Lekce 3 - Podvodné e-maily, SMS a telefonáty Nové

V předchozím článku, Nastavení soukromí na sociálních sítích a podvodné profily, jsme se podívali na nastavení soukromí na sociálních sítích a na podvodné profily.

V tomto tutoriálu se zaměříme na další zásadní téma z oblasti kybernetické bezpečnosti: podvodné e-maily a SMS či telefonáty, které se nás snaží zmanipulovat nebo přímo připravit o peníze, data či soukromí. Podíváme se blíže na konkrétní podvodné taktiky, s nimiž se můžeme setkat v našich e-mailových schránkách nebo na mobilu.

Jak už víme, útoky v digitálním prostředí mohou mít mnoho podob. Proto je pro nás klíčové naučit se rozpoznávat varovné signály a zvolit správné reakce. Samotná technologie a antivirová řešení nám sice pomohou, ale většina obrany proti podvodným praktikám stojí na našem chování a kritickém myšlení.

Podvodné e-maily (phishing)

E-mail je jedním z nejčastějších kanálů, který útočníci využívají k tomu, aby se nás pokusili oklamat. Vypadá to nevinně – ve schránce se objeví zpráva s lákavým předmětem nebo naopak s varovným sdělením, které si žádá rychlou reakci. Můžeme si říct: "Proč bychom nevěřili odesílateli? Vždyť se tváří jako banka nebo oblíbený obchod." A právě tady nastává problém.

Tento typ podvodu se označuje jako phishing (z anglického fishing – rybaření), protože útočníci "nahazují návnadu" v podobě falešné zprávy a čekají, až někdo "zabere" a dobrovolně jim poskytne své údaje. Cílem phishingu je obvykle získat přihlašovací informace, čísla platebních karet nebo jiné citlivé osobní údaje.

Techniky podvodných e-mailů

Útočníci využívají různé psychologické triky:

• Naléhavost: "Okamžitě reagujte, jinak vám bude účet zablokován!"
• Zvědavost nebo strach: "Podívejte se, kdo si vás přidal do seznamu dlužníků."
• Touha po výhře: "Vyhráli jste nový mobilní telefon, stačí kliknout na tento odkaz."

Mnohdy jde o sofistikované postupy, v nichž hraje roli i náš stres nebo nedostatek času, takže nad e-mailem nepřemýšlíme a bez rozmyslu klikneme na odkaz.

Typické znaky podvodných e-mailů

Podvodné e-maily mají několik opakujících se rysů:

Podle těchto znaků je lze často snadno rozpoznat:

• Falešný odesílatel – Zpráva tvrdí, že je od banky, ale adresa odesílatele končí jinou doménou (např. @bnka.com místo @banka.cz).
• Podezřelé odkazy – V textu najdeme odkaz, který vypadá jako odkaz na oficiální web, ale ve skutečnosti vede jinam (po najetí myší na link se v levém spodním rohu prohlížeče ukáže podivná adresa).
• Zvláštní přílohy – Místo očekávaného formátu (PDF, DOCX) jde třeba o soubor s koncovkou .exe nebo .zip, který obsahuje škodlivý software.
• Pravopisné chyby a nepřirozená čeština – Text může být nedbale přeložený nebo obsahuje gramatické chyby, které v oficiálních zprávách institucí nebývají.
• Obecné oslovení – Podvodné e-maily často začínají frázemi jako: "Vážený zákazníku" nebo "Dobrý den", protože podvodník nezná naše celé jméno. Důvěryhodné společnosti vás obvykle oslovují jménem, protože nás většinou kontaktují v souvislosti s personalizovanou zprávou.

Příklad z praxe

Představme si, že ráno otevřeme svou e-mailovou schránku a najdeme tam zprávu od banky s předmětem: "Důležité upozornění: Váš účet bude zrušen!" V těle e-mailu nás vyzývají, abychom ihned zadali přihlašovací údaje na odkazované stránce, jinak nám banka odepře přístup k účtu. Navíc je text napsaný poměrně kostrbatě: "My banka žádáme ověření, jinak účet bude zrušen."

Pokud nepřemýšlíme, snadno se necháme vyděsit – a než se nadějeme, odesíláme útočníkům naše heslo. Důležité je proto zůstat v klidu, ověřit si skutečnou adresu odesílatele a hlavně neklikat na podezřelé odkazy:

Odkaz na obrázku výše vede na falešnou přihlašovací stránku, která jen napodobuje naši banku. Pokud bychom tam zadali své údaje, útočníci by je okamžitě získali.

SMS a telefonáty

Mnoho lidí si myslí, že největší nebezpečí číhá v e-mailové schránce, ale útočníci se stále častěji přesouvají i k SMS zprávám a podvodným telefonátům. Mobilní telefon máme většinou neustále u sebe, a tak je riziko podlehnutí naléhavé zprávě ještě vyšší.

Podvodné SMS (smishing)

Smishing využívá stejné triky jako phishingové e-maily, jen místo schránky přichází nebezpečné zprávy na mobil. Typické příklady vypadají takto:

• Falešná bankovní výstraha – Dostaneme SMS, že byl náš účet napaden a musíme se ihned přihlásit na přiloženém odkazu. Odkaz vede na falešnou stránku, kde vyplníme citlivé údaje.
• Zpráva o výhře či balíčku – "Gratulujeme, vyhráli jste smartphone, stačí vyplnit formulář!" anebo "Vaše zásilka je na cestě, klikněte sem pro sledování." Po kliknutí může dojít k instalaci škodlivé aplikace či k vylákání platebních údajů.

Na příkladu níže vidíme zprávu, která tvrdí, že nastal problém s doručením zásilky. Přikládá odkaz na "sledování balíku", který ale ve skutečnosti vede na podvodnou stránku:

Zde se podvodník vydává za známý obchod a snaží se nalákat na výhru. Cílem je, abychom klikli na odkaz a vyplnili osobní nebo platební údaje:

Poslední podvodná zpráva se tváří jako upozornění z finančního úřadu. Odkaz vede na nebezpečnou stránku, kde by mohlo dojít k vylákání citlivých informací:

Podvodné SMS se nás snaží vyděsit nebo vyvolat pocit naléhavosti. Na odkazy v těchto zprávách raději vůbec neklikejme a přihlašujme se vždy jen přes oficiální web dané instituce.

Podvodné telefonáty (vishing)

Útočníci nás mohou kontaktovat i telefonicky a vydávat se například za pracovníky banky, technické podpory nebo dokonce za policii. Typickým scénářem je tvrzení, že na našem účtu došlo k podezřelým transakcím, a proto od nás potřebují přihlašovací údaje, SMS kód nebo číslo platební karty. Během hovoru na nás opět vyvíjejí silný nátlak, aby nás přiměli jednat co nejrychleji, často pod záminkou, že "někdo právě útočí na náš účet". Zároveň se snaží vyvolat zmatek a stres, takže máme pocit, že jsme v ohrožení a musíme okamžitě spolupracovat.

Reálný příklad podvodného hovoru

Představme si situaci: Zvoní telefon a na displeji je neznámé číslo. Zvedneme ho a hlas na druhé straně se představí jako bankovní bezpečnostní oddělení. Tvrdí, že náš účet byl právě napaden a potřebují, abychom potvrdili několik bezpečnostních otázek. Chtějí po nás datum narození, adresu a nakonec i číslo karty a CVV kód. Argumentují tím, že "zablokují falešnou transakci" a vše bude v pořádku. Přesně takto ale banky nepostupují – nikdy nechtějí znát celé číslo karty ani CVV kód po telefonu.

Posilování bezpečnosti díky 2FA

Zásadní je pamatovat si, že máme právo nedělat nic unáhleně a že jakoukoli situaci můžeme vždy ověřit. Banky ani úřady nikdy nepožadují hesla, PINy nebo kompletní údaje z karty po telefonu či v e-mailu. Pokud si nejsme jistí, raději zavěsme a zavolejme zpět na oficiální číslo uvedené na stránkách banky.

Nikdy také neklikejme na odkazy v podezřelých zprávách a nevyplňujme přihlašovací údaje na stránkách, na které jsme se dostali přes e-mailový odkaz.

Důležitou roli v obraně proti phishingu hraje také dvoufaktorová autentizace (2FA). I kdybychom se nechali nachytat a nevědomky zadali své heslo na falešné stránce, 2FA může stále zabránit útočníkovi v přístupu k našemu účtu. Útočník by totiž musel získat i náš telefon nebo bezpečnostní klíč.

Kódy zasílané formou SMS však dnes odborníci doporučují spíše jako záložní možnost, protože je možné je zachytit. Bezpečnější je proto používat autentifikační aplikaci nebo hardwarový klíč, které vytvářejí kód přímo v zařízení a nejsou závislé na mobilní síti.

Phishing a dvoufaktorové ověřování v praxi

Abychom si lépe představili, jak může vypadat pokus o phishing a jak pomáhá dvojí ověřování, uveďme si krátký příklad.

Představme si, že se ráno přihlásíme na svůj e-mail, který používáme ve škole. V doručené poště nás zaujme zpráva s předmětem "Důležité sdělení ke školnímu účtu!". V textu se píše, že musíme do 24 hodin obnovit heslo, jinak dojde k zablokování účtu. Zpráva obsahuje odkaz, který na první pohled působí důvěryhodně, ale adresa je ve skutečnosti jiná – například skola-portal.net místo skola-portal.cz.

Kdybychom vyplnili své heslo a neměli zapnuté 2FA, útočník by se okamžitě dostal k našemu účtu. Pokud bychom však měli zapnutou dvoufaktorovou autentizaci, narazil by na překážku – jednorázový kód z aplikace na našem telefonu, ke kterému se nedostane.

Postup při zneužití údajů

Pokud jsme se stali obětí phishingu a zjistíme, že jsme už své údaje odeslali nebo klikli na škodlivý odkaz, je důležité jednat okamžitě.

Nejprve změňme hesla u všech účtů, kde jsme mohli používat stejnou nebo podobnou kombinaci přihlašovacích údajů. Tím zabráníme útočníkovi v dalším zneužití našich přístupů.

V případě, že jsme omylem poskytli údaje k platební kartě nebo provedli platbu na základě podvodné zprávy, je nutné ihned kontaktovat banku, aby mohla zablokovat kartu a případně zastavit podezřelé transakce.

Pokud došlo ke ztrátě větší částky nebo ke zneužití naší identity, je vhodné vyhledat odbornou pomoc – obrátit se na Policii České republiky a zároveň informovat správce dané služby (např. provozovatele e-mailu nebo sociální sítě). Včasná reakce může výrazně omezit škody a pomoci předejít dalšímu šíření útoku.

Phishingové útoky patří k nejčastějším formám online podvodů, ale s trochou obezřetnosti se jim dá snadno vyhnout. Stačí nespěchat, ověřovat informace z důvěryhodných zdrojů a nikdy nevyplňovat přihlašovací údaje přes odkazy z e-mailu. Silná hesla, dvoufaktorové ověřování a pravidelná kontrola účtů nám poskytují účinnou ochranu i v případech, kdy se útočník pokusí oklamat naši pozornost.