Na vybílení účtu stačí jeden telefonát. Poslechněte si, jak útočník láká z oběti data
Nahrávka detailně zachycuje snahu podvodníka vylákat z oběti údaje k platební kartě. Vznikla jen díky náhodě. Nabízíme rady, jak při úroku zareagovat.
Publikováno: 14.6.2021
Pro vishing (z anglického voice phishing, tedy hlasové získávání hesel) je typické, že útočníci oběti volají v hodinách, kdy pravděpodobně nebude tolik obezřetná - to znamená zejména v pozdních nočních, nebo naopak brzkých ranních hodinách.
To je i případ klientky České spořitelny, kterou podvodník na začátku srpna loňského roku vzbudil "naléhavým" telefonátem okolo půl druhé ráno.
Banka on-line deníku Aktuálně.cz poskytla nahrávku, která detailně zachycuje, jak se podvodník snaží ženu zmanipulovat a vylákat z ní údaje k platební kartě.
"Já se omlouvám, že vám musíme volat v tuhle hodinu, ale když to počítač vyhodnotil, že když zadáváte ty platby, že vám máme okamžitě volat," sděluje v nahrávce mužský hlas rozespalé ženě. "A s kým mluvím teda?" ptá se zmatená klientka České spořitelny. "Jan Nesvadba," reaguje neurčitě podvodník. "A vy jste odkud?" trvá na svém žena. "Já jsem z platebního oddělení, ze servisní linky. Když si zavoláte na tu linku z druhý strany, co máte na vaší platební kartě, tak se dovoláte mně," nenechá se muž odradit, aniž by uvedl jméno konkrétní instituce. Pravděpodobně totiž ani neví, u které banky žena účet má.
Falešnému bankéři jde o jediné - snaží se ženu přesvědčit, že když si okamžitě nenechá zablokovat kartu, proběhne z jejího účtu několik převodů na cizí účet. Vysvětluje jí, že se nesmí "za žádnou cenu" přihlásit do svého internetového bankovnictví, naopak mu musí po telefonu "ověřit" svoji platební kartu - což znamená nadiktovat mu veškeré údaje z ní a následně i bezpečnostní kód, který ženě dorazí formou SMS na mobil.
"Bohužel klienti se většinou leknou, kdo by se nelekl, a udělají přesně to, co po nich operátor chce," vysvětluje pro on-line deník Aktuálně.cz Martina Kadlecová z bezpečnostního IT týmu České spořitelny.
V nahrávce žena začne podvodníkovi svoje údaje z platební karty skutečně diktovat. Těsně předtím, než udá číselný kód ze zadní strany, ji ale zadrží manžel. "Neříkej mu to," vyhrkne na ni. S útočníkem pak telefonní hovor razantně ukončí.
Telefonních útoků přibývá
V tomto případě měla klientka štěstí, Česká spořitelna ale potvrzuje, že není výjimkou - s vishingem se v poslední době její klienti setkávají často. Bohatou zkušenost s ním má také většina ostatních bank v Česku.
"Poslední měsíce se klienti bank na českém trhu s tímto typem podvodu setkávají více než kdy dříve," potvrzuje například Roman Macháček z komunikace Air Bank. "Bohužel se setkáváme s tím, že někteří klienti tyto údaje neznámému volajícímu opravdu předávají, a dokonce i potvrzují platby, které oni sami nedělali," varuje.
Banky svým klientům přitom opakovaně vysvětlují, jak s osobními údaji nakládat, a dlouhodobě také upozorňují, že by za žádných okolností nikdy neměli:
- instalovat do počítače programy na základě telefonního hovoru
- povolovat vzdálený přístup do počítače cizí osobě
- potvrzovat transakce, které zadá někdo cizí
- sdílet autorizační SMS kódy
- předávat přihlašovací údaje nebo údaje k platební kartě
Nárůst pokusů, při kterých se podvodníci snaží z klientů vylákat informace o platebních kartách nebo autorizační kódy pro potvrzení platby, nyní registruje i Moneta Money Bank.
"Klienti nám při popisu podezřelých telefonátů sdělili, že volající věděl některé informace o jejich platební kartě, například posledních šest číslic nebo zůstatek na účtu a základní informace o klientovi (bydliště, telefon). Z uvedeného usuzujeme, že informace mohli získat od napadené třetí strany, například e-shopu. Dále často uváděli, že volající nehovořil spisovně a měl znatelný východní přízvuk," popisuje pro on-line deník Aktuálně.cz bezpečnostní analytik banky Jakub Ptáčník.
