Nejčastější podvody na Internetu
23.12.2018 16:51Kromě útoků založených na technice nebo kombinaci sociálního inženýrství a technických postupů se v praxi na Internetu často můžete potkat s obyčejnými podvody. Existuje jich celá škála a v tomto textu bychom vás rádi varovali aspoň před některými z nich.
Mezi ty zajímavější určitě patří útočníci,vydávající se za Vaše přátele a známé na sociálních sítí. Toho dosahují například okopírováním veřejného profilu a přidáním do přátel. Po úspěšné první fázi útoku, „spřátelení se“ nedochází samo o sobě k vyčíslitelné škodě. Kk té však může dojítv dalším kroku. Stojí za to si připomenout, že po přidání do přátel, získá útočník informace, data a fotky, které z veřejné části profilu nedostane. V závislosti na nastavení soukromí daného profilu,může také získat seznam vašich přátel a vyzkoušet podobný postup na ně.
V případě úspěšné „imitace“ kamaráda či známého útok pokračuje s cílem monetizace „nového přátelství“. Útočník vydávající se za kamaráda pak získá telefonní číslo (buď přímo z profilu nebo prosbou v soukromé zprávě) načež oběti přijde zpráva, ve které útočník požádá pod smyšlenou historkou o finanční obnos. Využívá zde systému mobilních plateb, u kterých může dojít až ke zcizení částek kolem 1500 Kč za jednu zprávu.
Podvodník se také může pokusit o uhodnutí vašeho hesla a následně oslovit přímo někoho z vašich kamarádů a požádat jej vaším jménem o půjčení drobné částky. Ve skutečnosti však od vašeho kamaráda získá informace, které mu později pomohou z jeho bankovního účtu ukrást všechny finance. V tomto případě je potřeba obezřetnosti na obou stranách. Měli bychom mít jako uživatelé silné heslo, aby nikdo nemohl získat nadvládu nad naším účtem. Také bychom měli být opatrní, pokud nás někdo nový požádá o přátelství. Z druhé strany bychom také měli pečlivě vážit a ověřovat každou žádost o půjčení peněz, či přeposlání nějakého SMS kódu. Vždy je potřeba si jiným vhodným kanálem ověřit, že nás skutečně žádá osoba, kterou známe.
V souvislosti se sociální sítí Facebook nesmíme opomenout ani oblíbené soutěže o nejrůznější výhry. Obvykle za lajk, sdílení nebo komentování příspěvku slibují zahrnutí daného uživatele do slosování o zajímavou výhru. Následně se všem uživatelům ozve údajný provozovatel soutěže s informací, že měli štěstí a vyhráli. Pak se po záminkou potřeby ověřit identitu výherce pokusí vylákat osobní údaje a informace o platební kartě.
Další oblíbené podvody na internetu se týkají obchodování se zbožím. Typickým zástupcem tohoto fenoménu jsou falešné e-shopy.Průběh je očekávatelný, zákazník si objedná zboží, které zaplatí, ale nikdy nedostane. V sofistikovanějších případech pak útočník či bílý kůň odpovídá na dotazy a stížnosti zákazníka. Tím udrží zákazníka v domnění, že obchod je legitimní a zatím co ho nenahlásí policii, podvodník má více času k nalákání dalších zákazníků, než bude muset založit nových obchod. Sofistikovanější podvodníci si také najímají bílé koně, kteří jsou pak schopni vám do telefonu říci, že e-shop je legitimní a že oni tam pracují. To, že uzavřeli pracovní smlouvu na dálku a svého zaměstnavatele třeba ani nikdy neviděli vám už neřeknou. Těžko popisovat univerzální způsob, jak odhalit falešný e-shop, především proto, že by útočníkovi stačilo pouze splnit kontrolované body. Nicméně určitě stojí za to zmínit kontrolu identifikace obchodníka a recenze a hodnocení od kupujících. Také není dobré spoléhat se na různé certifikace, kterými se e-shop na svých stránkách ohání. Je potřeba si ověřit jejich pravost u instituce, která takovou certifikaci měla udělit. Dobré vodítko může být také držitel domény nebo datum registrace domény, na které je obchod provozován. Například jsme v praxi potkali podvodný e-shop, který na svých stránkách uváděl, že funguje již šestým rokem a za tu dobu měl tisíce spokojených zákazníků. Nicméně datum registrace domény bylo tři měsíce zpět. V textech falešných e-shopů lze často odhalit i jiné věci nelogické povahy. Je potřeba postupovat především s rozvahou. Další body zajímavé body ke kontrole lze najít třeba zde. Další možností je služba ověření e-shopů provozovaná časopisem D-Test.
Mezi již tradiční patří podvody s padělky známých značek. Objevují se totiž i e-shopy, které zboží sice dodají, ale jedná se o padělek. Často zde narazíme na padělky slunečních brýlí, parfémů či elektroniky a to vše za zdánlivě velmi výhodné ceny. Ovšem problém je v tom, že kvalitou nedosahují originálních výrobků.
