Co se děje a jak postupovat při bankovních podvodech

Nedávno se tu o tom psalo: Vyděšená paní po telefonátu podvodníka klikla na zaslaný odkaz v SMS a ani její manžel ji v tom nezabránil. Stane se. Ale nečekejte ode mne hlášky typu o hlupácích, odebrání volebního práva, IQ na úrovni automatické pračky a tak. S trochou empatie to vypadá poněkud jinak.

Šlo zřejmě o nováčky, kteří se s touto bestiální kriminalitou možná nikdy nesetkali, tedy myslím, osobně nesetkali. Číst o tom mohli stokrát, ale v reálu je to sakra jiné. Stres je prevít a dokáže nás nepěkně zaskočit, to musíme uznat všichni. Dopadlo to tak, jak muselo - skoro milion v tahu a oči pro pláč.

To, o čem tu budu psát, jsou už jen následky vašeho konání. Ozve telefon, s tím, že vaše peníze v nebezpečí a kdesi, cosi. Tak, pokud mohu radit, tak hned zavěste, ačkoli na mobilu svítí jasně, že je to vaše banka, ale to číslo je na 99,9% podvržené. Zavěsili jste? Pak už to nemusíte ani číst, nebo jen tak ze zájmu, udělejte si k tomu kávičku. Vy, co jste vyslechli a provedli, co na vás bylo požadováno, čtěte. Je to asi jediné, co vám zbývá.

Vyslechli jsme tedy rady a bláhově uvěřili. Na něco jsme klikli, něco otevřeli. Podvržená URL, tedy internetová adresa v odkazu na podvodné SMS, e-mailu, následně zaslané podvodníkem. Číst umíme, písmenka a čísla znáte. Počítač také, tak o  co vlastně jde? Jmenobanky.cz.

Dejme tomu, že vaše banka má internetovou doménu Jmenobanky.cz (uvádím pro jednoduchost jen doménu samotnou a navíc smyšlenou). Otevřeme SMS (v případě počítače e-mail) s tou děsivou zprávou, co máme dělat, aby naše úspory nepřišly k úhoně a vidíme jmenobanky.cz - stres pracuje a klikneme na to. Je to odkaz do banky, tak o co jde? Ale ono to jaksi naše banka nějak nebude, to však nějak nevíme. Proč?

Ale tady je hned jakási nehezká pastička; počítač to vidí trochu jinak. Dost jinak a my, jako člověk obecný, můžeme ošklivě narazit. Počítač jako stroj, na to má svůj postup. Cokoliv naklepeme do klávesnice nečte, v lidském smyslu to ani neumí. Má na to binární kód, v tom je doma. Pro člověka znalého, se kterým se jako stroj (sice s mírnou nechutí) kamarádí a člověk znalý má nutkání se v tom vrtat, nabídne ASCII kód. To, aby se ten člověk, jež binárně nemyslí (jak ošklivé), nemusel hrabat v Assembleru, jež User Friendly není ani náhodou. A tady je ten zakopaný pes…

Věc se má totiž takto: odkaz vede na doménu jmenobanky.cz - vypadá to celkem normálně. Ale! Litera j má v ASCII kódu hodnotu 106, J pak 74. Počítač nezajímá, co se tam píše, ani co vám hrozí. Vidí - tedy ten počítač, malou literu „j“ v doménovém jménu a koná. Konal by stejně, i kdyby by byla doména správně, tedy s literou „J“. Rozkaz zněl jasně - otevřít zadanou doménu. Pokud doména neexistuje, vyhodí hlášku, že se cosi nepovedlo nabídne řešení a tím považuje věc za vyřízenou; když se povede, doménu otevře. A dějí se věci. jmenobanky.cz není vaší bankou. Je to sice stejně znějící (pro člověka) ale nikoliv pro počítač; pro něj je to pouze jiná, ale k lidské smůle podvržená doména. a na této se nám objeví stránka banky. Podvržená, pochopitelně.

Vsuvka: Někdy je to ale k něčemu dobrý; píšete kupříkladu důležitý e-mail komusi v Německu, německy pochopitelně. Narazíte na potřebu napsat ostré „S“. Na vašem českém počítači tato klávesa však není. Kde tento znak vzít a nekrást? ASCII kód ostrého S je 0223. Podržte levý Alt dejte tam to numero, po zadaní levý Alt pustíte. A vida! Máte ho tu. Viz: „ß“ a můžete už klidně napsat slovíčko ßtrasse, třeba. Chce to ale mít numerickou klávesnici, na stolním počítači běžnou, ale na většině notebooků není, ale zpět k podvodníkům.

