Článek
Elišce z Plzně přišla SMS, která na první pohled vypadala jako zpráva od Ministerstva práce a sociálních věcí. Psalo se v ní, že si může vyzvednout příspěvky na bydlení. Odkaz zadala do prohlížeče a přihlásila se přes Bankovní identitu. Několik minut po přihlášení jí zavolal muž, který se představil jako pan Novotný z „bezpečnostního oddělení České spořitelny“. Vysvětlil jí, že klikla na podvodný odkaz a má napadený účet. Řekl jí, že musí okamžitě jít k bankomatu a vyzvednout si kód pro záchranu účtu. Celou cestu k bankomatu s ní zůstal na telefonu. U bankomatu si vytiskla lístek s kódem a nadiktovala ho falešnému bankéři. Přidala i SMS kód, který mezitím dostala. Odjela domů s pocitem, že účet zachránila. Druhý den jí skutečný pracovník banky sdělil nepříjemnou zprávu, přišla o 160 tisíc korun.
Paní Eliška se stala obětí nového způsobu podvodů, které kombinují technické triky s psychologickou manipulací.
SMS podvod
Podvodné SMS zprávy se nejčastěji týkají příspěvků na bydlení, dávek nebo podobných sociálních podpor. Zprávy se tváří jako oficiální komunikace od České správy sociálního zabezpečení, Ministerstva práce a sociálních věcí nebo dalších státních institucí, upozorňuje Česká spořitelna.
Odkaz ze zprávy vede na podvodnou stránku, která je podle banky k nerozeznání od pravé přihlašovací stránky k Bank iD. Falešné stránky vypadají přesně jako ty pravé. Kopírují design, barvy i písma oficiálních portálů až do nejmenších detailů.
Po přihlášení do podvodné stránky následuje druhá fáze útoku. Během několika okamžiků zazvoní telefon. Volající se představí jako zaměstnanec banky, často přímo jako bankéř. Na displeji se přitom zobrazí oficiální číslo banky, takže oběť nemá důvod pochybovat o pravosti hovoru.
Aktivační kód a kompletní přístup k účtu
Banky varují, že aktivační kódy se zadávají jen do oficiční mobilní aplikace nebo internetového bankovnictví. Nikdo jiný by je od vás neměl vyžadovat. Když vám někdo tvrdí, že potřebuje váš aktivační kód třeba kvůli zablokování účtu, rozhodně se jedná o podvod.
Útočníci spoléhají na to, že aktivační kódy patří k běžným službám bank. Klienti je znají, dostanou je z bankomatu, na pobočce nebo přes infolinku, když si nastavují nové zařízení, obnovují heslo nebo mění limity plateb. V takové situaci člověk nemá důvod pochybovat, protože kód dostává i při zcela běžných úkonech. Když pak zazvoní telefon a volající se představí jako bankéř, mnozí mají pocit, že jde jen o rutinní krok. Stačí málo a lidé kód ochotně předají, přesvědčení, že právě chrání svůj účet.
Účet prázdný během 5 minut
Co se stane, když útočník získá aktivační kód? Během 5 minut má k dispozici váš celý bankovní účet. Kód mu stačí k tomu, aby si aktivoval internetové bankovnictví ve vlastním zařízení. Odtud už má stejné možnosti jako vy. Může si založit virtuální karty, změnit si limity nebo poslat vaše peníze kamkoliv. Často nakupuje přes internet nebo si vytvoří virtuální kartu a vybere z ní hotovost. Celý proces proběhne během několika málo minut, aniž by si toho oběť všimla.
Podobný osud potkal 35letou ženu z Karlovarska. Útočníci jí tvrdili, že má schválený úvěr, o který nikdy nežádala. Na základě jejich instrukcí převedla na cizí účet přes 280 tisíc korun.
Zneužívání bezkontaktních plateb
Vedle zneužívání aktivačních kódů sahají podvodníci i k pokročilejším metodám. Pražští policisté zadrželi 22letého cizince, který používal bezkontaktní technologii k okradení obětí. Policie zjistila, že začíná SMS zprávou o přeplatku na daních s odkazem na podvodnou stránku.
Podvod pokračoval stažením falešné bankovní aplikace. Podvodník přesvědčil oběti, aby k telefonu přiložili svou platební kartu. Pak je přesvědčí, aby přiložili svou platební kartu k telefonu, údajně kvůli bezpečnosti. Ve skutečnosti aplikace „zkopíruje“ informace z karty a pošle je podvodníkovi. Ten pak může u bankomatu vybírat peníze, jako by měl kartu u sebe.
