Kampaň Black Friday je rájem pro kyberšmejdy, hlavně nenaletět
S nadcházející sezónou předvánočních nákupů i tradiční slevové akce Black Friday se výrazně zvyšuje riziko kyberpodvodů. Společnost Fortinet, světový lídr v oblasti kybernetické bezpečnosti a průkopník konvergence sítí a zabezpečení, představuje taktiky kyberzločinců, na které by si měli spotřebitelé dát během hlavní nákupní sezóny roku pozor.
Black Friday se svými dramatickými slevovými akcemi tradičně startuje předvánoční nákupní horečku. Zatímco pro většinu zákazníků byla vždy rozhodujícím faktorem cena a sezónní nabídky, u mladších spotřebitelů hraje významnou roli rychlost doručení. Příslušníci generace Z – narození mezi lety 1996 a 2010 – jsou dokonce ochotni zaplatit vyšší částku za doručení tentýž den.
„Kyberzločinci přizpůsobují své taktiky preferenci rychlého doručení zboží. Nejčastěji se jedná o formu phishingu prostřednictvím textových zpráv. Typickým příkladem jsou SMS informující o zpožděné zásilce nebo blížícím se doručení, které vyzývají příjemce, aby klikl na odkaz pro potvrzení jména, adresy a dalších osobních údajů. Odesílatel se přitom často vydává za některou ze známých společností, například Českou poštu. Po otevření odkazu mohou útočníci získat nejen přístup k citlivým datům, ale i odhalit uživatelská jména a hesla,“ říká Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.
I v letošní sezóně lze očekávat, že kyberzločinci vytáhnou prověřené taktiky z minulých let. Jako návnadu používají bezkonkurenční ceny a exkluzivní nabídky, na které nakupující v tomto období obzvlášť slyší. Mezi tři nejčastější praktiky patří:
Falešné internetové stránky: Podvodné weby se během předvánočního období objevují každoročně a jejich účelem je zlákat kupující nízkými cenami a neodolatelnou nabídkou k nákupu neexistujícího zboží. Kyberzločinci také využívají tzv. překlepové domény (typosquatting), tedy URL tvářící se jako adresa zavedené organizace, ale s drobnou odchylkou v zápisu. Před online nákupem, především úplně prvním u daného prodejce, by si měl kupující vždy ověřit, že jde o legitimní firmu.
Webový malware: Kyberútočníci hojně umísťují na důvěryhodné stránky falešné reklamy i jiné odkazy, často lákající na zlevněné zboží, s cílem odvést návštěvníka ze zabezpečené stránky. Není překvapením, že v předvánočním období se výskyt malware na webových stránkách obecně zvyšuje. Útočníci také nasazují “sniffery“ k získávání údajů o zákaznících a pomocí vzdáleného spuštění kódu (RCE) získávají administrátorský přístup k nákupním platformám.
Podvody na sociálních sítích: Výše zmíněné podvodné praktiky se často vyskytují i v rámci sociálních sítí. Najdeme zde reklamy propagující neexistující zboží nebo vouchery, ale i odkazy na dárky a soutěže vedoucí uživatele na stránku se škodlivým malwarem.
Lákadla využívající generativní umělou inteligenci. Metody poháněné umělou inteligencí (např. ChatGPT) umožňují útočníkům vytvářet přesvědčivé e-maily a repliky legitimních webových stránek s cílem ukrást data nebo oklamat uživatele, aby prozradili citlivé informace. Tím se zvyšuje účinnost podvodů, zejména v období nákupních špiček.
Kyberkriminalitu podporuje množství lukrativních služeb darknetu. Tým FortiGuard Labs zaznamenal prudký nárůst prodeje ukradených dárkových karet, údajů o kreditních kartách a kompromitovaných databází stránek online obchodů. Phishingové sady umožňující útočníkům nastavit pokročilé operace včetně služeb se prodávají za 100 až 1000 dolarů v závislosti na složitosti a úpravách.
Rostoucí rizika pro podniky. Stejně zranitelné jsou i podniky, které čelí významným rizikům od phishingových podvodů až po krádeže finančních informací prostřednictvím falešných webových stránek. Kompromitované panely správce, nezáplatovaný software a slabé přihlašovací údaje mohou vést k únikům dat, podvodným transakcím a poškození pověsti.
„I když na nás během předvánoční sezóny číhají kyberpodvody doslova na každém kroku, existují jednoduché taktiky, jak se jim vyhnout. V první řadě bychom měli dbát na pravidelné aktualizace zařízení, softwaru, prohlížečů a aplikací. Před nákupem v některém z e-shopů je dobré věnovat pozornost designu stránky – příliš mnoho vyskakovacích oken s reklamou, nefunkčních odkazů a gramatických chyb je jasným varovným signálem. Samozřejmostí by měly být unikátní přihlašovací údaje pro každý využívaný účet, udržet si o nich přehled pomůže nástroj pro správu hesel,“ popisuje Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu, základní kroky, jak se nejen během vánočních online nákupů chránit před kyberkriminalitou.