Člověk by si myslel, že podvodné e-maily jsou záležitostí minulosti a že lidé už jsou dnes natolik digitálně vzdělaní, aby dokázali rozlišit podvodný e-mail od neškodného e-mailu. Částečně je tento předpoklad pravdivý, ale e-mailové podvody – a podvody obecně – jsou v současnosti mnohem důmyslnější než kdy dřív, a tudíž i hůře rozpoznatelné. Jen klienti České spořitelny přijdou ročně o několik milionů korun. Podle zprávy FBI přišly oběti (firmy i jednotlivci) kvůli podvodům jen za rok 2019 o více než 3,5 miliardy dolarů.
Za rok 2020 se částky ještě navýšily, neboť rok 2020 byl rokem „fake news a podvodů zneužívajících pandemii“, jak říká náš bezpečnostní odborník Luis Corrons.
Co jsou e-mailové podvody
E-mailovými podvody se obecně rozumí e-maily, které mají za cíl poškodit jednotlivce nebo firmu. Mohou se snažit okrást příjemce o velké částky peněz nebo získat důležité přihlašovací údaje, například e-mailové adresy a hesla k online bankovnictví. Podvodníkům samozřejmě může jít i o jiná data, jako jsou e-mailové seznamy nebo dokonce osobní údaje, tedy rodná čísla, adresy domů a telefonní čísla.
Kyberzločinci obvykle používají triky, kterými v lidech vyvolávají strach nebo přicházejí s nabídkou, která se neodmítá – třeba s investiční příležitostí či drahými produkty za velmi nízkou cenu.
Neškodné e-maily
Rozpoznat e-maily, které nejsou součástí nějakého propracovaného podvodu, nebývá pro většinu uživatelů jednoduché. Už předem bývají nedůvěřiví a přemýšlí, kdo by za e-mailem mohl stát a co po nich chce.
Abyste se naučili rozpoznat neškodné e-maily, začněte základy. Tedy formulací zprávy a chybami v textu.
Konkrétně:
V e-mailu vidíme chybějící diakritiku nebo podivné užití slov. To naznačuje, že jde o podvod.
Dobrým návykem je u každé podezřelé zprávy také kontrolovat adresu odesílatele.
Například tento e-mail jsme dostali od kontaktu: anything@estancia.se.gov.br. Taková e-mailová adresa příliš důvěry nevzbuzuje, můžete tedy podvod očekávat.
Pokud nám prvotní analýza e-mailu naznačila, že jde o podvod, ale nejsme si ještě jistí, je načase se zamyslet nad jeho celkovým sdělením. Podvodníkům obvykle jde o rychlé peníze a jen málokdy mají nějaký dlouhodobý cíl. Proto ve většině případů své zprávy svým příjemcům nepřizpůsobují.
Další věcí, kterou podvodníci neumí, je být nenápadní. Používají slova jako NALÉHAVÉ, EXKLUZIVNÍ a podobně. Limitované nabídky jsou samozřejmě běžnou součástí mnoha e-mailových marketingových kampaní. Většina e-mailových marketingových nástrojů také nabízí prvky jako odpočítávání, které zvyšují úspěšnost e-mailových marketingových kampaní.
Existuje ale rozdíl mezi pravou nabídkou, jakou je například tato:
A podvodným e-mailem, který se snaží vyvolat paniku:
Tento podvodný e-mail sice nenabízí žádné zboží nebo službu, ale apeluje na přijemce, aby okamžitě odpověděl, protože jde o „poslední varování”
Formulace jako „Naléhavě musíte reagovat“ nebo „Váš účet je v ohrožení“ příjemce zprávy vyděsí a mohou vyvolat zkratkovité jednání. O to také odesílatelům podvodných e-mailů jde a jsou to učebnicové příklady výrazů ze slovníku podvodníků.
Skuteční marketéři na rozdíl od podvodníků používají výrazy a techniky, kterými se snaží eliminovat podezření podvodu. Odesílají své e-maily až ve chvíli, kdy uživatel interagoval se značkou nebo mu posílají takový obsah, který se uživateli se značkou okamžitě spojí a dává mu smysl.
