Policie letos ke 12. březnu evidovala již 340 případů, kdy podvodníci vydávající se v telefonátech za bankéře či policisty připravili své oběti o peníze. Podle dat České bankovní asociace (ČBA) vloni počet kybernetických útoků na klienty bank stoupl meziročně o čtyři procenta na 91 tisíc. „Útoky se týkají opravdu všech,“ zdůraznil předseda pracovní skupiny pro kyberbezpečnost ČBA Tomáš Stegura, podle něhož se takzvaní e-šmejdi snaží zneužít nátlaku a strachu.
Podle ČBA vloni vzrostl i objem peněz, který se podvodníkům podařilo odčerpat. Konkrétně jde o částku přesahující dvě miliardy korun. Čísla, která asociace zveřejnila, zahrnují jakýkoliv způsob napadení, tedy i manipulaci, kdy klient platbu zadá nebo autorizuje sám.
Vůbec nejčastějšími terči útočníků vloni byli lidé ve věku mezi 36 a 44 lety. Podvodníci se častěji zaměřovali na ženy, zatímco muži přišli o více peněz. „Útoky se opravdu týkají všech. Průměrná oběť má něco přes čtyřicet let a rok od roku se střídá, jestli jsou to (častěji) muži, nebo ženy,“ sdělil Stegura.
Efektivní, moderní a důkladné kontrolní mechanismy podle ČBA v loňském roce klientům bank zachránily více než 12,2 miliardy. Ve srovnání s rokem 2024 tato částka narostla zhruba o 4,2 miliardy. „Technologické inovace dokážou ochránit více než devadesát procent prostředků, které se podvodníci snaží odčerpat. I přesto se e-šmejdům podařilo napáchat škody za více než 2,1 miliardy korun, průměrná škoda na klienta stoupla z necelých šestnácti tisíc korun na téměř 23 a půl tisíce,“ uvedla asociace.
Útoků přitom meziročně nepřibylo nijak výrazně. Zatímco v roce 2024 jich bylo evidováno zhruba 87 a půl tisíce, vloni to bylo necelých 91 tisíc. Podle policejního prezidenta Martina Vondráška vloni kyberkriminalita tvořila 12,4 procenta z celkové trestné činnosti.
„Banky jsou dlouhodobě lídry v oblasti kybernetické bezpečnosti, do které investují miliardy korun ročně. Stále dokonalejší technologie pomáhají odhalit a zastavit podvod ještě předtím, než dojde ke škodě. E-šmejdi proto útočí na nejslabší článek tohoto řetězce, kterým je klient, a snaží se zneužít nátlaku a strachu k získání citlivých údajů,“ podotkl Stegura.
Slabá hesla i vidina rychlého zisku
Kde klienti dělají chybu? Podle ředitelky ČBA Educa Zdeňky Hildové je jedním z problémů fakt, že podceňují bezpečnost hesel. Osvětový projekt Nebojte se Internetu, jehož autorem je správce národní domény CZ – sdružení CZ.NIC, upozorňuje, že problémům lze předejít, pokud si uživatel zvolí silné heslo a zároveň ke každé registraci jiné. Doporučuje tak například zvolit rozdílná hesla třeba pro přihlášení do e-mailu a pro přihlášení do internetového bankovnictví.
V případě použití unikátních hesel pro každou registraci nicméně může být komplikované si všechna hesla zapamatovat. Pokud má člověk potřebu si heslo zapsat, měl by jej následně uložit na bezpečné místo a rozhodně nenechávat papírek s heslem v blízkosti zařízení, které jím lze otevřít. ČBA zároveň nedoporučuje ukládat si PIN k platební kartě do peněženky či do mobilního telefonu.
„Důležitá hesla neukládejte do počítače, respektive do webového prohlížeče, který používáte. Pokud máte hodně hesel, můžete využít i speciální aplikace ‚správce hesel‘, ale pozor, i do nich se budete muset přihlásit bezpečným a silným heslem,“ upozorňuje na webu asociace.
Klienti bank nepodceňují pouze hesla. Podle Hildové si totiž mnozí lidé o kyberútocích říkají, že právě jim se přece nic takového stát nemůže. „A v neposlední řadě bych řekla, že to je vidina, že lehce přijdou k penězům,“ dodala. Některé typy podvodů totiž mohou lidi lákat právě vidinou rychlého a snadného zisku.
