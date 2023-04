Co se děje

| rubrika: Co se děje | 3. 4. 2023

Říká se tomu spoofing. Někdo se vydává za bankéře z vaší banky, za ministerstvo, za finanční úřad. Volá klidně uprostřed noci, sází na emoce a snaží se vás „zachránit“ – třeba nabídkou, že vám převede peníze z napadeného účtu do bezpečí. Stačí, když mu řeknete pár citlivých údajů.

Podvodníci přišli s inovací, která může dostat i člověka, který jinak jen tak na něco neskočí: když má někdo uložené číslo do banky mezi kontakty v mobilu, vypadá to, jako když mu volá opravdu banka. Kdo číslo nemá uložené, může si – když bude hodně pozorný – všimnout, že se ukazuje s mezinárodní předvolbou +420. Kdyby opravdu volala banka z Česka, zobrazilo by se číslo bez předvolby. Jenže běžný uživatel nebude ani tohle považovat za podezřelé, protože předvolba odpovídá České republice.

Předloni se podvodníci vydávali například za ČSOB. Číslo jejího klientského centra je 800 300 300, takže když rozespalým klientům někdo volal z čísla +420 800 300 300, už to nebyl hloupý trik, který přece každý musí poznat na první pohled.

Když jsme tehdy na webu Peníze.cz zjišťovali, jak vůbec může podvodník zneužít „opravdové“ číslo, nedozvěděli jsme se povzbudivé zprávy: Banky ani klienti se tomu nemůžou účinně bránit. Operátoři nemají povinnost ověřovat, zda je telefonní číslo pravé – ani to neumějí. O možnostech se teprve diskutuje na evropské úrovni.

Letos konečně přicházejí nadějnější novinky.

Testujeme, jak se bránit

Díky spolupráci bank, operátorů, policie a Českého telekomunikačního úřadu (ČTÚ) se rodí možnosti, jak se bránit. Operátoři už některá řešení testují v praxi.

T-Mobile v březnu představil testovací řešení pro firmy (zejména banky), jejichž telefonní čísla jsou často zneužívaná pro podvodná volání. „Naši experti vyvinuli ve spolupráci s Policií ČR a Českou spořitelnou systém, který dokáže taková volání odhalit a zablokovat,“ říká Jakub Ludvík, manažer korporátní bezpečnosti v T-Mobile.

Podobné řešení testuje i Vodafone. „Aktivně vyhledáváme tento druh podvodu a podvodná čísla blokujeme, v případě podvrhnuté identity volajícího blokujeme celý příchozí hovor,“ říká Charlota Dědková z tiskového oddělení operátora. Dodává, že v boji proti podvodům už pomáhají i výrobci telefonů, proto je dobré si telefon pravidelně restartovat a aktualizovat.

O2 nabízí zákazníkům službu ochrany čísla, na které se podvodník nedovolá. Technologie je založena na principu podpisu volajícího čísla pomocí certifikátu. „Abychom tuto technologii mohli zavést, je ale nutná shoda na trhu. Ve spolupráci s ostatními operátory proto testujeme nové řešení pro business zákazníky, které už nebude limitováno tím, u kterého operátora je chráněné číslo vedeno,“ vysvětluje Blanka Vokounová z tiskového oddělení O2.

Ale ne všechno vypadá nadějně. Některé odpovědi ukazují, že za dva roky jsme se zas tak moc neposunuli.

Operátoři totiž zatím dokážou ochránit zákazníky jen ve své síti. Pokud podvodník volá ze zahraničí, což je nejčastější případ, tak ochrana nefunguje. Operátoři se snaží najít řešení skrz Asociaci provozovatelů mobilních sítí (APMS). Ta zřídila pracovní skupinu, která připravuje návrh technických možností, jak s tímto fenoménem bojovat.

„Problematika to není vůbec jednoduchá. Pro funkční a smysluplné řešení by bylo nutné zavést technická opatření nejen na straně českých mobilních operátorů, ale i na straně všech fixních operátorů, které provozují takzvané propoje do českých sítí z mezinárodního prostředí,“ konstatuje prezident asociace Jiří Grund.

Asociace aktuálně zahajuje jednání s Českým telekomunikačním úřadem s cílem nalézt řešení, na kterém se shodne celý trh. V případě, že by to nepřineslo výsledek, mohl by ČTÚ zakročit formou nějaké regulace. „Je to případně až následné řešení, které zatím není na pořadu dne,“ říká mluvčí ČTÚ Tereza Meravá.

