Ani Vánoce pro podvodníky nejsou svaté, naopak svou činnost ještě eskalují

15. 12. 202408:02
Ani Vánoce pro podvodníky nejsou svaté, naopak svou činnost ještě eskalují
foto: Patrik Pašek, PrahaIN.cz/Mobilní telefon; ilustrační foto

Předvánoční období je tradičně časem, kdy zločinci eskalují svou činnost a vytahují nové způsoby, jak ze svých obětí vytáhnout peníze. Mobilní operátoři společně s bankami nyní varují před dalším typem podvodu, kterým je takzvaný SIM swap. Funguje tak, že se podvodníci zmocní telefonního čísla a následně třeba i bankovní aplikace.

Takzvaný SIM swap probíhá tak, že pachatel zavolá klientovi a vydává se za jeho mobilního operátora. Pod záminkou vyřešení servisního požadavku, například navýšení datového limitu či úpravy tarifu, ho přesvědčí k poskytnutí přihlašovacích a citlivých údajů. Podvodníci v tomto případě zneužívají služeb elektronické SIM karty, kdy fyzickou kartu v telefonu nahrazuje ta virtuální. Jenže v jiném zařízení, které vůbec nepatří oběti.

„Představte si, že Vám někdo zavolá a představí se jako operátor pan xy zákaznické linky vašeho operátora. Velice zdvořile Vám vysvětlí, jak funguje eSIM, jaké jsou její výhody a co všechno její výměnou získáte. Vy souhlasíte - je to přeci jen skvělá věc a nemáte sebemenší pochybnost, že by na druhé straně mohl být někdo s nekalými úmysly. Falešný operátor od Vás postupně získá emailovou adresu, přihlášení do aplikace, kde spravujete svůj účet, a na konci také vaší SIM kartu, protože mu ji dobrovolně převedete, aniž byste měla jakékoli podezření,“ přiblížila redakci Patricie Šedivá, tisková mluvčí společnosti T-Mobile.

Pachatelé se dostanou do zákaznického profilu

Jiní podvodníci se prý k údajům dostanou přes zákaznický profil. „V tomto profilu může klient najít veškerý přehled o tarifu, platbách a dalších úkonech, a případně mu pachatel rovnou doporučí instalaci aplikace. Pachatel potřebuje pouze získat potvrzující SMS kód. Pokud se mu to podaří, získá přístup k profilu klienta a snadno může aktivovat elektronickou SIM kartu (eSIM). Aktivací eSIM se okamžitě „zmrazí“ klientova klasická SIM karta, takže klient nemůže volat, posílat SMS zprávy ani přijímat hovory. Naopak, pachatel může využít eSIM a vydávat se za klienta, což mu umožňuje přístup k jeho sociálním sítím, e-mailu i bankovnictví, tedy tam, kde se k ověřování totožnosti používá telefonní číslo,“ přiblížil pro PrahaIN.cz další fintu podvodníků Jiří Poláček, senior manažer Risk Models & Fraud Management MONETA Money Bank.

Elektronickou SIM kartu má podle tiskové mluvčí O2 Blanky Vokounové podvodník ihned k dispozici a může si ji okamžitě nahrát do mobilního telefonu. „Pořád je hodně institucí, včetně bankovních, které používají pro autentizaci OTP (ověření pomocí SMS). Nejčastěji se podvod realizuje pomocí prolomených přístupových údajů uživatele na internetu. To se stává typicky, když mají uživatele stejné přihlašovací jméno a heslo do hlavních aplikací. Útočník pak prolomené přístupové údaje může použít pro vstup do klíčových aplikací, například pro vstup do samoobsluhy operátora. Dalšími variantami podvodu je sociální inženýrství nebo podvodné portály, kdy si zákazník myslí, že se přihlašuje ke skutečné samoobsluze,“ dodala k dalším nekalým praktikám Vokounová.

Pachatel volá ze správného čísla a zná jméno či rodné číslo

Ve všech případech se pachatel může snadno vydávat za klienta a kontaktovat zákaznický servis banky. „Je důležité zdůraznit, že pachatel volá z telefonního čísla oběti, zná její jméno, příjmení, a často také rodné číslo, číslo účtu, transakce, e-mail či adresu bydliště,“ zdůraznil Poláček.

Podvodník tím pádem může zaregistrovat nové zařízení pro mobilní bankovnictví. Jeho mobilní telefon se tak stane ověřovacím prostředkem pro potvrzování příkazů k úhradě a dalších akcí. Často podle Poláčka dochází k tokenizaci platebních karet a výběru finančních prostředků z bankomatů. Cílem podvodníků je tedy snaha získat co největší finanční obnos a způsobit co nejvíce škod.

