archivní článek, informace již nemusí být aktuální

Více než polovina Čechů se podle České bankovní asociace (ČBA) stala obětí hackerského útoku, a to bez ohledu na jeho dokončení. Třetina pak zná někoho, kdo byl obětí dokončeného útoku. Častá reakce po zaslechnutí zprávy o podvedených z našeho okolí bývá v mírně přezíravém tónu, protože máme dojem, že nám by se to určitě nestalo. Podvody, které slibují výhru nového iphonu, nebo gramaticky nepříliš správný e-mail o srdceryvném příběhu nigerijského prince, jenž potřebuje vaši pomoc, aby se dostal ke svému dědictví, už jsou ale minulostí. Současní podvodníci totiž bývají sofistikovanější.

S hackerským útokem se nejčastěji setkávají lidé mezi 18 a 34 lety. V roce 2022 se s útokem setkalo 27 % Čechů. Podle České bankovní asociace se počet útoků za poslední dva roky zvýšil čtyřnásobně a průměrná škoda u dokončeného útoku je na jednoho klienta 162 tisíc korun. Útočníci nejčastěji cílí na získání přihlašovacích údajů, a to ve 40 % případů. Téměř třetina se pak snažila získat číslo platební karty a čtvrtina se zaměřila na osobní údaje, jako je například rodné číslo. Zájem byl také o heslo nebo PIN, a to ve 22 % případů.

Česká bankovní asociace (ČBA) ve spolupráci se svými partnery minulé září spustila celonárodní kampaň NePINdej, na jejíchž stránkách kybertest.cz si můžete ověřit své znalosti základních principů bezpečného chování na internetu. Po dvou měsících od spuštění kampaň přilákala téměř 54 tisíc lidí, kteří testem prošli v průměru se 70% úspěšností. Nejčastější typy podvodů už nejsou pouze po e-mailech nebo SMS, ale v poslední době se jedná také o telefonní hovory a podvodný prodej přes inzertní servery. ČBA nedávno spustila i obdobu Kybertestu pro mladší generaci. Kyberhra.cz cílí na žáky druhého stupně základních a středních škol, odborných učilišť a víceletých gymnázií. Mladiství jsou totiž snadným cílem. V kyberprostoru se pohybují velmi často, ale přesně nevědí, jak se v on-line prostředí bezpečně chovat.

Připomeňme si nejčastější typy podvodů a jednoduché rady, jak se podvodníkům ubránit.

Phishing
Podvodná technika používaná k získávání citlivých údajů v elektronické komunikaci se označuje phishing. Cílem těchto útoků je získání vašich citlivých údajů, například čísla platební karty, nebo stažení škodlivého softwaru do vašeho zařízení. Je nutné si uvědomit, že kupříkladu vaše banka by prostřednictvím e-mailu citlivé údaje nebo heslo do internetového bankovnictví nikdy nepožadovala. Dalším druhem phishingových e-mailů je předstírání známé autority – finančního nebo generálního ředitele nějaké společnosti s naléhavou potřebou uhradit fakturu nebo převést peníze. Podvodníci tohoto typu mají pečlivě nastudované detaily, a dokážou tak velmi autenticky předstírat, že jsou danou důvěryhodnou osobou.

Phishing útočí i prostřednictvím sociálních sítí. Nejčastější podobou je proniknutí do profilu a následné rozesílání zpráv s podvrženým odkazem přátelům. Útočník často ani nemusí do profilu proniknout, ale jednoduše napadený profil zkopíruje a lidem z adresáře odešle zprávu, která vypadá, jako kdyby byla odeslaná z pravého profilu. Zpráva často obsahuje žádost o peníze nebo podvodné linky, jejichž cílem je opět snaha získat citlivé údaje.


Zkontrolujte jméno a e-mailovou adresu odesílatele. E-mailová doména odesílatele by měla být shodná s názvem obchodní společnosti odesílatele e-mailu. To platí i pro název domény (to, co následuje po @). Na první pohled může vypadat v pořádku, ale ve skutečnosti může být překroucená, jinak napsaná.

