8 minute read
NEJVĚTŠÍ KYBERPODVODY ROKU 2022
Minulý rok byl na podvody v kybernetickém prostoru velice úrodný. Podvodníkům se dařilo a řada spotřebitelů i podniků se stala jejich obětí. Opět se tak potvrdilo, že kyberhrozby se týkají každého z nás a číhají prakticky všude.
Kyberzločinci ze všech čtyř koutů světa během uplynulých 12 měsíců neztráceli čas a zaměřovali se na e-mailové schránky, komunikaci přes WhatsApp, Marketplace na Facebooku a kryptopeněženky, přičemž využívali nejen nejnovější techniky sociálního inženýrství, ale i „osvědčené“ klasiky, jak vymámit z nic netušících uživatelů jejich data a prostředky.
Podíváme se na ty nejrozšířenější podvody – protože znát a umět identifikovat nástrahy je důležitým předpokladem úspěšné obrany.
Zelle
Podvody na facebookovém tržišti Zelle patřily mezi nejrozšířenější podvody loňského roku. Šlo zároveň o ty nejvíce „atraktivní“, protože objem vyhledávání klíčových slov, tedy hledání informací o těchto podvodech na Googlu, dosahoval každý měsíc desíteky tisíc.
Zelle je aplikace, která uživatelům umožňuje posílat peníze mezi bankami. K převodu hotovosti stačí e-mailová adresa nebo telefonní číslo příjemce. Zelle nenabízí plány ochrany plateb pro finanční transakce autorizované majiteli účtů. Díky tomu si Zelle oblíbili podvodníci. V jednom z typů podvodu Zelle na facebookovém tržišti kontaktuje „kupující“ – který je ve skutečnosti podvodník – a žádá prodávajícího o e-mailovou adresu, aby mu prostřednictvím Zelle zaplatil za drahé zboží.
Žádná platba však není odeslána. Místo toho podvodník zašle falešný e-mail, který se vydává za e-mail od společnosti Zelle a v němž podrobně popisuje, že výrobek byl zakoupen pomocí podnikatelského účtu a pro přijetí platby musí mít podnikatelský účet také prodávající.
Podvodník pak předstírá, že obdržel podobný e-mail, a informuje prodávajícího, že převedl nějaké peníze na pokrytí upgradu podnikatelského účtu prodávajícího (nepřevedl), a žádá o vrácení peněz, přičemž sází na to, že prodávající si předtím nezkontroluje svůj účet.
To není jediný způsob, jak lze zneužít platební systémy, jako je Zelle, které nevyžadují žádné ověření a nemají žádnou ochranu plateb. Objem vyhledávání kolem podvodů Zelle naznačuje, že v současné době se pravděpodobně používá více metod.
WhatsApp a ti druzí
Falešnými zprávami a podvody se to na WhatsAppu a v dalších chatovacích aplikacích v roce 2022 přímo hemžilo.
V roce 2022 se na globální úrovni uchytila zejména taktika, kdy útočník předstírá, že uvízl v cizí zemi a kontaktuje „rodiče“, které přesvědčuje o tom, že jeho bankovní karta nefunguje a tahá z obětí prostředky prostřednictvím bankovní transakce nebo jiné formy převodu peněz. V roce 2022 bylo zaznamenáno několik různých iterací tohoto podvodu, přičemž kyberzločinci použili řadu různých „příběhů“.
Kryptoměny a podvody
Pokud jde o celkový objem podvodně získaných peněz, jen málokterý způsob podvodu dosáhl takových sum jako podvody s kryptoměnami. V červnu loňského roku FTC oznámila, že od začátku roku 2021 přišlo v důsledku kryptoměnových podvodů více než 46 000 lidí dohromady o miliardu dolarů.
