Otázka čitateľa: Moja sestra je opakovane telefonicky obťažovaná osobami, ktoré sa vydávajú za zástupcov spoločnosti Microsoft. Volajú jej na pevnú linku (Telekom) a takisto na mobilné číslo (Orange). Sestra už je dáma v rokoch a v IT oblasti nie je príliš zbehlá. Je však angličtinárka a na základe prízvuku osôb sa domnieva, že sú z Ázie. Osoby sa predstavia ako technická podpora Microsoftu a oznámia jej, že zistili v jej počítači chybu. Následne diktujú, aké klávesy má stláčať, aby ju odstránila. Predpokladám, že ide o pokus o infiltráciu. Čo má sestra robiť a ako tomu zabrániť? Je možné sa obrátiť na nejakú organizáciu a tieto útoky ohlásiť?

Celkom správne ste vydedukovali, že ide o pokus o infiltráciu počítača. Presnejšie povedané, ide o pokus vašu sestru okradnúť. Proces má na začiatku vždy formu podvodu a ak sa podvod nepodarí vykonať, nasleduje vyhrážanie a vydieranie bez servítok.

Vaša sestra správne spoznala, že na druhej strane linky sú osoby z Ázie. Tieto podvodnícke telefónne centrá sú v drvivej väčšine prípadov situované v Indii a zvyčajne v nich pracuje niekoľko desiatok osôb. Ich silný indický prízvuk je obvykle v angličtine veľmi dobre počuť, pretože jazykovo zdatnejší jedinci si nájdu prácu v regulárnom call centre, nie u podvodníka. Tento konkrétny typ podvodu je cielený predovšetkým na dôchodcov v USA, avšak šarlatáni nepohrdnú nikým, s kým sa im podarí úspešne komunikovať.

Podvod prebieha nasledovne:

Call centrum si zaobstará databázu telefónnych čísiel, patriacich anglicky hovoriacim osobám v staršom veku, či ideálne na dôchodku. Obvykle ide o ukradnuté zákaznícke databázy rôznych firiem a webových stránok, ktoré sa po úniku objavia na čiernom trhu za pár desiatok až stoviek dolárov.

Podvodníci na dané telefónne čísla náhodne volajú, predstavia sa najčastejšie ako zamestnanci Microsoftu, zriedkavejšie Googlu alebo Apple, pričom sa pokúšajú zistiť, či je na druhej strane linky vhodná obeť. Použijú nejaký IT žargón a oznámia, že počítač danej osoby je infikovaný a čakajú na reakciu. Ak je osoba zmätená či vystrašená a povie im, že sa počítačom príliš nerozumie a že ho používa len na „pozeranie fotiek vnučky a čítanie správ“, vedia, že sú na správnej adrese.

Prehliadač udalostí systému Windows
Prehliadač udalostí systému Windows

Následne chcú, aby dotyčný zapol počítač, aby mohli nebezpečný problém vyriešiť. Môžu pritom strašiť tým, že počítač spôsobuje škodu, alebo tým, že naopak onedlho prestane fungovať. Osoba počítač zapne a podvodníci ju telefonicky navigujú napríklad k tomu, aby si spustila systémový Event Viewer, ktorý obsahuje záznam udalostí systému, ovládačov a iných prvkov. Event Viewer takmer vždy nesie aj záznamy o neškodných bežných chybách a systémových varovaniach, čo bežný používateľ pravdaže netuší a pri sledovaní výkričníkov a červených krížikov v tejto časti systému sa vystraší a presvedčí o tom, že je s jeho počítačom naozaj niečo v neporiadku.

Alternatívnym postupom je, že podvodníci dôchodcu navigujú do priečinkov ako C:/Windows/Prefetch, alebo nejakých tempových alternatív, ktoré obsahujú veľké množstvo čudesne nazvaných súborov a oznámia, že ide o dôkaz infekcie.

Všetko vedia k tomu, aby dotyčná osoba mala pocit, že potrebuje pomoc, čím ju podvodníci začnú navigovať k stiahnutiu programu na vzdialenú správu. Obvykle ide o program TeamViewer, ale môže ísť aj o iný, ako AnyDesk, LogMeIn alebo GoToAssist.

