Internetoví podvodníci změnili taktiku, jak obrat důvěřivce

Kyberšmejdi využívají online nástroj zvaný Telekopí (Telekopye), který funguje v rámci platformy Telegram. Prostřednictvím něj mohou vytvářet podvodné komunikace na internetových tržištích a bazarech, jako jsou například eBay či Facebook Marketplace.

Vedle těchto obchodních platforem se ale vykutálení podvodníci stále častěji zaměřují také na populární služby pro rezervace ubytování Booking.com a Airbnb. „Zatímco v případě podvodů na internetových bazarech bývají útočníci nejvíce aktivní kolem výplatních dní, kdy předpokládají, že lidé budou více utrácet své peníze, v případě podvodů na ubytovacích platformách využili hlavně období letních prázdnin,“ podotkl Radek Jizba, expert z výzkumného týmu pražské pobočky Esetu.

„S ohledem na velký nárůst tohoto nového typu podvodů se lze domnívat, že je nový scénář pro podvodníky natolik atraktivní, že v něm budou pokračovat i v budoucnu. Cílem podvodů jsou uživatelé bez ohledu na to, odkud pocházejí. A protože jsou služby jako Booking nebo Airbnb oblíbené i mezi českými uživateli, měli by být při rezervacích pobytů přes tyto platformy opatrní, a to především kolem větších svátků a prázdnin,“ konstatoval Jizba.

Podvodníci se nejprve zmocní legitimních účtů hotelů a pronajímatelů ubytování, prostřednictvím kterých následně komunikují s nicnetušícími cestovateli. Právě zmiňované Telekopí jim dovoluje následně automaticky vytvořit uvěřitelnou komunikaci s uživatelem, aniž by museli s uživatelem sami prohodit byť jen jediné slovo.

Aby bylo zřejmé, o jak velký problém jde – během letních prázdnin překročil počet cestovatelských podvodů více než dvojnásobně počet podvodů na internetových bazarech a tržištích.

Podle výzkumníků z kyberbezpečnostní společnosti Secureworks hackeři nejprve lstivě přesvědčí personál hotelů ke stažení škodlivého softwaru Vidar Infostealer, který jim zašlou prostřednictvím e-mailu. V něm se vydávají za bývalého hosta, jenž údajně zapomněl v hotelovém pokoji svůj cestovní pas.

Následně zločinci posílají personálu odkaz na Disk Google s tvrzením, že obsahuje obrázek pasu. Avšak místo toho odkaz vede na škodlivý software, který automaticky prohledá hotelové systémy a získá přístup k účtům na Booking.com.

„Podvodníci využívají také již dříve kompromitované účty legitimních hotelů a pronajímatelů ubytování na těchto platformách. Přístupy k těmto účtům pravděpodobně získávají nákupem ukradených přihlašovacích údajů na kyberzločineckých fórech. Díky přístupu k nim vyhledávají uživatele, kteří si nedávno rezervovali pobyt, za který buď ještě nezaplatili, nebo zaplatili poměrně nedávno, a na ty se zaměří,“ konstatoval bezpečnostní expert.

Díky informacím o aktuálních rezervacích pak už jen stačí obeslat hosty s nějakou smyšlenou historkou – například, že je s jejich rezervací něco v nepořádku a že je potřeba platbu provést jiným způsobem. Peníze ovšem nejdou na účet hotelu, ale přímo do kapsy kyberšmejdů.

Samotní uživatelé by měli být velmi obezřetní a pečlivě kontrolovat, kam posílají peníze. Pokud hledají ubytování například ve Francii, pravděpodobně po nich nebude nikdo požadovat platbu na účet v Moldavsku, jak se stalo v několika případech.

„Uživatelům bych doporučil, aby se před vyplněním jakýchkoli formulářů souvisejících s rezervací dovolené vždy ujistili, že neopustili oficiální webovou stránku nebo aplikaci dané platformy. Pokud jste přesměrováni na jinou, externí URL adresu, kde byste měli dokončit rezervaci a následně provést platbu, měli byste zbystřit. Takové chování může poukazovat na možný podvod,“ varoval Jizba.

Při jakýchkoliv pochybnostech by se mělo v hlavě rozsvítit varovné červené světýlko. Nejlepší je v takovém případě kontaktovat hotel napřímo, klidně telefonicky, a platbu ověřit.

Množství útoků tak dramaticky narostlo právě kvůli Telekopí. Hackeři, kteří jej vytvořili, totiž nabízejí tento nebezpečný nástroj na internetovém černém trhu jako online službu. Za poplatek tak může útočit prakticky kdokoliv, bez nutnosti osvojení nějakých hlubších technologických znalostí.

Telekopí dovoluje kromě komunikace vytvářet doslova na pár kliků podvodné phishingové stránky, generovat falešné QR kódy či falešné screenshoty, ale také rozesílat automaticky nic netušícím uživatelům podvodné e-maily a SMS zprávy.

Podle analýzy antivirové společnosti Eset využívají v současnosti desítky hackerských skupin, přitom každá může mít klidně i tisíc členů. „Právě díky tomuto nástroji dokázali útočníci proměnit podvody na bazarových platformách v nezákonný organizovaný byznys. Útoky přicházejí nejčastěji z Ruska, Ukrajiny a Uzbekistánu, odkud pocházejí jak autoři nástroje Telekopí, tak jednotliví podvodníci, kteří ho využívají,“ zdůraznil bezpečnostní expert.

Finanční škody spojené s těmito podvody činí podle něj již více než 100 milionů korun. A to navzdory tomu, že podvody zamířené na cestovatele se ve větší míře začaly objevovat až letos.