Klienti jsou ale podle Ptáčníka obezřetnější než v dřívějších letech. A v případě pochybností kontaktují banku pro ověření informací. "Sofistikovanost útočníků se však neustále zvyšuje a někteří klienti se i tak občas stanou obětí podvodníků," upozorňuje.
Oproti tomu třeba Raiffeisenbank eviduje od začátku letošního roku jen pár případů vishingu. "V těchto případech ani nedošlo k žádné škodě," doplňuje manažerka komunikace Petra Kopecká.
Před vishingem koncem letošního dubna varoval také Národní úřad pro kybernetickou bezpečnost (NÚKIB). "Bankovní instituce po svých klientech nikdy nechtějí po telefonu sdělit citlivé údaje ani potvrdit převod financí. Důrazně doporučujeme nikdy nepotvrzovat platby, které jste sami nezadali. V případě, že si nejste obdrženým hovorem jisti, doporučujeme zavěsit a zavolat zpět na známé číslo klientské linky," varuje úřad.
"Podezřelé hovory doporučujeme ohlásit na Policii ČR a v případě orgánů a osob spadajících pod regulaci zákona o kybernetické bezpečnosti také NÚKIB," uvádí dále úřad.
Podvod za miliony korun
Čeští kriminalisté řeší v posledních měsících desítky podvodných telefonátů se škodami v řádu milionů korun.
"Tento typ podvodného jednání je nebezpečný zejména v tom, že falešní pracovníci bank mohou již před hovorem nejenom znát různé informace o osobách, které kontaktují, ale hlavně při hovorech užívají tak zvaný spoofing telefonního čísla, při kterém dokážou napodobit jakékoliv telefonní číslo, včetně infolinek bank," potvrzuje tiskový mluvčí Policejního prezidia ČR Ondřej Moravčík.
Policie podle něj dokonce zaznamenala případy, při kterých oběť telefonicky kontaktují další osoby, které vystupují jako policisté. "S cílem ujistit o pravdivosti tvrzení ohledně napadení bankovního účtu a nutnosti převodu peněz na 'bezpečný' bankovní účet dle předchozích instrukcí domnělých pracovníků bank," dodává mluvčí.
Pokud má člověk pocit, že podvodníkovi naletěl, měl by urychleně svou banku kontaktovat. Cesta ukradených peněz zpět na majitelův účet ale není snadná ani jistá.
"U transakcí platebními kartami se každá případná reklamace posuzuje individuálně. Šance získat zpět odcizené prostředky je vždy, výsledek reklamace záleží mimo jiné na tom, zda klient transakce potvrzoval (PINem, mobilním klíčem v bankovní aplikací, atd.), o jaké transakce se jedná a z jakého důvodu klient transakce reklamuje," vysvětluje Vladimír Tysl z týmu bezpečnosti klientských transakcí České spořitelny.
"Zohledňuje se například i to, zda klient neporušil pravidla pro použití karet (karta je nepřenosná). Obecně je vhodné kontrolovat pohyby na účtu a případné nesrovnalosti řešit co nejdříve," upozorňuje Tysl.
Vishing není jediným podvodem, který se v poslední době množí. Podle České spořitelny přibývá i případů, kdy klient poskytne údaje z platební karty v rámci transakce na různých bazarových portálech. " 'Zájemce' nabízí poslání peněz přímo na kartu prodávajícího, jen potřebuje potvrdit připojení karty," upozorňuje Kadlecová.
U platebních karet je aktuálně hrozbou vylákání karetních údajů a následně zmanipulování klienta k potvrzení tokenizace karty - tedy přidání platební karty do mobilního telefonu, tabletu či hodinek pro platby a výběry.
Samostatnou kapitolou je falešné investování, kdy se klienti nechají zlákat reklamou na internetu či e-mailem, který slibuje rychlý a snadný výdělek formou investice do kryptoměny.
Tyto podvodné reklamy lákají na celebrity a velké peníze. Tváří se přitom jako věrohodné investiční či zpravodajské servery a na nich se také často objevují. Jiné zase slibují třeba neuvěřitelně rychlé zhubnutí. Ve výsledku ale podvodné reklamy z uživatele jen vytáhnou osobní údaje či peníze. Nejde přitom o výjimku - od konce loňského roku jich naopak přibylo. Spolehlivá blokace takových podvodných reklam je přitom podle IT expertů velmi obtížná.