Bežný WhatsApp chat sa zmenil na nečakaný podvod. Nič netušiaca Dana dostala počas rozhovoru na obľúbenej platforme naliehavú prosbu. Dobrá priateľka chcela požičať tisíc eur. Krátko po ich odoslaní však vysvitlo, že peniaze vylákal neznámy útočník. Dane sa na polícii zatiaľ ani na tretí pokus nepodarilo podať trestné oznámenie. Takýchto prípadov phishingových podvodov je zrejme mnoho, presné štatistiky neexistujú. Odborníci z oblasti bankovníctva a IT pre Naše Košice poradili, akými krokmi sa podobným útokom vyhnúť a ako si aktivovať dvojfaktorové overovanie.
Košičanka, ktorej meno sme na jej žiadosť pozmenili (skutočné meno a adresu máme v redakcii), sa rozhodla prehovoriť o tom, ako sa stala obeťou internetového útoku. Chce varovať ostatných, zároveň poradiť, ako ďalej konať.
WhatsApp používa denne, vo viacerých chatoch rozoberá osobné aj pracovné témy. Počas jedného rozhovoru dostala naliehavú prosbu od dobrej priateľky.
Odoslaná správa viacerým kontaktom
„Prosila ma, či jej nemôžem požičať tisíc eur, že mi ich ďalší deň vráti. Bolo to v súkromnej správe. Len dve minúty predtým písala do skupinového chatu, že nejde s deťmi von," vraví Dana, ktorej sa okolnosti nezdali vôbec podozrivé. Keďže si s priateľkou zvyknú pomáhať, tisícku obratom poslala na uvedený účet v slovenskej banke.
„Hneď potom, čo som poslala peniaze, mi prišla správa z banky o podozrivej operácii. Zároveň mi blokli internet banking,“ pokračuje žena.
Priateľka neskôr zistila, že neznámy hacker v jej mene odoslal tú istú správu viacerým kontaktom. Dane nemalá suma teraz v rodinnom rozpočte chýba, s manželom stavajú dom a majú dve malé deti.
Nespísali trestné oznámenie
Pracovníci banky Dane prisľúbili, že sa pokúsia stiahnuť peniaze späť. Odporučili jej hlavne kontaktovať políciu. Trestné oznámenie išla podať osobne, miesto pomoci sa však stretla s neochotou.
„Bola som 1. júna na polícii v Čani. Tam mi povedali, že to bude zamietnuté vyšetrovateľom a že peniaze už neuvidím. Vraveli, že som mala byť opatrnejšia,“ prekvapuje obeť podvodu.
„Na policajnej stanici Západ som bola 5. júna. Tam mi povedali, že práve nemajú čas a mám ísť na Juh, pretože skutok sa stal v Kulturparku, kde som práve vtedy bola,“ pokračuje. Neuspela však ani do tretice.
„Bola som na stanici Juh 8. júna. Odporučili mi, že si mám trestné oznámenie napísať sama,“ nechápavo vysvetľuje Dana, ktorá takýto prístup nečakala.
„Osobne ma to veľmi zaťažuje, mám veľa iných povinností. Myslela som, že polícia hneď spíše trestné oznámenie. Prešli dva týždne a nakoniec to mám robiť za nich ja?“ pýta sa oklamaná.
Hovorkyňa: sú povinní oznámenie prijať
Podľa policajnej hovorkyne sú však príslušníci PZ povinní prijať každé oznámenie o spáchaní protiprávneho konania, ku konkrétnemu prípadu Dany sa nevyjadrila. „Po zistení podvodu je ten potrebné bezodkladne oznámiť na ktoromkoľvek útvare Policajného zboru, príp. na Prokuratúre. Zároveň odporúčame uchovať všetku komunikáciu a údaje súvisiace s podvodom,“ odporúča košická krajská policajná hovorkyňa Jana Illésová.
Policajti sa podľa nej internetovými podvodmi pravidelne zaoberajú a „každé prijaté oznámenie evidujú, preverujú a v prípadoch konajú“. Tvrdí, že sa zaoberajú sa aj prípadmi podvodov cez komunikačné aplikácie a sociálne siete. Samostatnú štatistiku napr. WhatsApp podvodov neevidujú.
