Vyhrál jsem milion liber a dopisoval si s podvodníky

Každému už určitě došla na e-mail nějaká ta falešná výhra v loterii. My jsme se rozhodli, že na jednu takovou odpovíme. Co se bude dít? Jak s námi budou podvodníci komunikovat?
Vyhrál jsem milion liber a dopisoval si s podvodníky

Každý z vás jistě čas od času vyhraje nějaký ten milion. Že se vás to určitě netýká? Tak se schválně podívejte do své složky s nevyžádanou poštou. Falešné výhry už dnes patří k jistému koloritu internetové doby stejně jako někdejší nigerijské e-maily, phishing a další zvěrstvo.

Vyhrál jsem milion liber!

Můj pošťák zpravidla všechny tyto výhry spolehlivě odfiltruje, na sklonku ledna jej však překonal jistý Mark Harris a jeho zpráva s nepřehlédnutelným nadpisem „Gratulujeme !!!“

427753798
První e-mail: Dobrý den, vyhrál jste milion liber

Pan Harris mi lámanou češtinou na dvou řádcích sdělil, že mě potkalo neskonalé štěstí, protože jsem v britské Národní loterii vyhrál jeden milion liber. To víte, že mě to potěšilo, protože jsem si nekoupil ani žádný los (bez losu vyhrát jednoduše nelze – ani v The National Lottery), a tak jsem Markovi s lehce cynickým nadhledem a česky odpověděl, že tedy děkuji a ať kýženou výhru zašle balíkem.

Uplynulo několik nocí a 2. února dorazila odpověď s imperativním nadpisem „PROVIDE DATA.“ Už jsem chtěl nebohého Marka Harrise definitivně přesunout do spamu, když tu mě napadlo, že bychom si mohli zahrát hru a po čase opět zkontrolovat, jak vlastně tento podvodný proces, na jehož konci je krádež, nebo praní špinavých peněz, vlastně probíhá. Dobrá Marku Harrisi, jdeme na to!

182462409
Druhý e-mail: Výborně, potřebujeme vaše jméno, věk, zaměstnání...

Mark po mně chtěl vyplnit stručný dotazník. Ptal se na mé jméno, adresu, věk, zaměstnání a národnost. Aha, takže sbírá data, která by mohl později využít klidně i v můj neprospěch. To máte zdánlivě nevinný údaj sem, údaj tam a výsledkem bude můj kompletní profil, který někdo zneužije třeba ve formuláři pro obnovení hesla, ve kterém se vás služba XYZ ptá, jak se jmenoval váš dětský zvířecí mazlíček, nebo maminka.

Mé jméno už Harris zná, ale jako adresa poslouží sídlo redakce. Telefon je smyšlený a stejně tak věk a zaměstnání. Je mi 38 a živím se jako údržbář. Ideální profil na podobný podvod. E-mail odeslán.

Výherní certifikát

Vyplněním formuláře jsem se konečně dostal do důvěryhodnějšího okruhu obětí a včera mi od Marka Harrise dorazilo PDF s vyplněným výherním certifikátem. Angličtina diplomu má své mouchy, certifikát ale používá skutečné prvky provozovatele loterie. Především tedy jeho logo a také adresu.

899793751
Třetí e-mail: Osobní výherní certifikát

Falšování britské The National Lottery není nic neobvyklého a její provozovatel před tím varuje i na svých stránkách, na kterých také uvádí adresy, ze kterých odesílá klientům jakoukoliv poštu. Ovšem už nezmiňuje, jestli zároveň používá digitální podpis. V opačném případě jsou vyznačené adresy spíše návodem pro podvodníky, změna e-mailu odesílatele v hlavičce poštovního protokolu je totiž banální úkon a taková zpráva se pak bude jevit příjemci opravdu věrohodně.

Mark Harris je nicméně neschopný, nebo sám věří v hloupost příjemce, používá totiž poštovní schránku na britském Hotmailu.

Falešná HSBC Bank

Společně s výherním certifikátem mi dorazil i požadavek, abych se nyní obrátil na HSBC Bank a to na její londýnskou pobočku na adrese hsbc-london@mail.com. Pojďme si tuto společnost nyní trošku představit. Jedná se o obří nadnárodní finanční holding s několika tisíci poboček v 82 zemích, který zaměstnává více než čtvrt milionů lidí, ale přesto se rozhodl komunikovat s veřejností na bezplatném webmailu Mail.com? To asi nebude opravdová HSBC Bank, viď Marku?

