ČNB varuje Čechy před novým podvodem. Útočník umí během hovoru zkopírovat vaši platební kartu, a poté vám vybrat celý bankovní účet
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Podvodníci zneužívají jméno ČNB a přesvědčují lidi, aby si nainstalovali falešnou aplikaci. Stačí pak přiložit kartu k telefonu a útočníci mohou vybírat peníze z účtu.
Podvodníci se vydávají za zaměstnance České národní banky a při telefonických hovorech přesvědčují lidi, aby si do mobilu nainstalovali jejich falešnou aplikaci. Jak redakce Mobify zjistila, stačí pak jeden zdánlivě neškodný krok, a sice přiložit kartu k telefonu, a útočník může v reálném čase vybírat peníze z vašeho účtu.
Podvodníci pomocí aplikace kartu naklonují
Podvodné telefonáty nejsou žádnou novinkou. Aktuálně se v Česku i na Slovensku objevily takové, kdy se volající představí jako zástupce ČNB a tvrdí, že váš účet nebo karta byly napadeny. Nabídne tedy okamžitou pomoc v podobě instalace mobilní aplikace, která to má vyřešit. Jenže právě aplikace umožní podvodníkům přístup ke kartě.
Dle společnosti ESET kombinuje tento typ útoku technické znalosti s manipulací po telefonu. Pachatel pošle oběti odkaz ke stažení falešné aplikace, údajně oficiálního nástroje ČNB. Jakmile si ji člověk nainstaluje, útočník ho instruuje, aby přiložil platební kartu k mobilnímu telefonu a zadal PIN.
V tu chvíli dochází ke klonování dat z karty. Přes NFC rozhraní se údaje přenesou na server útočníků, kteří mohou v reálném čase vybírat peníze. ČNB na svých stránkách upozorňuje, že její zaměstnanci nikdy nikoho nekontaktují kvůli ochraně jeho peněz a nikdy nepožadují instalaci jakýchkoli aplikací.
Nejde jen o Českou republiku
Podvodníci si dávají záležet na detailech. Falešná aplikace používá logo ČNB, působí profesionálně a žádá jen běžná oprávnění. Na první pohled tak vypadá jako legitimní bankovní nástroj. Rozdíl je jediný – aplikace není dostupná v oficiálních obchodech Google Play ani App Store.
Bezpečnostní analytici z ESETu navíc zjistili, že stejný podvod se šíří i v Rakousku a Polsku. Všechny varianty aplikace komunikují se stejným serverem a používají identický digitální podpis. Odborníci si proto myslí, že za útokem stojí jedna spolčená skupina, která cílí na různé evropské země.
Bezkontaktní platby přes NFC jsou dnes naprostým standardem. Jsou pohodlné, rychlé a zdánlivě bezpečné. Jenže podle dat ESETu se v první polovině letošního roku počet pokusů o zneužití NFC zvýšil více než 35násobně. I když čísla zatím nejsou vysoká, trend ukazuje na prudký růst a rostoucí technickou vyspělost útočníků.
Jak se můžete bránit a co dělat při podezření
Za prvé, nikomu po telefonu nesdělujte PIN ani údaje o kartě. ČNB, banka ani policie vás nikdy nepožádají o instalaci aplikace z neznámého odkazu nebo o přiložení karty k mobilu. Pokud vám někdo tvrdí, že vaše finance jsou v jakémsi ohrožení a je nutné jednat rychle, jde s největší pravděpodobností o podvod.
Pokud se do podobné situace dostanete, doporučujeme ihned přerušit hovor, zablokovat kartu a kontaktovat svou banku. Následně podejte klidně i oznámení Policii ČR. Aplikaci nikdy neinstalujte, pokud není přímo z oficiálního obchodu Google Play či App Store.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky ESET