Článek
Zhruba před měsícem mi přišel e-mail od jedné zásilkové společnosti s předmětem „Doručení vaší zásilky na počkání“. Firma mne informovala o tom, že u ní mám jeden balíček čekající na doručení, protože mne nezastihla. Odesilatel mi poskytl kód, skrze který jej mohu sledovat a naplánovat si vyhovující doručení. Pokud kliknu na kalendář v jejich odkazu a zaregistruji se, mohu předejít tomu, že se situace bude opakovat. To je od nich vstřícné, je vidět, že zlepšují své služby, řeknete si. Možná bych si to pověděla i já, tedy pokud bych toho v poslední době nečetla tolik o sofistikovaných internetových podvodech.
Zásilku převzatou onou společností jsem ten den skutečně čekala (a to mi daná firma předtím nic nedoručovala několik měsíců) a e-mailová adresa nevzbuzovala žádné podezření - měla správný formát a odkazovala skutečně na klientské oddělení, které s adresáty během doručování obvykle komunikuje. Zvláštní bylo jen to, že onen balíček jsem si objednala na výdejní místo a nikoliv na adresu svého bydliště. Pro jistotu jsem tedy e-mail s žádostí o ověření jeho pravosti přeposlala doručovací službě. A udělala jsem dobře. „V současné době skutečně evidujeme podvodné jednání, které na první pohled vypadá jako e-mail od XY. Tyto e-maily nemají žádnou souvislost se službami XY. Jedná se o pokus podvodníků, jak z vás vylákat vaše finance. Své osobní údaje, číslo karty ani bankovní účet rozhodně nikde neuvádějte. Pokud se tak již stalo, bezodkladně se obraťte na poskytovatele bankovních služeb s žádostí o blokaci karty a informace o dalším postupu. Pokud již vznikly nějaké finanční škody na Vaší straně, obraťte se prosím v této záležitosti přímo na Policii ČR,“ pravila firma v e-mailové odpovědi.
Haló, tady policie
Podobných pokusů o podvod se v Česku denně dějí nejméně tisíce. Zejména pro starší lidi je velmi těžké odlišit, kdy je kontaktuje skutečně nějaká firma či jejich banka a kdy jde o podvodníky. Velmi to ztěžuje tzv. spoofing. Ten jsem popsala ve své příhodě. Ten, kdo vás chce o něco připravit, s vámi komunikuje prostřednictvím e-mailu či telefonního čísla, které je reálné. Typickým trikem, který připravil řadu lidí o úspory, je situace, kdy vám zavolá váš bankéř. Tvrdí, že váš účet byl napaden a je třeba peníze převést do bezpečí. Vystraší vás, ale zároveň má po ruce spásná řešení. Ta mohou být různá. Někdy bude stačit, když mu po telefonu sdělíte informace o přístupových heslech ke svému účtu, jindy bude třeba peníze vybrat a vložit na účet vedený v kryptoměně. Abyste si mohli ověřit, že nejde o podvodníka, záhy se vám ozve člověk z banky nebo přímo policista. Oba pak slova prvního volajícího potvrdí. V tu chvíli historce uvěří i ti nejméně důvěřiví, protože telefonní čísla, ze kterých volají, patří skutečně vaší bance nebo Policii ČR. Vždyť jste si to právě ověřili na internetu! Nedávno se to stalo například jedné 78leté seniorce z Prahy, které „bankéři“ sdělili, že si někdo pokusil vzít úvěr na její jméno. Může si proto podle nich buď nechat zablokovat svůj účet, ale jeho odblokování prý může trvat sedm měsíců až sedm let, nebo své úspory vybere a prostřednictvím bitcoinmatu je odešle do centrály banky. Z pochopitelných důvodů zvolila druhou možnost a přišla tak bezmála o 5,5 milionu korun.
