Článek
Článek si také můžete poslechnout v audioverzi.
Jaro je mimo jiné období, kdy lidé podávají daňová přiznání. Proces, při kterém není těžké udělat chybu. Pokud se tak stane, stát občany informuje o možné nesrovnalosti. A právě proto je jaro také období, kdy se zvyšuje množství útoků skrytých právě za jména státních institucí.
Výzkumníci Avastu například varují před smishingovou (phishing pomocí SMS) kampaní, která se snaží vylákat z lidí jejich přihlašovací údaje k bankovní identitě. Nejdříve přijde falešná SMS zpráva, údajně z Ministerstva financí, která informuje potenciální oběť o přeplatku či naopak nedoplatku na daních.
Ve zprávě je také odkaz, který na první pohled nemusí vzbudit podezření. Zvlášť pokud je člověk ve stresu z možného dluhu či z jiného důvodu nepozorný.
„Útočníci využívají hlavně strach oběti z neuhrazené částky u finančního úřadu a z toho, že jí mohou být obstaveny bankovní účty,“ varuje výzkumník malwaru z Avastu Martin Chlumecký. „Zní to velmi absurdně, ale v návalu emocí způsobených obavami z dluhu tento způsob evidentně funguje a oběťmi se mohou stát i mladí lidé. Starší lidé jsou pak na takový druh podvodu ještě náchylnější.“
Falešná SMS informující o přeplatku na dani.
Odkaz pak vede na velmi zdařilou imitaci stránky portálu MOJE daně s možností přihlášení pomocí bankovní identity.
„Pokud člověk falešný přihlašovací formulář vyplní, poskytne podvodníkům své přihlašovací údaje a údaje k dvoufaktorovému ověření,“ říká Chlumecký. „Útočník se tak může dostat i do bankovního účtu oběti a například ukrást její údaje o platební kartě, pokusit se provést platbu nebo údaje vyzkoušet pro přístup do jiných služeb či je prodat na dark webu.“
Falešný portál MOJE daně.
Lidé by proto podle Chlumeckého měli být obezřetní a vždy si zkontrolovat, zda odkaz v SMS zprávě odpovídá skutečné stránce. „V tomto případě jsou odkazy podezřelé už tím, že nepoužívají běžnou doménu ‘.cz‘, ale ‘.eu‘,“ dodává Chlumecký.
Před nebezpečím na svých webech varuje i samotné ministerstvo.
Potenciální oběť by měla zarazit doména “.eu“.
SMS ale není jediný způsob, jak podvodníci získávají údaje či finance. „Útočník může podvrhnout telefonní číslo, které bývá zpravidla oficiálním číslem zneužité instituce, a útočník se snadno může odkázat na to, že volá z telefonního čísla, které je veřejně dostupné,“ varuje Chlumecký.
„Fiktivní bankéř/úředník oběť přesvědčí, že jim pomůže s převodem dlužné částky,“ pokračuje expert. „Následně oběti od útočníka přijdou další pokyny v SMS, kde už je odkaz na falešnou stránku daňového portálu.“
Útočníci pak během chvíle provedou okamžité platby, které zpravidla vedou přes několik bank. Šance zastavit takový útok na straně banky je v tom případě minimální. Experti Avastu navíc očekávají, že po blížícím se termínu podání elektronického daňového přiznání se intenzita těchto podvodů ještě zvýší.
Podívejte se na skutečné ukázky nástrojů podvodníků