Odpověď na e-mail může být totiž odeslána příjemci odlišnému od odesílatele. Tuto informaci najdete v detailech e-mailu pod odesílatelem jako „Reply-to“ neboli „Odpovědět na“. Pokud je to tak, ověřte i tuto adresu. Jinak mohou informace, které v odpovědi odešlete, skončit u podvodníka.

Zaměřte se na obsah a gramatiku. Pokud zpráva obsahuje neobvyklé fráze nebo gramatické chyby, může se jednat o podvodný e-mail.

Dejte si pozor na časový nátlak. Podvodný e-mail se často snaží navodit dojem, že je potřeba vykonat něco okamžitě, protože například došlo k zablokování bankovního účtu nebo je třeba obratem uhradit fakturu, jinak spadnete do exekuce.

Věnujte pozornost odkazům a přílohám. Pokud jsou v e-mailu nebo ve zprávě na sociálních sítích odkazy a přílohy, musíte být opatrní. Často vás zprávy můžou přesvědčovat, abyste klikli na odkaz nebo stáhli a otevřeli přílohu. Tyto přílohy však mohou sloužit k maskování virů nebo malwaru, které po stažení nebo otevření mohou vést buď ke ztrátě osobních údajů, nebo k instalaci škodlivého softwaru do počítače nebo telefonu. Pozor také na zrádné ikonky, tlačítka a obrázky, odkazy mohou být skryté právě pod nimi.

Webová adresa by měla být vždy shodná s oficiálním webem odesílatele. Předtím než kliknete na ikonku, najeďte na ni myší. Kompletní cílový odkaz se vám pak zobrazí v levém dolním rohu e-mailové aplikace nebo jako tip vedle kurzoru myši.

Smishing
Podvodných SMS v poslední době také značně přibývá. Velmi často se jedná o zprávy, které vypadají, jako by je zaslala některá z doručovacích společností nebo vaše banka. Úspěšnost podvodu je závislá nejen na kvalitě provedení, ale i na načasování – před Vánocemi nebo v období daňových přiznání. Odhalit podvodnou SMS přitom nemusí být tak jednoduché, jak se na první pohled zdá. Podvodníci totiž dokážou napodobit prakticky jakéhokoliv odesílatele zprávy a ta se vám tak může dokonce automaticky přiřadit do vlákna předchozí komunikace s daným subjektem. I v rámci podvodu přes SMS, tzv. smishingu, je dobré znát několik pravidel.


Pokud si pravostí zprávy nejste jistí, nereagujte na ni, zvláště pokud jde o výzvy k blokaci internetového bankovnictví nebo třeba zaplacení nedoplatku daně.

Nikdy si na základě výzvy nestahujte do telefonu aplikace a neklikejte na odkazy.

Pokud obdržíte SMS o doručení zásilky, ověřte si, zda nějakou zásilku opravdu očekáváte, a to na oficiálních stránkách přepravce nebo doručovací služby.


Vishing
Další úrovní jsou podvodné telefonáty – vishing – od údajných bankéřů, policistů nebo investičních poradců. Tento způsob je o to zákeřnější, že se jedná o telefonní hovor s živým člověkem. Podvodník se představí jako pracovník banky, policista, lékař aj. a na hovor se velmi dobře připraví – bude znát vaše jméno a adresu i číslo vašeho bankovního účtu. Pod záminkou napadení vašeho účtu, pomoci zraněnému příbuznému či ochrany vašich peněz po vás bude opětovně chtít různé přihlašovací a citlivé údaje nebo potvrzovací SMS, jejímž cílem není nic jiného než vás připravit o peníze. Před dvěma lety se počet vishingových podvodů pohyboval v nízkých stovkách, letos mluvíme již o desítkách tisíc. A narostla i jejich úspěšnost. „Téměř každý druhý podvodný telefonát v současné době bohužel skončí škodou pro klienta. Průměrná částka, o kterou klienti při těchto útocích přijdou, je ale přitom dost vysoká, zhruba čtvrt milionu korun,“ podotýká Monika Zahálková, výkonná ředitelka České bankovní asociace.


