Autor obsahu – Sebastian Raida

Black Friday se stal synonymem obrovských slev a nákupní horečky. Na tento nákupní svátek se nepřipravují jen obchodníci a zákazníci, ale i kybernetičtí kriminálníci a podvodníci. Obezřetnost a znalost podvodných praktik Vám může zachránit nejen finance, ale i data a radost ze zakoupeného zboží.

Na jaké hrozby si dávat pozor?

1. Phishingové falešné nabídky

Nejrozšířenější typ kybernetického podvodu by měli mít na paměti všichni, kteří se rozhodnou v rámci Black Friday nakupovat. V případě oblasti prodeje a nákupů se phishingové emaily a zprávy tváří jako nabídky od legitimních a známých obchodních společností. Taková nabídka bývá obvykle časově ohraničená a nabádá oběť, aby nepřišla o slevu a zboží koupila co nejdříve. Po kliknutí na link se otevře falešná, ale důvěryhodně vypadající stránka, která má za cíl dostat oběť až k vyplnění platebních, či jiných, údajů, které jsou odcizeny a následně zneužity. Podvodné obchodní stránky mohou vypadat totožně s těmi legitimními, proto je vždy dobré si ověřit alespoň URL. V roce 2023 zjistila společnost Egress nárůst phishingových emailů v listopadu o 237 %.

Jak ukazuje graf společnosti Zscaler, období okolo Black Friday a Cyber Monday obvykle vykazuje rapidní nárůst registrací nových internetových domén. I když ne všechny jsou podvodné, pro kyberbezpečnostní experty jsou takové nárusty vždy spojeny s riziky a kriminálním jednáním.

Obrázek 1: Nárust registrací nových domén (zdroj: https://www.zscaler.com/blogs/security-research/black-friday-shoppers-once-again-scrooged-cyber-attacks).

2. Malvertising

Tato podvodná technika využívá reklamy. V lepším případě je oběť po kliknutí na reklamu převedena na falešné obchodní stránky. V horším případě může klik iniciovat stažení škodlivého programu. Nejčastěji je možné takové reklamy najít na stránkách nebo aplikacích sociálních médií, kde je velice snadné tento typ podvodu publikovat. Nejlepším způsobem, jak se této praktice vyhnout, je neklikat na žádné reklamy a linky, ale manuálně přejít na stránku konkrétního výrobce či prodejce.

3. Falešné kupóny a dárkové karty

Zejména v období velkých nákupů je třeba opatrnosti v případě slevových kupónů a dárkových karet. Podvodníci umisťují linky převážně na sociální média, které oběť převedou na falešnou webovou stránku s kupóny a dárkovými kartami, někdy i za zvýhodněné ceny. K nákupu je obvykle třeba nejen zadat platební údaje, ale i vytvoření osobního účtu na podvodné stránce vedoucí k odcizení dalších údajů.

4. Falešná potvrzení objednávky a oznámení o doručení

Tyto typy podvodů si jsou velmi podobné a využívají nepozornosti spojené se zvýšeným nakupováním na internetu. Většinově je tento typ podvodu prováděn skrze email či SMS. Zpráva obsahuje link na falešnou webovou stránku obchodu či přepravní společnosti, skrze kterou jsou oběti odcizeny údaje.

5. Falešné přihlašovací ověření a ATO

Pokud máte základní povědomí o kyberbezpečnosti, je pravděpodobné, že znáte vícefaktorové ověřování. Tohoto se podvodníci snaží využít zasláním phishingové zprávy o podezřelém pokusu o přihlášení do Vašeho účtu. Tato zpráva opět obsahuje link na podvodné, ale legitimně vypadající stránky s přihlašovacím formulářem. Pokud oběť zadá své skutečné přihlašovací údaje, odevzdá je tím kriminálníkům. Obvykle následuje tzv. Account Takeover (ATO), kdy podvodníci převezmou kontrolu na legitimním účtem a všemi jeho údaji.

