajících pod regulaci zákona o kybernetické bezpečnosti také NÚKIB," uvádí dále úřad.
Podvod za miliony korun
Čeští kriminalisté řeší v posledních měsících desítky podvodných telefonátů se škodami v řádu milionů korun.
"Tento typ podvodného jednání je nebezpečný zejména v tom, že falešní pracovníci bank mohou již před hovorem nejenom znát různé informace o osobách, které kontaktují, ale hlavně při hovorech užívají tak zvaný spoofing telefonního čísla, při kterém dokážou napodobit jakékoliv telefonní číslo, včetně infolinek bank," potvrzuje tiskový mluvčí Policejního prezidia ČR Ondřej Moravčík.
Policie podle něj dokonce zaznamenala případy, při kterých oběť telefonicky kontaktují další osoby, které vystupují jako policisté. "S cílem ujistit o pravdivosti tvrzení ohledně napadení bankovního účtu a nutnosti převodu peněz na 'bezpečný' bankovní účet dle předchozích instrukcí domnělých pracovníků bank," dodává mluvčí.
Pokud má člověk pocit, že podvodníkovi naletěl, měl by urychleně svou banku kontaktovat. Cesta ukradených peněz zpět na majitelův účet ale není snadná ani jistá.
"U transakcí platebními kartami se každá případná reklamace posuzuje individuálně. Šance získat zpět odcizené prostředky je vždy, výsledek reklamace záleží mimo jiné na tom, zda klient transakce potvrzoval (PINem, mobilním klíčem v bankovní aplikací, atd.), o jaké transakce se jedná a z jakého důvodu klient transakce reklamuje," vysvětluje Vladimír Tysl z týmu bezpečnosti klientských transakcí České spořitelny.
"Zohledňuje se například i to, zda klient neporušil pravidla pro použití karet (karta je nepřenosná). Obecně je vhodné kontrolovat pohyby na účtu a případné nesrovnalosti řešit co nejdříve," upozorňuje Tysl.
Jsou výřeční a mají dost času, říká o podvodnících expertka
Dostanou klienta pod tlak, že jeho peníze nejsou v bezpečí. Působí přitom výřečně, mají relativně dost času a mnohdy o člověku vědí i nějaké osobní údaje navíc. To jsou základní rysy takzvaného vishingu. Martina Kadlecová z týmu IT bezpečnosti České spořitelny v rozhovoru pro on-line deník Aktuálně.cz vysvětluje, co po vás skutečný bankéř nikdy nebude požadovat a jak se bránit, pokud už člověk osobní data podvodníkovi svěřil.
Vylepšují podvodníci nějak svoje techniky, co se vishingu týče? Jak moc umí být přesvědčiví?
Časem se u některých zlepšili vyjadřovací schopnosti, znějí více profesionálně. Někdy používají podprahovou melodii, kterou daná banka zrovna používá například v reklamě. Volající (podvodník) uživatele přesvědčí, aby se přihlásil do svého internetového bankovnictví a následně mu umožnili vzdálený přístup do počítače; volající si pak zadává transakce a přesvědčí klienta, aby vše autorizoval v aplikaci nebo mu předal kódy z SMS.
Objevilo se pár případů, kdy po uživatelích nechtějí zjistit bezpečnostní údaje, ale například je přesvědčiví, aby klient sám převedl prostředky na jiný takzvaně "bezpečný" účet. Podvodníci se nebojí s uživateli hovořit i několik hodin nebo i v rozmezí několika dnů. Vytváří dojem, že se jedná o běžný hovor z banky nebo z jiných společností.
Kdy bych měla během telefonátu "s bankou" zpozornět? Co je pro podvod tohoto typu typické?
Zpozornět při každém hovoru - doporučujeme zachovat chladnou hlavu a soustředit se na to, co protistrana říká. Typické je, že se snaží dostat volaného pod tlak, snaží se v něm budit pocit, že jeho peníze nejsou v bezpečí. Bankéř vás pod tlak nedostane, bude v klidu vysvětlovat co se děje.
Na co se tedy bankéř po telefonu nikdy nezeptá? A na co se naopak ptá běžně?
Bankéř nikdy nechce znát bezpečnostní údaje do internetového bankovnictví - uživatelské jméno a heslo, nebo bezpečnostní údaje ke kartě, celé číslo karty/CVV/Platnost/PIN. Dále nikdy po klientech nechceme nadiktovat kódy z SMS nebo potvrzování v bezpečnostní aplikaci, něčeho co sami neděláte. Pro ověření můžeme chtít znát jméno, adresu, datum a místo narození, rodné číslo, případně poslední čtyři čísla z platební karty.