Podvodné telefonáty
Jaký typ útoků je nejčastější? „Nejčastěji funguje kombinace, která většinou začíná telefonátem a v něm vystupuje jedna role, která se vás pokusí vyděsit. Takže nejčastěji někdo s autoritou, jako je třeba policista nebo falešný bankéř. Ti řeknou oběti, že je její účet v nebezpečí, a pokusí se ji přesvědčit, aby peníze poslala ‚do bezpečí‘,“ vysvětlil Stegura, podle něhož následně volá další osoba, která se vydává za někoho, kdo celý scénář doplňuje, čímž oběť jen utvrdí v tom, že jde o skutečný problém. „A potom volá třetí osoba, která navede, kam s těmi penězi,“ dodal Stegura.
Tento typ podvodů se označuje jako vishing a podvodníci se mohou vydávat nejen za bankéře či policisty, ale třeba také za lékaře, investiční poradce, nebo dokonce za blízké osoby oběti. Jako záminku mohou využít nejen napadení účtu, ale třeba také pomoc zraněnému příbuznému. Typické je, že volající oběť nutí k okamžité reakci.
Policie 12. března uvedla, že podvodníci, kteří se v telefonátech vydávali za bankéře, policisty či zneužili totožnost veřejně činného člověka, připravili své oběti od počátku roku už o 150 milionů korun. V nedávné době pachatelé zneužili například totožnost policejních mluvčích ve Zlínském kraji. Pod legendou napadeného bankovního účtu se pak jejich jménem snažili vylákat peníze.
Policie opakovaně zdůrazňuje, že po lidech nikdy nevyžaduje bankovní převody ani výběr či předání peněz. Hesla, přihlašovací údaje nebo údaje o kartě po klientech nevyžadují ani banky. Některé navíc nabízejí nástroje, které mohou člověku pomoci ověřit, kdo opravdu volá. „Ověřování volajícího přes bankovní aplikaci je jednoduchý způsob, jak předejít ztrátě peněz. Pokud vám někdo tvrdí, že volá z banky, vždy si to ověřte – ideálně ještě během hovoru,“ doporučuje ČBA.
Proč lidé podvodníky poslechnou?
Proč se tedy lidé i přes opakovaná varování stále mnohdy nechají o peníze připravit? „Většinou je to nezkušenost. Na první dobrou, když vám zavolá policie, že váš účet je v ohrožení, tak najednou máte strach. Většinou to někdo popisuje tak, jako když jste najednou ve výtahu a nevnímáte ostatní emoce,“ vysvětlila Hildová s tím, že lidé se přestanou chovat racionálně a ztratí kritické myšlení.
Důležitou roli podle policie hraje i to, že podvodníci umí být velmi přesvědčiví. Používají odborné výrazy, manipulují oběť strachem a vytvářejí dojem naléhavé situace. ČBA navíc podotýká, že e-šmejdi bývají dobře připraveni. „Mohou znát vaše jméno, adresu nebo číslo bankovního účtu. Volají často z čísla, které vypadá jako číslo vaší banky, policie nebo jiného důvěryhodného zdroje (takzvaný spoofing),“ varuje asociace.
Na to, že praktiky e-šmejdů jsou čím dál důmyslnější, upozorňuje i Česká národní banka (ČNB). „Podvodníci používají nové manipulativní techniky, jimiž cílí na emoce obětí, a formy útoku neustále vylepšují. Platí, že oběti podvodů poskytují podvodníkům nevědomou součinnost. Jedná se například o aktivity na internetu (příspěvky na sociálních sítích, komentáře a podobně). Informace zanechávají digitální stopu, na jejímž základě mohou podvodníci lépe cílit scénář útoku,“ přibližuje ČNB.
Častější apely na výběr hotovosti
Pro ilustraci lze zmínit i některé konkrétní případy. V polovině února policie informovala o podvodu, v rámci něhož šedesátiletá žena z Břeclavska předala e-šmejdům skoro tři miliony korun. Volající se jí představil jako policista ze Sokolova. „Domnělý policista v hovoru sdělil, že její bankovní účet napadli kybernetičtí podvodníci. Navíc se prý pokouší zřídit poměrně vysoký úvěr. V následné komunikaci nabídl řešení. Případ prý předá expertovi banky, který ho bude vyšetřovat,“ popsal policejní mluvčí Bohumil Malášek.