Lze je dle libosti „upravovat“, protože fantazii mají podvodníci bohatou. Jaké psí kusy s doménami bank na internetu tito gauneři provádějí, je snadné se přesvědčit, často se o tom píše. Pouze tu doménu zde zmíněné banky Jmenobanky.cz podvodník použít nemůže, doménové jméno je totiž, jako u všech domén registrované, tedy unikátní (zde v článku jen hypoteticky). Použije tedy jmenobanky.cz to je možnost, zachovat jméno bankovního domu a českou národní doménu. Dá se, třeba, použít Jmenobanky.com (vypadá to také hezky, navíc zde útočník prasí v doméně prvního řádu, tedy doméně tzv. národní. (Tu změnit ale nemůže, pouze ji v nouzi zamění za jinou). Útočník pak musí změněnou doménu normálně zaregistrovat, aby byla funkční a mohl tam řádit. Pokud tato kombinace volná není, použije jiné národní domény, třeba .sk .pl .de .au .fr a tak dále. Ke smůle okrádaných a to dost často, na nějakou volnou kombinaci trefí. Ale stále je to však podvržená doména.

Vývoj věcí dalších už je jasný. Falešné stránky vaší banky, event. rovnou internetového bankovnictví této. To zpravidla hned po zadání vašeho pin spadne, nebo se dokonce i normálně zavře, ovšem do původní (tedy falešné bankovní stránky). Bohužel, zloděj má už vaše PIN. Pomocí této rutiny jste mu jej sami poslali. Jak se ale ten dobytek dozví, kterou banku máte? Často velmi snadno. Zpravidla psychicky zpracovaná a vystresovaná oběť mu to vyklopí při telefonátu sama. Navíc, podle oblasti „zájmu“ mají hackeři připravené celé sady stránek velkých bank a spořitelen v napadené oblasti. A to velmi dokonale padělaných. Nebýt „cinknuté“ domény, jsou téměř k nerozeznání. Smutné, ale je to tak.

Další chuťovky co na vás útočník má, mimo armády virů a dalšího neřádstva, jsou pak programy vzdálené správy, podobné programu Team Wiewer a jeho klony. Legální (a placený) Team Wiewer, který používají například administrátoři firemních sítí, má tu milou vlastnost, ohlásí totiž na vašem monitoru hláškou, že máte návštěvu. V práci jste se s tím jistě setkali. Asi podnikový admin, či síťař, pokud už vám ovšem nevolal, že bude cosi na vašem stroji ladit, což ostatně i vidíte. Doma je to už horší, admin vaší firmy to určitě nebude, pohroma to je. Větší o to více, pokud se pokoušíte zrovna něco platit, spíše už hasíte požár - zřejmě jste spadli už do maléru, popsaného výše. Zde útočníkem použitý program vzdálené správy se už pochopitelně neohlašuje, je hackerem upravený. Útočník navíc vidí na svém monitoru vaši plochu, defacto vlastně sedí u vašeho počítače. A taky jej plně ovládá. A pokud zná klíčová hesla, je zle.

Poznat se to ale dá; přestává vás poslouchat myš, jakoby se o ni s někým perete. S kým asi? Hádejte. Nemusíte se ani moc namáhat. Je to ten milý pán, co vám volal, že vaše prachy jsou v ohrožení, nebo někdo z jeho vypečené party. Ač je to k nevíře, teď už skutečně v ohrožení doopravdy jsou.

Jak z toho ven? Je to dost nepěkná prasárna, (u stolních počítačů i notebooků, ale účel světí prostředky). Ale pozor! Myš skutečně může zlobit, u bezdrátové myši může docházet baterie. Než provedete tuto exekuci, skoukněte svítící okénko myši, zda tam není smetí, pro jistotu jej profoukněte. Pokud okénko nesvítí vůbec, může to být zřejmě i planý poplach, problém je asi v myši samotné, u bezdrátové došla baterka. V tomto případě (pouze u notebooku) by ale měl touchpad fungovat normálně, pakliže je aktivovaný, pochopitelně. Pokud vám ale někdo krade kurzor i tam a navíc na svém monitoru (displeji) pojednou vidíte to, co byste zoufale nechtěli vidět, jednejte!

