Dělají vše pro to, aby se dostali k vašim penězům.

Na Facebooku se vydávají za kamarády a snaží se z vás vytáhnout telefonní číslo.

Rozesílají podvodné e-maily, napodobují webové stránky a lákají na falešné internetové bankovnictví.

O koho jde a jak své peníze ochránit?

Řeč je o phishingových podvodnících.

Co je phishing?

Phishing je druh internetového podvodu, který se snaží z oběti vylákat citlivé údaje. Padouch pak takto získané informace použije k vlastnímu obohacení.

V praxi to znamená, že z vás někdo vytáhne osobní informace, aniž byste to tušili, a pak si na nich přihřeje pořádný hrnec polívky. Vy se spálíte a zbydou vám oči pro pláč.

Co znamená název phishing?

 Kde phishing útočí?

Internetoví padouši číhají takřka na každém rohu. Cestu k oběti volí přes e-maily, falešné webové stránky, nebo sociální sítě. Mohou se vydávat za banku, policii, přátele na Facebooku. Svůj útok vždy zamaskují tak, aby oběť ani nenapadalo, že komunikuje s podvodníkem. Zkrátka se snaží vyvolat pocit důvěry.

Například v minulosti útoky probíhaly způsobem, kdy lidem chodily e-maily, které se tvářily jako od banky. V e-mailu pak byli příjemci vyzváni, aby se přihlásili do svého bankovnictví. E-mail však obsahoval odkaz, který vedl na falešné stránky bankovnictví. Poté, co se oběť přihlásila do aplikace, útočníci zjistili její přihlašovací údaje a vysáli jí z účtu peníze.

Když se přihlašujete do svého internetového bankovnictví nebo platíte online, hlídejte si symbol zeleného zámku v adresním řádku. Klikněte na něj a zjistěte, komu byl certifikát vystaven.

To, že jsou údaje při odesílání soukromé znamená, že komunikaci mezi vaším webovým prohlížečem a stránkou, na které např. platíte, nemůže odposlouchávat někdo třetí (typicky hacker).

CO CHCE ÚTOČNÍK ZÍSKAT?

Útočník se zajímá o citlivé údaje. To jsou informace, které by měly být důvěrné pouze vám, nikomu jinému. Pokud je sdílíte s cizí osobou, vystavujete se velkému nebezpečí.

Které údaje nesmí padnout do cizích rukou?

  • hesla do e-mailu, internetového bankovnictví, Facebooku a profilů na sociálních sítích obecně, apod.
  • PIN ke kartě
  • PIN v mobilu
  • celé číslo platební karty
  • autorizační kódy
  • rodné číslo, číslo občanského průkazu, a další
Co je autorizační kód?

Jak probíhá útok na sociálních sítích?

Současná vlna phishingu probíhá právě přes sociální sítě, konkrétně Facebook. Scénář útoku je vždy podobný.

Útočníci rozesílají žádosti o přátelství pod falešnými účty. Profil se tváří jako někdo, koho již oběť v přátelích má. Útočníci se také mohou do facebookového účtu nabourat. Proto oběť neváhá s útočníky komunikovat – protože se domnívá, že dotyčnou osobu zná. Následně útočníci zašlou zprávu, ve které prosí o telefonní číslo: Jen si přes tebe něco pošlu, dej mi číslo“. Oběť telefonní číslo poskytne a přijde jí SMSka, ve které se nachází autorizační kód (PIN) k platbě. Tato platba se nazývá m-platba a umožňuje ji mobilní operátor. Útočník se ze všech sil snaží dostat ke zmíněnému kódu. Oběť SMSku přepošle a v tu chvíli přichází o peníze.

Kód ohraničený červenou barvou je přesně ten citlivý údaj, který se útočník snaží získat

Platba je vázána na telefonní číslo. Problém je v tom, že jakmile oběť PIN poskytne, platbu nelze zrušit ani nijak stornovat. Jediným východiskem, jak si zachránit kůži je situace, kdy na telefonním čísle není m-platba aktivována. V takovém případě m-platba neprojde.

Jak funguje m-platba?
Kde útočník získá přístup k mým přátelům?

7 rad, jak se bránit současným útokům na Facebooku

  1. Nikdy a za žádných okolností nesdělujte kód PIN, který se nachází v SMS při m-platbě, ani telefonní číslo.
  2. Nepřijímejte žádosti o přátelství od cizích profilů, ani od lidí, které již v přátelích máte. Pokud se vám stane, že vám taková žádost přijde, přítele kontaktujte a ověřte si, zda se skutečně jedná o vašeho známého.
  3. Seznam přátel si skryjte, nebo jej ponechte viditelný pouze pro své přátele. Pokud máte seznam přátel veřejně přístupný, budou útočníci cílit právě na vás. Věc se má tak, že útočníci si mohou z vašich přátel vybrat například vaše dítě (lze poznat podle jména či veřejně viditelných fotek) a založí si profil pod jeho jménem. Vy uvidíte žádost o přátelství od vašeho dítěte a ani vás nenapadne, že na druhé straně sedí podvodník.
  4. Pokud máte podezření na falešný profil, účet zablokujte. Budete mít jistotu, že nadále žádný váš obsah neuvidí.
  5. Můžete si také nastavit, aby vám cizí osoba (kterou nemáte v přátelích) nemohla napsat zprávu.
  6. Spojte se s mobilním operátorem a zeptejte se, jaké máte nastavení pro m-platbu. Pokud tuto platební metodu vůbec nepoužíváte, můžete si ji pro pocit bezpečí deaktivovat. Chcete-li ochránit i vaše děti, pro jistotu deaktivujte m-platby i jim. Děti mohou být na internetu více důvěřivé a snáze se mohou stát obětí phishingu.
  7. Nezapomínejte, že i mobilní telefon je prostředek k placení. Jakmile útočníkům poskytnete jakýkoli kód, platba je autorizována a vy přijdete o peníze.

Závěr

S phishingem je to podobné, jako kdybyste zloději na chvilku půjčili svoji peněženku v domnění, že se nic nestane a najednou by byly vaše peníze fuč. V podstatě byste zloději své peníze odevzdali dobrovolně.

Nejlepší obranou proti phishingu je zachování chladné hlavy. Zamyslete se nad průběhem situace a pokud vám cokoli přijde podezřelé, vůbec nereagujte.

Na phishing platí více než jindy: Dvakrát měř, jednou řež.

 

Karin Hambalíková

Karin je obsahová duše, která se podílí na psaní příběhů v GoPay.