Výměnu SIM karty nikdy nenavrhuje operátor

„Díky stále častějšímu dvoufaktorovému přihlašování do aplikací je mobilní telefon právě tím druhým faktorem ověření a takhle se k němu útočníci dostanou. Takže třeba pro získání přístupu do e-mailu, když zapomenu heslo, si nechám poslat SMS. Přesně tak může útočník ovládnout Váš e-mail a následně pak třeba i číslo účtu. Důrazně zde varujeme, výměna SIM je vždy jen na vašem rozhodnutí a musíte ji iniciovat pouze vy, NIKDY operátor,“ varuje Šedivá.

Podle Anny Houdkové, tiskové mluvčí Vodafone, využívají útočníci také již uniklých osobních údajů z různých databází. Zároveň potvrdila, že pokud se útočník dostane k telefonnímu číslu, získá přístup k velkému množství osobních údajů a může pak u ostatních institucí, například bank, vystupovat jménem zákazníka.

„V současné době má Vodafone pro vstup do internetové samoobsluhy implementované dvoufázové ověření zákazníka. Pokud tedy zákazník žádá o výměnu SIM karty, musí se ověřit pomocí zaslaného kódu,“ dodává Houdková k bezpečnostním opatřením. Ještě důslednější je O2. Pro výměnu SIM karty je třeba dojít osobně na prodejnu anebo změnu provést v aplikaci Moje O2.

Pokud dojde k výměně SIM karty, původnímu uživateli přestane fungovat telefonní číslo. To je nejzákladnějším ukazatelem, že je něco špatně. „Odhlásí se telefon zákazníka od mobilní sítě, není dovolatelný, respektive volání je spojováno již na podvodníka, který nyní drží dané telefonní číslo. Zákazník tedy nemůže telefonovat/datovat,“ popsala Blanka Vokounová.

Samotné číslo nestačí

Složitější to mají dle Aleše Černého, vedoucího oddělení Řízení retailových rizik Air Bank, podvodníci také v této bance. Aktivity podobného typu tam prý v současné době neevidují. Ukradené číslo prý hned neznamená přístup k účtu. „To by museli mít i přístup k aplikaci mobilního bankovnictví nebo do internetového bankovnictví, samotné telefonní číslo nestačí,“ přiblížil Černý.

Podobně se pro redakci vyjádřil také Filip Hrubý, mluvčí České spořitelny. Ani podle něj není zcizení telefonního čísla s ohledem na vícefaktorové zabezpečení digitálních finančních transakcí dostatečným nástrojem k provedení podvodu. Jde ale podle jeho slov o nezanedbatelné riziko.

Číslo lze zneužít na řadu způsobů. Důležitá je rychlá reakce

Podle Blanky Vokounové je však rozsah škod po získání telefonního čísla velice individuální. „Velmi záleží na tom, jak je zákazník operátora aktivní na internetu, jaké využívá služby, kde je autentizace založena na telefonním čísle, popřípadě ověření pomocí SMS. Jsou to samozřejmě eshopy, kde mají zákazníci uloženy platební karty, různé platební portály jako například PayPal, bankovní aplikace. Některé instituce poskytují také informace/služby na základě toho, že jim volá konkrétní číslo, které mají přiřazené k danému jménu, popřípadě jinému identifikátoru. Ke zneužití může dojít také u samotného operátora čerpáním platebních služeb,“ sdělila redakci tisková mluvčí O2.

Všichni oslovení se shodují, že jakmile klient zjistí, že mu bylo odcizeno telefonní číslo, nejdůležitější je bezodkladně zablokovat přístup do kanálů přímého bankovnictví a okamžitě informovat všechny bankovní i nebankovní instituce.

„Dále je nezbytné kontaktovat mobilního operátora, u kterého je telefonní číslo registrováno. Jak již bylo uvedeno výše, pachatel získá kompletní přístup k údajům klienta, a proto je čas nahlášení incidentu rozhodující. Je rovněž důležité informovat Policii České republiky,“ apeloval Jiří Poláček.

Narůstají i další podvody

Kromě SIM swapu před Vánoci narůstá také dalších pokusů o získání osobních a citlivých údajů. Například takzvaný SMISHING, tedy podvodné SMS obsahující odkaz na falešnou stránku, která vyžaduje zadání těchto citlivých údajů.

„Dále třeba s takzvaným VISHINGem, tedy voláním nabízejícím různé skvělé služby opět výměnou za citlivé údaje. A roste také takzvaný SPOOFING, tedy zneužívání již existujících a často známých telefonních čísel a vydávání se za falešné bankéře různých finančních ústavů. Někdy je opravdu neuvěřitelné, jaké legendy si dokáží zloději vymyslet, aby oběť zmátli. Zní a vypadá to velice věrohodně, obětí se může stát opravdu každý. Opakovaně apelujeme na všechny zákazníky všech operátorů, nejen ty naše: buďte opravdu obezřetní,“ uzavírá Patricie Šedivá s tím, že škody dosahují v průměru částky 160 tisíc korun.

O Spoofingu jsme před časem podrobněji informovali ZDE. PrahaIN.cz před několika dny varovala také před nevyžádanými balíčky, dalším z oblíbených předvánočních podvodů.

Tagy

Speciály

Kudy kráčel zločin
Tajnosti slavných