Také je třeba nezapomenout na podvodné antiviry, na které uživatel může narazit během procházení internetových stránek. Ty vám nabízejí kontrolu počítače zdarma. Pokud se jim podaří přesvědčit uživatele ke spuštění, často pak hlásí, že je počítač infikován, mnohdy i nesmyslně vysokým počtem malware. Dále už se scénáře liší. Buď vyžadují platbu za jejich odstranění nebo sami infikují počítače pro další využití útočníkem. Může se jednat o o krádež dat či zneužití počítače k různým nekalým účelům.
Jinou formou těchto podvodů jsou nabídky k odkoupení zboží, které prodáváte někde v on-line bazaru, nebo je někde dražíte. Podvodníci vám nabídnou velmi dobrou cenu, neboť doufají, že ztratíte ostražitost a stanete se tak snadným cílem jejich útoku. Budou vám tvrdit, že zboží rychle potřebují a budou trvat na jeho odeslání ještě předtím, než vám přijde platba. Dokonce mohou poslat falešné potvrzení z banky nebo se začnou ohánět Interpolem.
Příklad následného vydíraní v případě podvodného odkupu zboží
V roce 2018 byla zaznamenaná první větší vlna podvodných mailů, tvrdících, že Váš počítač byl napaden a že má útočník vaše osobní data, včetně nelichotivých fotografií a že získal i přístup k vaší webkameře. Dále se v e-mailu psalo,že má útočník v plánu vše zveřejnit, pokud mu nezaplatíte, aby vše smazal. Ve všech námi zaznamenaných případech, se jednalo o lež ve snaze vymámit z oběti o peníze.
Netrvalo dlouho a tato vlna byla následovaná dalšími. Tentokrát byl e-mail obohacený o heslo z dříve uniklých databází. Pomocí znalosti hesla použitého v jiné službě přiřazenému k e-mailové adrese se útočník snažil přesvědčit oběť, že k útoku opravdu došlo a že zmíněná data má (přece jenom má heslo), ale i v tomto případě se jednalo pouze o podvod.
Jednotliví uživatelé tak nadále zůstávají oblíbenými cíli útočníků, zvláště díky faktu, že jich mohou oslovit mnoho najednou
Vznik tohoto textu byl podpořen Nástrojem Evropské unie pro propojení Evropy.
Kromě útoků založených na technice nebo kombinaci sociálního inženýrství a technických postupů se v praxi na Internetu často můžete potkat s obyčejnými podvody. Existuje jich celá škála a v tomto textu bychom vás rádi varovali aspoň před některými z nich.
Mezi ty zajímavější určitě patří útočníci,vydávající se za Vaše přátele a známé na sociálních sítí. Toho dosahují například okopírováním veřejného profilu a přidáním do přátel. Po úspěšné první fázi útoku, „spřátelení se“ nedochází samo o sobě k vyčíslitelné škodě. Kk té však může dojítv dalším kroku. Stojí za to si připomenout, že po přidání do přátel, získá útočník informace, data a fotky, které z veřejné části profilu nedostane. V závislosti na nastavení soukromí daného profilu,může také získat seznam vašich přátel a vyzkoušet podobný postup na ně.
V případě úspěšné „imitace“ kamaráda či známého útok pokračuje s cílem monetizace „nového přátelství“. Útočník vydávající se za kamaráda pak získá telefonní číslo (buď přímo z profilu nebo prosbou v soukromé zprávě) načež oběti přijde zpráva, ve které útočník požádá pod smyšlenou historkou o finanční obnos. Využívá zde systému mobilních plateb, u kterých může dojít až ke zcizení částek kolem 1500 Kč za jednu zprávu.
Podvodník se také může pokusit o uhodnutí vašeho hesla a následně oslovit přímo někoho z vašich kamarádů a požádat jej vaším jménem o půjčení drobné částky. Ve skutečnosti však od vašeho kamaráda získá informace, které mu později pomohou z jeho bankovního účtu ukrást všechny finance. V tomto případě je potřeba obezřetnosti na obou stranách. Měli bychom mít jako uživatelé silné heslo, aby nikdo nemohl získat nadvládu nad naším účtem. Také bychom měli být opatrní, pokud nás někdo nový požádá o přátelství. Z druhé strany bychom také měli pečlivě vážit a ověřovat každou žádost o půjčení peněz, či přeposlání nějakého SMS kódu. Vždy je potřeba si jiným vhodným kanálem ověřit, že nás skutečně žádá osoba, kterou známe.