Naprostá většina ukradených kryptoměn je odcizena prostřednictvím podvodů souvisejících s investicemi (typicky falešných investičních příležitostí), přičemž oblíbenou metodou podvodu, která byla v roce 2022 použita k nelegálnímu získání bitcoinů a dalších digitálních měn od nic netušících obětí, jsou také tzv. „romantické podvody“, což je přímo nestárnoucí klasika. Romantické podvody se netýkají jen kryptoměn – mají mnohem větší dosah. Romantické podvody spočívají v tom, že podvodníci různými prostředky přesvědčují své oběti, že k nim chovají vřelé city, které již vedly nebo povedou k milostnému vztahu.
Není překvapivé, že se romantické podvody ujaly. Jak se říká, láska je opravdu slepá – je to ideální emoce, kterou lze postavit do centra operace sociálního inženýrství, a může vést i ty nejrozumnější lidi k tomu, že úmyslně ignorují zjevné varovné signály.
Jeden milostný podvodník se dokonce ocitl v centru jednoho z nejsledovanějších dokumentů loňského roku, Tinder Swindler, který byl uveden těsně před Valentýnem –obdobím roku, kdy obvykle dochází k explozi podvodů založených na milostných vztazích. Podvodník Simon Hayut, který se vydával za milionářského podnikatele na seznamovací aplikaci Tinder, vylákal z několika žen statisíce dolarů. Mezi rokem Hayutova zatčení a rokem 2021 vzrostl počet romantických podvodů o 25 % – nadnárodní společnost Experian, která poskytuje úvěrové zpravodajství, předpovídá, že statistiky brzy ukážou, že rok 2022 byl pro pachatele této podvodné metody nadmíru úspěšný.
E-mailový podvod Geek Squad
Společnost Best Buy – konkrétně její služba počítačové podpory Geek Squad – se dostala do centra pozornosti veřejnosti v průběhu roku 2022 poté, co se podvodníci soustavně vydávali za tuto společnost a snažili se podvést stovky tisíc zákazníků. Geek Squad je dceřinou společností kanadského elektronického koncernu Best Buy a nabízí klientům různé služby technické podpory na vyžádání. Služba se hojně využívá ve Spojených státech i v Kanadě. Vysoká četnost podvodů s Geek Squad vedla FTC k vydání několika upozornění.
Podvody Geek Squad mají mnoho podob – nejčastěji podvodníci kontaktují potenciální oběti prostřednictvím e-mailu, textových zpráv a telefonu. Jedna z verzí podvodu se nazývá „podvod s automatickým obnovením“, který se snaží oběť vyděsit a přimět ji k rychlému jednání tím, že jí vyhrožuje obnovením drahého předplatného, pokud nebude jednat.
Objevily se také podvody „přeplatkem“ a podvody s „technickou podporou“ – v druhém případě si aktéři hrozby přisvojují vzdálenou kontrolu nad počítači obětí, aby opravili neexistující problémy a místo toho ukradli jejich informace nebo nasadili do zařízení další nástroje pro sledování obětí a krádeže jejich dat i prostředků.
Podvody se službou Google Voice
Služba Google Voice se stává stále oblíbenější volbou pro firmy, které potřebují řešení VoIP – a to znamená, že se zvýšil i počet podvodů. Nyní je služba Google Voice využívána ke krádežím telefonních čísel a následně i dalších osobních údajů.
Podvody s Google Voice vyžadují, aby potenciální oběť nejprve něco zveřejnila na internetu spolu se svým telefonním číslem – třeba něco prodává na webu, jako je Bazoš, a podobně.
Podvodník tyto uživatele vyhledá a tvrdí jim, že chce takovou věc koupit. Před pokračováním však požadují ověření totožnosti. Podvodník pak pošle obětem „ověřovací kód“ – ve skutečnosti však vytvořil účet Google Voice s telefonním číslem oběti a jedná se o dvoufaktorový ověřovací kód, který Google zašle do zařízení při registraci nových účtů.
Oběti, které se nechají napálit a přistoupí na celý podvod a předají toto ověřovací číslo, nyní podvodníkovi umožnily, aby si na základě jejich údajů založil účet Google Voice.
Eva Velasquezová, prezidentka a generální ředitelka Centra pro krádeže identity (ITRC), řekla televizi NBC12, že přijali „tisíce hovorů do centra od obětí tohoto podvodu“, přičemž za posledních 15 měsíců přišlo 6 700 hlášení.
