Pozor na tento telefonát. Takhle vás okrade o citlivé údaje a peníze
SZ Byznys získal reálnou nahrávku podvodného telefonátu, kdy se útočník vydávající se za pracovníka banky pokoušel z klientky České spořitelny vylákat data o její kartě. Tzv. vishing je na vzestupu, varují banky i policie.
Článek
Představte si následující situaci: Spíte, uprostřed noci vám zazvoní telefon. Rozespalí slyšíte, jak vám hlas do telefonu vysvětluje, že vaše peníze jsou v ohrožení. Říká, že je z vaší banky a že je třeba ihned jednat, jinak o peníze přijdete. Chce po vás nadiktovat citlivé údaje, aby ověřil vaši totožnost. Co uděláte?
Klientka České spořitelny (jejíž anonymitu banka i zvukovou úpravou nahrávky chrání), byť nakonec jen díky zásahu svého manžela, v reálném testu vůči metodě sociálního inženýrství zvané vishing obstála. Níže si můžete poslechnout autentickou nahrávku a přečíst přepis podvodného telefonátu, jehož cílem bylo získat údaje o platební kartě a následně „vysát“ klientčin účet.
„Klientka má na svém telefonu nainstalovanou aplikaci pro nahrávání hovorů a bezprostředně po tomto podvodném hovoru nás kontaktovala, aby na něj jednak upozornila a zároveň nám záznam nabídla, abychom mohli zvážit, jak s ním dál pracovat,“ uvedl Lukáš Kropík, mluvčí České spořitelny, která SZ Byznys nahrávku poskytla.
Hovor se uskutečnil na začátku loňského srpna. Útočník volal v noci s tím, že bezpečnostní systém banky vyhodnotil, že se někdo snaží zneužít klientčinu platební kartu. Chtěl okamžitou reakci – zablokovat kartu. Tvrdil, že pro ověření potřebuje nadiktovat všechny údaje z karty, včetně trojmístného kódu na její zadní straně.
Útočník (Ú): Volám vám na základě vaší platební karty, protože nyní se snaží někdo udělat čtyři převody ze zahraničí. Tak my vás kontaktujeme na základě vyhodnocení počítače, jestli tyto platby opravdu děláte vy.
K: Ahaaa… To teda nedělám.
Ú: A máte tu kartu fyzicky u sebe? Já se omlouváme, že vám musíme volat v tuhle hodinu (hovor proběhl mezi jednou a druhou hodinou ráno – pozn. red.), ale když to počítač vyhodnotil, že když zadáváte ty platby, že vám máme okamžitě volat.
K: A to je teď zadáno, nějak, jo?
Ú: Ano. Takže vy teďka jste vůbec nic nezadávala?
K: Ne.
Ú: Dobře, takže já vás poprosím… Ráno hnedka, jak budete moct, dostavíte se na.. jakou pobočku banky máte nejblíž?
K: Já se momentálně nedostanu, já půjdu do práce a skončím ve čtyři.
Ú: Ale ty platby vám odejdou, pokud je nezastavíme. Musíme to okamžitě zrušit, protože se vám někdo snaží nabourat, nebo naboural se vám do účtu.
K: A s kým mluvím, teda?
Ú: Jan Nesvadba.
K: A vy jste odkud?Ú: Já jsem z platebního oddělení, ze servisní linky. Když si zavoláte na tu linku z druhý strany, co máte na vaší platební kartě, tak se dovoláte mě.
K: No… Na pobočku, někam?
Ú: Na pobočku, nebo můžem vám tu kartu jakoby teďka zablokovat do zítra třeba do 12 hodin. Že bysme se domluvili, já bych jí tady zablokoval. Že by se ty platby neprovedly. A pak byste si to vyřešila…
K: Od kdy ty platby jako choděj pryč?
Ú: Teď, nyní, právě.
K: Já vím, ale odkdy. Teď, nyní, jako, předtím nechodily pryč?