Policisté u zadrženého našli více než 160 tisíc korun v hotovosti. Z karty poslední oběti přitom vybral jen necelých 40 tisíc, což naznačuje, že během dne stihl okrást i další lidi.
WhatsApp podvod
Podvodníci hledají nové způsoby získání důvěry. Nejnovějším trendem jsou útoky přes WhatsApp. Marek Macháček z Komerční banky varuje, že útočník získá kontrolu nad účtem a zneužije kontakty k získání peněz.
Trik funguje jednoduše. Podvodník pošle známé osobě zprávu s různými záminkami, například s prosbou o pomoc při hlasování pro mladou talentovanou dívku s možností výhry stipendia. Po kliknutí na odkaz a zadání ověřovacího kódu získává přístup k WhatsApp účtu. Poté využije seznam kontaktů a rozesílá žádosti o finanční pomoc. Protože zprávy přicházejí od důvěryhodné osoby, lidé často posílají peníze bez ověření.
Jak na lidi zabírá strach
Podvodníkům se daří tak často proto, že nespoléhají jen na technické triky, ale hlavně na schopnost využít lidské chování. Národní úřad pro kybernetickou a informační bezpečnost připomíná, že podvodníci těží z toho, jak lidé přirozeně uvažují a rozhodují se. Psychologové tyto zkratky v myšlení označují jako kognitivní chyby úsudku.
Podvodníci dobře vědí, že nejslabším článkem zabezpečení je vždy člověk. Využívají toho, že lidé nereagují podle předem daných pravidel, ale rozhodují se podle svých zkušeností, znalostí a pocitů. Díky cílené manipulaci pak oběť přesvědčí k věcem, které by za běžných okolností nikdy neudělala.
„Podvodník používá manipulativní techniky, aby vás přiměl jednat okamžitě. Může tvrdit, že pokud nepřevedete peníze hned, přijdete o vše. Často vás také žádá, abyste nikomu jinému o situaci neříkali,“ popisuje policie typické postupy.
Klíčovou technikou je vytváření časového tlaku. Zloději rádi pracují s časovou tísní. Tvrdí, že je nutné jednat okamžitě, jinak bude pozdě. Tento nátlak nutí lidi k unáhleným rozhodnutím bez možnosti vše si rozmyslet nebo poradit se s někým dalším.
Pavel Šašek z Komerční banky vysvětluje psychologickou stránku útoků: „Jelikož s vámi komunikuje někdo, koho znáte, máte v kontaktech nebo máte i starší otevřenou konverzaci v aplikaci, oběť tak snadno uvěří, že jí například píše kolega, kamarád nebo příbuzný, kteří potřebují okamžitě nějaké peníze.“
Lidé často bez váhání uvěří autoritám a právě na tom útočníci staví. Když se někdo představí jako pracovník banky nebo úřadu, oběť má pocit, že jde o důvěryhodnou osobu, a sdělí i citlivé údaje. Následně přijde zastrašování, kdy volající tvrdí, že účet je napadený a hrozí ztráta všech peněz.“
Co dělat, když vám vykradli účet
Když vám někdo volá a tvrdí, že je z banky, neměli byste mu automaticky věřit. Nejlepší je zavěsit a zavolat si sami na číslo, které najdete na webových stránkách banky nebo na své platební kartě. Pouze tímto způsobem zjistíte, zda šlo opravdu o pracovníka banky. Důležité je vědět, že žádná banka nikdy nepožádá o převod peněz na jiný účet.
Pokud se stanete obětí podvodu, měli byste jednat rychle. Doporučuje se okamžitě zavolat do banky. Banka umí účet rychle zablokovat, aby zamezila dalším převodům. Následně je vhodné jít na policii a podat trestní oznámení. Policisté doporučují zjistit si také to, z jakého bankomatu podvodníci vaše peníze vybírali. Tyto údaje usnadní policii pátrání a mohou vést k dopadení pachatele.
Může se to stát každému
Podle policie přicházejí každý rok o peníze tisíce lidí. Často jde o celoživotní úspory.
Policie to shrnuje stručně: „Takovýmto případům lze však snadno zabránit tím, že nikdy nebudete zadávat své údaje k platebním kartám nebo k mobilnímu bankovnictví do neověřených aplikací, nebo je nebudete komukoliv sdělovat po telefonu.“
Obětí se může stát kdokoli. Podvodníci necílí jen na jednu skupinu. Stejně snadno oklamou mladé lidi i seniory a jejich vystupování často působí naprosto důvěryhodně.
