Falešné formuláře a phishing u online půjčky — rozpoznávací znaky

Stručně

Phishing u online půjčky se objevuje ve dvou formách. První je napodobenina webu legitimního poskytovatele s drobně upravenou doménou — záměna písmen, pomlčka navíc, jiná koncovka, legitimní název v subdoméně podvodného webu. Druhá je odkaz v nevyžádaném e-mailu nebo SMS, který vede na formulář vyžadující údaje, jež legitimní poskytovatel nikdy nepožaduje — PIN, heslo do internetového bankovnictví, CVV karty, sken dokladu totožnosti nahraný rovnou do formuláře. Klíčová obrana je rutinní kontrola domény proti oficiální adrese uvedené v aplikaci JERRS na webu ČNB a pravidlo nikdy nezadávat přihlašovací údaje do externího formuláře. Stránka popisuje konkrétní rozpoznávací znaky a postup, pokud jste údaje už předali.

Pro koho je tato stránka

Stránka cílí na čtenáře, kterému dorazil podezřelý e-mail nebo SMS s nabídkou úvěru a chce vědět, jestli odkaz je bezpečný. Cílí také na čtenáře, který právě vyplňuje online formulář žádosti o úvěr a tuší, že požadované údaje nejsou standardní. A na každého, kdo chce mít jasný technický rámec, jak rozpoznat falešnou napodobeninu webu legitimního poskytovatele.

Stránka navazuje na obecnější rozcestník jak poznat podvodnou žádost, který popisuje celé schéma podvodu od reklamy po požadavek na poplatek předem. Tato podstránka rozebírá speciálně technickou rovinu — falešné weby, podvržené domény a phishingové formuláře, které sbírají přihlašovací údaje a kopie dokladů. Pokud jste se dostali k požadavku na úhradu poplatku před vyplacením úvěru, navazuje stránka poplatek předem u půjčky.

Dva typy phishingu, na které u online půjčky narazíte

Typ první — napodobenina webu legitimního poskytovatele. Phishingový web kopíruje vzhled známé banky nebo nebankovního poskytovatele (logo, barvy, layout, někdy i konkrétní formulace z původního webu). Liší se v doméně — typicky drobnou záměnou písmen, pomlčkou navíc, jinou koncovkou nebo legitimním názvem v subdoméně podvodného webu. Cílem je donutit žadatele, aby se na falešném webu přihlásil přihlašovacími údaji legitimní banky nebo zadal citlivé osobní údaje. Tyto údaje jsou pak zneužity buď k převodu peněz z účtu žadatele, nebo k otevření úvěru na jeho jméno.

Typ druhý — falešný formulář žádosti o úvěr. Reklamní odkaz, nevyžádaný e-mail nebo SMS vede na samostatný formulář, který nepředstírá konkrétní známou banku, ale tváří se jako legitimní poskytovatel online půjčky. Formulář typicky vyžaduje rozsáhlé osobní údaje (rodné číslo, číslo občanského průkazu, příjem, výdaje, číslo bankovního účtu) a často také údaje, které legitimní poskytovatel nikdy nepožaduje — přístupové údaje do internetového bankovnictví, CVV karty, fotografie dokladů totožnosti, selfie s občanským průkazem. Tyto údaje slouží buď přímo k podvodným transakcím, nebo k identitní krádeži (otevření úvěru na jméno žadatele).

Doménové triky, na které dát pozor

Phisheři používají k vytvoření klamavé adresy několik osvědčených technik. Znalost těchto triků pomáhá rozpoznat falešný web na první pohled.

• Záměna podobně vypadajících písmen — písmeno „l" za číslo „1", „o" za nulu „0", „rn" za „m", „cl" za „d". Příklad: „csob.cz" versus „cs0b.cz" nebo „cs0b-cz.com".
• Pomlčka navíc — „ceska-sporitelna.cz" versus „ceska-sporitelna-cz.com" nebo „ceska-sporitelna.online".
• Jiná koncovka domény — legitimní český poskytovatel typicky používá „cz". Phishing často přechází na „com", „net", „info" nebo neobvyklé koncovky typu „xyz", „top", „online", „site".
• Legitimní název v subdoméně podvodného webu — „csas.example-domain.cz" působí jako součást ČSAS, ale jde o subdoménu webu „example-domain.cz". Domain v adresním řádku je třeba číst zprava — to, co je nejvíc vpravo před koncovkou, je hlavní doména.
• Použití mezinárodních znaků — v rozšíření IDN (Internationalized Domain Names) mohou být v doméně použity znaky z jiných abeced, které vizuálně připomínají latinská písmena. Cyrilická „а" může vypadat stejně jako latinská „a", ale jde o jinou doménu.
• Doména registrovaná před krátkou dobou — phishingové domény bývají nově registrované, existují krátce a po několika týdnech mizí. Stáří domény si lze ověřit pomocí veřejných whois nástrojů.

