Jak nenaletět podvodníkům na internetu

17. 08. 2017

E-commerce

Dělají vše pro to, aby se dostali k vašim penězům.

Na Facebooku se vydávají za kamarády a snaží se z vás vytáhnout telefonní číslo.

Rozesílají podvodné e-maily, napodobují webové stránky a lákají na falešné internetové bankovnictví.

O koho jde a jak své peníze ochránit?

Řeč je o phishingových podvodnících.

Co je phishing?

Phishing je druh internetového podvodu, který se snaží z oběti vylákat citlivé údaje. Padouch pak takto získané informace použije k vlastnímu obohacení.

V praxi to znamená, že z vás někdo vytáhne osobní informace, aniž byste to tušili, a pak si na nich přihřeje pořádný hrnec polívky. Vy se spálíte a zbydou vám oči pro pláč.

Co znamená název phishing?
Název pochází z anglického slova fishing, což v překladu znamená rybaření. Tak jako rybáři hází návnady a snaží se ulovit co největší počet ryb, stejným způsobem postupují i internetoví padouši. Ti však svoje sítě nehází do rybníků, ale na internet. Jako návnadu využívají pocit důvěry.

 Kde phishing útočí?

Internetoví padouši číhají takřka na každém rohu. Cestu k oběti volí přes e-maily, falešné webové stránky, nebo sociální sítě. Mohou se vydávat za banku, policii, přátele na Facebooku. Svůj útok vždy zamaskují tak, aby oběť ani nenapadalo, že komunikuje s podvodníkem. Zkrátka se snaží vyvolat pocit důvěry.

Například v minulosti útoky probíhaly způsobem, kdy lidem chodily e-maily, které se tvářily jako od banky. V e-mailu pak byli příjemci vyzváni, aby se přihlásili do svého bankovnictví. E-mail však obsahoval odkaz, který vedl na falešné stránky bankovnictví. Poté, co se oběť přihlásila do aplikace, útočníci zjistili její přihlašovací údaje a vysáli jí z účtu peníze.

Když se přihlašujete do svého internetového bankovnictví nebo platíte online, hlídejte si symbol zeleného zámku v adresním řádku. Klikněte na něj a zjistěte, komu byl certifikát vystaven.

To, že jsou údaje při odesílání soukromé znamená, že komunikaci mezi vaším webovým prohlížečem a stránkou, na které např. platíte, nemůže odposlouchávat někdo třetí (typicky hacker).

CO CHCE ÚTOČNÍK ZÍSKAT?

Útočník se zajímá o citlivé údaje. To jsou informace, které by měly být důvěrné pouze vám, nikomu jinému. Pokud je sdílíte s cizí osobou, vystavujete se velkému nebezpečí.

Které údaje nesmí padnout do cizích rukou?

  • hesla do e-mailu, internetového bankovnictví, Facebooku a profilů na sociálních sítích obecně, apod.
  • PIN ke kartě
  • PIN v mobilu
  • celé číslo platební karty
  • autorizační kódy
  • rodné číslo, číslo občanského průkazu, a další
Co je autorizační kód?
Cifra, kterou musíte opsat nebo zkopírovat do platebního rozhraní. Je vyžadován v případě, kdy je nutné ověřit, že platbu provádíte skutečně vy.

Jak probíhá útok na sociálních sítích?

Současná vlna phishingu probíhá právě přes sociální sítě, konkrétně Facebook. Scénář útoku je vždy podobný.

Útočníci rozesílají žádosti o přátelství pod falešnými účty. Profil se tváří jako někdo, koho již oběť v přátelích má. Útočníci se také mohou do facebookového účtu nabourat. Proto oběť neváhá s útočníky komunikovat – protože se domnívá, že dotyčnou osobu zná. Následně útočníci zašlou zprávu, ve které prosí o telefonní číslo: Jen si přes tebe něco pošlu, dej mi číslo“. Oběť telefonní číslo poskytne a přijde jí SMSka, ve které se nachází autorizační kód (PIN) k platbě. Tato platba se nazývá m-platba a umožňuje ji mobilní operátor. Útočník se ze všech sil snaží dostat ke zmíněnému kódu. Oběť SMSku přepošle a v tu chvíli přichází o peníze.