Typy e-mailových podvodů
Než si probereme, jaké jsou jednotlivé typy e-mailových podvodů, jak je rozpoznáte a jak před nimi ochráníte svůj účet, věnujme se chvíli tomu, jak podvodné chování vypadá.
Co je pro pro podvodníky typické:
- Snaží se vymámit z lidí důležité informace a hesla tím, že vyvolávají dojem naléhavosti situace a její závažnosti
- Vydávají se za zástupce známých značek nebo partnery někoho důvěryhodného
- Mají chyby v pravopisu či gramatice
- Nutí vás provádět složité a nejasné postupy, které by po vás známá značka nepožadovala (například abyste zavolali na konkrétní telefonní číslo nebo odeslali naskenované dokumenty)
Teď přejděme na konkrétní typy podvodů.
E-mailový phishing
E-mailový phishing je nejběžnějším internetovým podvodem.
Phishingové e-maily jsou psány tak, aby podvodem vymámily z lidí jejich platební údaje, hesla k jejich účtům či jiné citlivé informace.
Phishingové útoky bývají tak úspěšné proto, že se opírají o znalosti o lidském chování. Podvodníci používají manipulativní techniky, kterými se snaží vyvolat naléhavý dojem a přimět příjemce zprávy, aby rychle zareagoval.
Pocit bezprostředního ohrožení vede uživatele k tomu, že podvodníkům pošlou platbu přes internet nebo předají důležitá data.
Co jsou spamové e-maily?
Spamové e-maily jsou rozesílány velkému množství adresátů, ve většině případů nejsou přizpůsobené příjemci. Nemusí být nutně ani nebezpečné, ale některé typy spamových e-mailů jsou. Navíc jejich odesílatel odněkud musel získat váš e-mail, což může znamenat, že se objevil na dark webu, kde jej podvodník zakoupil nebo vám vaše osobní data v blízké minulosti unikla a dostala se do rukou kyberzločinců.
Co jsou e-mailové podvody?
E-mailové podvody mají jediný cíl: vymámit z příjemců informace, které mohou podvodníci zneužít a uživatelům jimi uškodit. Mohou člověku způsobit zdravotní či psychickou újmu: Podvodníci ukradnou identitu oběti a může dojít až k obvinění z nezákonné činnosti, za kterou však oběť ve skutečnosti nemůže.
Co je spoofing?
Spoofingové podvody odesílají své podvodné zprávy z e-mailových adres, které napodobují e-maily zástupců známých značek, ve zprávě používají loga značky i její barvy. Na první pohled vás mohou jednoduše zmást a jediný rozdíl je například v e-mailové adrese, která místo @avast.com používá @avats.com.
Tyto e-maily obvykle obsahují odkaz, na který uživatel klikne, a tím si stáhne do zařízení malware a přijde o své soubory nebo data.
Co je malware?
Na některý z typů malwaru můžete narazit, když například v e-mailu kliknete na podezřelý odkaz nebo si stáhnete jeho přílohu. Existují různé typy škodlivého softwaru, některé jsou určeny k získání přístupu do počítače (např. trojany), jiné sbírají data (např. spyware).
Chraňte se
Nejlepší ochranou je vzdělání v oblasti kyberbezpečnosti, zájem o novinky v oboru a o to, jaké finty a triky kyberzločinci používají.
K tomu přidejte tato bezpečnostní pravidla:
Zálohujte a používejte dvoufázové ověření
Zálohování přijde vhod především ve chvíli, kdy se vaše zařízení rozbije a nebude možné z něj uložené soubory nijak získat.
Dvoufázové ověření uživatele zase upozorní, když dojde k podezřelému pokusu o přihlášení nebo ke změně hesla na jeho účtu. Uživatel od dvoufázového ověření dostane žádost, aby pokus o přihlášení zkontroloval a potvrdil či zakázal.