Rozpoznávací znaky falešného formuláře

I když se vám zdá, že jste na správné doméně, samotný formulář může vyzradit phishing nebo podvodnou žádost. Konkrétní znaky:

• Chybí zabezpečené spojení (https) nebo ikona zámku — formulář žádosti o úvěr na nezabezpečeném spojení (http bez „s") je nepřípustný. Pokud ikona zámku v adresním řádku chybí, nebo prohlížeč varuje před nezabezpečeným spojením, nepokračujte.
• Požadavek na PIN nebo heslo do internetového bankovnictví přímo do formuláře. Legitimní ověření přes BankID nebo PSD2 probíhá přesměrováním do prostředí vaší banky, ne zadáním údajů do externího formuláře.
• Požadavek na CVV karty — CVV (trojmístný kód na zadní straně karty) se u úvěru nepoužívá vůbec. Slouží pro autorizaci karetních plateb. Pokud ho formulář žádá, jde s vysokou pravděpodobností o pokus o získání platebních údajů pro pozdější zneužití.
• Požadavek na sken dokladu totožnosti nahraný přímo do formuláře — legitimní poskytovatel typicky ověřuje totožnost přes BankID nebo přes přesměrování do služby Identita občana, ne přes nahrání skenu do veřejného formuláře. Pokud poskytovatel přesto sken požaduje, mělo by být jasně uvedeno, jak je dokument chráněn proti zneužití.
• Předzaškrtnuté souhlasy bez možnosti odmítnout — legitimní žádost obsahuje samostatné zaškrtnutí souhlasu s podmínkami a se zpracováním osobních údajů. Předzaškrtnutí, které nelze odznačit, je v rozporu s pravidly informovaného souhlasu podle GDPR.
• Chybějící nebo neúplné kontaktní údaje v patičce webu — legitimní poskytovatel uvádí v patičce úplné údaje (právní název, IČO, sídlo, telefon, e-mail) a typicky odkaz na licenci ČNB. Pokud kontakty chybí, jsou neúplné nebo odkaz na licenci vede do prázdna, jde o varovný signál.
• Vícejazyčný web bez české lokalizace nebo s chybami — phishingové weby vznikají rychle a často obsahují gramatické chyby, podivné překlady (machine-translated formulace) nebo nekonzistentní typografii (chybějící česká diakritika, špatně zformátované datum).

Jak by mělo vypadat legitimní online ověření

Pro srovnání — jak vypadá průchod legitimní žádostí o online půjčku v okamžiku ověření totožnosti. Žadatel vyplní základní žádost na webu poskytovatele (osobní údaje, výše požadovaného úvěru, splatnost, údaje o příjmu). Pro ověření totožnosti je přesměrován buď do prostředí BankID, nebo do služby Identita občana. Na BankID se žadatel přihlásí stejnými údaji, jakými se přihlašuje do internetového bankovnictví své banky — ale přihlášení probíhá v prostředí banky, ne na webu poskytovatele úvěru. Po úspěšném přihlášení BankID předá poskytovateli ověřené údaje o žadateli (jméno, datum narození, adresa) a žadatel je vrácen na web poskytovatele. Heslo a PIN do internetového bankovnictví se nikdy nedostanou do rukou poskytovatele. Detail procesu řeší stránka jak probíhá online ověření.

Klíčová pozorování pro rozpoznání phishingu z tohoto srovnání. Legitimní žádost o ověření přes BankID vždy probíhá přesměrováním z webu poskytovatele do webu banky (URL v adresním řádku se viditelně změní na doménu banky). Naopak phishingový formulář typicky vyžaduje zadání přihlašovacích údajů přímo do svého formuláře, bez přesměrování. Pokud k přesměrování nedochází a formulář si žádá údaje sám, jde o phishing.

