Policie České republiky – KŘP Moravskoslezského kraje
Objasnění série phishingových útoků
Ms kraj: Rozeslali desetitisíce SMS s odkazy na falešné weby bank designově nerozeznatelné od oficiálních
Přes 140 poškozených, škoda více než 2 miliony korun, téměř 4 miliony v pokusu, zahájení trestního stíhání, trestní sazba až 12 let. Takový je finálně „vystavený účet“ dvěma mužům po mimořádně rozsáhlém prověřování, které vedli moravskoslezští policisté specializující se na kyberproblematiku. Principem trestné činnosti bylo rozesílání hromadných SMS a e-mailových zpráv o blokaci internetového bankovnictví nebo blokaci služeb jisté hardwarové a softwarové společnosti a následné získání přístupových údajů k internetovému bankovnictví klientů nebo kompletních údajů z platebních karet klientů. Vše pod legendou odblokování a navedením na podvodné, falešné weby v oficiálním designu bank či společnosti. Tedy phishingové útoky.
Policisté z celé republiky začali v roce 2020 přijímat oznámení o podvedených lidech. Případy se soustředily u policistů z moravskoslezského oddělení kybernetické kriminality a již tehdy jsme preventivně informovali veřejnost. Policisté od samotného počátku vyvíjeli maximální úsilí pro objasnění případů. Není jednoduché popsat každodenní práci kolegů, kteří prověřili až tisíce aktivit několika podezřelých osob. Analyzovali data z jejich mobilních telefonů, finanční a obchodní transakce, vyhodnocovali také množství uskutečněných výběrů peněz z bankomatů z účtů podvedených. Důležité byly i výslechy více než 140 poškozených a práce s informacemi od bank. Policisté komunikovali s provozovateli webových portálů a vyhodnocovali uživatelské účty, oslovovali tak české, ale cestou justiční spolupráce i zahraniční společnosti. Policisté ze severu Moravy byli samozřejmě v úzkém kontaktu s kolegy z celé republiky. Tehdy podezřelí měli při páchání trestné činnosti činit vše pro to, aby nebyli odhaleni. Snažili se „krýt“ svou identitu a měli spolupracovat se spolupachateli ve vzdálenější části Evropy, což rozplétání nitek případu policistům neulehčilo. Samotný spis, převedeno do analogové podoby, aktuálně vydá na 10 000 listů v šanonech.
Z postupně pracně získaných a vyhodnocených informací dovozují kolegové trestní odpovědnost dvou mužů, kteří se měli po vzájemné domluvě od zhruba prosince 2019 do ledna 2022 dopouštět phishingových útoků. Obvinění měli společně s dalšími neustanovenými spolupachateli ze zahraničí nejprve rozesílat lidem až desetitisíce zejména SMS zpráv. Ty obsahovaly podvodnou informaci o blokaci internetového bankovnictví nebo blokaci služeb jisté hardwarové a softwarové společnosti s přiloženým odkazem. Ti, kteří na SMS zprávu zareagovali, byli „kliknutím na odkaz“ navedeni na falešnou webovou stránku v designu banky a společnosti. Webové stránky byly těžko rozeznatelné od oficiálních designů, takže nic netušící klienti banky a společnosti zadávali pro odblokování bankovnictví dle instrukcí kompletní údaje ke svým platebním kartám, včetně PINu. Obvinění tak mohli díky získaným údajům v podstatě nahrát platební kartu poškozeného do svých mobilů. Pomocí mobilů pak měli vybírat peníze z účtů poškozených v bankomatech nebo platit za objednané zboží, zejména elektroniku. Obvinění měli postupně mírně měnit modus operandi. Zůstali u zasílání hromadných SMS, přidali e-mailové zprávy o blokacích služeb a účtů u dalších bank, opět s odkazem na falešné webové stránky. Nově však měli již přímo získávat přístupové údaje k internetovému bankovnictví klientů, čímž získali i plnou kontrolu nad účty poškozených. Peníze opět vybírali v hotovosti v České republice, ale i v zahraničí, případně finance zasílali na další jimi ovládané bankovní účty nebo investovali do kryptoměn. Poškození přišli dle stavu konta o různé částky, někteří o tisíce, jiní o vyšší desítky tisíc. V součtu pracují policisté s více než 140 poškozenými, kteří „přišli“ o 2,5 milionu korun. Další téměř 4 miliony lidem na účtech zůstaly, přestože se obvinění pokusili je získat. Mnohokrát se totiž stalo, že se výběr peněz nezdařil, například díky nízkému kontu poškozeného nebo nastaveným limitům.
Vrchní komisař oddělení kybernetické kriminality obvinil muže ve věku 30 a 32 let z Prahy z trestných činů podvodu a neoprávněného opatření, padělání a pozměnění platebního prostředku dílem dokonaným i v pokusu, dále z neoprávněného přístupu k počítačovému systému a nosiči informací.
Trestní zákoník stanoví za uvedené jednání až 12 letý trest odnětí svobody. Řekněme organizátorem měl být starší muž, který není policistům rozhodně neznámý. Výše popsanou trestnou činnost měl páchat v době, kdy byl pro totožné jednání v „podmínce“ a za další skutky posléze i odsouzen. Policisté v rámci trestního řízení provedli domovní prohlídky, zajistili například mobilní telefony. Ve vyšetřování i nadále pokračují.
Obvinění měli mít při páchání phisingových útoků své kroky jasně promyšlené a systematicky realizované. SMSky rozesílali i v noci, kdy bývají lidé rozespalí, anebo o víkendu. Snažili se zcela jasně dělat vše pro to, aby nebyli odhaleni a „krýt“ svou identitu. Měli spolupracovat se spolupachateli ve vzdálenější části Evropy, kterým měli díky současným možnostem elektronického bankovnictví zřídit přístupy k výběru peněz poškozených.
Co poradit, když jste obesláni s informací o ohrožení vašich peněz na účtu a zdá se, že jste o vyplnění údajů ke kartě či do bankovnictví kontaktování bankou, na jejichž webové stránky jste i nasměrováni? Ať je legenda jakákoliv a vše se zdá reálné, je vždy jediná cesta – obrátit se proaktivně na samotnou banku s dotazem na reálný stav. Zřejmě uslyšíte: na nic neklikejte, údaje neposkytujte, jedná se o podvod!
por. Mgr. Soňa Štětínská
oddělení tisku, 31. 7. 2025
foto1
foto2
foto3
foto4
foto5
foto6