Českem se šíří nová vlna rafinovaných podvodů, které cílí na klienty Všeobecné zdravotní pojišťovny (VZP). Útočníci sázejí na psychologii nečekaného zisku a rozesílají e-maily slibující vrácení tisícových přeplatků, přičemž využívají grafiku a formuláře, které jsou k nerozeznání od těch pravých. Na podvod upozornila VZP v tiskové zprávě.
Vypadá to jako běžná úřední pošta. Má číslo jednací, oficiální vizuál a lákavý příslib částky přesahující 12 tisíc korun. Realita je však mnohem temnější. Kybernetičtí zločinci tentokrát posunuli hranice věrohodnosti o stupeň výš a zneužívají autentické formuláře pojišťovny k tomu, aby z lidí vylákali přístupové údaje k bankovnictví.
Falešný přeplatek, který by vás přišel draho
Celý mechanismus útoku je postaven na falešném „oznámení o evidovaném přeplatku“ ve výši 12 407,50 korun. E-mail příjemce informuje, že peníze jsou připraveny k výplatě, a vyzývá ho k vyplnění údajů skrze přiložený odkaz. Právě zde číhá největší nebezpečí, protože cílová stránka působí jako legitimní rozhraní VZP.
„Průvodní e-mail, který příjemce obdrží, i následný formulář vypadají velmi autenticky. Vizuálem i dalšími prvky působí důvěryhodně. Celým procesem vede příjemce k vyplnění bankovních údajů, samozřejmě opět pouze po přístupu k jeho účtu. Podvodníci tentokrát odkazují na domnělé roční vyúčtování a vzniklý přeplatek,“ říká Jan Svoboda, ředitel odboru bezpečnosti VZP.
Bezpečnostní experti varují, že pojišťovna tímto způsobem nikdy nekomunikuje. Skutečná VZP po svých klientech nepožaduje přihlášení do banky skrze e-mailové odkazy.
Svoboda v této souvislosti důrazně nabádá k obezřetnosti: „VZP tímto způsobem přeplatky nevrací, po klientech přihlášení k bankovním účtům nikdy nevyžaduje. Opět zdůrazňuji, že každý, kdo takový e-mail obdrží, by neměl na nic klikat, a pokud to ze zvědavosti udělá, rozhodně by neměl nic vyplňovat. Vystavuje se vysokému riziku, že přijde o peníze z účtu, jako se tomu už v řadě případů stalo při podobných útocích kyberšmejdů nejen na klienty zdravotních pojišťoven.“
Téměř dokonalý zločin
Ačkoliv grafika může působit dokonale, pozornému oku neunikne několik varovných signálů. Tím hlavním je e-mailová adresa odesílatele a samotná URL adresa webu, na který odkaz vede. Podvodné zprávy přicházejí z nesmyslných domén, jako je například „schueler-bkvie.de“, a formuláře se otevírají na webech s koncovkami, které nemají s Českou republikou nic společného.
„V posledních dnech rozesílané e-maily s údajným přeplatkem jsou velmi zdařilé a mimořádně uvěřitelné. Klienti by měli vždy bedlivě sledovat, zda jsou skutečně na webové stránce VZP, a také věnovat pozornost e-mailovým adresám, ze kterých zprávy dostávají,“ dodává Svoboda. Formuláře se následně otvírají například na webu „waha-audit.ps“. Už z toho je patrné, že se jedná o podvod. Jedinou oficiální doménou pro komunikaci zůstává vzp.cz.
Pokud si chcete ověřit svůj skutečný stav konta, jedinou bezpečnou cestou je přes oficiální aplikaci Moje VZP nebo osobně navštívit pobočky. V případě, že jste už své údaje do falešného formuláře zadali, zkontaktujte svou banku a policii. Sdílení těchto informací s okolím, zejména se seniory, může zabránit dalším finančním ztrátám v rámci této agresivní podvodné kampaně.
