Podvodníci využívající taktiky známé jako phishing se v posledních týdnech přesunuli na online platformu pro prodej oblečení Vinted.
Portál pro prodej oblečení, který v posledních týdnech rozjel masivní reklamní kampaň, čelí nájezdu podvodníků, kteří využívají taktiku zvanou phishing. Snaží se z uživatelů vylákat citlivé platební údaje, mnohdy úspěšně – hraje jim do karet fakt, že se prostředí a strategie portálu od nového roku změnilo a uživatelé si tak mohou myslet, že je složitý proces zadávání platebních údajů, součástí této změny.
Vinted dlouhá léta fungoval pouze jako platforma pro vystavování zboží. Nákup a prodej už byl v kompletně v režii uživatelů, kteří si po zprávách dohodli, jak obchod uskuteční. Kupující většinou poslal peníze prodejci přímo na jeho bankovní účet.
Od nového roku však Vinted změnil strategii a prodej a nákup už nemají v rukou uživatelé tak, jako tomu bylo dříve. Všechny transakce nyní probíhají přímo přes portál. Uživatelé se sice mohou domluvit i mimo, ale je to nevýhodné. Pokud totiž transakce proběhne přes portál, je poštovné díky spolupráci se Zásilkovnou mnohem levnější a navíc je pro kupujícího zajištěna zákaznická podpora v případě, že by se cokoliv stalo.
Pokud si chce tedy v současnosti uživatel přes portál něco koupit, musí do oficiálního systému zadat údaje své karty a portál následně peníze převede prodejci do jeho „Vinted peněženky”, ze které si je po odeslání zboží může dále převést do banky. Právě díky novému systému, se kterým mnoho uživatelů ještě není sžito, a masivní televizní kampani, se stal Vinted cílem podvodníků využívajících taktiky zvané phishing. Ti zneužívají neznalosti nových podmínek portálu a faktu, že v určitém případě (nákupu) se karetní údaje na Vinted skutečně zadávají.
„Podvody přes internetové bazary jsme v poslední době zaznamenali. Podvody přes portál bazoš.cz evidujeme přibližně od loňského léta a přes portál Vinted v posledních několika týdnech. Za tu dobu u bazoše evidujeme přes 200 případů, u Vintedu to je zatím kolem 50, ale i vzhledem k aktuální televizní kampani právě na portál Vinted a možnému vyššímu zájmu, mohou tato čísla nyní stoupat,” uvádí mluvčí Fio Banky Jakub Heřmánek.
„Podvodníci se snaží z klientů vylákat peníze různými způsoby, v poslední době se často jedná právě o bazarový phishing, a to napříč nejrůznějšími bazarovými portály. Podvodníci přitom v takových případech vystupují jako zájemci o koupi inzerovaného zboží, a tedy nikoliv jako prodávající, kteří by si například nechali zaplatit, ale zboží potom neodeslali,” uvádí mluvčí Airbank Jana Pokorná.
A právě tak se odehrávají podvody na Vintedu. Podvodníci se ozvou, že by chtěli zboží koupit. Prodejci napíšou, že peníze již poslali, ale že je potřeba platbu potvrdit ještě v emailu.
„Napsali mi ‚potvrďte platbu na emailu‘, nic mi ale nepřišlo, načež mi údajný kupující řekl, že ho musím zadat někde v aplikaci. Ve svém nastavení v aplikaci jsem ale nikde nemohla najít, kam emailovou adresu zadat. Poté mi ten kupující napsal, že mi ten potvrzující email přepošle, ať mu svojí adresu napíšu,” uvedla pro redakci Refresher Markéta, ze které se podvodníci přes Vinted snažili vymámit přístup do internetového bankovnictví.
Podvodníci mohou do zprávy na Vintedu prodejci poslat také falešný screen, který vypadá jako originální oznámení od Vintedu. Píše se v něm, že už se pouze čeká na to, až prodejce v emailu platbu potvrdí.
Falešný email, který kupujícímu následně dojde skutečně vypadá, jako by to bylo přeposlané oficiální sdělení Vintedu. Má stejnou grafiku a prostřednictvím odkazu svého příjemce navádí na webové stránky, které opět vypadají originálně. Pokud je však člověk pozorný, všimne si indicií, které nesedí. Jde například o zvláštní tvar linku, nebo pár špatně přeložených slov.
Internetové stránky kupujícího navádí, aby do nich zadal údaje od karty, na kterou chce peníze převést. „Po kliknutí na ‚sbírejte fondy‘ už jsem byla přesměrovaná na stránku, která chtěla údaje o kartě, na kterou chci peníze poslat. Převést fondy znělo divně, ale vím, že Vinted není česká společnost a nevěděla jsem, co všechno nového, kromě Vinted peněženky, teď zavedli,“ uvádí Markéta.
„Někteří klienti si přitom neuvědomí, že když zboží prodávají, tak by své vlastní platební údaje potřebovat neměli, kliknou na odkaz a údaje ke své platební kartě skutečně vyplní. A přestože je online bankovnictví chráněné ještě dalším bezpečnostním faktorem, například potvrzením kódu z SMS nebo v mobilní aplikaci, tak někdy klienti skutečně potvrdí i tento další krok. Mylně se přitom domnívají, že dělají právě onu "zabezpečenou platbu", ve skutečnosti ale procházejí klasickým phishingem. Podvodníkům totiž tímto způsobem sami dají přístup do svého bankovnictví, stejně jako kdyby sami otevřeli dveře zloději a pustili ho do bytu,“ uvádí Pokorná z Airbank.