Podvody se službou Paypal
Paypal je jednou z nejčastěji imitovaných značek a asi je jasné, proč si ho podvodníci oblíbili. Jde o službu pro převod peněz, která rozesílá zákazníkům velké množství korespondence a informací o provedených nebo přijatých transakcích. Organizace Better Business Bureau zjistila, že
Paypal je nejčastějším platebním systémem a k podvodům je využíván mnohem častěji než Zelle: V roce 2022 byl Paypal stále pravidelně využíván v klasických phishingových kampaních, při nichž jsou nasazovány techniky sociálního inženýrství, které mají oběti přimět k předání jejich údajů. Tyto útoky mohou probíhat prostřednictvím textových zpráv nebo e-mailů.
Existují však také podvody, při nichž jsou oběti podvedeny, aby poslaly peníze s tím, že jim budou zaslány další (což se nikdy nestane).
Podvody s přeplatky zase často vyžadují složitější hackerské a podvratné taktiky, aby to vypadalo, že obětem byla převedena velká částka peněz. Poté jsou vyzvány, aby ji poslaly zpět, načež ti, kteří podvodu naletí, jednoduše pošlou zločinci své vlastní peníze.
Podvodné SMS
V roce 2022 podvodníci stále využívají SMS a je pravděpodobné, že i v roce 2023 budou naše telefony zaplavovat škodlivými odkazy. Pro podvodníky je obzvláště oblíbená společnost Amazon, od které miliony lidí očekávají textovou komunikaci týkající se objednaného zboží, což přirozeně zvyšuje míru jejich zásahů. V tuzemském prostředí jsme se ale mohli setkat s podobnými metodami například na účet Alzy, České pošty a dalších subjektů, které využívají SMS ke komunikaci se zákazníky.
Podvodné textové zprávy často tvrdí, že někdo provedl platbu na účet oběti nebo k němu získal neoprávněný přístup a je třeba okamžitě jednat nebo že nedávno zmeškal objednávku. Jiní podvodníci konstruují falešné soutěže s příslibem peněžních výher.
Podvodné textové zprávy obsahují škodlivé odkazy, které do zařízení nahrají malware nebo umožní aktérovi hrozby převzít vzdálenou kontrolu nad telefonem.
Společnost Amazon, která sleduje phishingové kampaně využívající její jméno a další aktiva značky, varuje, že „podvodníci mohou vložit své podvodné zprávy do vlákna legitimních zpráv, které jste od nás mohli obdržet“.
S ohledem na tuto skutečnost je vždy nejbezpečnější kontaktovat společnost jiným způsobem a zcela se vyhnout klikání na odkazy v textových zprávách.
Jak se chránit před podvody v roce 2023
Nejlepší obranou proti podvodům jsou znalosti – schopnost rozpoznat běžné formáty podvodů je zcela zásadní. Pamatujte na zlaté pravidlo: pokud jste nečekali, že od společnosti obdržíte korespondenci, a přesto jste ji obdrželi, nebo se vám prostě něco nezdá, obraťte se na kanál zákaznické podpory dané společnosti. Kromě toho nikdy nepředávejte své telefonní číslo, e-mailovou adresu, bankovní údaje ani žádné jiné osobní údaje, pokud si nejste zcela jisti, že hovoříte s oprávněným zástupcem společnosti, se kterou jste již dříve jednali. Pokud máte někdy pochybnosti, své údaje neposkytujte. Pro zajištění firemní bezpečnosti jsou pak zásadní pravidelná školení zaměstnanců, která mohou zahrnovat cvičení, jako jsou simulace phishingu, online kurzy kybernetické bezpečnosti a prosazování osvědčených postupů při zadávání hesel. Můžete mít ten nejdůmyslnější bezpečnostní systém, jaký lze za peníze koupit, ale pokud zaměstnanci nejsou proškoleni, nezachrání vás žádný, byť správně nakonfigurovaný firewall.
