S koncem roku se blíží hlavní sezona pro internetové obchody. Zneužít toho chtějí také podvodníci, kteří ze zákazníků českých e-shopů lákají platební údaje. V posledních dnech se objevila také falešná stránka největšího českého online obchodu Alza. Podle odborníků se také výrazně zvyšuje částka, kterou internetoví zločinci z lidí pomocí tzv. phishingu vytáhnou.
„Téměř každý rok během vánoční sezony čelíme phishingovým útokům, které zneužívají dobré jméno naší společnosti. Jedná se například o podvodné příspěvky na sociálních sítích informující o „velmi výhodných slevách“ třeba na žádané nejnovější modely mobilních telefonů nebo SMS s informací o nevyzvednuté výhře od našeho e-shopu,“ říká mluvčí české internetové jedničky Daniela Chovancová.
Letos se internetoví podvodníci rozhodli přímo okopírovat stránky Alzy, na kterých zákazníky lákají na slevy v rámci akce Black Friday, u nichž ubíhá časomíra do konce akce. Podobná je i webová adresa. Nejde ovšem o dokonalou kopii, na stránkách nejsou tisíce produktů jako u skutečné Alzy, ale jen dětské pleny značky Pampers. Prostřednictvím jejich objednání se podvodníci snaží získat údaje o platebních kartách.
„Proti falešným stránkám se nedá příliš dobře preventivně bránit,“ domnívá se Chovancová. S tím v zásadě souhlasí bezpečnostní expert ze společnosti Gen (dříve Avast, pozn. red.) Alexej Savčin. „Přímých způsobů obrany moc není. Lze například kontaktovat poskytovatele hostingu a požádat ho o zrušení dané podvodné stránky. Nepřímo pak lze pomoci navýšením ochranných prvků na stránkách, například zavedením vícefaktorového ověřování, případně aktivní komunikací k uživatelům, jež je ubezpečí o tom, že firma po nich jejich údaje nikdy chtít nebude,“ říká expert.
Podle prezidenta Genu Ondřeje Vlčka těchto případů, které označuje za sociální inženýrství, přibývá, a naopak klasických kybernetických útoků za pomoci sofistikovaných virů ubývá. „Výrazně rostou podvody spojené se sociálním inženýrstvím, tedy techniky jako phishing nebo různé manipulace přes chatovací aplikace. Není to nic nového, jen je to sofistikovanější obdoba nigerijských princů, kteří tady byli i před deseti lety,“ uvedl v rozhovoru pro deník E15 Vlček.
„Útoky mají obvykle podobu e-mailu, webové stránky, SMS zprávy nebo telefonátu. Častým scénářem jsou falešní kupující na různých bazarech, kteří slibují uhradit dopravu zboží, ale zaplatit pojištění musí oběť podvodu uvedením platebních údajů na podvržené stránce,“ popisuje nejčastější praktiky Savčin. V loňském roce se s phishingem setkalo 37 procent klientů Avastu, což znamenalo meziroční nárůst o 35 procent.
Nicméně podvod lze ve většině případů rozpoznat, jelikož podvodníci za sebou často zanechají viditelné chyby. „V první řadě je nutné věnovat pozornost adresnímu řádku. Pokud se doména neshoduje s oficiálními stránkami dané organizace, je to vždy důvod k obezřetnosti. Na stránce je pak dobré si všímat gramatických chyb, rozhozeného formátování či nekvalitních obrázků,“ vyjmenovává nejčastější chyby podvodníků Savčin.
„Útočníci mohou vytvořit dokonalou repliku oficiální stránky, ale málokdy se jim do toho chce. Podvodné stránky tak často používají strojový překlad, který si s českým jazykem zatím nedokáže na sto procent poradit. Podvod tak lze snáze rozpoznat,“ doplňuje.
Zároveň se i zvyšuje částka, kterou prostřednictvím phishingu útočníci průměrně získají. „Pokud před dvěma lety šlo o částky do maximální výše jednoho tisíce korun, loňské ztráty se už pohybovaly v rozmezí od dvou do pěti tisíc korun. Lehce se také zvýšila úspěšnost v získání peněz zpět, ať už od banky, nebo přímo od útočníka,“ uzavírá Savčin z Genu.