Udržujte svůj operační systém a antivirus aktualizovaný
Operační systém počítače musí být vždy aktualizovaný. Někteří podvodníci zneužívají bezpečnostní slabiny starších operačních systémů, aby se do počítače nabourali nebo jej poškodili.
Vždy aktualizovaný by měl být i váš antivirový software. Aktualizovaný antivirový software dokáže zařízení chránit před nejnovějšími verzemi malwaru.
Jak poznat e-mailový podvod
První a nejdůležitější obrannou před e-mailovými podvody je znalost podvodů a jejich charakteristických znaků.
Ověřte si e-mailovou adresu odesílatele, zaměřte se na drobné chyby v textu. Jde o chyby pravopisné, syntaktické i gramatické. Množství chyb se stejně jako propracovanost podvodů různí.
V tomto e-mailu například chybí jakékoli oslovení, což je v době personalizace každé sebejednodušší zprávy obzvlášť zarážející. E-mail sice nežádá o zadání nějakého hesla, ale požaduje, aby uživatel odepsal na podezřelý e-mail. Můžeme si jen domýšlet, co by uživatel musel udělat po přijetí navazující zprávy.
E-maily, které jste nečekali, zničehonic vám přišly od cizích lidí a obsahují podezřelé odkazy či přílohy, byste vždy měli pečlivě kontrolovat, než se rozhodnete odpovědět.
Další typy útoků, na které je třeba dávat pozor
E-mailové podvody občas bývají jen třešničkou na dortu rozsáhlého a propracovaného útoku. Proto by uživatelé měli mít povědomí o nejrůznějších online útocích, které existují.
Phishingové útoky HTTPS
Uživatelé si velmi často myslí, že weby a odkazy, které mají v adrese HTTPS, jsou bezpečné. To už ale neplatí. Podvodníci protokol používají i ve škodlivých odkazech, aby svým phishingovým e-mailům dodali na věrohodnosti.
Ověřte, že odkaz, na který se chystáte kliknout, není zkrácený, a opravdu vede přímo na webovou stránku, kterou chcete navštívit. Také dbejte na kontrolu odkazů v e-mailu, které se maskují za obyčejný text, ale vedou na podvodný web.
SMS phishing a phishing na sociálních sítích
SMS phishing (smishing) rozesílá uživatelům zprávy, které obsahují odkazy. Po kliknutí na odkaz se do zařízení stáhne malware, který krade citlivá data, jako jsou platební údaje.
Phishing na sociálních sítích představuje další způsob, kterým podvodníci získávají citlivé informace, jež by mohli zneužít při dalších podvodech. Někdy používají techniky sociálního inženýrství – například se falešně vydávají za osoby spolupracující s influencery na Instagramu, aby zvýšili svou věrohodnost v očích uživatelů.
Vishing
Vishing slouží k získávání informací po telefonu. Někdy chtějí podvodníci zjistit platební údaje, jindy mají zájem o krádež identity.
Časté bývají situace, kdy vytáčecí automat vygeneruje náhodné číslo, na které podvodníci zavolají a oznámí oběti, že došlo k problému s její platební kartou nebo že se její rodinný příslušník dostal do potíží. Oběť má v takovém případě nutkání neprodleně udělat to, co po ní podvodník žádá.
Ponaučení
Uživatelé se v dnešní době často dostávají do obtížných situací, kdy neví, jestli mají, nebo nemají věřit e-mailu, který po nich požaduje, aby zaslali odesílateli své osobní údaje, okamžitě odepsali nebo poslali peníze na cizí účet.
Kyberzločinci jsou stále chytřejší, a je proto na místě ostražitost. Žijeme v době, kdy ne vše je takové, jaké se na první pohled zdá. Podezřele znějící e-maily, které vás žádají o akci, při níž je nutné sdělit své osobní informace, jsou prakticky vždycky podvodné. Vždy můžete také kontaktovat oficiální kontakt firmy a na pravost e-mailu se dotázat.
Pokud si nejste jistí, že takové e-maily vždy skutečně poznáte, používejte antivirový software, který rozezná v počítači škodlivý software nebo webové stránky, které jsou podvodné.