Hackeři využívají dárkové poukazy, aby z uživatelů vylákali citlivá data

Odborníci společnosti Kaspersky Lab objevili novou podvodnou techniku kyberzločinců, kterou se snaží oklamat uživatele a získat jejich data. Podvodníci vytvořili falešné stránky, kde slibují uživatelům získání dárkových poukázek zcela zdarma. Stránky přitom slouží ke sběru a shromažďování uživatelských údajů, které následně prodávají stránkám patřícím třetí straně.

Soukromé společnosti, státní instituce a hackeři mezi sebou v podstatě neustále soupeří na poli kybernetické bezpečnosti. Prvně jmenovaní se snaží najít způsoby, jak kyberzločincům překazit jejich aktivity, přičemž hackeři vynalézají stále nové cesty, jak se obohatit a jak diverzifikovat svůj arzenál nad rámec obvyklého ransomwaru. V poslední době tak přišli s taktikou nabídky "dárku zdarma". Spousty webových stránek nabízejí zákazníkům zdarma generované dárkové poukazy na produkty a služby mnoha známých značek, jako jsou iTunes, Google Play, Amazon nebo Steam. Například zcela běžné aplikace Tokenfire nebo Swagbucks nakupují u výše zmíněných firem dárkové kartičky s kódy, aby je následně věnovali svým zákazníkům, když splní nějaký úkol. Je velmi pravděpodobné, že se u těchto služeb kyberzločinci inspirovali a začali podobným způsobem za pomoci jednoduchého algoritmu podvádět internetové uživatele.

Postup, kterým kyberzločinci z nic nevědoucího uživatele vylákají jeho osobní údaje, je následující: Na falešné stránce si uživatel nejprve zvolí dárkovou kartu, kterou by chtěl obdržet, a až poté se aktivuje podvodný mechanismus. Aby mohl uživatel získat slevový kód, musí prokázat, že není robot. Po kliknutí na nabízený odkaz musí splnit několik položek, jejichž počet a druh určuje partnerská síť, na kterou byl uživatel přesměrován. Uživatel tak musí například vyplnit formulář, zadat své mobilní číslo nebo e-mailovou adresu, předplatit si placené SMS zprávy, nainstalovat si adware a tak dále.

Tento scénář má jen dva konce. Buď uživatel v půlce skončí, protože ho nebaví vyplňovat nekonečné formuláře. Nebo splní všechna zadání a nakonec získá vytoužený kód, který mu je ale k ničemu. Zisky kyberzločinců jsou různé. Od pár centů za každé kliknutí na podsunutý odkaz až po desítky dolarů za vyplněné formuláře nebo objednané placené služby. V podstatě si tak mohou pěkně přilepšit, ačkoliv nemuseli vyvinout žádné velké úsilí. Na své si přijdou i třetí strany, které jednoduchou cestou získají osobní údaje uživatelů, které mohou použít ke komerčním účelům.

"Úspěch této nové taktiky podvodníků je založený na tom, že drtivou většinu uživatelů láká vidina získání něčeho zdarma. V tomto případě ale při nejlepším přijdou o čas strávený nad zbytečnými úkoly. V horším případě mohou přijít o své peníze, za něž nic nedostanou. Proto pokud chtějí uživatelé získat nějaké slevové nebo dárkové kartičky, měli by si důkladně ověřit stránku, ze které je chtějí získat," říká Zoran Puskovic, generální ředitel Kaspersky Lab pro východní Evropu.

Aby se nenechali uživatelé oklamat podobnými technikami internetových podvodníků, doporučují odborníci Kaspersky Lab několik základních pravidel:

• Mějte na paměti, že podezřele lákavé nabídky, jako třeba "chytrý telefon zdarma", nejsou bez příčiny a dobře si rozmyslete, jestli se nejedná o podvod.
• Zkontrolujte, zda je stránka po svém otevření zabezpečená pomocí HTTPS. To je důležité především v případě, že na stránce zadáváte své citlivé údaje – v online bankovnictví, e-shopech, e-mailu, na sociálních sítích a podobně.
• Nikdy nesdílejte svá citlivá data, jako jsou přihlašovací údaje a hesla, údaje o platební kartě apod., s třetími stranami. Oficiální společnosti by vás nikdy ke sdílení těchto dat nevyzvaly prostřednictvím e-mailu.
• Nepřeposílejte svým kamarádům pochybné odkazy.
• Zkontrolujte, zda vám daná firma poskytne pravý dárkový kód a zda mají firmy mezi sebou navázané partnerství. Docílit toho můžete například kontaktováním klientské podpory na oficiálních stránkách firmy.
• Používejte účinné bezpečnostní řešení, které využívá behaviorální anti-phishingové technologie, které detekují a blokují spamové a phishingové útoky včetně falešných stránek s dárkovými poukazy.