Ú: No, předtím ten počítač nevyhodnotil ty platby… Když jsou za sebou, po minutě, jo, na cizí účet, úplně, na který jste nikdy neposílala peníze. Tak prostě, takový je klasický postup.
K: Hm, no asi kartu zablokovat, protože… já sice jí budu potřebovat, budu vybírat…
Ú: A v kolik hodin jí budete potřebovat, kdy budete vybírat?
K: Já nevim, teďkon, abych vám pravdu řekla.
Ú: Máte jí teda před sebou, já vás musím ověřit.
K: Chviličku… Vytáhni mi kartu z kabelky tam z tý kulatý, peněženka to je (mluví na manžela – pozn. red.)…. Mám jí u sebe.
Ú: Prosim vás, postup bude takový. Za žádnou cenu se teďka vy nepřihlašujte asi do bankovnictví, protože jakmile se přihlásíte, tak tím autorizujete další přístupy lidem. Postup budete takový, že ověříme teda číslo karty, který máte nyní u sebe. Přijde vám poté esemeska potom, že karta bude blokována do zítřejších 12.00… a kód. Vy mi ten kód nadiktujete a tímto vám přijde esemeska „Kartu jsme vám nyní zablokovali, aktivní bude zítra, nebo dnes, vlastně už, ve 12.00 dopoledne“.
K: Dobře.
Ú: Jo? Takže teďka to číslo té karty ověříme.
K: Jo, to mám tam na tý zadní straně, že jo?
Ú: Vepředu, vepředu, máte to šestnáctimístný, ano.
K: Mmhmm. No, můžete….. (diktuje číslo karty – pozn. red.)
Ú: Ještě poprosím, platnost.
K: Do srpna 2020.
Ú: Ano a zezadu vedle podpisu máte CVV kód.
K: No aaaa….
Manžel (M): Neříkej mu to!
K: Když vám to řeknu, tak…
M: Neříkej mu to!
Ú: No, ona vám přijde esemes zpráva o tom s kódem, potom, jo. Já to tady vidím, to vaše číslo té karty, já to potřebuji jen doověřit. M: S dovolením, tady… (představuje se – pozn. red.)
Ú: Dobrý den, tady platební oddělení. My musíme paní zablokovat kartu. Prostě někdo se vám pokouší převádět z karty peníze.
M: Helejte, končíme hovor, ona si to vybaví na pobočce. Žádný kódy vám říkat nebude, to jste z ní vytáhl už docela dost. A jdu nahlásit na policii okamžitě vaše číslo. Nashle.
Útočník ani jednou nezmínil jméno banky. Možná ho totiž ani neznal. Možná, že znal jen jméno klientky a číslo jejího telefonu. Ostatní podrobnosti mu – kdyby nezasáhl její muž – málem prozradila sama.
Vishing je podvodná technika založená na vyvolání strachu a zpanikaření oběti. Jak vysvětluje Petr Barák, šéf Komise České bankovní asociace pro bankovní a finanční bezpečnost, klientovi volá v neobvyklý čas útočník vydávající se za bankéře a s pomocí osobních údajů o klientovi, které získal například z ukradených databází či sociálních sítí, si získá jeho důvěru. Ten pak snadno uvěří, že jeho účet byl napaden.
Důležité je také vědět, že tak, jak útočník popisoval údajný proces zablokování karty, to nefunguje. „Zásadně platí, že jak údaje o platební kartě, tak ověřovací kódy, nejsou nikdy používány k zastavení platby nebo ověření klienta,“ zdůrazňuje Martina Kadlecová z týmu bezpečnosti klientských transakcí v České spořitelně.
Jak se blokuje platební karta
Lukáš Kropík popisuje tři způsoby, jak se karta telefonicky blokuje: „Buď nám klient zavolá na zákaznickou linku a proběhne jeho identifikace, tzn. chceme znát buď rodné číslo klienta, datum jeho narození, případně začátek rodného čísla. Nebo nám klient volá na zákaznickou linku prostřednictvím aplikace George klíč. Při tomto hovoru je automaticky ověřen a může rovnou kartu zablokovat. Nebo má aktivovanou bezplatnou službu ověření hlasem (Hlasová biometrie), tzn. zavolá nám na zákaznickou linku a podle vzorku hlasu je rovnou ověřen. Postupuje stejně, jako když nám volá skrze aplikaci George klíč.“
Blokovat kartu lze i z mobilního telefonu nebo v internetovém bankovnictví, ale v případě pokusu o phising nebo vishing Kropík doporučuje kontaktovat banku přes telefonního operátora.
