„Počet kybernetických útoků dramaticky vzrostl v době covidových opatření, kdy lidé začali mnohem více využívat on-line služeb, a to jak nákupů v e-shopech, tak i internetového bankovnictví. Náš život se prakticky přesunul do online prostoru, a tak bylo logické, že se tam přesunou i ti podvodníci,“ vysvětluje plk. Mgr. Bc. Kateřina Zemanová, vedoucí odboru hospodářské kriminality z Policejního prezidia České republiky. „Protože podvody kyberzločinců jsou stále sofistikovanější, využívají stále lepšící se software a služby na internetu, jakož i umělou inteligenci. Proto předpokládáme, že počet podvodů i v dalších letech poroste. Obezřetnost je tedy na místě,“ doplňuje plk. Mgr. Zuzana Pidrmanová, vedoucí odboru prevence.
Nedávno se kriminalistům podařilo rozbít více než dvacetičlenný gang českých a ukrajinských zločinců, páchajících krádeže v kyberprostoru. Byla to spíše náhoda, že se tuto skupinu podařilo rozkrýt, protože těch případů, kdy se podaří kyberzločiny vypátrat, asi moc není…
O náhodu zcela jistě nešlo. Byla to několikaměsíční usilovná práce našich kriminalistů v úzké spolupráci s ukrajinskou policií, kdy se podařilo vypátrat místo callcentra, odkud byla trestná činnost páchána.
Dá se očekávat, že po této úspěšné policejní akci ubude případů kyberkriminality?
Pravděpodobně nikoli. Byla to jen jedna z desítek podobných skupin, které působí po celé Evropě. Ti lidé jsou velmi dobře organizovaní, využívají kvalitní technické zázemí. Je to organizovaná zločinecká struktura, které, když uříznete jedno „chapadlo“, se dokáže rychle zadaptovat a vytvořit skupinu novou.
Jak je na tom Česko v porovnání s jinými evropskými zeměmi, jsou u nás podvody v kyberprostoru častější než v jiných zemích?
Podvody v kyberprostoru jsou páchány po celé Evropě, vlastně po celém světě. Česká republika v tomto ohledu nijak nevybočuje. Organizátoři podvodů v online prostoru se umí zaměřovat na jednotlivé země, ať již vytvořením konkrétních phishingových kampaní v reakci například na poskytované státní podpory toho kterého státu, ale i třeba tím, že se snaží náborovat osoby do tzv. callcenter z těch zemí, na jejich občany pak útoky směřují. Ti jsou pak na jednotllivé druhy podvodů vyškoleni. Bývají to velmi dobře komunikující lidé, se znalostí fungování bank či jiných institucí, a kteří mají nacvičené praktiky a umí užívat pojmy spjaté s tou kterou profesí. Ví, jak přesvědčit své oběti, aby jim umožnily přístup k jejich účtům, nebo je umí přesvědčit k tomu, aby své finanční prostředky převedly z účtu na účet anebo je vložily do bitcoinových vkladomatů. V krajním případě dokonce pachatel přesvědčí svou obět, aby skrze své účty přesouvala finanční prostředky od jiných osob v domnění, že takto jedná v souladu s pokynem jí známé instituce. Takže už dávno neplatí, že pachatelé mají cizí přízvuk a jejich podvod by šel lehce prokouknout, naopak jejich kroky jsou mnohem sofistikovanější a útoky nebezpečnější, protože oběť nejenže přijde o svoje finanční prostředky, sama se takto uvedena v omyl může stát pachatelem a být dále prověřována pro některý z nedbalostních trestných činů.
O podvodech šmejdů se v posledních letech hodně píše a mluví, policie, banky i neziskové organizace upozorňují na možná nebezpečí, pořádají preventivní přednášky, a přesto počet podvodů stále roste. Jak to, že jsou podvodníci pořád krok napřed?