Z užitečné služby je nástroj podvodníků Zdroj: Shutterstock Co nám k problému podvržených čísel řekli zástupci operátorů a regulátora, když jsme o problému psali předloni? „Operátoři dnes nemají povinnost ověřovat, zda je telefonní číslo, které volající uvedl, pravé,“ řekl Lukáš Zelený, člen rady Českého telekomunikačního úřadu. A podle Jiřího Grunda, výkonného ředitele Asociace provozovatelů mobilních sítí, to ani neumějí. „Kontrola nad volajícím číslem je možná pouze v rámci domácí sítě daného operátora. Tedy, když je hovor iniciován v síti operátora A a míří do sítě operátora A. Pokud však hovor přichází ze sítě jiného operátora anebo dokonce ze zahraničí, není technicky možné ověření provést. Telefonní číslo zákazníka totiž není povinným údajem. Operátor, který iniciuje volání tedy může do tohoto pole vložit libovolné anebo žádné číslo,“ vysvětlil Grund. „Český operátor pouze může – pokud má podezření na nějaký konkrétní podvod z konkrétního čísla – požádat mezinárodního operátora o blokaci takového provozu. To však pomůže jen na chvilku, neboť jakmile to podvodníci zjistí, zvolí zpravidla jinou cestu a volají znovu například z jiného čísla,“ dodal Grund. „Podvržení telefonního čísla se odehrává prostřednictvím manipulace s parametrem CLI (Calling Line Identification), prostřednictvím kterého se síťovou signalizací přenáší informace o telefonním čísle,“ řekla Tereza Meravá z tiskového oddělení Českého telekomunikačního úřadu. „CLI může změnit jak uživatel služby (s využitím různých konfigurovatelných aplikací webových VoIP providerů), tak poskytovatel služby elektronických komunikací, který tak zpravidla činí na pokyn svého účastníka. Případně kdokoliv další, jak to bylo v případě podvodu s linkou ČSOB,“ dodal Zelený. Problematika nakládání s CLI je podle něj předmětem diskusí na celoevropské úrovni, a to právě kvůli narůstajícímu počtu podvodů. Zatím však pro zobrazování příchozích telefonních čísel žádná omezení neplatí. „Prozatím nebylo nalezeno optimální řešení. Proto ani možnost úpravy označení telefonního čísla volajícího, které se zobrazuje v koncovém zařízení volaného, není v České republice ani ve většině států Evropské unie v právních předpisech nijak upravena,“ řekl Zelený. Upozornil, že využití změny CLI není vždy jen podvodného charakteru a bylo vnímáno jako legální a veskrze užitečný nástroj. Dokud se ho tedy nechytili podvodníci. „Právě na tomto principu je postaveno poskytování různorodých služeb. Jedná se typicky o nabídku služby volání v prostředí IP na běžná telefonní čísla, kdy volající potřebuje pro případ zpětného volání nastavit jako CLI své mobilní telefonní číslo, přestože hovor z něj uskutečněn nebyl. Taková služba může minimalizovat náklady na volání na straně volajícího,“ vysvětlil Zelený.

Prevence je základ

Banky, operátoři i policie se poslední roky věnují čím dál víc osvětě. Proběhla i masivní informační a preventivní kampaň ve spolupráci s Českou bankovní asociací.

Tohle je vishing Zdroj: Shutterstock Poslechněte si, jak vishing probíhá v praxi. Jde o nahrávku neúspěšného pokusu, který mířil na klientku České spořitelny. Hovor s podvodníkem proběhl v nočních hodinách (okolo půl druhé ráno). Pro vishing je typické, že útočníci volají v pozdních večerních nebo brzkých ranních hodinách, kdy lze předpokládat, že klient bude nejméně obezřetný.

„Z naší strany je řešením prevence. V případech vishingu je důležité, aby lidé byli ostražití. Jakmile podvodníci dostanou vzdálený přístup k počítači, tak je velmi těžké něco dělat. Musí se hrozně rychle zkontaktovat banka, aby nedošlo ke škodám,“ vysvětluje mluvčí Policie ČR Jakub Vinčálek.

Dodává, že jakmile člověk pachateli umožní přístup do svého počítače, riskuje kromě vykradení účtu třeba i to, že si na něj podvodník vezme půjčku.

Jednou ze zbraní, kterou pachatelé používají, je nátlak. „Některé telefonáty trvaly i šest hodin. Aby pachatelé zvýšili šanci na úspěch, tak se střídají ve více lidech. Když skončí falešný bankéř, zavolá falešný policista,“ doplňuje Jakub Vinčálek. Obětmi jsou podle něj nejčastěji lidé středního věku, nikoliv senioři.