„Každý prípad je posudzovaný individuálne podľa konkrétnych okolností a každému evidovanému prípadu je venovaná náležitá pozornosť,“ presviedča policajná hovorkyňa.
Vypátranie páchateľa pri internetových podvodoch býva podľa Illésovej často náročné, nie však nemožné. „Možnosť zaistenia finančných prostriedkov je individuálna, závisí od konkrétnych okolností prípadu a od času, ktorý uplynul od ich odoslania. Preto je dôležité oznámiť skutok čo najskôr,“ radí paradoxne policajná hovorkyňa.
V Daninom prípade však prešli už týždne a nik z polície sa týmito okolnosťami nezačal zaoberať.
O peniaze sa môže súdiť
Obrátiť sa na políciu odporúča aj Slovenská banková asociácia. Škodu je totiž podľa asociácie nevyhnutné vymáhať od osoby, ktorá sa na úkor klienta banky bezdôvodne obohatila. „Pokiaľ nejde o platbu s odloženou splatnosťou, ale je už platba prevodom uskutočnená, klient môže v banke požiadať iba o sprostredkovanie vrátenia platby,“ vysvetľuje Sylvia Ďatelinková, právnička Slovenskej bankovej asociácie.
Vraví, že dostať sa k už poslaným peniazom je ťažké, hoci zákon umožňuje požiadať svoju banku o sprostredkovanie vrátenia platby zaslanej na nesprávne číslo účtu.
„Spätné zúčtovanie platby je závislé nielen od súhlasu príjemcu s jej vrátením, ale aj od dostatočného množstva finančných prostriedkov na jeho účte, z ktorého sa má spätné zúčtovanie vykonať,“ uvádza Ďatelinková.
„Ak príjemca súhlas neudelí, v takom prípade k vráteniu platby nedôjde. Klient má následne možnosť požiadať banku o poskytnutie dostupných údajov o príjemcovi platby. Svoj nárok si potom môže uplatňovať priamo voči príjemcovi, a to mimosúdnou alebo súdnou cestou,“ radí právnička.
Používajú biele kone
Podľa IT odborníka Maroša Plučinského je vypátranie samotného páchateľa komplikované. Nemusí byť priamym príjemcom platby, útočníci zvyknú využívať ďalšie osoby ako biele kone. Cez nich prechádzajú peniaze.
„Útočníci často používajú aj zahraničné telefónne čísla, VPN služby, anonymné účty. Ak však spravia chybu, polícia môže využiť digitálne stopy, údaje od bánk a operátorov,“ vysvetľuje Plučinský, riaditeľ pre informačné technológie spoločnosti ANTIK Telecom.
„Odborne sa tento spôsob podvodu označuje ako phishing a patrí medzi najčastejšie metódy, ktorými dnes útočníci získavajú prístup k cudzím účtom,“ pokračuje IT odborník.
Zdôrazňuje, že podvodníci často nemusia nič „hackovať“. K citlivým údajom sa dostanú priamo od svojich obetí.
„Najväčším bezpečnostným rizikom preto nie sú technológie, ale ľudská nepozornosť. Oveľa jednoduchšie je presvedčiť človeka, aby svoje údaje poskytol dobrovoľne, než sa pokúšať prelomiť bezpečnostné systémy,“ vraví Plučinský.
Často sa stretáva s prípadmi, keď používateľ klikne na reklamu na výhodnú dovolenku, súťaž alebo inú lákavú ponuku. Stránka vyzerá dôveryhodne a žiada iba jednoduchú registráciu. „Človek v dobrej viere zadá svoj e-mail a heslo, pretože má pocit, že sa registruje do súťaže alebo nejakej služby. V skutočnosti však mohol svoje prihlasovacie údaje odovzdať priamo podvodníkovi,“ pokračuje IT expert.
Rovnaké heslá sú chyba
Plučinský upozorňuje aj na podvodné stránky, ktoré sa na prvý pohľad tvária ako internet banking, sociálna sieť alebo prihlasovacia stránka známej služby. Vyzerajú takmer identicky ako originál a lákajú prihlasovacie údaje. Rozdiel býva často iba v internetovej adrese.
