Jak se vyhnout podvodům na internetu a nestát se obětí - 1. část

17. 9. 2024 | Jindřich Zechmeister

Na internetu na vás čeká riziko podvodu na každém kroku a nemůžete nikomu a ničemu věřit. Peníze jsou vždy na prvním místě, proto je chtějí i útočníci. Náš článek vám pomůže tyto hrozby odhalit, pochopit, zorientovat se v nich a ukáže vám, jak se bezpečně chovat v internetovém prostředí.

Nejčastější druhy podvodů na internetu

Na internetu jste nejvíce ohroženi dvěma druhy hrozeb - phishingem (pro něj existuje český ekvivalent „rhybaření“) a podvody na sociálních sítích. Pojďme se na ně podívat blíže.

Phishing představuje podvod, kterým se útočník snaží lstí získat citlivé údaje oběti. Má mnoho podob, ale jeden společný cíl - získat od vás přihlašovací údaje či peníze. Velice často jej doprovází vydírání oběti, protože to přináší útočníkovi trvalý příjem.

Forma phishingu je sofistikovaná, aby oběť uvěřila. Útočníci vytvářejí falešné verze přihlašovacích stránek, které nejsou k rozeznání od originálu. Jakmile tam své údaje zadáte, můžete počítat s tím, že jsou kompromitované. Odkazy na podvodné weby se šíří formou falešných e-mailů, zpráv či odkazů, které napodobují známé instituce a služby. V dnešní době asi všem pravidelně chodí falešné SMS zprávy napodobující doručovatele jako PPL, DPD či Česká pošta. Tomu lze snadno podlehnout a na odkaz omylem kliknout, protože často zrovna nějakou zásilku očekáváme. Pokud vám při přihlašování přijde cokoliv divné, něco vypadá jinak či podezřele, raději odejděte.

Podvody na sociálních sítích a seznamkách spočívají ve falešných profilech, podvodech typu „romance scam“ či falešných soutěžích. Většinou je cílem vyvolat důvěru protistrany a pak ji připravit o peníze. Určitě neklikejte na odkazy, které dostanete v chatu. Zejména na odkazy od cizích kontaktů.

Kromě výše zmíněných rizik zmíním ještě další rozšířené metody podvodů:

  • Falešné e-shopy: Existují podezřelé e-shopy, které lákají na nereálně nízké ceny, ale nikdy nedoručí objednané zboží. Na bazarech jsou inzeráty, které vyžadují peníze předem a pak nic nedodají.
  • Podvodné nabídky práce: Nabídky práce z domova, které slibují nereálně vysoké výdělky, ale jsou zaměřeny na zneužití osobních údajů. To byste měli být schopni snadno odhalit.
  • Ransomware a vydírání: Útočník vám zašifruje data a pak chce výkupné za dešifrování; nebo vás vydírá formou sextorsion scamu.
  • Šíření malware: Útočníci vám nabízí škodlivý software, který může být maskován jako legitimní soubor nebo aplikace. Dost často je malware maskován jako antivir, nebo nějaký nástroj, který urgentně potřebujete.

Jak rozpoznat podvodníky a podvodné aktivity

Primární obranou proti zmíněným rizikům je zdravý rozum. Stačí si uvědomit, jaká je pravděpodobnost, že jste vyhráli v (zahraniční) loterii, nebo jak je nesmyslné, že by vám chtěl někdo z Nigérie posílat miliony dolarů. Také není moc pravděpodobné, že anonymní kontakt, který vám napíše na Facebooku, bude právě vaše životní láska. Na internetu je potřeba mít kritický pohled a zdravou dávku skepse, pak už jen díky nim odoláte spoustě hrozeb. Zázračné zbohatnutí, omlazení, drahé dárky zdarma... Vše jsou to pouze různé formy podvodů.

„Myslete na zlaté pravidlo - podezřelý je každý člověk, který to se mnou myslí dobře (nebo mi nabízí něco zadarmo).“

Autor článku

Podvodné zprávy často obsahují vysokou míru urgence, abyste byli ve stresu a nerozhodovali se s rozvahou. Buďte v takových situacích obezřetní a vždy si prověřte zdroj. Podobnou formu mají nabídky, které za pár minut skončí, ale hlavně e-maily tvrdící, že vám expiruje účet, musíte na něco okamžitě kliknout, něco obnovit, nebo dokonce změnit heslo. To je typický phishing. Přihlašovací stránky služeb navštěvujte vždy přímo zadáním jejich adresy, neklikejte na žádné odkazy. Odkaz vedoucí na přihlášení berte jako podezřelý.

Image description
Image description
Příklad phishingových zpráv, které lze těžko rozeznat od originálu.

Nejvíce nátlakový a osobní je tzv. Sextortion scam. Útočník vám pošle e-mail zdánlivě z vaší e-mailové adresy, což má dokazovat, že získal přístup k vašemu počítači či poště. Ve skutečnosti se jedná pouze o podvržené jméno odesílatele, které by měl vyřešit DMARC (to je úkol poskytovatele e-mailu) Obsahem Sextortion zpráv je oznámení, že útočník oběť natočil při masturbaci a hodlá ji vydírat zveřejněním tohoto materiálu, pokud mu nezaplatí. Je to samozřejmě lež a pokus začít vás vydírat. Jakmile na to zareagujete a něco zaplatíte, vydírání teprve začne a nikdy neskončí.

Jiná varianta útoku, který bývá zaměřen na organizace, spočívá v proniknutí útočníka do sítě a zašifrování dat oběti. Za opětovný přístup k nim si chce útočník samozřejmě nechat zaplatit. Opět i zde platí, že vyděračům nic platit nesmíte. Obraťte se raději na IT odborníky, kteří možná budou mít nástroje na dešifrování vašich dat, nebo jejich zálohu.

„Pokud se vás někdo snaží vydírat, nikdy mu nic neplaťte. Začne vás pak vydírat a připravovat o peníze trvale.“

Autor článku

Na území České republiky v minulosti proběhlo několik vln „exekučních“ phishingů a vln zasílání falešných faktur. Pro firmy i jednotlivce to bylo nečekané, souvislost s exekutorem byla však natolik provokativní, že tomu mnoho lidí věnovalo pozornost. Falešné faktury spoléhají na to, že je nikdo nebude kontrolovat a nechá je uhradit. QR kódy, které jsou spojené s placením a fakturami, jsou taky oblíbeným vektorem útoků. Stačí na faktuře vyměnit QR kód za falešný a peníze už míří na účet útočníka. Proto je dobré faktury posílat jako elektronicky podepsané (PDF) - podpis zajistí jejich neměnnost.

Na internetu existuje mnoho podvodných stránek, které slouží pro získávání přihlašovacích údajů, jak jsem zmínil v úvodu. Neklikejte proto nikdy na odkazy v nevyžádaných či podezřelých zprávách. Pokud jste na přihlašovací stránce banky či služby, doporučujeme věnovat pozornost doméně v adresním řádku (nemusí být pravá) a doporučuje podívat se na TLS certifikát, který web používá. Každá seriózní instituce používá certifikát s ověřeními údaji, které si můžete zobrazit. Útočníci naopak používají certifikáty anonymní, protože jiné by nezískali. Detail certifikátu najdete v konzoli prohlížeče po stisknutí F12 (záložka Zabezpečení).

Dva způsoby zobrazení informací o certifikátu
Dva způsoby zobrazení informací o certifikátu

V druhé části článku se zaměříme na to, jak se prakticky chránit před podvody na internetu.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz