Měl to být snadný přivýdělek za pár stokorun, skončil však ztrátou desítek tisíc korun. Osmadvacetiletá Veronika (její identitu redakce zná, ale nepřála si uvést celé jméno, pozn. red.) si koncem loňského roku zřídila účet na platformě Vinted. Jde o jednu z nejpoužívanějších aplikací pro prodej oblečení z druhé ruky a v Česku ji využívá přes milion uživatelů.
I Veronika plánovala do světa poslat pár kusů oblečení ze svého šatníku. "Vinted jsem používala před pár lety, ale protože se aplikace měnila, musela jsem si zřídit nový účet a se vším jsem se znovu naučit, byly tam spousty novinek," popisuje Veronika.
Litevská společnost spustila na začátku roku 2022 nový systém placení skrze zabezpečený způsob platby, případně takzvanou Vinted peněženku přímo uvnitř aplikace, aby zvýšila komfort a bezpečnost uživatelů. Zatímco dříve se nakupující i prodávající sami domlouvali na platební metodě i způsobu dopravy, nově se celý prodej řeší skrze platformu tohoto online bazaru.
Jen na vlastní zodpovědnost
Uživatelé se ale mohou domluvit i mimo systém portálu. Tím ale obě strany ztrácejí zabezpečení, které Vinted skrze podporu nabízí. "Na osoby, které se rozhodnou provést transakci mimo společnost Vinted, se naše ochrana nevztahuje, a činí tak na vlastní riziko," upozorňuje mluvčí Vintedu Magdalena Szlazová. Za transakci skrze Vinted si nicméně společnost účtuje poplatek, a to pět procent z ceny produktu.
A právě neznalost nového prostředí, nepozornost uživatelů a jejich velký zájem o službu nahrávají podvodníkům do karet. "Byl víkend, dělala jsem doma několik věcí najednou, byla jsem rozlítaná. V tu chvíli mi na Vintedu napsala nějaká paní, že by chtěla jedno z mých sak," vzpomíná Veronika.
Pod záminkou dokončení nákupního procesu se podvodnice dožadovala telefonního čísla: "HezkyDen! Jsem ve 3ze4 fází objednávky.ale v okně se zobrazuje požadavek na telefonní číslo. Dáte mi prosím své TEL-Cislo.?" Zpráva se na první pohled vyznačovala několika gramatickými chybami.
Svůj telefon Veronika do aplikace při prvním přihlášení zadávala, ovšem jen neveřejně z bezpečnostních důvodů. Podezření proto nedostala a zájemkyni nakonec telefonní číslo poslala. "V tu chvíli mi přišel do SMS odkaz na nějaké stránky, co vypadaly jak od Vinted, a potvrzovací kód, který jsem tam zadala. Vypadalo to věrohodně," popisuje žena dále. Po kliknutí na odkaz se otevřela platební brána s požadavkem na zadání čísla karty i dalších údajů.
Nechybělo dokonce ani chatovací okno s podporou, která na Veroničin dotaz, zda se jedná o oficiální a bezpečnou platbu, odpověděla, že se není čeho bát.
Jenže po zadání údajů a potvrzení požadované částky za sako, přišla Veronika ve svém internetovém bankovnictví o více než 20 tisíc korun. "To, že jsem potvrzovala částku, která odcházela z mého účtu, místo toho, aby mi na účet přišla, mi v tu chvíli nedošlo. Zpětně si říkám, že nechápu, jak jsem mohla naletět," popisuje žena.
Phishingu přibývá
Veronika ale není zdaleka jediná, která podvodníkům na Vinted naletěla. A tato platforma zároveň není jediná, na jejíž uživatele zloději cílí.
Takzvaný phishing, tedy útok, během kterého se podvodník snaží profilovat jako důvěryhodná autorita a získat tak citlivá data obětí, hrozí také uživatelům Facebook Marketu, LinkedInu, Bazoše či dopravních služeb jako Zásilkovna a DHL. Časté jsou útoky také na účty Microsoftu, Netflixu a víceméně veškeré e-mailové adresy. Útočníci pro komunikaci také často používají aplikaci Whatsapp.
"Nejčastěji vidíme různé výherní podvody, útoky na Českou poštu a další doručovací služby. V neposlední řadě to jsou právě podvody na inzertních portálech," komentuje za Gen Digital, dříve Avast, odborník na phishing Alexej Savčin.
Obejít bankovní systémy je pro útočníky sice složité, obejít důvěru jednotlivých uživatelů se jim však daří úspěšně. Podle dat České bankovní asociace (ČBA) se počet útoků na klienty bank v posledních dvou letech zvýšil čtyřnásobně. Zároveň jsou jejich podvody stále sofistikovanější, promyšlenější a reagují na současné trendy. "Zlepšila se také jazyková úroveň těchto podvodů. Už dávno není pravidlem, že phishingový útok je vždy plný gramatických chyb a působí amatérsky," podotýká Savčin.
Čím dál promyšlenější
Dříve útočníky mohla prozradit i zvláštní doména platební brány, kam své oběti přivedli. I v tomto případě už ale útočníci na svých praktikách zapracovali. Mezi těžko rozpoznatelné metody se řadí například takzvané homografové útoky, kdy jsou písmena na webových adresách nahrazena jinými znaky nebo znaky z jiných abeced.
