Máte neuhrazený dluh ve výši 7300 korun, varuje SMS zpráva, kterou v posledních týdnech dostávala řada lidí. Zpráva zároveň vyzývala ke kontrole případné exekuce a obsahovala odkaz na webové stránky. Byly velmi precizně připravené a měly platný certifikát. Potíž je v tom, že se jednalo o podvod, který měl z lidí vymámit údaje k jejich bankovním účtům.

„Web, který byl podle dostupných údajů registrován v Rusku, fungoval téměř dva dny, během kterých mohli útočníci informace sbírat. Podobných podvodů je přitom čím dál více a jsou stále propracovanější,“ uvedl šéf společnosti Analytics Data Factory, která se zabývá prevencí podvodů, Kamil Mahdal.

Na útok rychle reagovala Exekutorská komora České republiky, která nabádala, aby lidé na odkaz neklikali. „Žádáme všechny, aby tyto webové stránky nenavštěvovali a zejména, aby nestahovali z tohoto webu žádné soubory a nesdělovali žádné osobní údaje,“ varovali exekutoři.

V současné chvíli nelze odhadovat, kolik lidí se nechalo napálit. Nicméně expert společnosti Analytics Data Factory Jiří Mojžíš upozornil, že stránky integrovaly podvodné přihlašovací obrazovky většiny bank na českém trhu. „Jednalo se v podstatě o agregační podvodný portál, který přirozeně a efektivně obchází situaci, kdy útočníci neznají konkrétní banku návštěvníka,“ popsal.

Jak vypadala SMS:
Vazena pani, vazeny pane,
Upozornujeme Vas na neuhrazeny dluh ve vysi 7300 Kc. Pro kontrolu exekuce navstivte nasi webovou stranku.
https://exekuceinfocz.pro/

Podvodné stránky jsou v současné době mimo provoz, ale odborníci varují, že se v nějaké jiné podobě mohou objevit znovu.

„Podvodníci to nejdříve zkouší a rozešlou jen malé množství takových SMS zpráv. Pokud se ukáže, že je podvod v dané lokalitě životaschopný, rozešlou je plošně,“ nechal nahlédnout do praktik internetových zlodějů expert na kybernetickou bezpečnost ČSOB Petr Vosála.

Podvodníci celkem pravidelně odkazují na stránky, které věrně napodobují portály úřadů nebo institucí. Například loni napodobili web ministerstva práce a sociálních věcí a lákali na vyplácení příspěvku na bydlení. Jejich cílem bylo rovněž získat přístup k bankovním účtům lidí, kteří se nechali napálit.

Vosála doplnil, že letos jeho banka zaznamenala asi patnáct až dvacet podobných kampaní. „Zatím žádné velké škody nenapáchaly. Taková SMS vypadá nedůvěryhodně, protože žádná instituce nepošle SMS s odkazem na nějakou stránku,“ upřesnil.

Náhodné oběti

Podvodná zpráva, která vyzývala ke kontrole exekucí, byla rozesílána na náhodně generovaná telefonní čísla. Zloději jen vyčkávali, kdo se na vějičku chytí. Jednalo se tedy o podvodnou techniku zvanou smishing, druh phishingu. Název pochází z anglického slova pro lov ryb.

Právě phishing je nejčastějším druhem internetových podvodů, kdy v ojedinělých případech může oběť přijít i o miliony korun. „Není to úplně chytré, ale když pošlete třeba tisíc mailů, tak sto klientů nějakým způsobem zareaguje,“ přiblížil Vosála.

Kriminalita v online prostředí prudce roste. Loni policisté zaznamenali osmnáct a půl tisíce takových skutků, což byl dvojnásobek počtu z roku 2021. Do letošního června pak zaznamenali přes deset tisíc skutků. „Zkušenost nám ukazuje, že oběťmi se stávají i vzdělaní lidé a lidé pracující ve finančnictví. Rozhodně neplatí, že se může nachytat pouze hlupák,“ upozornil policejní prezident Martin Vondrášek.

Některé typy phishingu

E-mail phishing
Většina phishingových zpráv je zasílána e-mailem, který není adresovaný specifické osobě nebo organizaci a je posílán hromadně na velké množství cílů.

Spear phishing
Jde o cílený phishingový útok, kdy si útočník dopředu získá veškeré dostupné informace o cílové skupině či jednotlivci a vytvoří phishingovou zprávu přesně na míru.

Whaling
Whaling je typem spear phishingového útoku, který cílí na takzvané velké ryby čili na vrcholové manažery a majitele firem.

Vishing
Útočníci pro tyto útoky mohou využívat předem namluvené a automaticky přehrávané zprávy, někdy vytvořené za pomocí generátorů, které převádí text na řeč. Telefonní čísla útočníků vypadají jako čísla reálné instituce, za kterou se vydávají.

Smishing
V případě smishingu nebo také SMS phishingu zasílají útočníci podvodnou zprávu na mobilní telefon. Zpráva většinou vyzývá ke kliknutí na podvodný odkaz nebo obsahuje telefonní číslo či e-mail, přes které má oběť kontaktovat instituci, za kterou se útočníci vydávají.

Catfishing
Podvodná činnost, při které si útočník vytvoří na internetu (zpravidla na sociálních sítích) falešnou identitu za účelem kompromitování oběti, navázání vztahů, kyberšikany nebo kvůli vidině finančního zisku.

zdroj: ESET