Mobil, jako takový, je na tom ale celkově hůře. Útočník, na rozdíl od počítače, se do něj dostává o něco málo snáze, je často trvale zapnutý (velká výhoda pro agresora), pokud si důkladně neprohlédnete odkaz v nastrčené SMS, po otevření je adresní řádek na mobilu je špatně vidět a většinou nikdy celý. Takže nevidíte za doménou charakteristický řetězec znaků věštící následné spuštění velmi ošklivé rutiny, či skriptu, zpravidla v jazyce PHP, či jiném. Ti sofistikovanější lupiči vkládají tento řetězec přímo do zdrojového kódu stránky samotné, takže ať koukáte, jak chcete, nevidíte nic špatného. Máte-li alespoň nějaký antivir, někdy se tento ozve. Pokud jej ovšem na jeho aktualizaci kašlete, nestane se často ani to. Zareaguje-li antivir, je to pro vás ta poslední šance. Vyhodí hlášku. Zpravidla tam bývá odkaz samotný a dále pak: „Toto je škodlivý odkaz! Chcete jej přesto otevřít? ANO/NE“ Když antivir mlčí, nebo jej nemáte a když máte, i přes jasné varování kliknete na ANO, pomodlete se, pokud to umíte. Tohle vám už natahá do vašeho přístroje další zrůdnosti, co ten zloděj potřebuje. Dílo zkázy je hotovo během chvilky (to platí i pro počítač). Jistě, nemusí být ani hned nic znát, ale váš stroj je už plný digitálního hnoje. Pak už je to jen otázka nedlouhého času. A že to bude sakra fofr, uvidíte sami, až k tomu dojde.

Pan Hašek promine, tohle fakt na na nastalou situaci sedí. Ano válka bude! Tedy digitální válka. Máme sice malou naději, že to pirátovi nandáme, ale není zbytí. Sešikujme se k boji. Je to surové, ale nutné, tedy:

1. Stolní počítač: Vytáhněte elektrickou šňůru ze zásuvky, počítač zvadne během vteřiny, váš operační systém (většinou Windows) vás strašlivě prokleje. Při troše štěstí se změny a instalace provedené útočníkem na vašem počítači, nezapíší do jeho registrů. Možná (to musí být ale velká klika), z toho vyváznete bez ztráty květiny. Opětovný start po této lobotomii může být normální a taky nemusí. Windows, kterých se toto asi nemile dotklo, možná vyhodí tmavou stránku nouzového režimu s tím, že systém byl nestandardně ukončen a několik možností opětovného startu. Dejte normální start, většinou to projde. Pokud ne, měl by vám někdo, kdo tomu rozumí, pomoci. V nouzi nejvyšší servis. Zde vám ale navíc počítač odvirují, pokud je třeba a prohlédnou, zda tam není něco, co byste tam chtít neměli.

2. Notebook: Šňůru nevytahujte. Vytáhnete-li, notebook odpoví ošklivým chvatem: Nasadí na vás svou baterii, většinou plně nabitou a jede klidně dál. Má ale (notebook) vypínací tlačítko. Stiskněte a držte. Heroický boj trvá o několik málo vteřin déle. Ale na toto však notebook nemá. Dále jako v bodě 1.

3. Mobil: Podržet vypínací tlačítko na boku. Mobil rezignovaně nabídne zřejmě dvě volby: Restartovat, nebo Vypnout. Vypněte. Mobilu je to jedno. Mobil je flegmatik. Trucovat při opětovném zapínání zpravidla nebude. Pokud chcete mít jistotu, servis. Tam vám jej ošetří, jako počítač v bodě 1.

Existuje také šetrnější metoda a také univerzální; vytáhněte ze sítě (elektrické) napájení routeru. výsledek je stejný, až na to, po následném normálním běžném vypnutí počítače, nebo notebooku, ten nainstalovaný neřád od útočníka už v něm zůstane. Je zapsaný v registrech a fertig, jak říkají Němci. Tedy počítač je infikovaný a servis vás stejně nemine, mobil nevyjímaje. Tady je (u mobilu) malá naděje - Android registry nemá. Jak je to u Ohryzku (Apple), nevím, tedy nemohu sloužit. Vypnutím tlačítkem však regulérně ukončil mobil běh svého OS, a když jste s ním tuto misi začali, a navíc na datech, či Wi-Fi, bude naváto i tam. Jedinou výhodou je to, že když zašlápnete router, úplně vše, počítač, mobil (pokud byl na Wi-Fi), chytrá domácnost, pokud ji máte, internetová TV, vše zmizí pirátovi během vteřiny z jeho mapy světa. S televizí pozor, zamrzne i tato a vaše paní, sledující romantický seriál (happyend je na spadnutí, už jsou u oltáře, hudba hraje, ona pláče), tak se dočkáte i strašlivého hromobití i od své drahé poloviny. Seriál ať vezme čert, proti útočníkovi jsme získali trochu cenného času. Zpět k problému.