Co dělat, pokud jste do podezřelého formuláře údaje zadali

1. Heslo do internetového bankovnictví okamžitě změnit přímo v internetovém bankovnictví své banky. Pokud nejste schopni se přihlásit (možná pachatel již heslo změnil), kontaktujte banku telefonicky.
2. Kontaktovat banku s oznámením podezření na zneužití — většina bank má 24hodinovou linku pro hlášení podezřelých transakcí. Banka může účet dočasně zablokovat, sledovat neobvyklé transakce a v případě potřeby je zastavit.
3. Pokud jste zadali CVV karty, kartu zablokujte (v mobilní aplikaci nebo telefonicky) a požádejte o vystavení nové.
4. Pokud jste zaslali sken dokladu totožnosti, zkontrolujte vlastní záznamy v úvěrovém registru — žadatel má podle GDPR a podle zákona o úvěrových registrech právo na bezplatný výpis vlastních záznamů, typicky jednou ročně.
5. Podejte trestní oznámení Policii ČR a oznamte případ ČNB jako podnět k prošetření subjektu.
6. Sledujte zprávy o pohybu na účtu v následujících týdnech — neautorizované transakce mohou přijít s odstupem.

Časté otázky o phishingu u online půjčky

Jak poznám phishingovou doménu, která se podobá známé bance?▾

Tři rychlé kontroly. Za prvé celá adresa v adresním řádku, ne jen viditelný text odkazu — phishing typicky používá doménu s drobnou záměnou (číslo „1" místo písmene „l", „rn" místo „m"), pomlčkou navíc nebo s legitimním názvem v subdoméně podvodného webu (například „ceska-sporitelna.example-domain.cz" místo „csas.cz"). Za druhé koncovka domény — phishing často používá jinou koncovku než legitimní web („cz" versus „com", „cz" versus „net", neobvyklé koncovky typu „xyz", „top", „online"). Za třetí kontrola na webu ČNB v aplikaci JERRS — oficiální web každého regulovaného poskytovatele je uveden v jeho profilu, takže můžete porovnat doménu, na které jste, s domé­nou uvedenou v JERRS. Pokud se liší, jde s vysokou pravděpodobností o phishing.

Klikl jsem na odkaz v podezřelém e-mailu, ale nic jsem nevyplnil. Hrozí mi něco?▾

Samotné kliknutí na odkaz typicky nezpůsobí velkou škodu — moderní prohlížeče izolují obsah jednotlivých stránek a bez vyplnění formuláře nebo stažení souboru se přihlašovací údaje nedostanou pryč. Existují však dvě výjimky, na které si dát pozor. První je situace, kdy odkaz vede na stránku se zneužitelnou zranitelností prohlížeče (drive-by download) — pravděpodobnost je u aktualizovaného prohlížeče nízká, ale ne nulová. Druhá je situace, kdy stránka spustí automatické stažení souboru, který obsahuje malware (například PDF s vloženým skriptem). Pokud jste na odkaz klikli, ale nic nevyplnili a nestáhli, stačí stránku zavřít a vymazat historii prohlížení dané URL. Pro jistotu spusťte antivirovou kontrolu zařízení a věnujte pozornost neobvyklému chování bankovního účtu v následujících dnech.

Co dělat, když jsem do podezřelého formuláře zadal heslo do internetového bankovnictví?▾

Okamžitě (do několika minut) heslo změnit přímo v internetovém bankovnictví a kontaktovat banku s oznámením podezření na zneužití. Většina bank má 24hodinovou linku pro hlášení podezřelých transakcí — využijte ji. Banka pak může účet dočasně zablokovat, sledovat neobvyklé transakce a v případě potřeby je zastavit. Pokud jste současně zadali jednorázový SMS kód, prohlédněte v bankovnictví poslední transakce — pokud vidíte neautorizovanou platbu, okamžitě ji oznamte. Některé typy plateb lze do určité doby blokovat či vrátit. Pro budoucí ochranu si v bance aktivujte dvoufaktorovou autentizaci (pokud ji ještě nemáte), nastavte limity transakcí na nižší hodnoty a sledujte zprávy o pohybu na účtu.

Související články

• Jak poznat podvodnou žádost — kompletní rozpoznávací znaky podvodu v reklamě, ve formuláři i v komunikaci.
• Poplatek předem u půjčky — klasický podvodný vzorec, který typicky následuje po vyplnění falešného formuláře.
• Kontrola poskytovatele v seznamu ČNB — praktický postup ověření licence v JERRS, ve kterém je uvedena i oficiální webová adresa.
• Jak probíhá online ověření — jak vypadá legitimní ověření identity přes BankID a co od něj očekávat.
• Jak poznat bezpečnou online půjčku — rozcestník pro celou bezpečnostní sekci.

Zdroje

• ČNB — seznam regulovaných subjektů (JERRS) s oficiální webovou adresou každého poskytovatele.
• ČNB — upozornění pro veřejnost.
• ČNB — ochrana spotřebitele na finančním trhu.
• BankID — oficiální stránky služby bankovní identity.
• dTest — spotřebitelská poradna pro otázky práv a postupy při sporu.