Stává se, že volající podvodník některé osobní údaje oběti zná předem, například jméno nebo adresu. Kde k nim přijdou?
Mohou to být uniklé údaje z různých e-shopů nebo stránek, kde se uživatel registruje a zadává své osobní údaje, stejně tak z různých sociálních sítí. Určitý nárůst podvodných volání můžeme spojovat právě se širší dostupností databází zveřejněných údajů postahovaných útočníky ze sociálních sítí. V poslední době se stává, že uživatel klikne na nějakou podvodnou reklamu a všechny údaje sám vyplní a poté ho kontaktuje podvodník.
Vytipovávájí si podvodníci své oběti dle nějakého klíče, nebo to spíš zkoušejí naslepo?
Někdy si své oběti vytipovávají především u firem, ale u fyzických osob se jedná spíše o náhodu.
Dokončila jsem hovor s podvodníkem a uvědomila jsem si, že jsem udělala chybu. Jak mám postupovat, abych co nejrychleji zamezila ukradení peněz z účtu?
Volat na klientskou linku banky, popsat jim co se stalo a co všechno jste podvodníkům nadiktovala. Aby mohli zablokovat vše, co je třeba.
Jakým způsobem se řeší, když už peníze z účtu zmizí. Je vůbec šance je dostat zpět?
U zahraničních transakcí je možné vyslat storno platby do zahraničí a pak už záleží na rychlosti zpracování v zahraniční bance a zda jim dojde žádost ještě před tím, než pachatel prostředky vybere. Dále také na tom, zda příjemce souhlasí s vracením prostředků - zahraniční banka se ho může dotázat.
U domácích plateb je situace složitější - je potřeba vše co nejdříve nahlásit PČR, aby mohla prostředky na účtu blokovat.
Vishing není jediným podvodem, který se v poslední době množí. Podle České spořitelny přibývá i případů, kdy klient poskytne údaje z platební karty v rámci transakce na různých bazarových portálech. " 'Zájemce' nabízí poslání peněz přímo na kartu prodávajícího, jen potřebuje potvrdit připojení karty," upozorňuje Kadlecová.
U platebních karet je aktuálně hrozbou vylákání karetních údajů a následně zmanipulování klienta k potvrzení tokenizace karty - tedy přidání platební karty do mobilního telefonu, tabletu či hodinek pro platby a výběry.
Samostatnou kapitolou je falešné investování, kdy se klienti nechají zlákat reklamou na internetu či e-mailem, který slibuje rychlý a snadný výdělek formou investice do kryptoměny.
Tyto podvodné reklamy lákají na celebrity a velké peníze. Tváří se přitom jako věrohodné investiční či zpravodajské servery a na nich se také často objevují. Jiné zase slibují třeba neuvěřitelně rychlé zhubnutí. Ve výsledku ale podvodné reklamy z uživatele jen vytáhnou osobní údaje či peníze. Nejde přitom o výjimku - od konce loňského roku jich naopak přibylo. Spolehlivá blokace takových podvodných reklam je přitom podle IT expertů velmi obtížná.
Jak vypadá falešné investování v praxi
- Klient klikne na odkaz vyplní údaje o sobě - jméno, telefon, adresu.
- Vzápětí nebo na druhý den je kontaktován jménem investiční společnosti, kdy mu operátor sdělí, že mu byl založen investiční účet a je potřeba na něj poslat nějakou částku. Jedná se o nějakou drobnější částku, a klient se tak nebojí jí investovat.
- Dále je kllient upozorněn, že bude tak za dva dny kontaktován opětovně operátorem. Což se stane. Tentokrát ho informují o tom, že mu chtějí vysvětlit jak funguje účet, na kterém má své investice a pro lepší vysvětlení je jednodušší, když si nainstaluje program, kterým by se mohl operátor vzdáleně připojit na jeho PC. Což klient udělá a také umožní vzdálený přístup.
- Operátor na lince klientovi vysvětlí jak funguje investiční účet, který mu založili. Následně mu sdělí, že je třeba ověřit ještě klientovu platební kartu, ať se proto přihlásí do internetového bankovnictví.
- To klient udělá a operátor (pachatel) si v internetovém bankovnictví zadává platbu a následně řekne klientovi, že je třeba platbu potvrdit, což klient v 90 procentech případů udělá. Tím přichází o své peníze.
- Důvod, proč má klient platbu potvrdit, se mění. Může jít například o ověření bonity, kdy řeknou pošlete peníze a my vám je vrátíme zpět. Argumentovat mohou i tím, že se jedná o storno platby.
Zdroj: Česká spořitelna