Bitevní vřava spěje do finále. Když už jste to dovedli až do těchto konců, volejte okamžitě banku. Zapněte opět mobil, ale jednejte s ním tak, že je infikovaný, i kdyby třeba nebyl. Mobilní data nesmí být zapnutá, Wi-Fi jste naštěstí odstřelili spolu s routerem. Nevolejte ovšem z toho čísla, co máte v přijatých hovorech, když vám volal podvodník. Ten kontakt sice zpravidla vypadá jako číslo banky, ale je to jen numero na displeji. Vede neznámo kam. Volejte z kontaktů, kde máte skutečnou banku uloženou. Číslo ale znovu vytočte ručně. Když se mobil chová divně a hovor se nespojí, nechte toho, asi infikovaný bude. Toto je skutečně nouzovka, když jste sami a není jiný mobil po ruce. Ideální je telefon vaší paní, jestli ovšem s tím podvodníkem nezačala ona. Pakli ano, a vy jste v tom nevinně a vám nikdo nevolal, záchranné akce jsou na vás.

Měli byste, když vidíte, co se všechno na internetu děje (píše se o tom denně, v rádiu a v televizi se o tom mluví). Tedy zavolejte si do svojí banky. Poptejte se kam a jak volat, kdyby vaše bankovnictví by bylo mimo hru, kam volat pro okamžitou blokaci karet a účtů. Pokud tento článek čtete, udělejte to hned! Počítejte s tím, že když se to doopravdy stane (nepřeji to nikomu), nebudete muset zoufale improvizovat, hledat potřebné doklady a karty a  získané kontakty si uložte. To platí i pro vaši paní.

Dobře, stalo se a lítáte v tom. Na hotline vaší banky jedou zpravidla v režimu 24/7, takže se dovoláte většinou vždy. Ozve se robot, oznamte útok. Vyžádejte si nekompromisně živého operátora. Tomu pak tu hrůzu řekněte. Počítejte s tím, že nastane ověřování (voláte na veřejné číslo banky). Ověření proběhlo, operátor se optá na okamžitou situaci, vaší tedy. Asi nabídne blokaci účtu, což je jediné možné řešení, pakli je možné ještě co blokovat. Blokujeme tedy. Pokud máte u této banky i identitu, sdělte mu to, ale to už většinou on ví. Připravte se na to, i když to skončí happyendem (doufejme), čekají vás problémy.

Když to dopadlo dobře (doufejme) a o prachy jste nepřišli, což bych vám přál, budete asi do doby, než to banka pořeší, platit hotově. Hned, jak je to možné, zajděte na pobočku banky a poraďte se z bankéřem, zda by bylo možno platit kartou, tedy alespoň vybírat z bankomatu. Když je blokace stále platná, vybírat se bude asi na přepážce. A také nepříjemné ověřovací kolečko tamtéž. Když bude jaksi, co vybírat, dá se pak říci, že jste vyhráli.

Váš počítač i mobil by měl jít do servisu, bude zřejmě nakažený. I kdyby ne, tak pro jistotu. Pokud něco najdou, opraví to. Dejme tomu, že vše dopadlo dobře. Účet máte již v pohodě, blokace skončila, je to na dobré cestě. U mobilu se ale může stát, když jím platíte (tedy platili jste před útokem). NFC, tedy systém kontaktní platby, asi při útoku též něco schytal. Spíše jde jen o softwarové poškození, na tento systém se útočí trochu jinak, když už. Potíž se pozná snadno. Mobilní peněženka vám vypoví službu. Vypadne na vás hláška, že telefon nesplňuje to a to. V tom lepším případě to spraví reinstalace digitální portmonky. Když nepomůže, zbývá už jen tovární nastavení. To je ale dost šmucig operace. Přijdete o všechna data v telefonu, kontakty, oblíbené doinstalované aplikace, o vše co jste si tam pracně nastrkali. Pokud zálohujete, nebolí to tolik, většinu věcí zachráníte. Když ani to nepomůže, servis nebo jedině nový telefon.

Banky vklady pojišťují. I ta moje tak činí. Jako každá pojištění, i tato mají tzv. výluky. I když jste při výše popisovaném útoku měli štěstí a nedošli újmy (což nebývá tak často), sjednejte si schůzku s bankéřem. Vysvětlí vám to. Protože většinou se stane, že skutečně vážně porušíte podmínky smlouvy s bankou a hrubé pochybení při pishingovém útoku tím bývá vždy, nedostanete asi nic. Řekne vám jasně, co máte dělat a jak se zachovat. Vybrání velké částky v hotovosti a následné naházení do bitcoinmatu (dle pokynů zloděje), je jeden z mnoha ukázkových příkladů, kdy nedostanete zpět ani haléř.

