Podvody na internetu jsou stále sofistikovanější a nevyhývají se samozřejmě ani České republice. Podvodníci využívají nejnovějších technologií jako je umělá inteligence (AI). V poslední době na internetu nabízejí kupříkladu padělky moderních injekčních léků na hubnutí. S pomocí AI kopírují identity důvěryhodných organizací nebo tvoří falešné lékaře. Kyberzločinci také pčišlli s novým typem podvodu, při kterém dokážou získat plný přístup k účtu komunikační aplikace WhatsApp, aniž by k tomu potřebovali ukrást její heslo, kód dvoufaktorového ověřování nebo prolomit šifrování
Padělkdy injekčních léků na hubnutí
Injekce na hubnutí jsou v Česku dostupné jen na lékařský předpis, jejich prodej přes internet je nelegální. Z informací na webu Státního ústavu pro kontrolu léčiv (SÚKL) vyplývá, že injekce nabízely i weby v Česku. Ústav má právo je nechat zablokovat.
„V Evropě vidíme spoustu případů, kdy podvodníci napodobují národní zdravotnické instituce. Neprodávají jen falešné léky GLP-1, ale klonují identity organizací, kterým důvěřují miliony lidí,“ uvedl za firmu manažer pro ČR, Slovensko a Maďarsko Miloslav Lujka.
Injekce, například Ozempic, Wegovy nebo Mounjaro, jsou určené pro léčbu cukrovky nebo obezity. Předepsat je může lékař za přesně daných podmínek, většinou si je pacienti platí sami, měsíčně léčba stojí několik tisíc korun a u většiny je dlouhodobá až doživotní.
Stránky cílené na konkretní zemi
Stránky podvodníků jsou podle Lujky často cílené na konkrétní zemi, ve Velké Británii používají logo tamní zdravotní služby NHS, v Německu používá falešné certifikáty. „Většina podvodů pracuje s přehlednou grafikou a transformačními obrázky, kde jsou vidět dramatické hubnoucí účinky. AI umožňuje vytvářet podobné podvody jednoduše a na pár kliknutí,“ uvedl.
V Česku publikuje seznam webů s nelegální nabídkou léků Státní ústav pro kontrolu léčiv. Za letošní rok jich přibylo více než 200. Z uvedených webových adres je patrné, že některé nabízely i tyto injekce. Na falešné weby upozorňuje i projekt Lékošmejdi.cz, za kterým stojí lékař a senátor Jan Pirk. I jeho jméno v minulosti podvodníci k propagaci svých produktů zneužili.
Podvodné získání přístupu do WhatsAppu
V České republice se též šíří nový typ podvodu, při kterém útočníci dokážou získat plný přístup k účtu komunikační aplikace WhatsApp, aniž by k tomu potřebovali ukrást její heslo, kód dvoufaktorového ověřování nebo prolomit šifrování. Místo toho uživatele přesvědčí, aby jim přístup sám předal. Přístup k účtu pak mohou zneužít ke krádežím identity nebo vydírání.
Ghostparing
Podvody na internetu, které experti z bezpečnostní firmy Gen nazývají ghostpairing, začínají zprávou od důvěryhodného kontaktu: „Ahoj, našel jsem tvoji fotku.“ Pokud uživatel klikne na přiložený odkaz, dostane se na falešnou stránku napodobující Facebook, která požaduje ověření identity dotyčného před zobrazením fotky. Co vypadá jako neškodný bezpečnostní krok, je ve skutečnosti maskovaný proces spárování dalšího zařízení s WhatsApp účtem uživatele.
Po zadání legitimního párovacího kódu oběť nevědomky přidá prohlížeč útočníka mezi připojená zařízení, čímž mu dá neomezený přístup ke svým zprávám, fotkám a kontaktům, aniž by podvodník musel měnit heslo nebo blokovat oběti přístup k účtu, uvedla firma Gen.
Podvod podle ní zneužívá přirozené funkce WhatsAppu, pro uživatele je tak těžší jej rozpoznat a odhalit. Telefon dál funguje, takže oběti si často neuvědomí, že mají k účtu připojené cizí zařízení, které může v reálném čase sledovat všechny jejich konverzace. Jakmile podvodníci získají přístup k jednomu účtu, podvod dál rozesílají přátelům, rodině a do skupinových konverzací oběti, čímž jej přirozeně šíří. Soukromé konverzace, hlasové zprávy a fotky jsou pro kyberzločince materiálem k dalším, cílenějším podvodům, vydávání se za dotyčného nebo vydírání.
Kyberzločinci se tak podle zástupců Genu již nesnaží prolomit bezpečnostní systémy, místo toho přesvědčují své oběti, aby jim samy daly přístup. Zneužívají přitom rutinních prvků, které lidé běžně používají, jako jsou QR kódy, požadavky na spárování zařízení a ověřování požadavků na telefonu. Ghostpairing se navíc nemusí omezovat pouze na WhatsApp.
Jaká je obrana?
Uživatelé se mohou bránit tak, že ve svém WhatsApp účtu v kolonce Nastavení kliknou na Připojená zařízení a odstraní všechna, která neznají. Jakoukoli výzvu z webových stránek k naskenování QR kódu nebo zadání kódu pro párování zařízení musí považovat za podezřelou. Dále by podle doporučení Genu měli na WhatsAppu nastavit dvoufaktorové ověření a informovat o podvodu své blízké.
Zdroje a obrázky: SÚKL; Lékošmejdi; Gen; Pixabay