22200775
Mám se prý obrátit na banku HSBC

Odeslal jsem tedy dva e-maily. Nejprve naivně nadšenou zprávu na falešný poštovní účet banky s číslem výhry, no a pak ještě pár dotazů na provozovatele poštovní služby Mail.com. Zajímalo mě, jak s těmito podvody bojuje aj. Zatím bohužel bez odpovědi.

793864474
Chci svůj milion liber falešná banko

Opět jsem postoupil do další úrovně vzájemné důvěry, reakce totiž dorazila už po několika minutách – tentokrát s nadpisem „TRANSFER REQUIREMENTS.“  Zdá se, že se už konečně blížíme k momentu, kdy si Mark Harris řekne o drobný poplatek, který budu muset zaslat na účet nějakého bílého koně, aby mohla údajná banka HSBC dokonat transakci.

Další formulář. Tentokrát po mně falešná banka chce číslo mého účtu v mezinárodním formátu IBAN, název a adresu mé banky a její mezinárodní SWIFT kód. Pochopitelně jsem neměl v plánu podvodníkům sdělovat vlastní platební údaje, a tak jsem si vygeneroval falešný IBAN pomocí nástroje na webu České národní banky.

158728757
Čtvrtý e-mail: Falešná banka po mně chce bankovní údaje

Co když by se ale útočníci nakonec přeci jen pokusili zaslat na účet nějaký obnos? Aby byla v takovém případě událost skutečně zaznamenaná věrohodnou institucí, použil jsem veřejně dostupné bankovní spojení na Finanční úřad pro hlavní město Prahu a tedy účet vedený u ČNB.

Falešná banka HSBC po mně chtěla ještě kopii libovolného identifikačního dokumentu – pasu, občanského průkazu, řidičáku a tak dále. Naštěstí jsem na webu našel dostatečně kvalitní specimen jistého průkazu obsluhy motorových vozíků, pozměnil údaje, fotografii a… A nejspíše se pohyboval na hraně § 348, nicméně účel v tomto případě světí prostředky. Odesláno.

91617718
Fiktivní průkaz totožnosti

Čestné prohlášení, ale za poplatek 600 liber

Po slabé hodince se opět ozvala falešná HSBC (rozumějte Mark), že mi děkuje za kopii identifikačního průkazu a bankovní údaje, nicméně musím ještě předat čestné prohlášení o své identitě, které bude podepsáno úředníkem britského Nejvyššího soudu. Ouha, to je problém, do Londýna se totiž v nejbližší době neodstanu.

Falešná banka HSBC naštěstí myslela i na tento případ, a proto v textu jen tak mimochodem zmínila, že s dokumentem mi pomůže náš starý známý Mark Harris.

13993111
Pátý e-mail: Konečně v cíli. Aby to vše dobře dopadlo, potřebuji jakési čestné prohlášení, které může podepsat výhradně člen Nejvyššího soudu Velké Británie. Ale nic se neděje, Mark Harris to zařídí. Ale už ne zadarmo...

A jsme v kýženém cíli celého podvodného obchodního modelu, Mark totiž tento úkon provede za malý poplatek (nyní se na mě obrátil pod jménem fiktivního právníka z Londýna), čímž se vlastně uskuteční ono podvodné obohacení na úkor někoho jiného. A kolik vlastně požaduje za čestné prohlášení a další formality? 600 britských liber, tedy asi 22 tisíc korun! Tuto částku mám doručit skrze službu Moneygram.

22993418
Než mi pošlou výhru, musím zaplatit 22 tisíc korun

V této fázi jsem už poštovní hru ukončil, v redakčním rozpočtu totiž žádné fondy na podobná prohlášení nejsou, a sdělil Markovi, jak se věci mají včetně anglického překladu tohoto článku. Už neodpověděl.

Jak by to nakonec mohlo dopadnout?

Pojďme si nyní trošku zaspekulovat, co by se možná dělo dál, kdybych patřičný finanční obnos opravdu odeslal. Jelikož jsou podobné případy poměrně dobře zdokumentované a to včetně podvodných e-mailů lákajících na neexistující výhru v britské národní loterii, spekulace nebude nejspíše daleko od  pravdy – v podstatě jen zmíním několik skutečných případů z minulosti.

1. možnost: Žádná další komunikace

Kdybych Markovi zaslal peníze, mohl by ukončit jakoukoliv další komunikaci, odškrtnout si další oběť a zkoušet to zase na někoho jiného.

