Na to, abyste byli v ohrožení prostřednictvím vlastního telefonu, nemusíte stahovat čínské sociální sítě ani žádnou jinou aplikaci. V Česku i ve světě je na vzestupu řada podvodů z oblasti takzvané kyberkriminality, do které spadá i mnoho nápaditých způsobů, jak z lidí podvodníci získají informace vedoucí až k přístupu na jejich účet. Loni v Česku průměrná škoda takového druhu zločinů dosahovala 160 tisíc korun.

Zní to naivně, velmi vzdáleně a jako něco, na co by běžný člověk nemohl nikdy přistoupit. Pětašedesátiletá Japonka začala dostávat zprávy od ruského kosmonauta z Mezinárodní vesmírné stanice. Dáma si jej oblíbila. Už se viděla v náruči mužného dobyvatele vesmíru, byl tu jen jeden problém – potřeboval peníze na to, aby se dostal na Zemi. A pak i k ní. A tak mu na účet poslala 700 tisíc korun.

Tento příběh se řadí do kolonky kybernetických útoků. Je výjimečný specifickou historkou i vysokou částkou. Ale kromě toho je česká zkušenost velmi podobná.

Loni u nás policie zaznamenala na 18,5 tisíce případů kyberkriminality, dvakrát tolik, co v předchozím roce. „A to se jedná o již zaevidované kriminální činy. Toto číslo nezahrnuje přestupky a samozřejmě nenahlášené případy, kterých mohou být násobky. Můj skromný odhad je, že pokud bychom evidovali pokusy, pak se dostáváme na statisíce případů ročně,“ popisuje Jakub Ludvík, který se stará o korporátní bezpečnost T-Mobile.

Právě operátoři dokážou kybernetické útoky velmi dobře monitorovat. Zásadními dveřmi směrem k lidem jsou totiž mobilní telefony. Přes ně jde vylákat řadu informací – číslo karty, hesla, přístup k účtu. Ale velmi sofistikovaně, tak, že většina lidí ani nepochopí, že se něco stalo, dokud jim s podivnými pohyby na účtu nezavolá banka.

Nejnovějším trendem jsou nabídky výměny SIM karty za elektronickou. Představte si, že vám někdo zavolá a představí se s tím, že je ze zákaznické linky vašeho operátora. Velice zdvořile vysvětlí, jak funguje taková karta, jaké jsou její výhody a co všechno její výměnou získáte. Zní to jako skvělá věc, souhlasíte. Nahlásíte e-mailovou adresu, přihlášení do aplikace, kde spravujete svůj účet, a údaje k SIM kartě. Nic, co by mělo spojitost s bankovním účtem.

„A tady nastává zásadní problém. Díky stále častějšímu dvoufaktorovému přihlašování do aplikací je mobilní telefon právě tím druhým faktorem ověření a takhle se k němu útočníci dostanou. Takže třeba pro získání přístupu do e-mailu, když zapomenu heslo, si nechám poslat SMS. Přesně tak může útočník ovládnout váš e-mail a následně třeba i číslo účtu,“ nastiňuje Ludvík.

Foto: Microsoft

Kybernetické hrozby vyžadují pozornost firem stále důrazněji

Útoků je ale celá řada, jejich možnosti se rozšiřují a stejně tak i názvosloví kolem nich. Smishing zahrnuje podvodné SMS obsahující například link na falešnou stránku, kde je vyžadováno zadání citlivých údajů. Vishing je volání nabízející různé skvělé služby, opět výměnou za citlivé údaje. A spoofing je zneužívání již existujících a často známých telefonních čísel a vydávání se za falešné bankéře různých finančních ústavů.

Ani jedno nevyžaduje to, abyste si do telefonu stáhli nějakou speciální aplikaci, stačí běžné užívání. Ludvík popisuje, že útočník, který lidi přes telefon kontaktuje, jich stihne denně obvolat až tři sta.

Naivní a hloupí? Vůbec ne

Kyberkriminalita patří v Česku i celosvětově k dlouhodobě nejstrměji rostoucí trestné činnosti. Když policie v roce 2011 začala tento segment počítat, zaznamenala 1,5 tisíce trestných činů. Loni to bylo zmíněných 18,5 tisíce případů. Což pro místní scénu znamená víc než deset procent z celkové registrované kriminality v republice, uvádí ministerstvo vnitra.

„Útoky na internetu jsou velmi sofistikované a složitě se jim brání nejen dospělí, ale hlavně děti a senioři. Proto je potřeba vedle vzdělávacích aktivit přijímat i technická a legislativní opatření a nástroje, které umožní pružnější odhalování této trestné činnosti,“ uvedl náměstek ministra Lukáš Kolářík.

„Spousta lidí se domnívá, že většina obětí je naivních a hloupých. Není to tak,“ dodává Ludvík. Jsou ale prvky, které se opakují. Jedním z častých typů útoků jsou příběhy podobné tomu úvodnímu, ovšem s různými obměnami. Americký voják, který bez peněz nemůže přijet, nebo třeba ztracený příbuzný. Především osamocené ženy – ale nejen ty – posílají stále vyšší částky, protože žijí v domnění, že tím útočníkovi pomáhají. Někdy si kvůli tomu i půjčují v bance.

Pak je tu třeba falešný bankéř, kdy útočník využívá legendy ohroženého účtu nebo výhodné investice. Útočníci neváhají fingovat videohovory z míst, která jsou nastrojená jako banka, pouštět v pozadí zvuky call center, vyvíjet na oběť nátlak. Průměrná ukradená částka úspěšného útoku tohoto typu je kolem 160 tisíc korun. „Jsou známy dokonce i případy, kdy oběť sama vybrala z banky peníze a ihned je pak vložila do bitcoinomatu,“ dodává Ludvík.

Informace ze sociálních sítích můžou pomoct k tomu, aby si útočník získal důvěru, obeznámenost s detaily jako třeba obliba koček nebo trávení dovolené v Chorvatsku zvyšuje náklonnost oběti. A pak je tu řada dalších ověřených postupů. Podle Ludvíka studie ukazují, že útočníci často pracují s prvky gamblingu. Oběť se pak dostává do jakési spirály, kdy je manipulací donucena dávat víc a víc v očekávání vyšších zisků.

Podezřele výhodné

Podvodníci se navíc naučili využívat takové firmy, na jejichž zprávy jsou lidé ochotnější kliknout, jako jsou třeba doručovací společnosti včetně České pošty. „Celkově jsou nejčastěji napodobované zprávy a stránky technologických společností, následují přepravní společnosti a sociální sítě,“ říká Peter Kovalčík z kyberbezpečnostní společnosti Check Point Software Technologies. Dodává, že hackeři kromě toho zkouší i nalákat na různá ocenění a finanční odměny.

Útoků bude přibývat, shodují se odborníci z firem i policie. Přispívají k tomu i velké vlny, kterým čelil mimo jiné právě T-Mobile. I jeho zákazníci získali zprávu, která nabízela vrácení přeplatku za služby operátora. Stačilo zadat číslo své karty.

Co s tím? „Ve zkratce doporučujeme nereagovat na nic, co se na první pohled zdá podezřele hodně výhodné,“ říká Ludvík. Ale uznává, že tak jednoduché to není. „Důležité je dát na instinkt a při náznaku prvních pochybností přerušit s útočníkem okamžitě jakýkoliv kontakt,“ dodává. Výrazným znamením je snaha o získání citlivých údajů, přístupových hesel, čísel platebních karet či potvrzovacích SMS zpráv. „Tyto údaje nikdy nikomu nesdělujte. Není k tomu důvod,“ apeluje.