Mnoho bežných užívateľov robí podľa IT experta veľkú chybu v tom, že používa rovnaké alebo veľmi podobné heslo vo viacerých službách. Útočník sa tak dokáže pomocou ukradnutých hesiel prihlásiť do e-mailu, sociálnych sietí, komunikačných aplikácií alebo iných služieb. Môže potom so svojou obeťou komunikovať v mene známej osoby tak, ako v Daninom prípade.
„Najlepšou ochranou je overiť si identitu iným spôsobom – napríklad telefonátom. Ak to nie je možné, pomôže aj jednoduchá kontrolná otázka. Stačí spomenúť informáciu, o ktorej viete, že nie je pravdivá,“ radí Plučinský. Môžete sa napríklad opýtať či si už dotyčný opravil červené auto, hoci má modré. Alebo či večer príde ku babke, ako ste sa dohodli, aj keď ste sa nedohodli.
„Skutočný známy vás prirodzene opraví a povie, že auto je modré alebo že o žiadnej návšteve nevie. Podvodník odpovie všeobecne alebo sa otázke vyhne,“ vysvetľuje odborník.
Dvojfaktorové overovanie
Účinnú ochranu predstavuje zapnutie dvojfaktorového overovania, označovaného ako 2FA. „Mnohí ľudia sa s ním už stretli napríklad pri internet bankingu alebo pri prihlasovaní do sociálnych sietí. Funguje to jednoducho – nestačí zadať iba prihlasovacie meno a heslo. Po ich zadaní systém vyžaduje ešte druhé potvrdenie, napríklad jednorazový kód zaslaný SMS správou, potvrdenie v mobilnej aplikácii alebo odtlačok prsta,“ hovorí Plučinský.
Druhý krok je naviazaný najčastejšie na mobil, útočník sa bez neho do účtu spravidla nedostane. „Aktiváciu dvojfaktorového overovania odporúčam všade, kde je táto možnosť dostupná. Ide o jedno z najúčinnejších bezpečnostných opatrení, ktoré môže bežný používateľ využiť,“ tvrdí IT expert.
Platforma WhatsApp je sama o sebe poľa neho bezpečná. Správy chráni tak, aby ich videl iba odosielateľ a príjemca. Na aktiváciu 2FA vojdite v appke do Nastavení (Settings), nájdite Účet (Account) a Dvojkrokové overenie (Two – step verification). Cez Nastavenia si ďalej viete v možnosti Pripojené zariadenia (Linked devices) overiť, či sa na účet niekto nenapojil.
„Najväčším bezpečnostným rizikom sme my sami pre seba. Máme emócie, stále sa ponáhľame, vieme byť nevyspatí alebo konať pod časovým tlakom. Počítač neurobí neracionálne rozhodnutie pod stresom alebo v domnení, že jeho dieťa je v ohrození. Človek áno. Práve preto je pre útočníkov často oveľa jednoduchšie oklamať človeka, než sa pokúšať prelomiť bezpečnostné technológie,“ dodal Plučinský.
Ako sa chrániť pred online podvodmi?
- Overovať si informácie, hlavne žiadosti o peniaze aj od dobrých známych, či rodiny.
- Mať zapnuté dvojkrokové overovanie.
- Neotvárať neznáme správy, vrátane príloh a odkazov.
- Do internet bankingu sa prihlasovať iba cez oficiálnu stránku banky, nie cez emailové odkazy, či iné webové stránky.
- Dôsledne chrániť prihlasovacie údaje do elektronického bankovníctva, citlivé údaje z platobnej karty a osobných dokladov.
- Na prihlasovanie do elektronického bankovníctva využívať len zariadenie, ktoré je chránené proti zneužitiu.
- Pravidelne si aktualizovať antivírusový softvér.
- Nesťahovať ani neinštalovať do zariadenia, kde používate internet banking neznáme programy, či prílohy.
- Autorizačné kódy zadávať až vtedy, pokiaľ ste si správu riadne prečítali a súhlasíte s jej obsahom.
- Mať zapnuté notifikácie, ktoré upozornia na aktivitu v účte.
- Kontrolovať pripojené zariadenia.
(zdroj: Polícia SR, SBA, Maroš Plučinský)
text: Eva Eperješiová
foto: autorka