V souvislosti se sociální sítí Facebook nesmíme opomenout ani oblíbené soutěže o nejrůznější výhry. Obvykle za lajk, sdílení nebo komentování příspěvku slibují zahrnutí daného uživatele do slosování o zajímavou výhru. Následně se všem uživatelům ozve údajný provozovatel soutěže s informací, že měli štěstí a vyhráli. Pak se po záminkou potřeby ověřit identitu výherce pokusí vylákat osobní údaje a informace o platební kartě.
Další oblíbené podvody na internetu se týkají obchodování se zbožím. Typickým zástupcem tohoto fenoménu jsou falešné e-shopy.Průběh je očekávatelný, zákazník si objedná zboží, které zaplatí, ale nikdy nedostane. V sofistikovanějších případech pak útočník či bílý kůň odpovídá na dotazy a stížnosti zákazníka. Tím udrží zákazníka v domnění, že obchod je legitimní a zatím co ho nenahlásí policii, podvodník má více času k nalákání dalších zákazníků, než bude muset založit nových obchod. Sofistikovanější podvodníci si také najímají bílé koně, kteří jsou pak schopni vám do telefonu říci, že e-shop je legitimní a že oni tam pracují. To, že uzavřeli pracovní smlouvu na dálku a svého zaměstnavatele třeba ani nikdy neviděli vám už neřeknou. Těžko popisovat univerzální způsob, jak odhalit falešný e-shop, především proto, že by útočníkovi stačilo pouze splnit kontrolované body. Nicméně určitě stojí za to zmínit kontrolu identifikace obchodníka a recenze a hodnocení od kupujících. Také není dobré spoléhat se na různé certifikace, kterými se e-shop na svých stránkách ohání. Je potřeba si ověřit jejich pravost u instituce, která takovou certifikaci měla udělit. Dobré vodítko může být také držitel domény nebo datum registrace domény, na které je obchod provozován. Například jsme v praxi potkali podvodný e-shop, který na svých stránkách uváděl, že funguje již šestým rokem a za tu dobu měl tisíce spokojených zákazníků. Nicméně datum registrace domény bylo tři měsíce zpět. V textech falešných e-shopů lze často odhalit i jiné věci nelogické povahy. Je potřeba postupovat především s rozvahou. Další body zajímavé body ke kontrole lze najít třeba zde. Další možností je služba ověření e-shopů provozovaná časopisem D-Test.
Mezi již tradiční patří podvody s padělky známých značek. Objevují se totiž i e-shopy, které zboží sice dodají, ale jedná se o padělek. Často zde narazíme na padělky slunečních brýlí, parfémů či elektroniky a to vše za zdánlivě velmi výhodné ceny. Ovšem problém je v tom, že kvalitou nedosahují originálních výrobků.
Také je třeba nezapomenout na podvodné antiviry, na které uživatel může narazit během procházení internetových stránek. Ty vám nabízejí kontrolu počítače zdarma. Pokud se jim podaří přesvědčit uživatele ke spuštění, často pak hlásí, že je počítač infikován, mnohdy i nesmyslně vysokým počtem malware. Dále už se scénáře liší. Buď vyžadují platbu za jejich odstranění nebo sami infikují počítače pro další využití útočníkem. Může se jednat o o krádež dat či zneužití počítače k různým nekalým účelům.
Jinou formou těchto podvodů jsou nabídky k odkoupení zboží, které prodáváte někde v on-line bazaru, nebo je někde dražíte. Podvodníci vám nabídnou velmi dobrou cenu, neboť doufají, že ztratíte ostražitost a stanete se tak snadným cílem jejich útoku. Budou vám tvrdit, že zboží rychle potřebují a budou trvat na jeho odeslání ještě předtím, než vám přijde platba. Dokonce mohou poslat falešné potvrzení z banky nebo se začnou ohánět Interpolem.
Příklad následného vydíraní v případě podvodného odkupu zboží
V roce 2018 byla zaznamenaná první větší vlna podvodných mailů, tvrdících, že Váš počítač byl napaden a že má útočník vaše osobní data, včetně nelichotivých fotografií a že získal i přístup k vaší webkameře. Dále se v e-mailu psalo,že má útočník v plánu vše zveřejnit, pokud mu nezaplatíte, aby vše smazal. Ve všech námi zaznamenaných případech, se jednalo o lež ve snaze vymámit z oběti o peníze.
Netrvalo dlouho a tato vlna byla následovaná dalšími. Tentokrát byl e-mail obohacený o heslo z dříve uniklých databází. Pomocí znalosti hesla použitého v jiné službě přiřazenému k e-mailové adrese se útočník snažil přesvědčit oběť, že k útoku opravdu došlo a že zmíněná data má (přece jenom má heslo), ale i v tomto případě se jednalo pouze o podvod.
Jednotliví uživatelé tak nadále zůstávají oblíbenými cíli útočníků, zvláště díky faktu, že jich mohou oslovit mnoho najednou
Vznik tohoto textu byl podpořen Nástrojem Evropské unie pro propojení Evropy.
———
Zpět