Každému už určitě došla na e-mail nějaká ta falešná výhra v loterii. My jsme se rozhodli, že na jednu takovou odpovíme. Co se bude dít? Jak s námi budou podvodníci komunikovat?
Každý z vás jistě čas od času vyhraje nějaký ten milion. Že se vás to určitě netýká? Tak se schválně podívejte do své složky s nevyžádanou poštou. Falešné výhry už dnes patří k jistému koloritu internetové doby stejně jako někdejší nigerijské e-maily, phishing a další zvěrstvo.
Vyhrál jsem milion liber!
Můj pošťák zpravidla všechny tyto výhry spolehlivě odfiltruje, na sklonku ledna jej však překonal jistý Mark Harris a jeho zpráva s nepřehlédnutelným nadpisem „Gratulujeme !!!“
První e-mail: Dobrý den, vyhrál jste milion liber
Pan Harris mi lámanou češtinou na dvou řádcích sdělil, že mě potkalo neskonalé štěstí, protože jsem v britské Národní loterii vyhrál jeden milion liber. To víte, že mě to potěšilo, protože jsem si nekoupil ani žádný los (bez losu vyhrát jednoduše nelze – ani v The National Lottery), a tak jsem Markovi s lehce cynickým nadhledem a česky odpověděl, že tedy děkuji a ať kýženou výhru zašle balíkem.
Uplynulo několik nocí a 2. února dorazila odpověď s imperativním nadpisem „PROVIDE DATA.“ Už jsem chtěl nebohého Marka Harrise definitivně přesunout do spamu, když tu mě napadlo, že bychom si mohli zahrát hru a po čase opět zkontrolovat, jak vlastně tento podvodný proces, na jehož konci je krádež, nebo praní špinavých peněz, vlastně probíhá. Dobrá Marku Harrisi, jdeme na to!
Druhý e-mail: Výborně, potřebujeme vaše jméno, věk, zaměstnání...
Mark po mně chtěl vyplnit stručný dotazník. Ptal se na mé jméno, adresu, věk, zaměstnání a národnost. Aha, takže sbírá data, která by mohl později využít klidně i v můj neprospěch. To máte zdánlivě nevinný údaj sem, údaj tam a výsledkem bude můj kompletní profil, který někdo zneužije třeba ve formuláři pro obnovení hesla, ve kterém se vás služba XYZ ptá, jak se jmenoval váš dětský zvířecí mazlíček, nebo maminka.
Mé jméno už Harris zná, ale jako adresa poslouží sídlo redakce. Telefon je smyšlený a stejně tak věk a zaměstnání. Je mi 38 a živím se jako údržbář. Ideální profil na podobný podvod. E-mail odeslán.
Výherní certifikát
Vyplněním formuláře jsem se konečně dostal do důvěryhodnějšího okruhu obětí a včera mi od Marka Harrise dorazilo PDF s vyplněným výherním certifikátem. Angličtina diplomu má své mouchy, certifikát ale používá skutečné prvky provozovatele loterie. Především tedy jeho logo a také adresu.
Třetí e-mail: Osobní výherní certifikát
Falšování britské The National Lottery není nic neobvyklého a její provozovatel před tím varuje i na svých stránkách, na kterých také uvádí adresy, ze kterých odesílá klientům jakoukoliv poštu. Ovšem už nezmiňuje, jestli zároveň používá digitální podpis. V opačném případě jsou vyznačené adresy spíše návodem pro podvodníky, změna e-mailu odesílatele v hlavičce poštovního protokolu je totiž banální úkon a taková zpráva se pak bude jevit příjemci opravdu věrohodně.
Mark Harris je nicméně neschopný, nebo sám věří v hloupost příjemce, používá totiž poštovní schránku na britském Hotmailu.
