13/07/2022

Průběžně aktualizováno (naposledy 3. 12. 2022)

Útoky s cílem získat naše citlivá data, především přístup k našim penězům, jsou už téměř každodenní součástí našich životů. Podvodníci jsou díky vysoké kvalitě technologií, přesvědčovacím schopnostem a malé pozornosti svých obětí jsou mimořádně úspěšní.

V článku najdete:

Vishing (voice phishing) je podvod zahájený přes telefonní hovor (falešní bankéři, falešní policisté), souvisí s ním spoofing (zneužití telefonního čísla, e-mailu, identity instituce nebo člověka). Smishing je podvod zahájený přes textovou zprávu (SMS, e-mail, Messenger, WhatsApp apod.).

Jak podvod probíhá

  1. Přijde vám e-mail, SMS nebo jiná zpráva, která vypadá, že ji poslal důvěryhodný odesílatel (banka, Česká pošta nebo přepravní služba, bezpečnostní instituce apod.).
  2. Text vás varuje, že vaše peníze jsou v akutním ohrožení, nebo vás informuje, že vám nějaké peníze přišly.
    Další variantou je předstírání nákupu nebo prodeje: podvodník se vydává za nakupujícího nebo prodávajícího, který s vámi chce uzavřít obchod, ale pro zaplacení/odeslání zboží po vás požaduje zadání vašich přihlašovacích údajů do internetového bankovnictví nebo údaje pro platbu kartou.
    Může mít i formu lákavé reklamy.
  3. Zpráva obsahuje odkaz a vyzývá vás kliknout.
  4. Odkaz vás přivede na stránku, která vypadá jako vstup do internetového bankovnictví nebo formulář pro platbu kartou, platební brána a podobně. Vytvořili ji podvodníci, aby od vás získali přístup k vašim penězům.
    Jak ověřit pravost webu?
    1. V adresním řádku před adresou webové stránky je ikona zámku 🔒. To znamená, že webová stránka je zabezpečená. Symbol přeškrtnutého zámku naopak značí nezabezpečenou stránku, na kterou nechoďte!
    2. Kliknutím na symbol zámku zobrazíte informaci, komu byl certifikát zabezpečení vydaný – například „Zabezpečené spojení, Certifikát vydán pro: Fio banka, a.s. (CZ)“.
    Zabezpečená webová stránka. Bezpečnější Ostrava, web prevence kriminality
  5. Další variantou je, že se do vašeho zařízení nainstaluje software, který tím překoná běžné zabezpečení internetového bankovnictví.
  6. Peníze z vašeho účtu zmizí. Vypadá to, že jste je převedli vy sami.

Příklady phishingových útoků

Phishing, podvodná zpráva s cílem vylákat přístup k bankovnímu účtu, Bezpečnější Ostrava, web prevence kriminality

Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti (výskyt od srpna 2022). Falešný název webové stránky (pravá doména je mpsv.cz), tykání, přehozená písmena v názvu odesílatele. Výzvy chodí jako SMS nebo e-mail.
Varování Ministerstva práce a sociálních věcí před falešnými doménami, které vyzývaly k podání žádosti o příspěvek na bydlení. Těchto podvodných stránek už byly zablokovány desítky.

Phishing, podvodná zpráva s cílem vylákat přístup k bankovnímu účtu, Bezpečnější Ostrava, web prevence kriminality
Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Text obsahuje mnoho gramatických chyb, chyb slovosledu a formální úpravy textu a také zavádějící falešný název banky i webové stránky.
Phishing, podvodná zpráva s cílem vylákat přístup k bankovnímu účtu, Bezpečnější Ostrava, web prevence kriminality
Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Text obsahuje mnoho gramatických chyb, chyb slovosledu a formální úpravy textu a také zavádějící falešný název banky i webové stránky.
Phishing, podvodná zpráva s cílem vylákat přístup k bankovnímu účtu, Bezpečnější Ostrava, web prevence kriminality

Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Falešný název webové stránky, chybí oslovení, pozdrav, podpis, zpráva začíná malým písmenem, zahraniční telefonní číslo (Francie, Maďarsko).

Příklad pokusu o vylákání přístupu k bankovnímu účtu oběti. Oslovení „Ahoj“, jméno, které není vaše, ani jste ho nepoužili k založení nějakého účtu na internetu, heslo ve zprávě, bez podpisu, zahraniční telefonní číslo (Ekvádor). Poznámka: USDT je zkratka pro jednu z kryptoměn zvanou Tether. U zprávy aplikace WhatsApp nabízí možnost nahlásit odesílatele – této možnosti využijte.

Příkaz pokusu o vylákání přístupu k bankovnímu účtu oběti. Pachatelé rozeslali několik tisíc SMS nebo e-mailů. Policie je zadržela ve fázi pokusu, hrozí jim trest odnětí svobody 8–12 let. Více informací na webu Krajského ředitelství policie MSK.
Phishing, podvodná zpráva s cílem vylákat přístup k bankovnímu účtu, Bezpečnější Ostrava, web prevence kriminality
Pokus o podvod prostřednictvím falešné stránky Social Network Registry Corporation

Social Network Registry Corporation: Příklad pokusu o vylákání přístupu k facebookovému účtu oběti (výskyt 2022). Falešná facebooková stránka vydávající se za administrátora fy. Meta. Facebook nekomunikuje s uživateli formou zmínek v příspěvcích, text se ve vás pokouší vyvolat paniku a obavy, nutí vás k rychlému kliknutí na nesrozumitelný odkaz.
Další informace k těmto pokusům najdete například na blogu POOH.cz nebo přímo na facebooku.


Nečekejte, že se o vás postará Facebook, nahlaste stránku a zablokujte si ji. Jak na to?
0. Nikdy neklikejte na odkaz ve zprávě!
1. Klikněte na název stránky, která vám zprávu poslala (Social Network Registry Corporation).
2. Na stránce můžete vidět, že na Facebooku nemá žádnou jinou aktivitu (1 To se mi líbí, žádná úvodní fotka, jediný příspěvek…).
3. Klikněte na 3 tečky (Nastavení) u názvu stránky.
4. Vyberte možnost Získat podporu nebo stránku nahlásit.
5. Vyberte možnost Podvody a falešné stránky.
6. Vyberte možnost Vydávání se za jinou firmu.
7. Ve vyhledávacím okně vyplňte název firmy (např. Meta). Potvrďte výběr.
8. Zablokujte si falešnou stránku (možnost blokování vám nabídne Facebook sám).
9. Nastavte si dvoufázové ověření přihlášení k facebookovému účtu.

Další zachycené pokusy o podvody přes SMS zprávy

  • innogy (duben 2022) – podvodníci se pokouší vylákat údajné nedoplatky za energie
    • fiktivní vymáhání nedoplatků je rozpoznatelné podle koncovky kontaktní e-mailové adresy @outlook.cz (pravé e-maily mají koncovku @innogy.cz), číslo účtu ani kód banky neodpovídají standardním účtům innogy
    • pokud vám přijde SMS, informujte skupinu innogy na zákaznické lince 800 11 33 55. Více na webu společnosti.
  • Česká spořitelna – tipy, jak nenaletět, a první pomoc pro klienty #bezpecnasporka
  • „předvolání“ Policie ČR (srpen 2022) – podvodníci se pokouší přesvědčit adresáta e-mailu, že na něj mají kompromitující materiály
    • policie neposílá předvolání k soudu, nepoužívá se svých e-mailových adresách jinou koncovku než @pcr.cz, formát zákonných ustanovení se používá výhradně § 123 zákona č. 12/1234 Sb. a další
    • více informací a varianty zpráv najdete například na stránkách hoax.xz
Podvodné „předvolání“ Policie ČR k soudu

Příklady z praxe ostravské policie a rady, na co si dát pozor

Co mám dělat?

Na co si dát pozor

  1. Žádná banka ani úřad nikdy nepožaduje zasílání citlivých informací, jako jsou přihlašovací údaje, e-mailem/zprávou.
  2. Nízká úroveň češtiny, gramatické chyby: slova s chybějící diakritikou (vaš, učet), podivný slovosled, mezery navíc, malé začáteční písmeno věty apod.
  3. Chybí společenské zvyklosti: text neobsahuje oslovení ani pozdrav, Vás s malým v, obecné oslovení bez uvedení vašeho jména apod.
  4. Drobné úpravy názvů existující instituce (b.AIRBANK, CeskaPosta., Infompvs).
  5. Drobné úpravy ve webových odkazech (ceskaposta-cz.cz místo ceskaposta.cz, mpsv-cz.cz místo mpsv.cz).
  6. Časový nátlak nebo mimořádně výhodná nabídka (prihlaste se zde hned ted nebo bude ucet uzavren, případně kombinace obojího: přihlaste se do 15 minut od přečtení zpráva, jinak nabídka zmizí).

Jak se bránit

  1. Nikdy neklikejte na odkaz ve zprávě.
  2. Ověřte si informaci ze zprávy telefonicky/osobně ve vaší bance či u jiného údajného odesílatele zprávy.
    Na webových stránkách bank, České pošty a dalších institucí, za které se podvodníci často vydávají, najdete upozornění na tyto pokusy o podvod.
  3. Ověřte si historii prodejce/nakupujícího na bazaru, spojte se s ním telefonicky. Ověřte si u přepravní služby, zda jsou tvrzení prodejce/nakupujícího pravdivá.
  4. Používejte kvalitní zabezpečení vašeho počítače, mobilu i samotného prohlížeče.
  5. Nenechávejte si všechny peníze na jednom místě.

 

Sdílejte informace o nebezpečných podvodech svým přátelům a známým!

Dejte nám o tom vědět hashtagem #bezpecnejsiostrava.

Phishing, podvodná zpráva s cílem vylákat přístup k bankovnímu účtu, Bezpečnější Ostrava, web prevence kriminality