Kód ohraničený červenou barvou je přesně ten citlivý údaj, který se útočník snaží získat

Platba je vázána na telefonní číslo. Problém je v tom, že jakmile oběť PIN poskytne, platbu nelze zrušit ani nijak stornovat. Jediným východiskem, jak si zachránit kůži je situace, kdy na telefonním čísle není m-platba aktivována. V takovém případě m-platba neprojde.

Jak funguje m-platba?
M-platba je druh mobilní platby, která je prováděná přes mobilní telefon. Na stránce obchodníka stačí zvolit platební metodu m-platba a vyplnit telefonní číslo. Na toto číslo pak dorazí SMSka s unikátním kódem (PIN), který slouží k ověření transakce. Platbu poskytuje mobilní operátor, který ji také účtuje. M-platba je vyúčtována v rámci pravidelného vyúčtování služeb odděleně – nezávisí tedy na výši paušálního tarifu. Pro uživatele, kteří si dobíjí (nepoužívají paušál) je částka odečtena z kreditu.  
Kde útočník získá přístup k mým přátelům?
Co je na Facebooku, není žádným tajemstvím. Útočnící cílí na profily, které mají většinu obsahu nastavený jako veřejný (poznáte podle ikony zeměkoule). Zejména se pak zaměří na sekci Přátelé. Máte-li seznam přátel veřejný, znamená to, že kdokoli si jej může prohlédnout, třeba i podvodník z druhé strany světa.

7 rad, jak se bránit současným útokům na Facebooku

  1. Nikdy a za žádných okolností nesdělujte kód PIN, který se nachází v SMS při m-platbě, ani telefonní číslo.
  2. Nepřijímejte žádosti o přátelství od cizích profilů, ani od lidí, které již v přátelích máte. Pokud se vám stane, že vám taková žádost přijde, přítele kontaktujte a ověřte si, zda se skutečně jedná o vašeho známého.
  3. Seznam přátel si skryjte, nebo jej ponechte viditelný pouze pro své přátele. Pokud máte seznam přátel veřejně přístupný, budou útočníci cílit právě na vás. Věc se má tak, že útočníci si mohou z vašich přátel vybrat například vaše dítě (lze poznat podle jména či veřejně viditelných fotek) a založí si profil pod jeho jménem. Vy uvidíte žádost o přátelství od vašeho dítěte a ani vás nenapadne, že na druhé straně sedí podvodník.
  4. Pokud máte podezření na falešný profil, účet zablokujte. Budete mít jistotu, že nadále žádný váš obsah neuvidí.
  5. Můžete si také nastavit, aby vám cizí osoba (kterou nemáte v přátelích) nemohla napsat zprávu.
  6. Spojte se s mobilním operátorem a zeptejte se, jaké máte nastavení pro m-platbu. Pokud tuto platební metodu vůbec nepoužíváte, můžete si ji pro pocit bezpečí deaktivovat. Chcete-li ochránit i vaše děti, pro jistotu deaktivujte m-platby i jim. Děti mohou být na internetu více důvěřivé a snáze se mohou stát obětí phishingu.
  7. Nezapomínejte, že i mobilní telefon je prostředek k placení. Jakmile útočníkům poskytnete jakýkoli kód, platba je autorizována a vy přijdete o peníze.

Závěr

S phishingem je to podobné, jako kdybyste zloději na chvilku půjčili svoji peněženku v domnění, že se nic nestane a najednou by byly vaše peníze fuč. V podstatě byste zloději své peníze odevzdali dobrovolně.

Nejlepší obranou proti phishingu je zachování chladné hlavy. Zamyslete se nad průběhem situace a pokud vám cokoli přijde podezřelé, vůbec nereagujte.

Na phishing platí více než jindy: Dvakrát měř, jednou řež.

Další užitečné informace k placení na internetu

Dělají vše pro to, aby se dostali k vašim penězům. Na Facebooku se vydávají za kamarády a snaží se z vás vytáhnout telefonní číslo. Rozesílají podvodné e-maily, napodobují webové stránky a lákají na falešné internetové bankovnictví. O koho jde a jak své peníze ochránit? Řeč je o phishingových podvodnících.

Co je phishing?

