Jak na netu (ne)naletět na nabídky pomoci

Zatímco obecná kriminalita podle statistik Policie ČR meziročně poklesla, kyberkriminalita stále narůstá – počet hackerských útoků podle jejich údajů vzrostl o 45 %. I když se naší republice nevyhýbají ani globální útoky, stále více podvodů zneužívá známé lokální značky nebo události. Důvěru obětí podvodníci získávají často i tím, že vlastně nabízejí pomoc. Pozor na tyto čtyři nabídky, které hackeři a šmejdi v poslední době stále častěji využívají pro své obohacení.

Trik 1: Zjednodušte si život s QR kódy

S nutností bezkontaktních operací množství QR kódů kolem nás skokově narostlo a potkáváme se s nimi takřka na každém kroku – od obalů některých výrobků, přes informační panely o kulturních nebo jiných památkách a akcích, až po možnost snadného placení mnoha služeb. Jak snadné je s QR kódy zjišťovat informace nebo platit, tak snadné je nalítnout podvodníkům. Zejména u těch volně dostupných ve veřejném prostoru je třeba být obezřetný. Nedávno se například objevily informace o jednoduché a účelné metodě podvodu, kdy útočníci v USA přelepovali QR kódy na parkovacích automatech podvodnými.

„Na možné zneužití QR kódů je třeba dávat pozor i v souvislosti s covidovými informacemi. Hackeři často nahrazují legitimní QR kódy podvodnými variantami, které po naskenování otevřou škodlivou URL adresu nebo se pokusí stáhnout malware. Uživatelé si musí uvědomit, že QR kód je jen rychlý a pohodlný způsob, jak se dostat na příslušné webové stránky a ve většině případů není ani patrné, kam odkaz skutečně vede,“ varuje Ondřej Ševeček z Počítačové školy GOPAS.

Trik 2: Nabíječky k volnému použití

Baterie telefonu je vybitá, ale powerbanka i nabíječka leží doma. Není třeba ztrácet hlavu, na řadě míst, například v nákupních centrech, lze totiž využít veřejné nabíječky. Jenže právě to není úplně bezpečné. Jednak nemusí takové zařízení být v dobrém technickém stavu, takže může přístroj poškodit, dalším nebezpečím je tzv. juice jacking. Cokoliv, co připojíte k vašemu zařízení přes USB, totiž může být navržené tak, aby se snažilo na zařízení zaútočit – nasadit malware, krást data.

„Nezapomínejte na to, že USB port může kromě nabití telefonu přenášet i data. Připojit se k neznámému USB kabelu je proto velmi riskantní,“ vysvětluje Ondřej Ševeček a dodává: „Bezpečné je používat vlastní nabíječku, kterou zastrčíte do obyčejné zásuvky, nebo přenosnou powerbanku. Pokud ale přece jen potřebujete využívat veřejné USB porty, pořiďte redukci v řádu stokorun, někdy nazývanou ‚USB kondom‘. Ta jednoduše řečeno zablokuje transfer jakýchkoli dat přes kabel a přenáší se tak pouze elektřina.“

Trik 3: Klamné varování: „Pozor, útočí na vás hackeři“

Telefonátů s různými „výhodnými“ nabídkami je mnoho, ale co když zavolá někdo jménem softwarového giganta nebo známé antivirové značky, že vás chtějí varovat, protože zaznamenali, že jste terčem hackerského útoku? Oběť si postupně předává několik „odborníků“, kteří se ji snaží přesvědčit, aby se propojili nejlépe přes TeamViewer nebo jiný nástroj, který poskytne vzdálený přístup k počítači. Pak se ji pod záminkou otestování přístupu snaží přesvědčit, aby se zkusila připojit do firemního systému, on-line bankovnictví, do svých účtů na sociálních sítí apod. Cílem bývá odchytit přístupové údaje, a ty pak zneužít k přímému získání financí nebo vydírání. Ale na zpřístupněném počítači mohou útočníci napáchat i horší škody – například nainstalovat škodlivý software, stáhnout „zapamatovaná“ hesla nebo se dokonce probourat pod získanou identitou do firemní sítě.

„Lidé by měli být obezřetní vždy, když po nich někdo po telefonu nebo mailu chce citlivé údaje, případně pokud je nějaká výhodná nabídka směřuje na stránky, na nichž mají takové údaje vyplnit,“ říká Michal Merta, ředitel Cyber Fusion centra společnosti Accenture a dodává: „Pustit si vzdáleně do počítače zcela neznámou osobu, byť se ohání tím, že chce účelně pomoci, je pak vyložený hazard, když se domníváte, že vše nastavíte tak, aby žádné zásahy nešly provést. Podvodníci mají často dobře propracovaný systém otázek a požadavků, který odpoutá pozornost oběti.“

Trik 4: Pomůžeme vám vyřešit platbu cla

Další typ podvodů využívá legislativní změnu u zásilek posílaných ze zahraničí, která přinesla nutnost platit DPH i u těch s malou hodnotou. Lidé zvyklí nakupovat v zahraničních e-shopech tak mohli být snadno „nachytání“ zprávou, která po nich požaduje doplacení drobné částky. V zaznamenaných příkladech se podvodníci vydávali za Českou poštu, Celní správu nebo další známé subjekty. Adresáti pak byli nejčastěji přesměrováni na stránku, kde měli vyplnit údaje o platební kartě, ze které posléze začaly pravidelně odcházet drobné částky jako platby neexistujícím e-shopům. Jiný typ útoku se snažil adresáty přimět k vyplnění podrobných údajů k platební kartě, včetně data platnosti a CVC/CVV kódu. Ty pak bylo možné zneužít k placení za zboží a služby na internetu.

„Fingované zprávy od dopravců a prodejců jsou trikem, jehož využití narostlo s pandemií, kdy lidé hromadně nakupovali on-line. Zpravidla jsou požadovány nízké částky, což zvyšuje šanci na jejich neprodlené zaplacení. S krádeží, která souvisí s nakupováním nebo platbou v e-shopu má v ČR podle průzkumu společnosti ESET zkušenost asi 8 % zákazníků a dá se očekávat, že počty těchto typů útoků spíš porostou,“ říká Martin Pejsar z BNP Paribas Cardif.