1 .6. 2021

Osobní zkušenost: útoky kyberzločinců je stále těžší rozpoznat

Doba, kdy k identifikaci podvodného mailu stačila nevalná gramatika je dávno pryč. Na mail začínající slovy „Drahoušek zákazník“ dnes naletí již málokdo. Útoky mající za cíl dostat se lidem do počítače nebo telefonu, případně rovnou vybílit bankovní konto, jsou dnes na mnohem vyšší úrovni a někdy je opravdu těžké je rozeznat.

Navíc už dávno neprobíhají jen skrze mail, ale například i po telefonu. A opravdu na profesionální úrovni.

Popíšeme tu jeden modelový příklad, tak jak ho zažil nedávno náš kolega. Rozpoznal naštěstí hned z počátku, že něco nesedí, ale pokračoval ve hře na kočku a myš s útočníkem. Vše pak bylo samozřejmě nahlášeno bance.

Začalo to důvěryhodně se tvářícím telefonátem

Z českého telefonního čísla kdosi zavolal a představil se jako operátor banky. Číslo mohlo působit důvěryhodně, nejednalo se o žádné zahraniční číslo, naopak na první pohled vypadalo opravdu jako číslo patřící příslušné bance.

„Operátor“ na druhé straně se opravdu dobře připravil. Evidentně si o kolegovi dohledal hodně údajů z veřejně dostupných databází, včetně rejstříku živností. Mohl tedy celkem přesvědčivě tvrdit, že v bance zaznamenali neobvyklou aktivitu na účtu, spočívající v přihlášení ze zahraničí, zatímco kolega se obvykle přihlašuje z Pardubic (opět, jedná se veřejně dohledatelný údaj).

Následovalo zpovídání jako kdyby se „operátor“ opravdu snažil pomoci – vyptával se zda v poslední době nepřišly podezřelé maily, zda někomu nepřeposlal SMS s kódy nebo zda na svém účtu nevidí podezřelé transakce, třeba za jednu korunu.

Následovalo sdělení, že mají v systému varování před neautorizovaným přístupem předchozí den. Jmenoval údajného pracovníka banky, u kterého mají podezření že se pokusil kolegův účet napadnout přímo zevnitř banky. Následně byl „přepojen“ na bezpečnostní oddělení.

Další „operátor“ se kolegu snažil přesvědčit, že se jedná o cílený útok na účet a že je třeba okamžitě změnit přístupové údaje. Navrhl že s tím pomůže a začal vnucovat návod. Kdo by se jím řídil, nevědomky by útočníkovi předal své přístupové údaje k bankovnictví.

Každopádně, banka je prý pro takovéto případy pojištěna a nabízí možnost uložení obsahu účtu v jakémsi rezervním účtu (trezoru), aby na ně nikdo nemohl. A že tedy pošle návrh smlouvy o bezpečné šifrované peněžence. Do ní se mají dočasně uložit všechny volné peníze, než bude vše vyřešeno. Návrh smlouvy a další instrukce že pošle přes WhatsApp, to že je prý lepší než mailem, protože se předpokládá že by si toho mohl všimnout podezřelý pracovník banky. Kdo ještě nerozpoznal podvod, tady už musel.

Ale útok ještě neskončil, vůbec ne. Krom toho že měl být odeslán návod na dočasné převedení peněz do bezpečí (ve skutečnosti trvalé převedení do bitcoinové peněženky bez možnosti je získat zpět), měl ještě zavolat policista z hospodářské kriminálky který si domluví schůzku a informuje kolegu o dalším postupu.

A opravdu, opět následoval telefonát z důvěryhodně se tvářícího čísla, na první pohled takového jaké využívá Policie. Potvrdil historku předchozích chlapíků, a domluvil si schůzku na existující policejní služebnu za několik dní. Prý k nahlédnutí do spisu a sepsání protokolu. Ale hlavně, upozornil že do té doby je kolega vázán mlčenlivostí pod pokutou. Takže vlastně získával čas na zahlazení všech stop.

Následoval již jen telefonát od jednoho z prvních „operátorů“ a urgence převodu peněz do takzvané bezpečné peněženky. To kolega samozřejmě nikdy neudělal, takže od té doby útočníci mlčí.

Útok byl velmi dobře připraven

Tento útok se vyznačuje opravdu velkou mírou zákeřnosti. Podílí se na něm velké množství lidí a předchází mu evidentně důkladný sběr informací. Na člověka, který nemá své údaje veřejně dostupné v živnostenském rejstříku se nejspíš nepřipraví tak dobře, ale nelze se na to spoléhat. Tady každopádně byli připraveni skvěle.

Kdo by se pokusil vyhledat informace o telefonních číslech ze kterých útočníci volali, nalezl by stránky kde velké množství „uživatelů“ potvrzuje že jde o zákaznické linky bank a podobně. Při bližším zkoumání se ovšem texty recenzí podezřele opakují. Účel to ale splňuje – negativní recenze jsou mnohem hůře dohledatelné, těch pozitivních je totiž obrovské množství. A za dlouhou dobu, ne jen za posledních několik týdnů.

V tomto případě nebyl podvod úspěšný a byl nahlášen na příslušná místa. Ale jeho propracovanost opravdu překvapila.

S podobnými útoky se roztrhl pytel, pracují s lidským strachem a snaží se donutit vás k akci ihned, bez možnosti se příliš zamyslet nad tím co děláte. To je velmi nebezpečné, viz třeba další případ popsaný zde.

Jak se bránit?

Neexistuje stoprocentní ochrana. Každý může naletět. Ale pravděpodobnost napálení se dá snížit.

Vždy si pořádně rozmyslete, co komu sdělujete – pracovníci banky mají velmi přesná pravidla stran toho, co po vás mohou chtít. Údaje z platebních karet to určitě nejsou, ani další údaje u kterých by vás mohlo napadnout „ale vždyť to by přeci můj osobní bankéř měl vědět“.

Mějte nastaveny limity - na kartě pro výběry a platby na internetu, na účtu pro maximální množství převedených peněz za den a podobně.

Nechte si posílat informace o pohybech na účtu – a nejen o pohybech, o všem co vám banka umožní. Jakýkoli podezřelý pohyb tak možná odhalíte během pár sekund. Samozřejmě pokud zrovna nespíte, potom holt až ráno.

Nastudujte si bezpečnostní pokyny své banky – každá banka má takové pokyny, je v nich například uvedeno co po vás opravdový pracovník banky bude chtít když už vám zavolá. Taky co chtít může a co nesmí, jak případně zablokovat platební kartu a co dělat když máte podezření na nekalé jednání.

Vždy se zamyslete a rozhodujte se s chladnou hlavou - nenechte se vtáhnout do nátlakové hry „teď hned musíte udělat“. Většina útoků se dá rozpoznat, pokud máte čas se nad nimi zamyslet. Útočníci to vědí a nechtějí vám ten čas dát.

Dobrým nápadem se jeví i nahrát si takový hovor, ale tady pozor na legislativu - nahrát si hovor má svá pravidla, například by na to druhá strana měla být upozorněna. A určitě by se taková nahrávka neměla objevit jen tak pro pobavení na sociálních síťích. Na druhou stranu, Policii určitě pomůže.

Pevně doufáme že nikoho z vás takový útok nepostihne a pokud ano, tak že nebude úspěšný – jako v našem případě. U nás je z toho jen článek na blog, ale je jasné že na takto propracovaný útok může leckdo naletět.

Gratulujeme všem co dočetli až sem – ať si na vás všichni internetoví zloději vylámou zuby!

4