Mějte na paměti, že zaměstnanec banky nebo policista po vás nikdy nebude chtít citlivé údaje, protože je nepotřebuje.

Pokud máte jakékoliv pochybnosti o pravosti hovoru, zavěste. Na oficiálních stránkách instituce, za jejíhož zaměstnance se podvodník vydával, vyhledejte telefonní číslo na infolinku a instituci kontaktujte. Nikdy nevolejte zpět na číslo útočníka.


M-platba
Mobilní platba (m-platba) funguje podobně jako platba platební kartou, avšak na rozdíl od placení kartou vám nejsou peníze strženy z účtu, nýbrž z vašeho předplaceného kreditu nebo měsíčního tarifu u mobilního operátora. Mobilní platbou je možné hradit různé on-line nákupy, třeba nákup jízdenek MHD nebo nákupy spojené s herním průmyslem. Při využití m-platby nemusíte prodejci poskytovat údaje o své platební kartě, ale nákup potvrdíte jednorázovým kódem, který vám operátor zašle v SMS.

Cílem podvodníka je získat vaše telefonní číslo. Získané číslo pak podvodník zadá do platební brány a zvolí způsob úhrady prostřednictvím m-platby. Provozovatel platební brány ale potřebuje ještě platbu verifikovat ověřovacím kódem. Automaticky pak odesílá na uvedené – tedy vaše – telefonní číslo SMS s kódem. Podvodník od vás tento kód bude chtít získat, což mu umožní realizovat m-platbu, a strhnout tak peníze z vašeho účtu.


Profily na sociálních sítích mějte zabezpečené dvoufázovým ověřením. Pokud by pachatel získal vaše přihlašovací údaje, musel by z vás vylákat ještě i autorizační kód. V případě, že vám někdo profil na sociální síti napadl, ihned kontaktujte zákaznickou podporu sociální sítě a okamžitě si změňte heslo.

Na sociální sítě, do e-mailových profilů, do on-line bankovnictví apod. se přihlašujte pouze z oficiálních webových stránek.

Nikdy nikomu nesdělujte žádné kódy, které jste obdrželi, ať již v SMS, nebo jiným způsobem.


Nečekaný podraz
Prodávali jste někdy něco na inzertních serverech? Potom si mohli podvodníci vyhlédnout i vás a vylákat z vás podvodem peníze. Přesto, že se jedná o celkem nový druh podvodu, setkáváme se s ním stále častěji. Podvodníci získají z inzerátu vaši e-mailovou adresu nebo telefonní číslo a kontaktují vás prostřednictvím aplikací WhatsApp nebo Messenger s předstíraným zájmem o koupi inzerovaného zboží. Během konverzace vás navádějí k tomu, abyste uhradili poplatek za přepravu zboží, kterou kupující (tedy podvodník) zajistí, a to přes platební bránu jimi domluveného dopravce. V odkazu na falešnou platební bránu, který vám ve zprávě zašlou, po vás chtějí vyplnit citlivé údaje o platební kartě včetně PIN, případně přístupové údaje do on-line bankovnictví včetně hesla a bezpečnostního kódu z autorizační SMS. Díky získaným údajům se podvodník dostane do vašeho on-line bankovnictví, kde provede převod finančních prostředků na svůj bankovní účet, nebo na základě zjištěných údajů z platební karty provede její tokenizaci (tokenizace platby je proces nahrazení tradičního čísla platební karty unikátním tokenem, pozn. red.) a následně v bezkontaktním bankomatu vybere z vašeho účtu peníze. „Protože jsou prodávající klienti oslovováni údajným kupcem jejich zboží, nepředpokládají, že se od nich někdo snaží získat přístupové údaje k účtům nebo do jejich internetového bankovnictví. Aby co nejdříve docílili prodeje zboží, neopatrně spolupracují a vyplňují údaje o svých kartách a přístupech na účet v domnění, že nedělají nic špatně. Opak je bohužel pravdou, většinou o všechno přijdou,“ objasňuje pplk. Ondřej Kapr z Policie ČR.