Falešná HSBC Bank
Společně s výherním certifikátem mi dorazil i požadavek, abych se nyní obrátil na HSBC Bank a to na její londýnskou pobočku na adrese hsbc-london@mail.com. Pojďme si tuto společnost nyní trošku představit. Jedná se o obří nadnárodní finanční holding s několika tisíci poboček v 82 zemích, který zaměstnává více než čtvrt milionů lidí, ale přesto se rozhodl komunikovat s veřejností na bezplatném webmailu Mail.com? To asi nebude opravdová HSBC Bank, viď Marku?
Mám se prý obrátit na banku HSBC
Odeslal jsem tedy dva e-maily. Nejprve naivně nadšenou zprávu na falešný poštovní účet banky s číslem výhry, no a pak ještě pár dotazů na provozovatele poštovní služby Mail.com. Zajímalo mě, jak s těmito podvody bojuje aj. Zatím bohužel bez odpovědi.
Chci svůj milion liber falešná banko
Opět jsem postoupil do další úrovně vzájemné důvěry, reakce totiž dorazila už po několika minutách – tentokrát s nadpisem „TRANSFER REQUIREMENTS.“ Zdá se, že se už konečně blížíme k momentu, kdy si Mark Harris řekne o drobný poplatek, který budu muset zaslat na účet nějakého bílého koně, aby mohla údajná banka HSBC dokonat transakci.
Další formulář. Tentokrát po mně falešná banka chce číslo mého účtu v mezinárodním formátu IBAN, název a adresu mé banky a její mezinárodní SWIFT kód. Pochopitelně jsem neměl v plánu podvodníkům sdělovat vlastní platební údaje, a tak jsem si vygeneroval falešný IBAN pomocí nástroje na webu České národní banky.
Čtvrtý e-mail: Falešná banka po mně chce bankovní údaje
Co když by se ale útočníci nakonec přeci jen pokusili zaslat na účet nějaký obnos? Aby byla v takovém případě událost skutečně zaznamenaná věrohodnou institucí, použil jsem veřejně dostupné bankovní spojení na Finanční úřad pro hlavní město Prahu a tedy účet vedený u ČNB.
Falešná banka HSBC po mně chtěla ještě kopii libovolného identifikačního dokumentu – pasu, občanského průkazu, řidičáku a tak dále. Naštěstí jsem na webu našel dostatečně kvalitní specimen jistého průkazu obsluhy motorových vozíků, pozměnil údaje, fotografii a… A nejspíše se pohyboval na hraně § 348, nicméně účel v tomto případě světí prostředky. Odesláno.
Fiktivní průkaz totožnosti
Čestné prohlášení, ale za poplatek 600 liber
Po slabé hodince se opět ozvala falešná HSBC (rozumějte Mark), že mi děkuje za kopii identifikačního průkazu a bankovní údaje, nicméně musím ještě předat čestné prohlášení o své identitě, které bude podepsáno úředníkem britského Nejvyššího soudu. Ouha, to je problém, do Londýna se totiž v nejbližší době neodstanu.
Falešná banka HSBC naštěstí myslela i na tento případ, a proto v textu jen tak mimochodem zmínila, že s dokumentem mi pomůže náš starý známý Mark Harris.
Pátý e-mail: Konečně v cíli. Aby to vše dobře dopadlo, potřebuji jakési čestné prohlášení, které může podepsat výhradně člen Nejvyššího soudu Velké Británie. Ale nic se neděje, Mark Harris to zařídí. Ale už ne zadarmo...
A jsme v kýženém cíli celého podvodného obchodního modelu, Mark totiž tento úkon provede za malý poplatek (nyní se na mě obrátil pod jménem fiktivního právníka z Londýna), čímž se vlastně uskuteční ono podvodné obohacení na úkor někoho jiného. A kolik vlastně požaduje za čestné prohlášení a další formality? 600 britských liber, tedy asi 22 tisíc korun! Tuto částku mám doručit skrze službu Moneygram.
Než mi pošlou výhru, musím zaplatit 22 tisíc korun
V této fázi jsem už poštovní hru ukončil, v redakčním rozpočtu totiž žádné fondy na podobná prohlášení nejsou, a sdělil Markovi, jak se věci mají včetně anglického překladu tohoto článku. Už neodpověděl.