Policii se na konci ledna podařilo jednoho organizátora spoofingových podvodů chytit. Sedmačtyřicetiletého muže původem ze Slovenska obvinila z organizování okrádání seniorů. Skupina se v období od srpna do září roku 2021 měla dopustit nejméně sedmadvaceti případů podvodných telefonátů seniorům zejména z Ústecka, Liberecka a Karlovarska.

Celkový počet kybernetických útoků na klienty bank se za dva roky zvýšil čtyřnásobně, uvedla loni v září Česká bankovní asociace (ČBA).

„Od loňského léta chodí fingované SMS od ministerstva práce a sociálních věcí s nabídkou sociální podpory. Evidujeme už 300 případů, kdy lidé přišli o 30 milionů korun,” konstatuje policejní mluvčí.

Málem mě taky dostali, říká IT ředitel Zdroj: Shutterstock Zkušenost s podvodníky má i IT ředitel společnosti Kovošrot Group Petr Bůva. Volali mu údajně z krypto burzy Blockchain.com, že u nich má účet a na něm pár tisíc dolarů. Ze zvědavosti si s podvodníkem domluvil další hovor, během kterého se měl dozvědět, jak účet správně používat. Mezitím si počítač nastavil do uzavřeného systému, takzvaného Windows Sandboxu, který se používá například k testování a spouštění potenciálně rizikových aplikací. „Kvůli bezpečné komunikaci jsem měl podle rady podvodníka spustit klienta SupRemo pro vzdálenou komunikaci a nadiktovat ID a heslo. Od té chvíle ten na druhé straně viděl, co všechno jsem měl na monitoru, a mohl používat mou myš. Ale předstíral, že si se mnou může jen psát,“ vysvětluje Petr Bůva. Podvodník mu v poslal odkaz vedoucí na Blockchain.com, kde mu ukázal, kolik tam má peněz – s tím, že je potřeba je co nejrychleji převést na jiný jeho účet. „Chtěl po mně, ať si otevřu své internetové bankovnictví a pošlu mu do chatu IBAN. Když jsem do chatu místo hesla napsal náhodné číslo, viděl jsem, že převzal kontrolu nad myší – překopíroval domnělý kód do formuláře a zkusil se přihlásit,“ popisuje Bůva. Nejvíc ho zaskočila chvíle, kdy podvodník napsal do vyhledávače Bing „windows turn on camera“ a nabídlo se mu tlačítko spuštění kamery. „V Sandboxu kamera naštěstí nefunguje. Kdybych ho ale neměl, tak by mě měl v přímém přenosu s obrazem i zvukem,“ vysvětluje Petr Bůva, který hned poté notebook vypl, čímž podvodníka odstřihl. Jak sám říká, po téhle zkušenosti už se nebude smát lidem, kteří si nechají vyluxovat účet a ještě se na to v přímém přenosu dívají. „Jsou opravdu neuvěřitelně rychlí. Myslím si, že to ani neklikají oni, ale že je to nějaký program, který automaticky kliká na definovaná místa podle textu nebo barvy a rychle kopíruje a vkládá údaje,“ shrnuje svou zkušenost IT odborník. Jediným řešením situace, kdy člověk ztratí kontrolu nad myší a klávesnicí, je podle něj vytrhnout počítač ze zásuvky, v případě notebooku opravdu dlouze podržet tlačítko pro vypnutí.

Základní pravidla podle Air Bank Zdroj: Shutterstock Nikdy nikomu neříkejte své přihlašovací údaje do internetového bankovnictví, číslo platební karty nebo třeba potvrzovací kód z SMS zprávy.

Do svého internetového bankovnictví vstupujte jen z ověřených přístupů, třeba z oficiálních stránek banky, a nikoliv na základě odkazu, který vám někdo pošle.

Nenechte se dotlačit do způsobů plateb, které neznáte, nebo jednat podle pokynů, které vám nedávají smysl, jako je třeba vklad peněz na jiný údajně zabezpečený účet.

Do telefonu ani počítače si neinstalujte neznámé aplikace pro vzdálený přístup.

Jana Divinová Vystudovala ekonomii a management na Vysoké škole báňské. V redakci NextPage Media působí od podzimu 2021, předtím pracovala v MF Dnes a iDnes.cz. Volný čas tráví nejraději s rodinou a přáteli. Miluje přírodu, cestování a... Další články autora.

Sdílejte článek, než ho smažem