Bohužel, na jedné straně jsou lidé pořád ještě málo opatrní, na druhé straně know-how a techniky používané podvodníky jsou stále sofistikovanější. I díky dostupným online službám a webovým nástrojům, nebo díky službám poskytovaných na tzv. darkwebu, není pro pachatele problém napodobit jakoukoli legitimní stránku, jako jsou stránky ministerstev, přepravních společností jako je Česká pošta či PPL, telekomunikačních firem, ale třeba i ČEZu či České národní banky. Lidé většinou nepoznají na první pohled, že jde o podvod, protože pachatelé za použití webových nástrojů, které lze nalézt zejména v prostředí již zmíněného darkwebu, dokážou nejen napodobit obsah stránky legitimní společnosti, ale dokonce i její URL adresu, čímž podvodná stránka naplno budí důvěryhodný dojem. Cílem je zpravidla vždy získat od lidí přístupové údaje do internetového bankovnictví či identifikační údaje z platebních karet, nebo získat citlivé informace o lidech a těch pak v budoucnu zneužít při další trestné činnosti. Často při těchto podvodech vystupují nejen falešní bankéři, ale i falešní policisté či falešní úředníci. Pachatelé používají výborně bankovní pojmy, vytváří na lidi nátlak, vyvolávají v nich strach, že přijdou o veškeré svoje peníze. Nebo pachatelé těží z nelehké finanční období a lákají na závratné zhodnocení vkladů.
Zdroj: Policie České republiky
Kdo těmto praktikám šmejdů nejčastěji podlehne? Jsou to třeba důvěřiví senioři?
Senioři se samozřejmě také stávají obětmi podvodů, ale spíše bývají opatrnější. Naopak k nejvíce postiženým patří lidé v produktivním věku, kteří mají peníze, ale jsou nepozorní, anebo pracovně tak vytížení, že jednají zbrkle, zkratkovitě. A tak se stává, že mezi oběťmi podvodníků jsou nejen lidé s nižším vzděláním, ale i středoškolští či vysokoškolští učitelé, ekonomové, manažeři firem. Stává se to například nejvíce před vánočními svátky, kdy lidé na poslední chvíli objednávají dárky na e-shopech, a často si nepamatují, u koho si zboží objednali, komu za ně zaplatili či mají zaplatit dobírkou... Takže to pak jsou takové sezónní podvody – před Vánoci falešné e-shopy, v době letních dovolených se lze setkat s podvodnými nabídkami na pronájmy apartmánů atd. Nebo když se blíží daňová přiznání, chodí falešné sms zprávy či maily napodobující finanční úřady s nabídkou vrácení přeplatků. V době státních příspěvků jsou to pak ministerstva s nabídkou k jejich vyplacení a podobně. V tomto ohledu jsou pachatelé velmi vynalézaví.
Jaké jsou v poslední době nejčastější praktiky podvodníků na internetu?
Vedle podvodných e-shopů, které lákají na velmi nízké ceny a rychlé doručení zboží, jsou to zejména vishing, což je již zmiňovaný živý telefonní hovor, kdy se podvodníci představují jménem bankéřů, policistů či investičních poradců a pod záminkou napadení účtu nebo nabídkou výhodné investice vylákají z důvěřivého člověka peníze. Tito navolávači se na hovor velmi dobře připraví, umí napodobit různá telefonní čísla, ať už úřadů nebo bank a dokáží tak dlouho vyvíjet nátlak, až napadený sdělí své přihlašovací údaje do banky nebo údaje z platební karty. Dále je to tzv. smishing, což jsou podvodné esemesky, které vypadají, jako by je poslala banka, úřad nebo třeba doručovací společnost jako například Česká pošta. Často se v podvodné sms píše, že byl napaden váš účet, který je nutný urychleně zablokovat a peníze z něho převést na jiný „bezpečný“ účet. Anebo peníze vybrat a vložit do bitcoinového bankomatu, které pachatelé často označují za „bankomat třetí generace“. Podobně to funguje u phishingu, tedy podvodných e-mailů, jejichž cílem je opět prostřednictvím falešné stránky bank či jiných institucí vylákat přihlašovací údaje do banky anebo údaje z platební karty. Dost často podvodníci používají kombinaci všech těchto podvodů. V poslední době zaznamenáváme prudký nárůst podvodů tzv. quishingu, tedy podvodů přes QR kódy. Vzhledem k tomu, že do středu QR kódu si jeho tvůrce může vložit prakticky jakýkoliv obrázek, čili např. i logo banky, oběť automaticky bere QR kód jako ověřený a dále nezkoumá, kam vlastně finanční prostředky posílá.