Phishing je druh internetového podvodu, který se snaží z oběti vylákat citlivé údaje. Padouch pak takto získané informace použije k vlastnímu obohacení. V praxi to znamená, že z vás někdo vytáhne osobní informace, aniž byste to tušili, a pak si na nich přihřeje pořádný hrnec polívky. Vy se spálíte a zbydou vám oči pro pláč.
Co znamená název phishing?
Název pochází z anglického slova fishing, což v překladu znamená rybaření. Tak jako rybáři hází návnady a snaží se ulovit co největší počet ryb, stejným způsobem postupují i internetoví padouši. Ti však svoje sítě nehází do rybníků, ale na internet. Jako návnadu využívají pocit důvěry.

 Kde phishing útočí?

Internetoví padouši číhají takřka na každém rohu. Cestu k oběti volí přes e-maily, falešné webové stránky, nebo sociální sítě. Mohou se vydávat za banku, policii, přátele na Facebooku. Svůj útok vždy zamaskují tak, aby oběť ani nenapadalo, že komunikuje s podvodníkem. Zkrátka se snaží vyvolat pocit důvěry. Například v minulosti útoky probíhaly způsobem, kdy lidem chodily e-maily, které se tvářily jako od banky. V e-mailu pak byli příjemci vyzváni, aby se přihlásili do svého bankovnictví. E-mail však obsahoval odkaz, který vedl na falešné stránky bankovnictví. Poté, co se oběť přihlásila do aplikace, útočníci zjistili její přihlašovací údaje a vysáli jí z účtu peníze. Když se přihlašujete do svého internetového bankovnictví nebo platíte online, hlídejte si symbol zeleného zámku v adresním řádku. Klikněte na něj a zjistěte, komu byl certifikát vystaven. To, že jsou údaje při odesílání soukromé znamená, že komunikaci mezi vaším webovým prohlížečem a stránkou, na které např. platíte, nemůže odposlouchávat někdo třetí (typicky hacker).

CO CHCE ÚTOČNÍK ZÍSKAT?

Útočník se zajímá o citlivé údaje. To jsou informace, které by měly být důvěrné pouze vám, nikomu jinému. Pokud je sdílíte s cizí osobou, vystavujete se velkému nebezpečí. Které údaje nesmí padnout do cizích rukou?
  • hesla do e-mailu, internetového bankovnictví, Facebooku a profilů na sociálních sítích obecně, apod.
  • PIN ke kartě
  • PIN v mobilu
  • celé číslo platební karty
  • autorizační kódy
  • rodné číslo, číslo občanského průkazu, a další
Co je autorizační kód?
Cifra, kterou musíte opsat nebo zkopírovat do platebního rozhraní. Je vyžadován v případě, kdy je nutné ověřit, že platbu provádíte skutečně vy.

Jak probíhá útok na sociálních sítích?

Současná vlna phishingu probíhá právě přes sociální sítě, konkrétně Facebook. Scénář útoku je vždy podobný. Útočníci rozesílají žádosti o přátelství pod falešnými účty. Profil se tváří jako někdo, koho již oběť v přátelích má. Útočníci se také mohou do facebookového účtu nabourat. Proto oběť neváhá s útočníky komunikovat – protože se domnívá, že dotyčnou osobu zná. Následně útočníci zašlou zprávu, ve které prosí o telefonní číslo: Jen si přes tebe něco pošlu, dej mi číslo“. Oběť telefonní číslo poskytne a přijde jí SMSka, ve které se nachází autorizační kód (PIN) k platbě. Tato platba se nazývá m-platba a umožňuje ji mobilní operátor. Útočník se ze všech sil snaží dostat ke zmíněnému kódu. Oběť SMSku přepošle a v tu chvíli přichází o peníze. Kód ohraničený červenou barvou je přesně ten citlivý údaj, který se útočník snaží získat Platba je vázána na telefonní číslo. Problém je v tom, že jakmile oběť PIN poskytne, platbu nelze zrušit ani nijak stornovat. Jediným východiskem, jak si zachránit kůži je situace, kdy na telefonním čísle není m-platba aktivována. V takovém případě m-platba neprojde.
Jak funguje m-platba?
M-platba je druh mobilní platby, která je prováděná přes mobilní telefon. Na stránce obchodníka stačí zvolit platební metodu m-platba a vyplnit telefonní číslo. Na toto číslo pak dorazí SMSka s unikátním kódem (PIN), který slouží k ověření transakce. Platbu poskytuje mobilní operátor, který ji také účtuje. M-platba je vyúčtována v rámci pravidelného vyúčtování služeb odděleně – nezávisí tedy na výši paušálního tarifu. Pro uživatele, kteří si dobíjí (nepoužívají paušál) je částka odečtena z kreditu.  
Kde útočník získá přístup k mým přátelům?
Co je na Facebooku, není žádným tajemstvím. Útočnící cílí na profily, které mají většinu obsahu nastavený jako veřejný (poznáte podle ikony zeměkoule). Zejména se pak zaměří na sekci Přátelé. Máte-li seznam přátel veřejný, znamená to, že kdokoli si jej může prohlédnout, třeba i podvodník z druhé strany světa.