Další den ženu kontaktoval údajný expert, který ji přes videohovory navedl k několika výběrům hotovosti. Žena vybírala peníze nejen ze svého účtu, ale i z kont rodinných příslušníků. Skoro třímilionovou hotovost následně podle pokynů podvodného bezpečnostního agenta ve čtyřech případech osobně předala na různých místech jeho spolupracovníkovi. K vybrání hotovosti nabádají podvodníci oběti stále častěji. Podezřelé transakce, které klient provede přes internetové či mobilní bankovnictví, mohou totiž banky v některých situacích zastavit a podvod tak znemožnit.
Na funkci ředitelky základní a mateřské školy Salmova v Blansku zase rezignovala na konci ledna žena, která podle policie uvěřila smyšlené historce podvodníků o tom, že si na její jméno někdo chtěl vzít bankovní půjčku, a poslala jim skoro deset milionů korun. Část peněz byla jejích a část instituce.
Pozornost vzbudil i případ plzeňské neziskové organizace Tady a teď. Podvodníci kontaktovali zaměstnankyni společnosti z podvrženého čísla policie. Předložili falešné dokumenty včetně policejních záznamů a potvrzení ČNB a přesvědčili ji k odeslání šestnácti plateb. Ekonomka si za hovoru ověřovala totožnost, ale jména policistů i bankéřů skutečně existovala. Organizace v důsledku toho přišla o více než pět milionů korun. Částku se jí následně podařilo vybrat ve sbírce na dárcovském portálu.
Výše uvedené příklady ilustrují, jak důmyslně mohou podvodníci mít své pokusy naplánované. Jak se tedy bránit? „Nedávejte podvodníkům šanci – žádné informace jim nesdělujte a zavěste. Na základě příchozího telefonického hovoru nedělejte unáhlená rozhodnutí. Nepodlehněte tlaku, pod který vás volající záměrně dostává. Už to, že vyvíjí tlak, by vám na první dobrou mělo být podezřelé. Pamatujte, že se nevyplatí spěchat, počítejte třeba do pěti. Zavěste a ověřte, kdo vám volá, nevolejte zpět na číslo volajícího, ale na oficiální infolinku instituce, která vás kontaktovala,“ radí ČNB.
Podvodníci využívají i e-maily či SMS zprávy
Vishing ale není zdaleka jediným typem podvodu, s nímž se lze setkat. Interaktivní vzdělávací projekt Kybertest, který společně s odbornými partnery připravila ČBA, rozlišuje i dalších deset druhů, které společně s podvodnými telefonáty označuje jako nejčastější.
Jedním z nich jsou podvodné e-maily (phishing), jejichž cílem je získat citlivé údaje či oběť přimět ke stažení škodlivého softwaru. I při tomto typu podvodu e-šmejdi využívají časový nátlak a mnohdy předkládají podezřelé požadavky, jako je například úhrada poplatků předem za vyřízení nečekaného dědictví. Pozor je třeba dávat také na odkazy či přílohy, které e-maily mohou obsahovat.
Jedním z nejškodlivějších je phishing ve firmách, kdy podvodník předstírá, že je známou firemní autoritou (například generálním ředitelem) a zasílá e-maily s naléhavou potřebou uhradit fakturu či převést peníze. Opatrnost je namístě i na sociálních sítích, kde falešní bankéři či policisté mohou lidi přesvědčovat ke kliknutím na odkaz či volání na podvodné číslo.
Na podobném principu fungují i podvodné SMS zprávy (smishing), které mnohdy vypadají jako zprávy od doručovacích společností, bank nebo oznámení o výhře. I v tomto případě je přítomen časový nátlak a žádost o okamžitou akci, kterou může být třeba vyzvednutí zásilky. Důležité je vyhnout se otevírání odkazů, které zpráva obsahuje, nestahovat aplikace a nikomu nesdělovat citlivé údaje.
ČNB v souvislosti s e-maily a SMS upozorňuje také na podvody s dávkami a státními příspěvky. Oběť v tomto případě dostane zprávu, která působí, jako by byla zaslána státní institucí, a člověka vyzývá k ověření údajů či přijetí dávky. Zpráva obsahuje i odkaz na falešnou webovou stránku, která může zdařile napodobovat tu oficiální. Oběť pak na této stránce zadá své osobní údaje včetně různých citlivých informací, které jsou následně zneužity.