„Bylo mi to divné, že se prodej stal tak rychle, že se kupující neptal na materiál, ani na míry a rovnou zboží koupil. O tom složitém procesu jsem se domnívala, že je součástí toho nového systému Vintedu, že to teď funguje takhle jinak,” říká Markéta. Zastavila se až ve chvíli, kdy po ní webové stránky chtěli CVC i pin ke kartě. „Zavolala jsem do své banky a tam mi řekli, že jde phishing, že je dobře, že jsem CVC nezadala, ale že i jméno a platnost karty by mohly stačit a kartu jsme raději zablokovali,” dodává.
Sama platforma Vinted přitom v minulém týdnu všem uživatelům rozesílala upozornění o tom, že se stala cílem nájezdu podvodníků využívající phishing a přidala rady, jak se nestát jejich obětí. „Uživatele Vinted mohou kontaktovat podvodníci pokoušející se o phishing. Tito podvodníci se mohou vydávat za kupující a žádat o osobní údaje, jako je e-mailová adresa nebo telefonní číslo. Mohou se dokonce vydávat i přímo za Vinted,” uvedl portál.
Dle vedení Vintedu je nejdůležitější nesdílet e-mailovou adresu, telefonní číslo ani platební údaje s ostatními uživateli. „Neexistuje žádný důvod, proč by je od tebe kupující nebo prodávající mohli potřebovat. Při platbě prostřednictvím tlačítka „Koupit“ probíhá celý proces na naší platformě. Neotevírej podezřelé odkazy, SMS zprávy, e-maily ani přílohy. Vinted nikdy nezasílá e-maily ani soukromé zprávy s žádostí o vyplnění platebních údajů pro dokončení platby,” sděloval dál portál ve svém varování.
Pro mnoho uživatelů jsou však oznámení z aplikací a podobných serverů takřka neviditelná.
„Upozornění jsem si neotevřela, jsem zvyklá, že ty zprávy z Vintedu, jsou vždycky jen dlouhé newslettery, které nečtu,” říká pro Refresher Markéta, která se stala terčem podvodníků.
Oznámení skutečně nebylo označeno nijak výrazně a nevypadalo jako klasické varování, spíše jako další z tipů, jak zlepšit prodejnost svého zboží, které Vinted pravidelně rozesílá.
Phishing se neděje pouze na bazarech
Phishing neprobíhá pouze na prodejních fórech i přesto, že jsou podvody právě na bazarových serverech stále častějíší, snahy phishingových podvodníků dále sazí i na další taktiky.
„Pokusy o podvod, které míří na klienty českých bank, se obvykle objevují ve vlnách. Někdy může jít o jednotky, anebo také o desítky takových pokusů denně. V poslední době jsou to často právě bazarové podvody, může ale jít třeba i o falešné bankéře na telefonu,” uvádí Pokorná.
Dodává, že se v Airbank setkávají také s pokusy o investiční podvody s pomocí programů pro přístup do počítače. Ty si údajně klienti sami podle pokynů podvodníka do svého počítače nainstalují. Objevit se dle ní mohou ale třeba také podvodné SMS zprávy s informací o zablokovaném účtu a odkazem na falešné internetové bankovnictví. „Setkávají se s nimi banky napříč českým trhem, protože podvodníci nevědí, na jaké klienty cílí,” dodává.
Phishingové zprávy vypadají mají často společné to, že vypadají jako zprávy od důvěryhodných organizací, jakými jsou například PayPal, Česká pošta nebo právě banka. Ve skutečnosti se však jedná o podvod. Ve chvíli, kdy svého klienta tyto instituce žádají o aktualizaci, ověření či potvrzení informací o jeho účtu, měl by se mít na pozoru. Po kliknutí na odkaz v podvodném emailu je většinou vždy přesměrován na falešné stránky, kde podvodníci nabádají k zadání informací o účtu či kartách, což může vést ke krádežím.
„Pokud klienti na útok naletí, řešíme to s nimi standardně jako i jiné podvody, které se dějí,” uvádí Jakub Heřmánek z Fio Banky.
Pokorná zároveň připomíná pravidla, kterými by se měl každý řídit při jakékoliv finanční operaci na internetu řídit. „Nikdy nikomu nesdělovat své přihlašovací údaje do internetového bankovnictví, číslo platební karty anebo třeba potvrzovací kód z SMS zprávy a notifikace, nepřevádět peníze na údajně zabezpečený účet a nenechat se dotlačit do způsobů úhrady, které neznáte,” dodala.
Lidé by také měli vždy kontrolovat url link a to jak vypadá. V mnoha případech při phisingovém útoku vypadá webová adresa na první pohled důvěryhodně. Rozdíly jsou mnohdy v detailech. Například v chybném písmeně v URL adrese nebo v odlišné doméně (.com namísto .cz).