2. možnost: Bílý kůň

Mark už má svou oběť a teď by ji mohl zneužít jako bílého koně formou cukru a biče. Může mi skutečně poslat nějaký menší obnos (špinavé peníze) a požádat mě o zaplacení nějakého dalšího vymyšleného poplatku (vyprané peníze). A takhle stále dokola. Nastavení poměru mezi příjmem od Marka a mými výdaji je pak už jen otázkou dobrého psychologického zpracovávání oběti a budování vzájemné důvěry. Než si to nebohý výherce uvědomí, zaklepe mu na dveře kriminalista. Takové případy jsou ostatně známé i z České republiky.

3. možnost: Osobní data

Pak je tu ale ještě jedna možnost. Celou dobu jsem Markovi zasílal všemožné osobní údaje. Ten se je nyní může pokusit zneužít a to prakticky jakýmkoliv způsobem. Díky fotografii identifikačního průkazu zná můj věk, moji adresu, zná číslo mého účtu, číslo (třeba) řidičského oprávnění a všechny tyto osobní informace se nyní může pokusit použít třeba za účelem přihlášení se k některému z mých webových účtů bez znalosti hesla. Mnoho z nich totiž nabízí formulář pro obnovení hesla při jeho ztrátě, kde vám bude web klást otázky, na které by už mohl Mark znát odpověď. Dvoustupňové přihlašování, které nabízí jak Google, tak mnoho dalších provozovatelů, je tedy v tomto případě naprosto klíčové.

Protiútok

Naletět poštovním podvodníkům není zase až tak snadné. I když třeba budou na počátku používat komolenou češtinu, vzájemná komunikace stejně dříve či později přejde do angličtiny a především vás nikdo neokrade po prvním přijatém e-mailu. Podvodníci se pokoušejí během několika dnů vybudovat důvěryhodný vztah, nicméně dělají tolik pochopitelných chyb, že by mělo síto prostého selského rozumu zastavit drtivou většinu potenciálních obětí. Opravdu drtivou.

Že nakonec přeci jen někoho dostanou a to i z České republiky, je tak spíše doklad naprosté nekompetentnosti nebohé oběti. Přesto, pokud už k něčemu takovému dojde a zdravý člověk skutečně uvěří, že mu kdosi naprosto cizí a zcela bez příčiny hodlá věnovat po přepočtu okolo 37 milionů korun, měl by se (poté, co zjistí, že se opravdu spálil) urgentně ozvat policii.

368757578
Britský systém pro hlášení internetové kriminality

Ta česká má pro tyto případy stručný formulář pro hlášení kybernetické kriminality. Určitě ale stojí za to se ozvat i relevantním zahraničním vyšetřovatelům. V případě Velké Británie, které se tento konkrétní útok týká nejvíce, jde především o webové stránky Action Fraud, kde lze nahlásit i pouhý pokus o internetový podvod a to i tehdy, když vy sami nejste občanem ostrovního království.  Podobné weby pak stále častěji nabízí i policie v ostatních zasažených zemích.

V britské databázi nakonec skončil i Mark Harris, pokud se tedy někdy ozve i vám, bude to nejspíše zase z jiné poštovní adresy.

Článek patří do rubrik: Web, Bezpečnost

86 komentářů

Diskuze

  • keperak , 15. 2. 2015 16:40:51
    Dobrý den, děkuji za Váš čas reagovat na můj dopis. Mé jméno je pan...
  • Dušan Novák , 13. 2. 2015 15:18:50
    To mě většinou umírají vzdálení příbuzní při leteckých nehodách kdesi v...
  • Libor Oujezdský , 10. 2. 2015 14:20:44
    ..A JAK JE TO S POLICIÍ VE SKUTEČNOSTI ? Světe div se, jasňačka, že o...

Určitě si přečtěte


Týden Živě s Mapy.cz: Navigace, výlety, kompletní offline a další chystané novinky

Týden Živě s Mapy.cz: Navigace, výlety, kompletní offline a další chystané novinky

** Mapy.cz chystají mobilní navigaci ** Dočkáme se také lepšího plánování výletů ** A postupně také kompletního offline a dalších specialit

26.  6.  2016 | Jakub Čížek | 58

Česko vs. Slovensko v grafech. Kdo má lepší internet podle obřího Akamai?

Česko vs. Slovensko v grafech. Kdo má lepší internet podle obřího Akamai?

** Průměrná rychlost českého internetu není vůbec špatná ** Podle Akamai patříme ke světové špičce ** Jak vypadá srovnání se sousedním Slovenskem?

29.  6.  2016 | Jakub Čížek | 40


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.