Nová finta šmejdů cílí na české seniory. Stačí zvednout telefon a přijdete o všechno během vteřiny
Zdroj obrázku: unsplash
Telefonní podvody připravily Čechy loni o stovky milionů korun. Nejde přitom o žádné sofistikované hackování – útočníci míří na naši psychiku a strach. A funguje to děsivě dobře.
Představte si situaci: sedíte v práci, vyřizujete e-maily, a vtom vám zazvoní telefon. Na displeji svítí číslo vaší banky. Hlas na druhé straně zní profesionálně, mluví o podezřelé transakci na vašem účtu. Srdce vám poskočí, adrenalin vystřelí – a přesně v tu chvíli jste tam, kde vás podvodník potřebuje mít.
Tohle není scénář z thrilleru. Je to realita, která se v Česku odehrává denně. Policie ČR a Česká bankovní asociace loni evidovaly ztráty v řádu stovek milionů korun způsobené takzvanými vishingovými útoky – podvodnými telefonáty. Některé banky hlásí meziroční nárůst těchto případů o desítky procent. A oběťmi nejsou jen důchodci, jak by se mohlo zdát.
Proč na to skočí i vzdělaní lidé
Dlouho jsem si myslel, že na telefonní podvod může naletět jen někdo, kdo nerozumí technologiím. Pak jsem ale sledoval příběhy obětí – IT specialisté, účetní, manažeři. Lidé, kteří by měli vědět své. Co je spojuje? Všichni byli v tu chvíli pod tlakem.
Útočníci totiž nepotřebují prolomit žádné šifrování. Jejich zbraní je psychologie. Vyvolají paniku zprávou o zneužití účtu, nabídnou okamžité řešení a vy – ve stresu a s pocitem, že musíte jednat rychle – uděláte přesně to, co po vás chtějí. Ať už je to instalace aplikace pro vzdálený přístup, nebo nadiktování kódu z SMS.
Jak funguje iluze důvěryhodnosti
„Ale vždyť mi volali z čísla banky!„
Tuhle větu slýchám často. A právě v tom spočívá jeden z nejzákeřnějších triků – takzvaný spoofing telefonních čísel. Díky VoIP technologiím může útočník na váš displej poslat prakticky jakékoli číslo. Vidíte linku své banky, ve skutečnosti volá někdo z druhého konce světa.
V USA už funguje systém STIR/SHAKEN, který má původ hovorů kryptograficky ověřovat. V Evropě jsme s implementací pozadu. Útočníci tak mají stále relativně volné pole působnosti – mohou volat anonymně, levně a v masovém měřítku. Automatizované dialery jim umožňují kontaktovat tisíce lidí denně. Stačí, když naletí zlomek procenta.
Dvě cesty k vašim penězům
Jakmile podvodník získá vaši pozornost, má v zásadě dvě možnosti, jak se dostat k vašim úsporám:
První je vzdálený přístup. Pod záminkou instalace bezpečnostní aplikace nebo antiviruvás přimějí stáhnout programy jako AnyDesk nebo TeamViewer. Jakmile je máte v telefonu či počítači, útočník vidí vše, co děláte. Ovládá vaše zařízení, jako byste mu je podali do ruky.
Druhá cesta je jednodušší – prostě se vás zeptají. Ve stresu a pod tlakem jim lidé sami nadiktují přihlašovací údaje, PIN kódy, dokonce i jednorázové kódy z dvoufaktorového ověření. Paradoxně tak obcházíte bezpečnostní systémy, do kterých banky investovaly miliardy. „Ten kód je pro zrušení podvodné transakce,“ řekne vám hlas v telefonu. A vy ho pošlete.
Co dělají banky – a proč to nestačí
Férově je třeba říct, že banky se snaží. Investují do umělé inteligence, která analyzuje neobvyklé vzorce chování – rychlé přihlášení z nové IP adresy, neočekávaně vysoké částky, transakce těsně po instalaci vzdáleného přístupu. Pokud si stáhnete AnyDesk a během minut dojde k převodu peněz, měl by se rozsvítit červený alarm.
Jenže útočníci se přizpůsobují. Vědí, co systémy sledují, a své metody neustále mění. Je to závod, který nikdy nekončí.
Jedna věc, kterou si zapamatujte
Ze všech rad, které můžu dát, je jedna naprosto zásadní: Žádná banka, policie ani oficiální instituce po vás nikdy nebude chtít citlivé údaje po telefonu. Nikdy vás nepožádají o instalaci jakékoli aplikace. Nikdy.
Pokud máte pochybnosti, zavěste. Najděte si číslo banky na oficiálních stránkách a zavolejte sami. Nevolejte zpět na číslo, ze kterého vám volali – může být podvržené.
A hlavně: dejte si čas. Podvodníci spoléhají na to, že budete jednat ve stresu a ve spěchu. Každá legitimní instituce počká, až si informace ověříte. Pokud vás někdo tlačí k okamžitému rozhodnutí, je to samo o sobě varovný signál.
Telefonní podvody nejsou problémem technologie. Jsou problémem lidské psychiky – a právě proto na ně může naletět kdokoli. Včetně vás. Včetně mě. Jediná skutečná obrana je vědět, že to může přijít, a být připravený zavěsit.
