Kyberútoky vedené odevšad. Seriál o podvodech, které nyní hýbou společností
Pandemie, energetická krize, válka. Společenské problémy, které zasahují do životů každého z nás, jsou pro hackery častou inspirací. Organizované skupiny jich často využívají k tomu, aby přicházely se stále přesvědčivějšími narativy svých podvodů a cílily je na zranitelné skupiny obyvatel. Jak vypadají aktuální útoky? Přinášíme několikadílný seriál o nejčastějších typech podvodů, na které můžete narazit.
Díl 1.
Falešný bankéř
Scénář
Zazvoní vám telefon. Volající se nejprve představí jako zaměstnanec banky a začne tvrdit, že v bankovním systému eviduje žádost o půjčku na vaše jméno. Ještě předtím se ujistí, zda opravdu volá osobě s vaším jménem, čímž posiluje pocit, že si telefonní číslo a kontakt skutečně vyhledal ve firemní databázi.
V tento okamžik většinou potenciální oběti podvodu volajícího informují o tom, že o žádnou půjčku nežádali. Domnělý bankéř se vás proto následně zeptá, u jaké bankovní společnosti tedy máte svůj účet, a že informace o vaší žádosti předá jak vaší bance, tak policii. Poté hovor ukončí. Za chvíli se ozve další člověk volající z jiného telefonního čísla, který se představí jako zaměstnanec banky, u které skutečně jste. Řekne, že hovor je tajný, nahrávaný a snaží se vytvořit dojem, že jste se ocitli ve vážné situaci.
Následně vás informuje o tom, že již došlo k zahájení spolupráce s Policií ČR a že se váš osobní účet pravděpodobně stal předmětem hackerského útoku. A protože podezření v ten moment padá na někoho přímo z vaší banky, vyloučí tím možnost promluvit si s jiným zaměstnancem vaší banky. Odůvodní to tím, že právě on dostal za úkol s vámi o problému komunikovat. Aby ve vás opět posílil důvěru, nejspíše si s vámi potvrdí ještě skutečnou adresu, kde skutečně bydlíte teď nebo jste na ni bydleli v minulosti. Podobně jako při prvotním oslovení vaším jménem takto podvodník opět navazuje dojem, že má přístup k vašim datům.
[.infobox][.infobox-heading]Jak je možné, že falešný bankéř může znát vaše jméno a adresu?[.infobox-heading]K těmto informacím se hackeři můžou dostat buď prolomením slabého přístupového hesla k účtu na sociálních sítích, e-shopech či dalších webových platformách nebo v důsledku uniklých databází v důsledku nedostatečného zabezpečení společnosti, která je o vás schraňuje. Seznamy jmen s emailem i adresou bydliště se pak dokonce můžou objevit ke stažení online.[.infobox]
V této fázi druhý telefonát obvykle skončí a vzápětí vám zavolá třetí člověk. Ten se představí jako policista a pokusí se s vámi domluvit schůzku na stanici s tím, že termín setkání je třeba zvolit už 14 dní dopředu. Opět vám řekne adresu skutečné policejní stanice, na kterou se máte dostavit.
Během této komunikace vám falešný bankovní poradce doporučí, abyste zaslali své finanční prostředky na bezpečný účet proti zneužití, na který vás rovnou nasměrují prostřednictvím QR kódu. Nebo vám poradí, abyste si vzali co nejvyšší půjčku ze své banky, abyste na svém bankovním účtu zamezili tomu, že si podvodník z vašeho účtu peníze vybere nebo si za vás zažádá o schválení další půjčky.
Nakonec útočník oběť vyzve k tomu, aby všechny své finanční prostředky převedla a vložila je po částech na kryptopeněženku v limitu do 24 000 Kč, což je nejvyšší možná částka, kterou lze jednorázově vložit do Bitcoinmatu (bankomatu na kryptoměnu).
[.infobox][.infobox-heading]Spoofing[.infobox-heading]Jak je možné, že na displeji svého telefonu vidíte číslo, ze kterého dotyčný ve skutečnosti nevolá? Příčinou je tzv. spoofing, kdy podvodníci používají maskovací služby tak, aby to vypadalo, že vám volá nebo píše člověk, za kterého se útočník vydává. Spoofing se objevuje často v kombinaci s vishingem – telefonickými podvody, a s phishingem – podvody prostřednictvím e-mailů a dalších zpráv. Pokud na podvodné číslo ale zavoláte zpátky, většinou se dovoláte jeho skutečnému majiteli a rychle tak zjistíte, jestli vám opravdu volal, nebo ne.[.infobox]
Tip: Pokud vám zavolá někdo z banky s urgentní žádostí o vykonání nějaké transakce nebo sdělení přístupových hesel k vašemu účtu, je pravděpodobné, že se jedná o podvod. Banky tímto způsobem se svými klienty nekomunikují a na vyřizování žádostí mají svůj oficiální a zabezpečený proces. Proto doporučujeme v případě takového telefonátu hovor ukončit a nejprve si ověřit, zda je volající skutečný – například tak, že zavoláte na informační linku své banky a zjistíte, zda vám skutečně volal její zaměstnanec.
Co můžou dělat banky, aby těmto podvodům předcházely?
Jednou z možností, jak zvýšit schopnost bank detekovat včas tento typ útoků a předcházet tak zhoršené reputaci společnosti, by mohla být vedle interního monitoringu také spolupráce s policií.
Z pohledu preventivních opatření doporučujeme bankám, aby kontinuálně komunikovaly svým zaměstnancům i klientům, jaké jsou v oblasti kyberbezpečnosti aktuální hrozby. K tomu je vhodné si interně vytvořit knowledge-base týkající se všech kyberútoků, o kterých se ví, že existují. Taková informační báze by měla obsahovat typický průběh útoku, co se konkrétně stalo, na koho podvodníci cílili a jakým způsobem. Principy kyberútoků totiž zůstávají v zásadě velmi podobné.
Součástí budování povědomí o aktuálních hrozbách by však měl být i trénink ostražitosti například v podobě online kampaní, televizních spotů, které o nových útocích informují. V současnosti je však množství preventivních kampaní takové množství, že hrozí, že jak zaměstnanci, tak klienti bank emaily s informacemi o aktuálních rizicích přejdou a nebudou jim věnovat dostatečnou pozornost. Proto je potřeba sdílet efektivně a rychle.
%20export.png)