Přišlo WhatsAppem
Stále častější formou kyberútoku jsou podvodné zprávy přes aplikaci WhatsApp. Tyto pokusy jsou typické tím, že se e-šmejdům podaří získat přístup k účtu nějaké osoby a následně oslovují její kontakty s cílem získat peníze. Po lidech mohou žádat třeba rychlou půjčku či splacení faktury pod záminkou vymyšlených příběhů. Žádosti přitom většinou působí velmi naléhavě, aby útočník oběť dostal pod tlak. Objevit se tak mohou výzvy k záchraně či žádost o to, aby byly peníze zaslány neprodleně.
„Zákeřnost tohoto typu útoku je především v tom, že si píšete s někým, koho znáte a máte v kontaktech,“ poznamenala Hildová, podle níž je v podobné situaci nejlepší dotyčnému zavolat a zeptat se, zda se mu někdo nenaboural do účtu či jestli neztratil svůj mobilní telefon. „Než jakékoliv peníze pošlu, tak si ověřím, proč a kam je posílám,“ zdůraznila. ČBA dodává, že pokud dotyčný tvrdí, že mu příjemce zprávy volat nemá nebo že nemůže mluvit, je to „červená vlajka“ neboli varovné znamení.
Aby člověk ochránil sebe i své známé, měl by v první řadě zabránit tomu, aby se vůbec útočníkovi podařilo získat přístup k jeho účtu. Klíčové je neklikat na podvodné odkazy, které mohou vybízet třeba k hlasování v soutěži a na první pohled působit nevinně.
Na sociálních sítích ale mohou útočníci peníze získat i takzvanými „romantickými“ podvody. Útočník v tomto případě s obětí skrze falešný profil buduje vztah, získává její důvěru a následně z ní začne lákat peníze pod záminkou finančních problémů, nouzové situace či lékařské péče, uvádí ČNB.
Pozor je třeba dávat i na podvodná videa (deepfake videa) vytvořená umělou inteligencí, na nichž mohou známé osobnosti či autority vybízet například ke zhodnocení peněz. Ačkoliv už videa v současnosti mnohdy mohou působit realisticky a nemusí být jednoduché zjistit, že se jedná o podvod, je vhodné důkladně zkontrolovat, zda ve videu nejsou drobné nesrovnalosti v pohybech obličeje či například nesynchronizovaný zvuk s pohyby rtů. Cílem pachatelů je v tomto případě vylákat z oběti nabídkou výhodných investic co nejvíce prostředků.
Obětí tohoto typu útoku se přednedávnem stala seniorka z Ostravy, která se vloni v létě nechala prostřednictvím podvodné reklamy, kde figurovali známí politici, zlákat k investici. Postupně podvodníkům předala více než tři miliony korun. Počátkem letošního roku ji navíc e-šmejdi sami kontaktovali a oznámili jí, že jejich prostřednictvím vydělala 250 tisíc korun v kryptoměně, ale že musí nejprve zaplatit poplatky za převod z kryptoměny na české peníze. „Seniorka uvěřila a zřídila si další půjčku okolo dvou milionů korun,“ uvedla mluvčí moravskoslezské policie Eva Michalíková.
Další typy podvodů
Opatrnost je namístě i u mobilních plateb (m-platby), kdy se peníze strhávají z předplaceného kreditu či měsíčního tarifu u mobilního operátora. Nákup se v tomto případě potvrzuje jednorázovým kódem, který operátor kupujícímu zašle v SMS. Cílem podvodníků je získat telefonní číslo oběti i samotný kód, aby mohli platbu realizovat. Rizikové mohou být neočekávané SMS s ověřovacími kódy i podezřelé zprávy od známých s žádostí o zaslání onoho kódu.
Z mobilních telefonů se podvodníci mohou pokoušet získat i data. Toho se mohou snažit dosáhnout prostřednictvím aplikací infikovaných malwarem, proti nimž nejsou zcela imunní ani oficiální obchody. Lidé by si tak měli dát pozor, jakou aplikaci si do telefonu stahují, a mít nainstalovaný bezpečnostní software. Opatrní by měli být i při udělování oprávnění dané aplikaci, která může odcizit například přihlašovací údaje do bankovnictví.
