Útoky přes e-maily, SMS nebo telefon (phishing)

Průběžně aktualizováno (naposledy 21. 12. 2022)

Útoky s cílem získat naše citlivá data, především přístup k našim penězům, jsou už téměř každodenní součástí našich životů. Podvodníci jsou díky vysoké kvalitě technologií, přesvědčovacím schopnostem a malé pozornosti svých obětí jsou mimořádně úspěšní.

V článku najdete:

• jak podvody obvykle probíhají
• příklady phishingových útoků
• jak podvod rozpoznat, na co si dát pozor
• jak se před phishingem chránit

Vishing (voice phishing) je podvod zahájený přes telefonní hovor (falešní bankéři, falešní policisté), souvisí s ním spoofing (zneužití telefonního čísla, e-mailu, identity instituce nebo člověka). Smishing je podvod zahájený přes textovou zprávu (SMS, e-mail, Messenger, WhatsApp apod.).

Jak podvod probíhá

1. Přijde vám e-mail, SMS nebo jiná zpráva, která vypadá, že ji poslal důvěryhodný odesílatel (banka, Česká pošta nebo přepravní služba, bezpečnostní instituce apod.).
2. Text vás varuje, že vaše peníze jsou v akutním ohrožení, nebo vás informuje, že vám nějaké peníze přišly.
   Další variantou je předstírání nákupu nebo prodeje: podvodník se vydává za nakupujícího nebo prodávajícího, který s vámi chce uzavřít obchod, ale pro zaplacení/odeslání zboží po vás požaduje zadání vašich přihlašovacích údajů do internetového bankovnictví nebo údaje pro platbu kartou.
   Může mít i formu lákavé reklamy.
3. Zpráva obsahuje odkaz a vyzývá vás kliknout.
4. Odkaz vás přivede na stránku, která vypadá jako vstup do internetového bankovnictví nebo formulář pro platbu kartou, platební brána a podobně. Vytvořili ji podvodníci, aby od vás získali přístup k vašim penězům.
   Jak ověřit pravost webu?
   1. V adresním řádku před adresou webové stránky je ikona zámku 🔒. To znamená, že webová stránka je zabezpečená. Symbol přeškrtnutého zámku naopak značí nezabezpečenou stránku, na kterou nechoďte!
   2. Kliknutím na symbol zámku zobrazíte informaci, komu byl certifikát zabezpečení vydaný – například „Zabezpečené spojení, Certifikát vydán pro: Fio banka, a.s. (CZ)“.
   
5. Další variantou je, že se do vašeho zařízení nainstaluje software, který tím překoná běžné zabezpečení internetového bankovnictví.
6. Peníze z vašeho účtu zmizí. Vypadá to, že jste je převedli vy sami.

Příklady phishingových útoků

Příklady pokusu o vylákání přístupu k bankovnímu účtu oběti (výskyt od srpna 2022). Falešný název webové stránky (pravá doména je mpsv.cz), tykání, přehozená písmena v názvu odesílatele. Výzvy chodí jako SMS nebo e-mail.
Varování Ministerstva práce a sociálních věcí před falešnými doménami, které vyzývaly k podání žádosti o příspěvek na bydlení. Těchto podvodných stránek už byly zablokovány desítky.

Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Falešný název webové stránky, chybí oslovení, pozdrav, podpis, zpráva začíná malým písmenem, zahraniční telefonní číslo (Francie, Maďarsko).

Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Oslovení „Ahoj“, jméno, které není vaše, ani jste ho nepoužili k založení nějakého účtu na internetu, heslo ve zprávě, bez podpisu, zahraniční telefonní číslo (Ekvádor). Poznámka: USDT je zkratka pro jednu z kryptoměn zvanou Tether. U zprávy aplikace WhatsApp nabízí možnost nahlásit odesílatele – této možnosti využijte.

Příklad pokusu o vylákání přístupu k osobním údajům oběti. Text bez diakritiky, s mezerami, bez uvedení odesílatele.

Social Network Registry Corporation: Příklad pokusu o vylákání přístupu k facebookovému účtu oběti (výskyt 2022). Falešná facebooková stránka vydávající se za administrátora fy. Meta. Facebook nekomunikuje s uživateli formou zmínek v příspěvcích, text se ve vás pokouší vyvolat paniku a obavy, nutí vás k rychlému kliknutí na nesrozumitelný odkaz.
Další informace k těmto pokusům najdete například na blogu POOH.cz nebo přímo na facebooku.

Nečekejte, že se o vás postará Facebook, nahlaste stránku a zablokujte si ji. Jak na to?
0. Nikdy neklikejte na odkaz ve zprávě!
1. Klikněte na název stránky, která vám zprávu poslala (Social Network Registry Corporation).
2. Na stránce můžete vidět, že na Facebooku nemá žádnou jinou aktivitu (1 To se mi líbí, žádná úvodní fotka, jediný příspěvek…).
3. Klikněte na 3 tečky (Nastavení) u názvu stránky.
4. Vyberte možnost Získat podporu nebo stránku nahlásit.
5. Vyberte možnost Podvody a falešné stránky.
6. Vyberte možnost Vydávání se za jinou firmu.
7. Ve vyhledávacím okně vyplňte název firmy (např. Meta). Potvrďte výběr.
8. Zablokujte si falešnou stránku (možnost blokování vám nabídne Facebook sám).
9. Nastavte si dvoufázové ověření přihlášení k facebookovému účtu.

Další zachycené pokusy o podvody přes SMS zprávy

• innogy (duben 2022) – podvodníci se pokouší vylákat údajné nedoplatky za energie
  • fiktivní vymáhání nedoplatků je rozpoznatelné podle koncovky kontaktní e-mailové adresy @outlook.cz (pravé e-maily mají koncovku @innogy.cz), číslo účtu ani kód banky neodpovídají standardním účtům innogy
  • pokud vám přijde SMS, informujte skupinu innogy na zákaznické lince 800 11 33 55. Více na webu společnosti.
• Česká spořitelna – tipy, jak nenaletět, a první pomoc pro klienty #bezpecnasporka
• „předvolání“ Policie ČR (srpen 2022) – podvodníci se pokouší přesvědčit adresáta e-mailu, že na něj mají kompromitující materiály
  • policie neposílá předvolání k soudu, nepoužívá se svých e-mailových adresách jinou koncovku než @pcr.cz, formát zákonných ustanovení se používá výhradně § 123 zákona č. 12/1234 Sb. a další
  • více informací a varianty zpráv najdete například na stránkách hoax.xz

Příklady z praxe ostravské policie a rady, na co si dát pozor