Na druhou stranu pozitivní zprávou je ta, že policie stíhá deset lidí, kteří se u nás dopustili zatím největšího podvodu tohoto typu. Zřídili si věrohodné call centrum, ze kterého klientům volali jako bankéři České spořitelny a další je pak kontaktovali ve falešné roli policistů. Za necelé tři roky jejich působení se takových skutků stalo celkem 803 a důvěřivce oloupili o více než 195 milionů korun.
Snadné maskování
Jak je ale vůbec možné, že nám někdo píše z jiného e-mailu nebo volá z cizího telefonního čísla, které patří bance, policii či jiné autoritě? Co se týče e-mailu, je to poměrně jednoduché. Stačí zfalšovat odesilatele zprávy v jeho hlavičce. Tu lze poměrně snadno upravit. Na vině je SMPT, což je jednotný nástroj pro zasílání e-mailových zpráv, který automaticky používají všechny služby tohoto druhu na světě. Ten nijak neověřuje, kdo e-mail odesílá ve skutečnosti. Pomáhají antivirové programy a další technologie. Jednou z nich je například DKIM, což je metoda ochrany založená na elektronickém podepisování hlavičky. Používá ji třeba Gmail.com a Seznam.cz.
Jinak to funguje u telefonních čísel. „V současné době vám kdokoliv může zavolat z čísla, které máte uložené například jako kontakt na svého právníka, bankéře, infolinku firmy, dokonce i jako číslo patřící třeba oddělení policie nebo jinému úřadu. Váš telefon vám řekne, že to tak je. A naopak, kdokoliv může volat komukoliv vaším jménem a použít při tom vaše osobní číslo! To je přece naprosto absurdní! Tohle by nemělo být vůbec možné,“ napsal nedávno copywriter Tomáš Dvořák na svůj facebookový profil a označil v dotazu na „velkou trojku“ českých operátorů. Jako jedinou možnost dva z nich označili jedině obezřetnost zákazníků, další oznámil, že právě chystá pilotní projekt, který by měl tento druh podvodů omezit.
Záměna je legální. Někdy
V současnosti je ale záměna telefonního čísla stále možná a operátoři to umožňují. Používají ji kupříkladu firmy, které mají více zaměstnanců a chtějí se svým klientům prezentovat jednotným číslem (třeba tím z reklamy). Skutečnou identitu telefonního čísla operátoři znají a pokud dotyčný volá z České republiky, dokáží ji snadno dohledat. Pokud jde o hovory ze zahraničí, a přesně odtamtud tito podvodníci volají, tuto možnost nemají. Operátoři se pokoušejí některá tato čísla blokovat, kupříkladu Vodafone uvádí, že blokuje hovory z českých pevných linek, pokud se pokoušejí dovolat ze zahraničí. U mobilních ale nemá ve chvíli, kdy je uživatel v roamingu, zjistit, zda jde o legitimní hovor či nikoliv.
Jediné, co tak operátoři, policie i Český telekomunikační úřad (ČTÚ) doporučují, je velká obezřetnost. „Podezřelý telefonát zavěste a v případě pochybností si jeho pravost ověřte přímo v bance. Institucím typu bank doporučujeme obracet se vždy na konkrétní klienty, kteří byli takovým jednáním postiženi, a požádat je o identifikaci jejich poskytovatele telefonní služby a konkrétních časových údajů o předmětném volání. Tyto informace by potenciálně mohl využít příslušný poskytovatel služby i v rámci spolupráce s Policií ČR ve snaze nalézt původce volání. Lze se také zabývat otázkou, kde útočníci získali informaci, že volaný cíl je klientem zrovna předmětné banky,“ uvádí ČTÚ na svém webu.
Musím přiznat, že i mne by zajímalo, jak je možné, že podvodníci věděli o tom, že mi má v daný den skutečně dorazit zásilka. Na náhody v takových případech totiž nevěřím.
Další využité zdroje:
webové stránky telefonních operátorů O2, Vodafone, T-Mobile