Pokud na inzerát reaguje cizinec, zbystřete.

Buďte na pozoru, když kupující požaduje nestandardní způsob dopravy nebo způsob platby. Příkladem je zajištění jeho platby „přepravní společností“, která peníze uvolní, až bude zboží na cestě, nebo platební brána, která vyžaduje údaje z platební karty prodávajícího.

Nereagujte na požadavky kupujícího, že zaplatí přes neznámé služby různých nebankovních platebních společností nebo v kryptoměně. Nepřistupujte na platbu nedoplatků, přeplatků či kaucí.

Lstivé aplikace
Jedním z velmi aktuálních triků útočníků jsou i infikované mobilní aplikace či jejich aktualizace, které si nejčastěji stáhnete z neoficiálních obchodů s aplikacemi a webových stránek. Výjimkou ale nejsou ani podvodné aplikace nainstalované přímo z oficiálního obchodu. Pokud v telefonu nemáte nainstalovaný bezpečnostní software, který by vás varoval, a při instalaci aplikaci udělíte vysoká oprávnění – například aplikaci pro nahrávání hovorů i přístup k fotoaparátu či SMS – dokáže aplikace odcizit vaše přihlašovací údaje do bankovnictví, obejít dvoufázové ověření či získat potvrzovací SMS.


Stahujte aplikace jen z důvěryhodných zdrojů – nejlépe Google Play či App Store. Před stažením věnujte pozornost recenzím a hodnocení aplikace a tomu, zda nejste mezi prvními, kdo aplikaci stahuje. Ověřte si i jméno vývojáře a to, zda vyvinul více aplikací.

Při udělování oprávnění aplikacím se řiďte heslem, že méně je někdy více. Dobře si rozmyslete, zda stahovaná aplikace opravdu potřebuje přístup k vašim fotkám, kontaktům, úložišti, poloze apod.


Klamný e-shop
Určitě máte zkušenost s nakupováním v některém z osvědčených e-shopů. Je to pohodlné, přehledné, jednoduché a rychlé a často jsou zde ceny nižší než v kamenných obchodech. Avšak i zde můžete při nedostatečné pozornosti snadno naletět podvodníkům. Stačí, abyste přes odkaz na „výhodný“ nákup zboží v on-line reklamě nebo v nevyžádaném e-mailu navštívili inzerovaný e-shop a nakoupili. Pokud si obchod předem neprověříte, můžete přijít o peníze, citlivé údaje a buď žádné zboží nakonec neobdržíte, nebo obdržíte, ale bude pochybné kvality.


Než někam vyplníte přístupové údaje či hesla, vždy si zkontrolujte webovou adresu. Webová adresa by měla být shodná s tou, kterou instituce uvádí ve všech kontaktních informacích.

Zkontrolujte si, zda e-shop či webová stránka uvádějí kontaktní údaje a v jaké formě. Zbystřete, pokud je na stránkách pouze kontaktní formulář nebo obsahuje-li stránka pravopisné chyby a překlepy.

Podle zákona musí být na webových stránkách obchodu na viditelném místě umístěny obchodní podmínky.

Ověřte si existenci e-shopu – např. na stránkách Justice.cz nebo u ČOI, která také provozuje databázi podvodných a rizikových e-shopů – www.coi.cz/pro-spotrebitele/rizikove-e-shopy. Také si vyhledejte recenze – pokud žádné nenajdete nebo najdete pouze negativní, mějte se na pozoru.


Podezřelá wi-fi
Vaše mobilní zařízení v sobě uchovává mnoho citlivých údajů. Od fotografií přes kontaktní údaje, hesla až po přístupy do on-line bankovnictví. To všechno jsou přesně informace, které podvodníky zajímají. Doma nebo v práci či ve škole jste připojeni přes zabezpečenou wi-fi síť. Co ale třeba v obchodním centru nebo v hotelu? Tam všude je vám k dispozici veřejná wi-fi síť, která má ale většinou slabé zabezpečení a může být velice snadno zneužita podvodníky. Připojení k takové síti může být pro vaše data nebezpečné. Věnujte pozornost názvu nabízené veřejné wi-fi sítě. Pokud se jmenuje třeba Public Pardubice, ale vy v Pardubicích nejste, je to podezřelé.