Obrázek 2: Nárůst ATO, který v roce 2023 kulminoval na Black Friday (zdroj: https://www.imperva.com/blog/ecommerce-security-threats-for-2023-holiday-shopping-season/).

Rizika pro internetové podniky

1. DDoS

Distributed Denial-of-Service je typ kybernetického útoku, který zahltí nadměrným provozem podnikové servery, jež tento nátlak dat nezvládnou, což vede k znepřístupnění webu a zhroucení služeb. Internetové podniky jsou obvykle cíleny z důvodu konkurenčního boje, či může DDoS sloužit jako zástěrka pro odcizení dat. V posledním čtvrtletí roku 2023 zaznamenala společnost CloudFlare zvýšení počtu DDoS útoků o 117 % oproti předchozímu období. Mimo Black Friday jsou dalšími nákupními svátky v tomto období Cyber Monday a Vánoce.

Obrázek 3 Nárůst DDoS útoků na Black Friday a Cyber Monday v roce 2023 (zdroj: https://www.fastly.com/blog/cyber-5-threat-insights).

2. Boti

Frekvence využívaných botů, neboli typu softwaru, který provádí automatizované úkoly, je při nákupních svátcích až 30x vyšší, než v jiném období. Tito boti obvykle vyhledávají dostupné nabídky a nakupují je ve velkém, v horším případě využívají k nákupu odcizené platební údaje obětí.

3. E-skimming

E-skimming se zaměřuje hlavně na platební brány internetových podniků. Podvodníci obvykle naruší bezpečnost internetové stránky podniku a infikují ji virem. Jelikož jde o narušení legitimního obchodníka a jeho platební brány, zákazník nemá šanci rozpoznat, že jsou jeho platební údaje odcizeny a následně buď dále přeprodávány či využívány k nákupům.

Jak se mohou zákazníci chránit?

Pravidla kybernetické bezpečnosti pro nákupní svátky jako je Black Friday se nijak neliší od základních zásad kybernetické bezpečnosti a digitální hygieny v jakémkoliv jiném období. Každý email či zpráva by měla být zkontrolována z hlediska jazykových chyb a důvodu zaslání. Pokud taková korespondence obsahuje link na další stránku, i ten by měl být zkontrolován. Zlatým pravidlem je nakupovat jen z ověřených podniků a v případě velmi výhodné nabídky se k ní spíše proklikat na samotném obchodním webu než klikat na linky.

Účinnou ochranou bankovních karet a osobních emailů je tzv. aliasing. Jedná se o kyberbezpečnostní koncept, který je založen na vytváření „jednorázových“ emailů či karet pro různé potřeby a příležitosti. V praxi si můžete propojit svůj osobní email s několika jednorázovými emaily, které poskytnete obchodním webům. S obchodními weby tedy sdílíte jen nezbytně nutné údaje z jednorázového emailu, nikoli z osobního. V případě platebních karet se jedná o tzv. virtuální karty. Koncept je stejný, vaše osobní platební karta je propojena s jednou či několika virtuálními kartami, obchodníci a platební brány mají přístup pouze k těm virtuálním.

Zdroje

https://nordlayer.com/blog/black-friday-cyber-scam-insights/, https://nordvpn.com/blog/black-friday-scam/, https://www.zscaler.com/blogs/security-research/black-friday-shoppers-once-again-scrooged-cyber-attacks, https://www.imperva.com/blog/ecommerce-security-threats-for-2023-holiday-shopping-season/, https://www.imperva.com/blog/2023-black-friday-and-cyber-monday-cyber-attacks/, https://thehackernews.com/2024/11/fake-discount-sites-exploit-black.html, https://gemserv.com/our-thoughts/black-friday-cyber-crime-weekend/, https://www.linkedin.com/pulse/black-friday-2023-bots-were-working-overtime-datadome-axcie, https://cisomag.com/e-skimmers-prey-on-online-shoppers-amid-black-friday-and-cyber-monday/, https://www.egress.com/blog/phishing/black-friday-cyber-monday, https://www.fastly.com/blog/cyber-5-threat-insights