Co doporučuje policie
– Nereagujte na podobné hovory a v žádném případě nesdělujte k Vaší osobě žádné citlivé údaje ani bezpečností údaje z vaší platební karty, nebo přístupové údaje k online bankovnictví.
– Nikdy nikomu nesdělujte a ani nepřeposílejte bezpečnostní / autorizační kód, který Vám přišel formou SMS zprávy.
– Myslete na to, že útočník dokáže napodobit jakékoliv telefonní číslo, odesílatele SMS zprávy, ale třeba i e-mailovou adresu.
– Nikdy nikomu podezřelému neumožňujte vzdálený přístup do Vašeho počítače.
– Sledujte a pečlivě čtěte informace od Vaší banky v internetovém bankovnictví.
– Při každém vstupu do internetového bankovnictví kontrolujte, zda odpovídá doména přihlašovací stránky. Toto platí vždy, když někam zadáváte své osobní nebo přihlašovací údaje.- Během, nebo po takovémto podezřelém hovoru, si zaznamenejte údaje, které Vám útočník sdělil (jména, e-mailové adresy, čísla účtů, odkazy na webové stránky, apod.)
– Aktualizujte software, antivirový program, firewall.
– Buďte neustále ostražití, protože i vy se můžete stát cílem podobného podvodného jednání.
Věrohodnost podvodných hovorů narůstá. Zatímco dříve útočník na klienta více naléhal, aby mu rychle poskytl údaje do svého bankovnictví nebo informace o platební kartě a často hovořil se silným přízvukem, v současnosti tyto hovory více připomínají hovor se skutečným klientským centrem banky.
„Hlas útočníka je klidný a vyrovnaný, hovor mívá hudební podkres a v telefonátu zaznívají přesvědčivé formulace zkušeného telefonního operátora. Nejčastěji tyto hovory probíhají buď v pozdních večerních nebo brzkých ranních hodinách, kdy lze předpokládat, že klient bude nejméně obezřetný,“ popisuje Kadlecová.
Podle mluvčího Policejního prezidia ČR Ondřeje Moravčíka je vishing nebezpečný zejména v tom, že falešní pracovníci bank mohou již před hovorem nejenom znát různé informace o lidech, kterým volají, ale hlavně při hovorech užívají takzvaný spoofing telefonního čísla. Při něm dokážou napodobit jakékoliv telefonní číslo, včetně infolinek bank.
„Rovněž bylo zaznamenáno několik případů, při kterých telefonicky kontaktují další osoby, které vystupují jako policisté, s cílem ujistit o pravdivosti tvrzení ohledně napadení bankovního účtu a nutnosti převodu peněz na „bezpečný“ bankovní účet dle předchozích instrukcí domnělých pracovníků bank.
Před podvodnými praktikami varují i ostatní banky. „Klienty neustále upozorňujeme, aby nereagovali na e-mailové ani telefonické sdělení jakýchkoli údajů o jejich platební kartě. A to ani ze strany vašich známých na sociálních sítích,“ informovala mluvčí ČSOB Michaela Průchová.
„Nikdy nemůžete s určitostí vědět, že jejich účet nebyl napaden hackerem. Neklikejte proto ani na internetové odkazy pro provedení „zaručeně bezpečné a rychlé platby“, které vám přišly ve zprávě od domnělého přítele na sociální síti,“ upozornila.
EDIT: V původní verzi bylo uvedeno, že Česká spořitelna při ověřování po telefonu nikdy nepožaduje sdělit celé rodné číslo. Mluvčí informaci později upřesnil.
zdroj:https://www.seznamzpravy.cz