Osoba si ho stiahne z nadiktovanej webovej stránky a spustí, pričom do telefónnu povie vygenerované alfanumerické znaky, ktoré vidí na obrazovke. Tie slúžia ako vstupné dáta, ktoré podvodník použije vo svojom programe na zdieľanie obrazovky a vzdialené ovládanie počítača. Nevinná obeť následne sleduje, ako podvodník hýbe s jej kurzorom myši a vykonáva „opravu“.

Ako dôjde k okradnutiu:

Podvodník po vstupe do počítača obvykle spustí Príkazový riadok, kde zadá príkaz Netstat. Ide o klasickú systémovú funkciu, ktorá zobrazí IP adresy aktuálne naviazaných spojení. Používateľ tak vidí, ako jeho počítač kontaktuje rôzne cudzie adresy a podvodník mu vysvetlí, že sú to útočníci, ktorí zneužívajú jeho počítač. Používateľ pravdaže netuší, že neustále rozširujúci sa zoznam adries patrí serverom webových stránok, ktoré má otvorené, ďalej vzdialenej správe, ktorú aktivoval, aktualizačným serverom a podobne.

Podvodník obvykle pokračuje zadaním príkazu „tree“, alebo dir /s, ktorý začne vypisovať zoznam všetkých priečinkov a ich štruktúr. Ide o triviálne, ale pre bežného používateľa pravdaže neznáme prvky systémovej konzoly a keďže výpis štruktúry a mihanie názvov s ich výpisom parametrov je veľmi rýchle, pripomína to nejaký druh práce. Podvodník oznamuje, že je to skenovanie súborov, pričom na konci výpisu ručne do konzoly napíše, že sa „našli vírusy“ či iné chyby, pričom ich môže hneď alebo po chvíli „opraviť“ tak, že napíše do konzoly nejakú správu. Obeť pravdaže netuší, že daný podvodník skrátka len píše text na klávesnici.

Následne prejde k platbe „za služby“. Tieto podvodné centrá majú problém k sebe dostať ukradnuté peniaze štandardnou cestou, napr. platbou kartou či na účet, aby sa neprezradili. Z povahy používateľa, ktorý je technicky neznalý, nemôžu očakávať ani platbu kryptomenou. Robia to teda tak, že ho navigujú ku kúpe darčekového certifikátu z Google Play, Amazonu a podobne. To samozrejme pôsobí komicky, v súvislosti s tým, že sa vydávajú za Microsoft, avšak spoliehajú sa na to, že používateľ je z celého procesu zmätený. Čísla týchto darčekových certifikátov na konkrétne sumy peňazí, ako napríklad na 50, 100 či viac dolárov si prevezmú a vyzdvihnú so svojím účtom. Následne ich na internete predajú so zľavou iným ľudom, čím k sebe dostanú reálnu platbu, ktorá je „prepraná“. Treba pravdaže rátať s tým, že po úspechu podvodníci nelenia a po pár týždňoch či mesiacoch budú telefonát a opravu opakovať, až dokým z vás peniaze budú ochotne padať.

Program TeamViewer určený na vzdialenú správu
Program TeamViewer určený na vzdialenú správu

Ak sa používateľ začne vzpierať, že certifikát nekúpi, alebo začína mať podozrenie, že ide o podvod, útočník rýchlo systém zamkne. Ak ide o Windows 7 alebo starší, útočníci používajú bežnú systémovú funkciu Syskey, ktorú skrátka len vďaka vzdialenému prístupu k počítaču vyvolajú a zadajú do nej svoje heslo. Na Windows 10 už Syskey nefunguje, takže útočníci obvykle znefunkčnia počítač iným spôsobom, napríklad ručným zamazaním systémových súborov a podobne, po čom reštartujú počítač. Systém už následne nenabehne a počítač je z pohľadu bežného používateľa nefunkčný.

Podvodník, s ktorým obeť stále hovorí telefonicky, si následne vypýta peniaze formou vydierania, pretože obeť nemá prístup k svojim dôležitým súborom a ani systému. Keďže vydieranie je už len jednorazová akcia, suma ktorú si útočník vypýta bude už vyššia a môže ísť aj o stovky eur. Ak sa obeť vplyvom vyhrážania a vodopádom nenávistných rečí zlomí a darčekové certifikáty či iný transfer peňazí zariadi, počítač samozrejme zostane aj tak nefunkčný. Podvodník nemá žiadnu potrebu a ani záujem (a často ani možnosť) ho po zaplatení opraviť.

