Společnost Home Credit zaznamenala nárůst phishingových kampaní mezi svými zákazníky, i přesto, že je neustále nabádá k obezřetnosti při zadávání údajů o kartách a PINech. Stále častěji se objevují e-mailové kampaně, které se tváří jako e-mail od České pošty nebo jiného přepravce a chtějí po zákazníkovi uhradit přes přiložený link malý obnos peněz. Klient však zadáním čísla karty, CVV kódu a následně potvrzením jednorázovým heslem, které mu přijde na registrovaný mobilní telefon, nevědomky nechá podvodníka naistalovat svoji kartu na jeho mobilní zařízení, a okamžitě tak nad ní ztrácí kontrolu a přichází o peníze.

Tyto podvodné kampaně těží z velkého nárůstu online nákupů, a tedy i příchozích zásilek, a také odlišných podmínek pro zásilky odesílané ze zemí mimo EU. Pravděpodobnost, že se podvodníci trefí do okamžiku, kdy klient právě očekává nějaký balíček, je tak poměrně velká a ostražitost, zvlášť u úhrady drobné platby za dopravu nebo celní odbavení, se vytrácí.

Všichni vydavatelé platebních karet, ale i Česká pošta a další přepravci své zákazníky aktivně upozorňují na tyto podvodné e-maily. Phishingový e-mail má některé společné znaky, které pomohou zákazníkovi k jeho rozeznání.

Jaké jsou nejčastější znaky phishingového e-mailu?

• Špatná čeština
• Pozměněné logo
• E-mailová adresa je často velmi komplikovaná, na první pohled je vidět, že nepřišla například od České pošty nebo jiného přepravce: „Doporučujeme porovnat e-mail s oficiálními e-maily na webových stánkách přepravce,“ nabádá Miroslav Zborovský, ombudsman klientů Home Credit.
• Odkaz k zaplacení je zdánlivě veden na stránky přepravce. „Na link neklikejte, ale pouze nejeďte myší, a tak zjistíte, že název odkazu směřuje zcela na jinou stránku, než je uvedeno. Obvykle je dlouhý a odkazuje na zahraniční web,“ uvádí Miroslav Zborovský.

Bohužel se ale ve svých tricích zlepšují i podvodníci, a často tak lze narazit na velmi věrohodné emaily se správnou češtinou, aktuálními logy a třeba jen drobnou, snadno přehlédnutelnou, změnou v adrese na první pohled odpovídající skutečné instituci. V případě jakéhokoli podezření je proto žádoucí ověřit si pravdivost emailu u příslušné instituce prostřednictvím jiného kontaktu, než který uvádí příchozí email, např. kontaktu uvedeného na webových stránkách.

„V případě, že klient klikne na odkaz zaslaný v emailu, zadá číslo karty, CVV kód, a ještě ověřovací kód (tzv. OTP – one time password) pro vložení katy do mobilní platební aplikace (typicky Google Pay, Apple Pay), umožní tak někomu jinému naistalovat svoji kartu do platební aplikace mobilního zařízení druhé osoby. Klient těmito úkony odsouhlasil vložení své karty do mobilního zařízení podvodníka. Podvodník pak okamžitě nakupuje, než klientovi dojde, že udělal chybu a kartu zablokuje. Na reklamování takových transakcí je však vydavatel karty krátký, neboť provedené transakce, jsou z jeho pohledu plně autorizovány klientem, tudíž je nelze reklamovat,“ uvádí Alessandro Villa, vedoucí oddělení kreditních karet společnosti Home Credit a dodává: „Dát někomu cizímu na ulici fyzickou kartu s napsaným PIN kódem nikoho nenapadne, i kdyby se tvářil sebevěrohodněji. Toto je ale v podstatě to samé, jen to probíhá v online prostředí.“

Skutečný příběh:

„V konkrétním případě náš klient obdržel e-mail, který se tvářil, že je od České pošty a vyzýval k uhrazení částky 53 Kč jako doplatek za dopravu. K zaplacení byl emailem poslán link, který vypadal jako odkaz České pošty. Klient na něj kliknul a myslel si, že provádí úhradu. Zadal číslo karty, CVV a pak mu přišla SMS, která však sdělovala, že posílá verifikační kód k registraci platební karty v platební aplikaci a je platný 30 minut. Nejednalo se tedy o potvrzovací kód pro autorizaci platby, ale o jednorázový verifikační kód (OTP – one time password) pro vložení karty do mobilní platební aplikace. Po zadání tohoto kódu tak klient sdělil všechny své údaje podvodníkovi, který si okamžitě nainstaloval klientovu kartu do svého mobilního telefonu. Na podvodné platební bráně se točily hodiny několik minut, čehož využil podvodník a s kartou vloženou do svého mobilního zařízení provedl několik plateb v celkové výši 30 000 Kč. Klientovi začal být průběh transakce podezřelý, a tak si zkontroloval pomocí mobilní aplikace svůj účet a zjistil, že mu bylo z účtu strženo několik částek. Ihned proto kontaktoval naši infolinku, ale protože transakce byly klientem autorizované, nebylo možné provést jakékoli storno nebo zadat reklamaci. Karta byla zablokována a klient byl odkázán na Policii ČR s tím, že jsme přislíbili veškerou součinnost,“ popisuje Miroslav Zborovský, ombudsman klientů Home Credit.

V tomto případě bylo několik indicií, že se jedná o podvodný e-mail:

• Podezřelá (neznámá) adresa odesílatele
• Špatná čeština
• Link, který neodkazoval na stránky České pošty

Jak bezpečně používat karty?

• Vždy mít na paměti, že banka nebo poskytovatel kreditní karty po svých klientech nikdy nechce zadávat své PINy a hesla do internetových odkazů nebo posílat e-mailem.
• Bezpečnější a jednodušší je potvrzovat platby v mobilní aplikaci pomocí biometrických údajů.
• Nesdělovat nikomu číslo karty, přihlašovací údaje do mobilní aplikace, PINy a hesla.
• Zvolit bezpečná hesla a PIN, nikoliv datum narození nebo 1111 a 1234, jednou ročně je také měnit.
• Na internetu platit na stránkách, které jsou zabezpečeny zámkem.
• Zkontrolovat si název stránky pokaždé když se klient rozhodne na stránku vyplnit jakékoliv údaje.
• Neodpovídat na podezřelé e-maily, neklikat na odkazy a neotvírat přílohy.
• Pravidelně aktualizovat operační a antivirové programy v počítači nebo na mobilních zařízeních.
• Platit a vybírat z bankomatu rychle a bezpečně pomocí karty v mobilu.
• Pravidelně kontrolovat přehledy transakcí na kartě.