Zloděj tedy internetový, bankovní, si musí, i tu podvrženou doménu, jak řečeno výše, použitou k nekalým rejdům, zaregistrovat. Když chce tedy krást. Sám jsem majitelem domény velmi zvučného jména. Takže vím, co registrace domény obnáší. Registrátor o vás ví hodně. Adresa, telefon, e-mail, snad jen číslo bot nechtěli. Tak o co jde? Co dělá tedy Policie? Snaha je, ale boj je marný. Doménu hackeři zaregistrují jinde a na falešné doklady a jméno. Pokud používají mobily, hovory jsou často přesměrovány. Jsou to vždy předplacenky a komunikace je vždy mezi členy zlodějském gangu opatrná, ve stylu: Dneska bylo hezky, výlet byl kouzelný. Tak nějak. Někdy si pronajmou na pár dnů byt (padělané doklady), královsky panu domácímu zaplatí. Inu, jsou turisté, bohatí a objíždějí Evropu, může to být i mladý pár. Stačí jim ani ne týden a je vyděláno. Peníze, tedy peníze okradených, jdou do bank třetího světa a většinou na kryptoměnové účty. Ty jsou nedohledatelné, jak víme. Oběti je tam navíc často posílají samy. A podvodné domény vznikají a zanikají denně a po tisících. A blokovat je? Ano jde to. Pět jich zablokujete a za chvíli je tu padesát nových. Co s tím může dělat policie? Už to vidím v diskusi. Namítnete, že zavoláte, že někde odpálíte bombu. A zásahovka vám do chvilky vykopne dveře. Ano, zásahovka zakročí. To je ale jiná liga. Ohlášení pumového útoku se totiž podstatně liší od: Dneska bylo hezky, výlet byl kouzelný. Dokázali byste toto vyšetřit? Nebo pozastavit a zajistit bitcoinový účet? Moc toho zatím udělat nejde. Policisté mohou zatím velmi málo. Nahlásíte číslo. Je podvržené, doména též a hackerův e-mail, pokud jej máte? Podvržený, dokonce padělat e-mail je o řád jednodušší, než padělat telefonní číslo. Jak zahájit pátrání? Co jim můžete konkrétně říci, jako hmatatelný fakt? Mimo toho, že jste byli okradeni? Nic.

Smutná otázka. Možná zpřísnit registraci domén. Zvláště těch, jež registrovány byly a dostávají v dalších registracích jen nové mutace drobnou záměnou jednoho, dvou znaků. Ale to je nadlidský a stále neproveditelný úkol, vyžadující počítače o velkých výkonech a kapacitě pamětí. Doménu prvního řádu, tedy národní, měnit a registrovat naštěstí nelze. Lze jen navrhnout novou a to může jen národní registrátor. Alespoň to. Navíc v některých státech, hlavně rozvojových, je legislativa, nejen v internetová, v takovém stavu, že je to k pláči. Takže jen toužebné přání. Je to tak, internet nám přerůstá přes hlavu. Snad to nějak ustojíme.

Autor je dnes senior a důchodce, vychází ze zkušeností své mnohaleté práce administrátora vzdálených serverů jedné, poměrně velké a dodnes prosperující firmy. Jsou to pouze jeho pracovní zkušenosti a zkušenosti ze současného běhu internetu a chování jeho uživatelů. Jmenobanky.cz je dodnes bankou, které je věrným klientem. Pochopitelně její jméno a doména je z důvodů ochrany klienta a banky fiktivní. Pokusil jsem se to napsat pokud možno pro seniory, s minimálním použitím odborné omáčky a vyloučením citace zdrojových kódů. Jde mi jen o to, pomoci.

Prameny:

Pokud chcete odkaz, stačí si otevřít stránky vaší skutečné banky, kde najdete mimo jiné i bezpečnostní pokyny, jak pracovat s jejím internetovým bankovnictvím, tedy tím co používáte, identitou, pokud ji tam máte a další pokyny k ochraně vašich peněz. Každá banka to má trochu jinak a je dobré si to přečíst. Pokud se jedná přímo o bankovní a internetové peněžní a investiční podvody, zažil jich autor dost. Na některé drobnosti větně ASCII tabulky jsem použil Wikipedii. Jestli jste to dočetli až sem, díky.

https://cs.wikipedia.org/wiki/ASCII