Phishing představuje reálnou hrozbu a je čím dál vynalézavější. Útočící entity se typicky neštítí ničeho a vědomě využívají naše slabiny. Stalo se to také v době energetické krize, spojené s ruskou agresí na Ukrajině. Ve článku popisujeme reálný příklad toho, jak jeden takový podvod vypadá.
Současně jej můžete brát jako vzorový výukový materiál, protože si ukážeme, na co si dávat pozor. Tyhle principy oceníte dnes, ale také za pár let u úplně jiných pokusů o phishing, které mohou skončit tím, že vás někdo obere o peníze.
Podezřelá SMS
Podvod v našem případě cílí na ty, kteří by mohli mít nárok na příspěvek na bydlení, k jehož pobírání vláda domácnosti vyzvala. Útočník vás tedy láká na peníze a vystupuje jako energetická firma Pre. Kromě příspěvku píše o úsporném energetickém tarifu. Vše začíná SMS, jež nám přišla 3. února 2023. Jakých aspektů si všímat?
Podvodná SMS. Phishing se zdaleka netýká jen e-mailu
Fakta. Úsporný tarif je v uvedené době již pasé. Šlo o vládní opatření, které skončilo s rokem 2022. Nahradilo ho zastrojování cen energií. Když byl tzv. úsporný tarif aktuální, nežádalo se o něj, získali jste jej automaticky při splnění stanovených podmínek. Podvodník popletl fakta, která je dobré si při příjmu sdělení nejdříve ověřit. Útočník ovšem spoléhá na to, že budete pod vlivem emocí jednat okamžitě a v jeho prospěch, nikoli chladně racionálně.
Telefonní číslo. Všimněte si, že jde o docela obyčejné telefonní číslo. Firma jako Pre by vás nejspíš kontaktovala jiným způsobem a ne z takového čísla.
Jazyk. Po zběžném přečtení si ničeho podezřelého všimnout nemusíte, na což útočník spoléhá. Pokud si ale zprávu přečtete důkladně, patrně zaznamenáte, že je napsaná podivnou češtinou. Používá jméno příjemce, čímž buduje pocit důvěryhodnosti, ale celá úvodní pasáž je poskládaná amatérky. A slovo „ziskat“ na konci je už vyloženě chybně napsané.
Adresa. Tím se dostáváme k tomu, co je nejdůležitější a mělo by vás praštit do očí. Útočník chce, abyste otevřeli přiloženou adresu. Docela chytře využívá zkratku Ministerstva práce a sociálních věcí, úplně mimo je ale doména .PW. Ministerstvo má webové stránky na české doméně .CZ: https://www.mpsv.cz. Pre by navíc patrně nejdřív odkazovalo na svoje stránky.
Podezřelý web
Řekněme, že jste byli nepozorní, důvodů k nepozornosti ostatně existuje milion. Není těžké se nechytat, i když máte o problematice podvodů obstojné povědomí. Takže klepnete na odkaz v SMS v domnění, že zpráva pochází od Pre a teď se dozvíte něco o tom, jak by vám stát mohl pomoci. Ještě není vše ztraceno.
Jak bezpečně otevřít podezřelý web?
Podle staré poučky byste podezřelou adresu neměli vůbec otevřít. Platí to v případech, kdy je adresu na první pohled silně podezřelá. Jenže útočníci se lepší a využívají podvodné zprávy, které působí velice důvěryhodně a používají i solidně vypadající adresu.
Někdy si potřebujete ověřit, kam adresa vede, přestože máte podezření. Je to legitimní, protože pokud někdo třeba napodobuje dopravce, nechcete se připravit o případnou legitimní zásilku. V těchto případech využívejte Windows Sandbox, případně jiné sandboxové řešení.
Podvodný web patří k relativně slušným nápodobám. Když jej srovnáte se skutečnou stránkou Ministerstva práce, najdete samozřejmě tisíc rozdílů, ale podvodná stránka využívá logo MPSV, je barevně laděná podobně (převažují modrá, žlutá a bílá) a navíc využívá marketingové označení Deštník proti drahotě, který ale používá vláda. Jenže kdo se má pitvat v takových detailech, tato slova prostě znáte z televize.