Například slova "LinkedIn" a "Linkedln" vypadají na první pohled naprosto totožně. V prvním případě je však předposledním písmenem velké "i", zatímco v druhém případě se jedná o malé "L". "V takových případech může phishingovému podvodu zabránit jen kvalitní bezpečnostní software," vysvětluje za Eset specialistka kybernetické bezpečnosti Vladimíra Žáčková.
Celkové škody phishingových podvodů šplhají podle bankovní asociace do stovek milionů korun, na jednoho poškozeného klienta je to v průměru 161 500 korun. Podle průzkumů společnosti Eset a Policie České republiky se v květnu 2022 s podvodem setkala třetina uživatelů internetových bazarů. Za celý rok evidovala policie škody za podvody v internetovém prostředí přes 1,9 miliardy korun, phishingové podvody tvoří významný podíl.
"Měsíčně identifikujeme stovky klientů, kteří se stali obětí phishingových útoků, přičemž výše podvodníky odcizených finančních prostředků se měsíčně vyšplhá na vyšší jednotky milionů korun," doplňuje za Českou spořitelnu Filip Hrubý.
Peníze už se nevrátí
Zda banka bude schopná platbu zachytit a vrátit peníze zpět, záleží na jednotlivých případech a míře pochybení obětí. Instituce posuzuje míru takzvané hrubé nedbalosti klienta při nakládání se svými údaji. To znamená, že na sebe nebere riziko, když uživatel sdělí své citlivé údaje útočníkům - i když nevědomky.
"Bohužel ve většině případů jsme na základě vyšetřování nuceni konstatovat, že na straně klienta skutečně došlo k hrubé nedbalosti v nakládání se svými osobními údaji, když je předal třetí osobě," vysvětluje Hrubý a doplňuje, že pouze v řádech nižších desítek případů ročně kompenzují klientům peníze, které jim byly odcizeny.
Veronika nebyla výjimkou, své úspory ani po dvou měsících nemá, přestože problém řešila se společností Vinted, svou bankou i policií. "Vinted nikdy neposílá e-maily ani soukromé zprávy s žádostí o kliknutí na odkaz pro zadání platebních údajů nebo dokončení platby," připomíná Szlazová.
Mluvčí Vintedu dodává, že je společnost v kontaktu se svými uživateli a informuje je o tom, jak bezpečně transakce provádět. Platforma své uživatele už varovala ve speciálních e-mailech a informace o probíhajících podvodech si lze přečíst i v aplikaci. "Noví členové jsou s bezpečnostními radami seznámeni po registraci," dodává mluvčí.
S tím nicméně někteří uživatelé, kteří se stali obětí podvodu, nesouhlasí. "Hned po stáhnutí (aplikace, pozn. red.) dostanete lekci, jak nahrát oblečení. Proč jako první po stažení ihned neinformujete, že se tyhle podvody dějou?" zeptala se veřejně Vintedu na svém instagramovém profilu česká modelka Barbora Podzimková, která před pár měsíci sdílela podobnou zkušenost jako Veronika. Modelka tehdy přišla o 150 tisíc korun.
Do edukace klientů se průběžně pouštějí i banky. Například ČSOB v této souvislosti iniciovala kampaň Braňte se rozumem, která se zaměřuje na podvody na internetových bazarech, nabídky výhodných investic a podvodné volání, e-maily a smsky. "Důležité je mít se na pozoru. Nenechat se nalákat na zdánlivě výhodnou nabídku. Vše si důkladně ověřovat a nenechat se vmanipulovat do časové tísně," opakuje základní pravidla tiskový mluvčí ČSOB Patrik Madle.
Zákazníci pod tlakem času a peněz
Podle odborníků lidé často podléhají vidině rychlého a bezstarostného obchodu, kdy jim útočník nabídne, že dopravu i platbu vyřeší za ně. Jindy na ně mohou zafungovat opakované výzvy podvodníka, který je nutí jednat ve spěchu. Lidé pak přehlížejí varovné signály, které by je za normálních okolností možná zastavily.
"V takový moment se vyplatí zpomalit, znovu si komunikaci pročíst a věnovat pozornost češtině. Komunikace může být strojově přeložená nebo obsahovat špatný slovosled nebo gramatiku. Pokud se vám komunikace nezdá a nabídka druhé strany se zdá podezřele výhodná nebo požaduje platbu předem, klidně ji ukončete," radí Žáčková z Esetu.
V případě podezření u dopravních společností si uživatelé mohou jednoduše otevřít oficiální webové stránky společnosti. Řada z nich nabízí krátký výčet nejčastějších podvodných metod, které jejich služby napodobují. Dělá to například DPD, GLS, Zásilkovna i Česká pošta. Podobné informace lze najít i na Vintedu či Facebooku. Řešením může být také pojištění svých financí u banky.
Banky opakovaně radí svým klientům, aby nikomu nesdělovali své přihlašovací údaje k internetbankingu. "Žádná banka ani bankéř po vás tyto údaje nikdy nebudou chtít znát," komentuje Hrubý z České spořitelny.
Do svého internetového bankovnictví by lidé měli vstupovat pouze přes oficiální stránky společnosti, popřípadě přes mobilní aplikaci. Při využívání bankovní identity by každá stránka, kam člověk údaje zadává, měla mít v adrese symbol zámku - to znamená, že je spojení se serverem zabezpečené. Po rozkliknutí zámku se každý může ujistit, že je bezpečnostní certifikát vystaven na instituci, která po člověku přihlášení přes bankovní identitu požaduje.
