‚Je to byznys jako každý jiný.‘ Podvodníci s falešnými profily rozšířili svůj rajón o Instagram
Dříve to byl jen Facebook, v posledních měsících se ale působiště podvodníků s falešnými účty rozšířilo také o Instagram. Jejich cíl je jediný: vylákat z uživatelů sociálních sítí peníze. Jde přitom o drobné částky a velká část okradených incident ani nenahlásí policii. Pro útočníky tak jde podle bezpečnostního analytika Michala Špačka o výhodný byznys. Jen O2 eviduje měsíčně desítky podobných útoků, klíčová je totiž platba přes mobilní telefon.
„Ahoj, dej mi své číslo.“
– „7xxxxxxxx. Co s tím děláš, prosím tě?“
„Který operátor? Vodafone?
– „T-Mobile asi.“
„Díky. Pošlu ti SMS zprávu. Můžeš ji, prosím, zkopírovat a vložit sem? Ok?“
– „Ok.“
„SMS dorazila? Kód prosím.“
„Prosím rychle.“
„Nyní SMS?“
Tak vypadá konverzace, která v uplynulých dnech proběhla přes Instagram mezi útočníkem a Terezou N. Podvodník nejdříve vytvořil falešný profil a zkopíroval identitu jednoho z jejích sledujících. A měl štěstí. Vzal na sebe totiž podobu její blízké příbuzné.
„Byla jsem na poradě a řešila jsem to ve chvatu. Že je něco špatně, mi došlo, až když jsem se na chvíli zastavila,“ popsala pro iROZHLAS.cz mladá žena. To už ale byla o 1200 korun lehčí. Útočník totiž s pomocí autorizačního kódu, který mu Tereza N. zaslala, ukradl peníze přes tzv. m-platbu.
Přestože oba profily vypadaly na první pohled totožně, odlišnosti se při bližším zkoumání přece jenom našly. Třeba uživatelské jméno falešného účtu obsahovalo navíc jeden znak, konkrétně podtržítko. Měl také méně sledujících a žádnou historii. „Vůbec jsem si toho nevšimla,“ doplnila okradená žena.
Podobný útok o den později zažil také Miloslav H. V tomto případě se na něj s prosbou o zaslání autorizačního kódu obrátil jeho falešný kolega. Tentokrát ale podvodník neuspěl. „Phishing (podvodná technika, jak z uživatelů internetu vylákat citlivé údaje – pozn. red.) znám, takže jsem se nenachytal,“ řekl.
Podle bezpečnostního analytika Michala Špačka útočníci využívají důvěřivosti a především nepozornosti uživatelů. „Lidé by měli být obezřetní, ale stále je to lidský faktor, který může selhat. Stává se to. Když vám někdo napíše, když jste ve stresu, tak to chcete mít rychle odbyté. Takže je lepší to pojistit ještě technicky,“ popsal.
Skrytý seznam přátel
A jak se tedy proti podobným podvodům bránit? Špaček radí skrýt si v první řadě seznam přátel. „Třeba na Facebooku je možnost, aby seznam vašich přátel neviděl nikdo z venku. Plus by si měli uživatelé nastavit, aby nebyli dohledatelní podle telefonního čísla, tím se riziko hodně minimalizuje,“ pokračoval.
Instagram bez lajků? Sociální síť bude testovat verzi, která má ze sítě udělat méně soutěživé prostředí
Číst článek
„Pro ty útočníky je to pořád výdělečná činnost, nepřestanou, jenom se přesouvají od města k městu. Pokud by se jim to nevyplácelo, tak to dělat nebudou. Pro ně je to normální obchod,“ doplnil Špaček s tím, že se často jedná o lidi, kteří zrovna potřebují peníze a podvodné jednání berou jako určitý druh „brigády“.
Podobně mluví také mluvčí Národní centrály proti organizovanému zločinu, která má kyberkriminalitu na starosti, Jaroslav Ibehej. Podle něj jsou podvodníci z masa a kostí. „Domníváme se, že skutky páchají jednotlivci i organizované skupiny, nejčastěji z České republiky, o robotech informace nemáme,“ uvedl.
Dříve podobní podvodníci působili pouze na Facebooku, teď svůj rajón rozšířili i o Instagram. „Několik takových vln již proběhlo. V minulosti šlo výhradně o Facebook. Nyní jsou útoky na Facebooku a Instagramu téměř vyrovnané,“ doplnil Ibehej.
Krádeže bez postihu
Kriminalistům se krádeže z bankovních účtů pomocí tzv. phishingu těžko postihují. Když už je poškození ohlásí, pachatele se buď nedaří dopadnout, nebo jim podvod prokázat. Jde navíc pouze o přestupek, za který hrozí pachatelům pouze pokuta. Krádeže se totiž týkají drobných částek do 5000 korun.
„Vzhledem k tomu, že částky jsou většinou kolem tisíce korun, věc bývá kvalifikována jako přestupek. V případě prokázání více případů jednomu pachateli může jít o trestný čin. Celková škoda však musí být minimálně 5000 korun,“ uvedla mluvčí policie Olomouckého kraje Marie Šafářová.
Počet trestných činů páchaných na internetu přitom každým rokem roste, loni jich bylo přes 6800. A většinou se jedná právě o podvody, jak ukazuje následující policejní statistika z roku 2016. Novější údaje nejsou k dispozici.
Podle olomouckých kriminalistů jde v popsaném incidentu o klasický podvod, kdy si pachatel vymyslí nějakou legendu. „Třeba že má zablokovaný telefon a kód potřebuje k jeho odblokování. Byť v SMS, která je doručena poškozenému (od operátora – pozn. red.), je uvedeno, že tuto zprávu nemá nikomu přeposílat,“ doplnila Šafářová, podle které tamní vyšetřovatelé evidují od začátku roku pouze jediné oznámení spojené s Instagramem.
Třeba operátor O2 přitom podobných útoků zaznamená měsíčně desítky. „Ne všichni zákazníci si bohužel uvědomují, že jejich mobilní telefon je dnes již rovněž platebním prostředkem. V poměru ke všem transakcím m-platbou mluvíme o necelém jednom promile,“ popsala mluvčí společnosti Jitka Pajurková.
Autorizační kód přijde podle Pajurkové v SMS zprávě spolu s následujícím upozorněním: „POZOR, PLATBA X.X Kc! PIN NIKOMU NESDELUJTE!“. „Důrazně tak před reakcí na žádosti o poskytnutí citlivých informací přes sociální sítě varujeme. V případě, kdy zákazníci vědí, že mobilní platby nebudou chtít využívat, mají možnost si je sami zablokovat,“ doplnila mluvčí.
Proti podvodníkům se podle Špačka navíc snaží bojovat i samotné sociální sítě. „Když vám falešný účet s fotkou vašeho kamaráda napíše, tak třeba už za hodinu neexistuje. Oni mají automatizované nástroje, jak to detekovat. Jsou ale v uvozovkách pomalé. Když vám účet napíše, tak vy mu tu SMS pošlete třeba během minuty,“ dodal.