Sám jsem zaznamenal, že podvodníci působí i na inzertních serverech, když chce člověk něco prodat…
Ano, to je jeden z poměrně častých podvodů, kdy podvodníci získají z inzerátu vaši e-mailovou adresu nebo telefonní číslo a kontaktují vás prostřednictvím aplikací WhatsApp nebo Messenger s předstíraným zájmem o koupi inzerovaného zboží. Pokud s nimi navážete kontakt, snaží se vám vnutit jejich nabídku, že si například zajistí přepravu zboží sami prostřednictvím svého dopravce a přimějí vás vyplnit „jenom“ kontaktní údaje a bankovní údaje přes falešnou platební bránu, díky čemuž opět získají přístup k vašim účtům.
Zdroj: Národní úřad pro kybernetickou a informační bezpečnost
Jak se tedy proti těmto podvodům nejlépe bránit? Co či jaké indicie nám mohou napovědět, že se může jednat o podvod?
Nejdůležitější je vždy zachovat chladnou hlavu, tedy především v případě, kdy vám zavolá člověk a snaží se vám namluvit, že byl napaden váš bankovní účet. Je třeba si přitom uvědomit, že ani pracovníci banky ani policisté nikdy nebudou po telefonu vyžadovat vzdálený přístup do vašeho počítače či mobilního zařízení, nikdy nebudou požadovat, abyste provedli přes telefon nějakou bankovní transakci či sdělovali údaje z platební karty. Rovněž vás nikdy nebudou nutit k předávání hotovosti kurýrovi či vkladům do bankomatu na virtuální měny. U podvodů s falešnými e-maily, e-shopy či webovými stránkami je vždy nutné pečlivě sledovat url adresu - příkazní řádek webové stránky. Například u webu ministerstva práce a sociálních věcí podvodníci místo www.mpsv.cz používají třeba záměnu jednoho písmena www.mpvs.cz, tedy zamění písmenko či jinak lehce obmění adresu. Děje se tak i u přepravních či distribučních společností. Mít se na pozoru je nutné i u podvodných inzerátů, lákajících na vysoké zhodnocení investice, na inzeráty, kde se podvodníci snaží získat důvěru zneužívajících známé osobnosti – herce, lékaře, politiky, jejichž autoritu bez jejich vědomí zneužijí. Právě za takovými inzeráty se schovávají podvodníci. U investičních podvodů se čím dál častěji setkáváme s využitím prvků tzv. deepfake.
Když nějaký šmejd zavolá třeba seniorovi a snaží se mu namluvit, že mu byl napaden účet v bance, co má udělat?
Ideální je hovor okamžitě ukončit, tedy nesnažit se zjistit, co se vlastně stalo. Takový člověk je jistě vystrašen z obavy, že přijde o peníze. Je dobré ukončit komunikaci, aby nebyl zmanipulován a třeba se poradit s rodinným příslušníkem, případně zajít do své banky a tam se přesvědčit, že je jeho účet v pořádku. Dobré je mít na paměti, že pachatelé často používají tzv. „spoofing“ kdy napodobují telefonní číslo oprávněné instituce. Takto napodobený hovor však funguje pouze jednosměrně od pachatele k oběti, proto dobrou obranou je hovor ukončit, zavolat zpátky na oficiální číslo infolinky, a tím si ověřit, jestli skutečně volal zaměstnanec dané instituce.
Policie České republiky se kromě vyšetřování podvodů sama věnuje i prevenci. Co konkrétně děláte v této oblasti?
Prevenci se věnujeme již řadu let po celé České republice. V každém kraji máme tzv. preventisty, kteří pořádají osvětové akce, přednášky, workshopy. Spolupracujeme se zaměstnavateli, úřady, státními i soukromými společnosti a nabízíme přednášky, na kterých zaměstnancům představujeme konkrétní příklady podvodného jednání a jak se jim bránit. Uspořádali jsme již také mnoho takových přednášek i pro seniorské kluby a jsme samozřejmě rádi, když se osvěta šíří i takovými kanály, jako je váš web pro seniory.
Na otázky odpovídaly:
plk. Mgr. Bc. Kateřina Zemanová, vedoucí odboru Hospodářské kriminality z Policejního prezidia ČR
plk. Mgr. Zuzana Pidrmanová, vedoucí Odboru prevence z Policejního prezidia ČR