7 rad, jak se bránit současným útokům na Facebooku

  1. Nikdy a za žádných okolností nesdělujte kód PIN, který se nachází v SMS při m-platbě, ani telefonní číslo.
  2. Nepřijímejte žádosti o přátelství od cizích profilů, ani od lidí, které již v přátelích máte. Pokud se vám stane, že vám taková žádost přijde, přítele kontaktujte a ověřte si, zda se skutečně jedná o vašeho známého.
  3. Seznam přátel si skryjte, nebo jej ponechte viditelný pouze pro své přátele. Pokud máte seznam přátel veřejně přístupný, budou útočníci cílit právě na vás. Věc se má tak, že útočníci si mohou z vašich přátel vybrat například vaše dítě (lze poznat podle jména či veřejně viditelných fotek) a založí si profil pod jeho jménem. Vy uvidíte žádost o přátelství od vašeho dítěte a ani vás nenapadne, že na druhé straně sedí podvodník.
  4. Pokud máte podezření na falešný profil, účet zablokujte. Budete mít jistotu, že nadále žádný váš obsah neuvidí.
  5. Můžete si také nastavit, aby vám cizí osoba (kterou nemáte v přátelích) nemohla napsat zprávu.
  6. Spojte se s mobilním operátorem a zeptejte se, jaké máte nastavení pro m-platbu. Pokud tuto platební metodu vůbec nepoužíváte, můžete si ji pro pocit bezpečí deaktivovat. Chcete-li ochránit i vaše děti, pro jistotu deaktivujte m-platby i jim. Děti mohou být na internetu více důvěřivé a snáze se mohou stát obětí phishingu.
  7. Nezapomínejte, že i mobilní telefon je prostředek k placení. Jakmile útočníkům poskytnete jakýkoli kód, platba je autorizována a vy přijdete o peníze.

Závěr

S phishingem je to podobné, jako kdybyste zloději na chvilku půjčili svoji peněženku v domnění, že se nic nestane a najednou by byly vaše peníze fuč. V podstatě byste zloději své peníze odevzdali dobrovolně. Nejlepší obranou proti phishingu je zachování chladné hlavy. Zamyslete se nad průběhem situace a pokud vám cokoli přijde podezřelé, vůbec nereagujte. Na phishing platí více než jindy: Dvakrát měř, jednou řež. Další užitečné informace k placení na internetu Jak bezpečně platit kartou na internetu? Co je platba kartou online a jak funguje?

Jak se liší platební tlačítko a bankovní převod?

Co je Google Pay a jak funguje?

Co je Apple Pay a jak funguje?

Kde hledat pomoc při placení?

Centrum nápovědy GoPay – návody na placení a řešení problémů

Oficiální GoPay podpora podpora@gopay.cz – při dotazu na platbu nám prosím vždy sdělte ID platby (najdete v -emailu se stavem platby), nebo e-mailovou adresu, kterou jste při platbě zadali

To nejlepší ze světa online plateb do vaší schránky

Zanechte nám svůj e-mail a my vám 2x měsíčně pošleme čerstvé novinky ze světa online plateb a e-shopů.

Jan Vodička

Honza se v GoPay stará o marketing a komunikaci. Rozhodně ho nesledujte na Twitteru.

O čem jsme ještě psali