Jak by to nakonec mohlo dopadnout?
Pojďme si nyní trošku zaspekulovat, co by se možná dělo dál, kdybych patřičný finanční obnos opravdu odeslal. Jelikož jsou podobné případy poměrně dobře zdokumentované a to včetně podvodných e-mailů lákajících na neexistující výhru v britské národní loterii, spekulace nebude nejspíše daleko od pravdy – v podstatě jen zmíním několik skutečných případů z minulosti.
1. možnost: Žádná další komunikace
Kdybych Markovi zaslal peníze, mohl by ukončit jakoukoliv další komunikaci, odškrtnout si další oběť a zkoušet to zase na někoho jiného.
2. možnost: Bílý kůň
Mark už má svou oběť a teď by ji mohl zneužít jako bílého koně formou cukru a biče. Může mi skutečně poslat nějaký menší obnos (špinavé peníze) a požádat mě o zaplacení nějakého dalšího vymyšleného poplatku (vyprané peníze). A takhle stále dokola. Nastavení poměru mezi příjmem od Marka a mými výdaji je pak už jen otázkou dobrého psychologického zpracovávání oběti a budování vzájemné důvěry. Než si to nebohý výherce uvědomí, zaklepe mu na dveře kriminalista. Takové případy jsou ostatně známé i z České republiky.
3. možnost: Osobní data
Pak je tu ale ještě jedna možnost. Celou dobu jsem Markovi zasílal všemožné osobní údaje. Ten se je nyní může pokusit zneužít a to prakticky jakýmkoliv způsobem. Díky fotografii identifikačního průkazu zná můj věk, moji adresu, zná číslo mého účtu, číslo (třeba) řidičského oprávnění a všechny tyto osobní informace se nyní může pokusit použít třeba za účelem přihlášení se k některému z mých webových účtů bez znalosti hesla. Mnoho z nich totiž nabízí formulář pro obnovení hesla při jeho ztrátě, kde vám bude web klást otázky, na které by už mohl Mark znát odpověď. Dvoustupňové přihlašování, které nabízí jak Google, tak mnoho dalších provozovatelů, je tedy v tomto případě naprosto klíčové.
Protiútok
Naletět poštovním podvodníkům není zase až tak snadné. I když třeba budou na počátku používat komolenou češtinu, vzájemná komunikace stejně dříve či později přejde do angličtiny a především vás nikdo neokrade po prvním přijatém e-mailu. Podvodníci se pokoušejí během několika dnů vybudovat důvěryhodný vztah, nicméně dělají tolik pochopitelných chyb, že by mělo síto prostého selského rozumu zastavit drtivou většinu potenciálních obětí. Opravdu drtivou.
Že nakonec přeci jen někoho dostanou a to i z České republiky, je tak spíše doklad naprosté nekompetentnosti nebohé oběti. Přesto, pokud už k něčemu takovému dojde a zdravý člověk skutečně uvěří, že mu kdosi naprosto cizí a zcela bez příčiny hodlá věnovat po přepočtu okolo 37 milionů korun, měl by se (poté, co zjistí, že se opravdu spálil) urgentně ozvat policii.
Britský systém pro hlášení internetové kriminality
Ta česká má pro tyto případy stručný formulář pro hlášení kybernetické kriminality. Určitě ale stojí za to se ozvat i relevantním zahraničním vyšetřovatelům. V případě Velké Británie, které se tento konkrétní útok týká nejvíce, jde především o webové stránky Action Fraud, kde lze nahlásit i pouhý pokus o internetový podvod a to i tehdy, když vy sami nejste občanem ostrovního království. Podobné weby pak stále častěji nabízí i policie v ostatních zasažených zemích.
V britské databázi nakonec skončil i Mark Harris, pokud se tedy někdy ozve i vám, bude to nejspíše zase z jiné poštovní adresy.