Citlivá data mohou podvodníci získat i prostřednictvím podvodných veřejných WiFi sítí. „Proto je třeba se k veřejným Wi-Fi sítím připojovat s obezřetností a rozhodně přes ně nevstupovat do internetového bankovnictví a nezadávat citlivé údaje,“ zdůrazňuje ČBA.
Pozor by si měli dát i lidé, kteří něco prodávají na inzertním serveru. Podvodníci je totiž mohou oslovit s až příliš dobře vypadající nabídkou. Aby ale mohli platbu provést, chtějí po prodávajícím číslo platební karty, na niž prý částku následně převedou. Obvykle zašlou odkaz vypadající jako stránky přepravní společnosti, po jehož rozkliknutí je člověk vyzván k vyplnění adresy i citlivých údajů o platební kartě. Opatrnost je ale třeba i u nákupů. Rizikem mohou být zejména podvodné e-shopy a další webové stránky napodobující oficiální weby bank či jiných institucí.
Člověk se ovšem vědomě či nevědomě může stát i spolupachatelem podvodu. Jedním z rizik je stát se takzvaným bílým koněm, kdy je osoba požádána, aby převedla peníze přes svůj bankovní účet, za což následně získá odměnu. „Tato činnost se podílí na praní špinavých peněz, což je nezákonné a může mít pro vás závažné důsledky,“ zdůrazňuje ČBA, podle níž podobné nabídky cílí zejména na studenty či lidi v ekonomické tísni. Za podobně nebezpečné pak označuje i takzvané „lajkovací brigády“, kde je člověku slíbena odměna za „lajkování“ příspěvků či videí na sociálních sítích.
Že případů legalizace výnosů z trestné činnosti přibývá, informovalo již na konci minulého roku Nejvyšší státní zastupitelství. U každé nabídky snadného zisku by proto lidé měli být maximálně obezřetní a ověřit si všechny informace. „Jinak hrozí, že svěříme svůj osud do rukou anonymního zločinu,“ varovala nejvyšší státní zástupkyně Lenka Bradáčová.
Výše zmíněné typy podvodů nicméně nejsou kompletním výčtem všech způsobů, které mohou e-šmejdi využívat. Jak již navíc bylo uvedeno, jejich techniky jsou stále důmyslnější, v čemž jim pomáhá i umělá inteligence. Podle Hildové jsou podvodníci díky AI schopni napodobit víceméně cokoliv. „Mají nejmodernější záležitosti, mají scénáře a mají dokonce vyhodnocování úspěšnosti,“ doplnila. Bezpečnostní firma Gen na konci loňského roku varovala, že kyberzločinci se letos zaměří na masivní využívání uměle vytvořené identity pomocí AI, která jim umožní během několika sekund naklonovat lidské obličeje, hlasy i styly psaní.
Co dělat, když už k podvodu dojde?
V případě, kdy se člověk stane obětí podvodu, se stává rozhodujícím faktorem čas. „Pokud už se (klient) dostal do situace, kdy peníze někam odeslal, tak rozhodují vteřiny. Je potřeba co nejdříve nahlásit svojí bance i policii, že k tomu došlo, a dát jim šanci, aby mohli peníze ještě potenciálně zachránit,“ zdůraznil Stegura.
Podle ČNB je klíčové nejprve kontaktovat banku, zablokovat platební prostředky (internetové či mobilní bankovnictví a platební karty) a následně zjistit, zda už podvodně zadané platby odešly. Následně je třeba kontaktovat policii, popsat, jak útok proběhl, a sdělit, jaká škoda vznikla. „Apelovala bych na to, že když přijdu o jakoukoliv částku, tak má cenu to začít řešit. Už jen z toho důvodu, že mám šanci se nějak k těm penězům dostat,“ dodala Hildová.
Nahlášení navíc může být zásadní i proto, aby podvodník ve své činnosti nadále nemohl pokračovat. „Pokud bude více nahlášených případů, policie může konat. To znamená, že se budou zachytávat lumpové, kteří to dělají,“ sdělila Hildová, podle níž je důležitá i prevence. „Mluvit o tom, komunikovat a neustále připomínat, že se tyhle věci dějí,“ doplnila.