Jakmile je u veřejné wi-fi znak otevřeného zámečku, mějte na paměti, že vaši komunikaci může kdokoli „odposlouchávat“.

Nepovolujte automatické připojování k neznámým wi-fi sítím.

Pro zvýšení své bezpečnosti používejte VPN – virtuální privátní síť.

Pokud si nejste jisti zabezpečením používané wi-fi sítě, nezadávejte nikam své citlivé údaje. Za připojení k veřejné wi-fi síti nikdy nic neplaťte.

 


ZÁKLADNÍ DESATERO BEZPEČNOSTI

Starejte se o bezpečí svého počítače Nainstalujte a pravidelně aktualizujte antiviry a firewally na svém počítači na nejnovější verzi. Zvýšíte tak bezpečnost svých souborů.

Zabezpečte si mobilní telefon Určitě se do svých účtů přihlašujete častěji ze svého smartphonu než z počítače, chráníte ho ale minimálně stejně? V každém mobilním obchodě s aplikacemi najdete mnoho bezpečnostních aplikací, které jsou dostupné zdarma nebo za malý poplatek.

Ověřujte si původ aplikací Aplikace a programy stahujte vždy z důvěryhodných a ověřených zdrojů, nejlépe přímo z oficiálních internetových obchodů s mobilními aplikacemi (Google Play či App Store). Před stažením věnujte aplikaci pozornost – čtěte recenze, zaměřte se na hodnocení a nebuďte mezi prvními, kdo ji stahuje.

Chraňte své přihlašovací údaje Se svými přihlašovacími a osobními údaji zacházejte opatrně. Nikomu je nesdělujte a neukládejte je na počítačích ve veřejných sítích nebo ve škole. Myslete na to, že banka vaše přihlašovací údaje nikdy nežádá a už vůbec ne telefonicky, e-mailem anebo prostřednictvím sociálních sítí.

PIN jako oko v hlavě Je váš PIN datum narození nebo 1234? Rychle si ho změňte a zapamatujte. Pokud víte, že jste zapomnětliví a musíte si PIN zapsat, nenechávejte ho v blízkosti platební karty a střežte ho jako oko v hlavě. Mějte bezpečné heslo Heslo by mělo být neodhadnutelné (ne vaše jméno apod.), silné (kombinace velkých i malých písmen a znaků), nezjistitelné (př. hackerský program zkouší slova ze slovníku) a především unikátní –
nikdy nepoužívejte stejné heslo pro různé služby (sociální sítě, e-mail a bankovní účet). Hesla s nikým nesdílejte a neukládejte je do prohlížeče. Pokud si je nezapamatujete, zapište si je, ale následně uložte na bezpečné místo. Pokud je to možné, zvolte k účtům dvoufaktorové ověřování.

Pozor na neznámé přílohy Neotvírejte e-maily ani přílohy od neznámých a podezřelých odesílatelů, neklikejte ani na žádné odkazy v těle těchto e-mailů. Vždy raději zkontrolujte e-mailovou adresu odesílatele a pravopis.

Nakupujte jen u prověřených on-line prodejců Přes internet nakupujte jen u prověřených a důvěryhodných prodejců – orientujte se podle ikony zamknutého visacího zámku u URL adres jejich webu, musí být bez jakéhokoli upozornění. To samé platí u přihlašování na jakýkoli web, bank zejména. U soukromých inzerentů a méně známých prodejců čtěte recenze.

Čtěte upozornění banky Nejen ta bankovní, ale také vašeho počítače. Pokud upozornění jen odkliknete, může vám např. uniknout zpráva z vaší banky o útocích hackerů. Věnujte jim pozornost a chraňte sebe i svůj účet.

Informujte banku Pokud máte byť jen podezření, že se s vaším účtem děje něco podivného či špatného, kontaktujte svou banku. Přes infolinku vám zákaznická podpora dokáže zkontrolovat váš účet a případně zablokovat příkazy.