Podvodný web člověkla zmást dokáže, pokud na web MPSV běžně nechodíte
Proč web působí nedůvěryhodně? Reálně je příliš jednoduchý, přičemž vás hned hlavní strana s velikým titulkem Přihlášení tlačí do toho, abyste někam zadali nějaké své údaje. Jen ještě nevíte jaké. Velké ministerstvo bude mít nutně mnohem obsáhlejší domovskou stránku. I jiné stránky. Web bude plný kategorií, nabídek, boxů apod.
Reálný web MPSV je mnohem propracovanější a sídlí na doméně .CZ
Ale dobře, myslíte si, že vás SMS logicky navedla rovnou na místo, kde se dozvíte něco o konkrétní pomoci. „Přihlaste se, abyste mohli přijímat platby na svůj ověřený bankovní účet“, vyzývá tlačítko pro údajné přihlášení přes Identitu občana. Vizuálně působí důvěryhodně, obsah sdělení už smysl nedává.
Z tého stránky MPSV útočníci ukradli grafiku s peneženkou
Svůj bankovní účet nikde ověřovat nemusíte. Kdybyste měli nárok na nějakou dávku, tak úřadům číslo svého bankovního účtu jednoduše předáte. Ale budiž, možná se po přihlášení dozvím, jak se s úřadem propojit a jestli mám nárok na dávku. Na webu se navíc píše, že výši příspěvku vypočítá robot po autorizaci.
I tohle by vás mělo upozornit, že je zřejmě něco špatně. Kalkulačky běžně fungují bez přihlášení. Jsou ovšem orientační a jednu takovou má samozřejmě i MPSV. Mimochodem, na téhle stránce rovněž poznáte další prvek, který útočník z oficiálního webu ukradl. Je ovšem dost možné, že o oficiální kalkulačce nevím a očekávám, že půjdu rovnou k přesném výpočtu.
Identita občana nabízí přihlášení více typy prostředků. Mimochodem, podezřelé stránky otevírejte v sandboxu
Budiž, v problematice se neorientuji, zní mi to docela logicky, že se přihlásím a budu vědět, na čem jsem. (Při reálné žádosti o příspěvek na bydlení se přes Identitu občana skutečně přihlásíte.) Takže se jdu přihlásit. Pokud jste se dostali až sem, tak tady už podvod vycítíte snadno. Z údajného přihlášení přes Identitu občana se vyklube rozcestník, který umožňuje přihlášení jen přes bankovní identitu. Tedy, tváří se tak. Na výběr jsou jen čtyři banky, což neodpovídá realitě.
Navíc reálná Identita občana nabízí i přihlášení jinými prostředky. Je zjevné, že se vám někdo chce nabourat do bankovnictví. To si ověříte, když klepnete na jeden z odkazů. My jsme zkusili Airbank. Podvodný web opět vykrádá část grafických prvků z oficiálního webu banky. Reálně to zdaleka není přesná kopie, ale napodobenina na první dobrou bez hlubšího zamyšlení působí poměrně důvěryhodně.
Reálná banka má propracovanější web a na jiné doméně
Až na jednu věc. Důležité je, abyste si celou dobu všímali adresního řádku v prohlížeči. Dokonce i údajná přihlašovací stránka k bankovnictví je na stejné doméně jako údajný web MPSV: mpsv.pw/airbank. Stránka banky ve skutečnosti sídlí na adrese www.airbank.cz. Pokud do zjevně podvodného formuláře zadáte své přihlašovací údaje, buďte si jistí tím, že je útočník zkusí použít, aby se dostal do reálného bankovnictví.
Podvodná stránka vás také nabádá k naskenování kódu QR, který vede do reálné bankovní aplikace My Air. Proč? Abyste v ní mohli potvrdit přihlášení k bankovnímu účtu. Uživatelské jméno a heslo bance totiž nestačí. Takhle se útočník dostane k vašim penězům.
Také je důležité klást si otázku: proč by MPSV chtělo přístup k vašemu bankovnictví? Odpověď je jednoduchá, tedy že nechtělo. Vaše bankovnictví je jen vaše. Kdyby vám úřady chtěly posílat příspěvek, budou pouze potřebovat číslo vašeho bankovního účtu, nikoli přístup do vašeho internetového bankovnictví. Podvody spojené s MPSV se objevují měsíce a ministerstvo tvrdí, že už falešných stránek zablokovalo desítky.