Čo robiť pri prvom telefonáte, alebo pri opakovaných kontaktoch:

V prvom rade sa s týmito podvodníkmi nikdy dlho nebavte. Čím dlhšie budete s nimi hovoriť, tým je väčšia pravdepodobnosť, že vás zaskočia nejakou technickou vecou, ktorej ako laik nerozumiete a zneistiete.

Microsoft vás nikdy – SKUTOČNE NIKDY – nebude samovoľne kontaktovať s tým, že je s vaším počítačom niečo v neporiadku. Nikdy vám nič nebude opravovať cez TeamViewer a iné programy vzdialenej správy a nikdy si nebude chcieť nechať platiť darčekovými certifikátmi. Vždy ide o podvod. Bez výnimky.

Bežne sa ľudia pokúšajú chrániť tým, že dané číslo podvodníkov si v telefóne zablokujú. To nie je ale príliš vhodné, obzvlášť ak ste sa s nimi už niekedy chvíľku bavili. Z vašej strany zablokované číslo je z pohľadu podvodníka len osoba, ktorá telefón práve teraz neberie. Nechá si vás teda ako existujúci kontakt, ktorému zavolá neskôr. Keďže podvodnícke centrum má pokojne niekoľko desiatok zamestnancov a niekoľko telefónnych čísiel, ktoré navyše pravidelne obmieňa, budú vám títo podvodníci volať v priebehu dní, mesiacov či rokov stále znova a znova a vy budete frustrovane blokovať stále ďalšie a ďalšie čísla.

Najvhodnejšie preto je, ak podvodníkovi dáte jasne najavo, že o podvode dobre viete. Povedzte mu, že mu nikdy prístup k svojmu počítaču nedáte a že viete, že sa vás snaží okradnúť. Že viete, ako tie podvody robia, že viete o zamykaní počítača cez Syskey, že poznáte ich trápne pokusy s darčekovými certifikátmi. Ak vás stále bude presviedčať, pokojne sa začnite smiať (a pripravte sa na smršť škaredých nadávok).

Dôvodom tohto kroku je, že podvodníci sú si dobre vedomí svojho investovaného času. Ak zistia, že pokus je vo vašom prípade zaručene a 100 % márny, sami položia a vaše telefónne číslo si vyradia z databázy. Aby prežili, svoje telefonáty musia smerovať tam, kde nejaký finančný osoh môže nastať. Ak by opakovane volali vám, okrádali by o čas a tým aj peniaze len sami seba.

Pokiaľ ste už boli týmto spôsobom okradnutí, rátajte s tým, že svoje peniaze už nazad nikdy neuvidíte. Ak bol váš počítač znefunkčnený, obvykle je to len na úrovni operačného systému. Počítač ako taký a vaše súbory sú obvykle v poriadku. Stačí ho posunúť k technicky zručnejšiemu kamarátovi, ktorý vie opraviť systém alebo ho nainštalovať bez formátovania disku znova. Ak nikoho nepoznáte, môžete zájsť do klasického servisu, kde vám dá počítač skutočný technik do poriadku za pár desiatok eur.

Formulár na nahlasovanie internetových podvodov Americkej obchodnej komisii
Formulár na nahlasovanie internetových podvodov Americkej obchodnej komisii

Čo sa týka nahlasovania tohto podvodu polícii či iným orgánom, obvykle je to v takých malých krajinách ako Slovensko stratou času. Nie že by sme boli nejako menejcenní, ale ide skôr o to, že by vaše nahlásenie bolo len malou kvapkou v mori. V anglicky hovoriacich krajinách, predovšetkým v USA sa tieto podvody rátajú na desiatky tisíc až stovky tisíc obetí ročne a dané čísla už budú zrejme nahlásené cez stránky amerického ministerstva obchodu (https://reportfraud.ftc.gov/#/assistant).

Každoročne indická polícia v spolupráci s medzinárodnými vyšetrovateľmi zlikviduje niekoľko takýchto podvodníckych centier, avšak stále rastú nové a nové. Zatiaľ ide stále o nekonečný boj a z vašej strany je najlepšie, keď o tomto podvode viete a podviesť sa tak nikdy nenecháte.

Prečítajte si aj: