Co se stalo
Na Bazoši jsem podal úplně obyčejný inzerát. Hned druhý den ráno se ale spustila lavina. Během jediného dopoledne mi z jedné a téže falešné adresy přišlo šest e-mailů, které se tvářily jako oficiální podpora Bazoše. Všechny v různých obměnách strašily, že můj inzerát byl nahlášen jako podvod a že mi zablokují účet a smažou inzeráty, pokud okamžitě nepošlu telefonní číslo. Číslo jsem nakonec schválně poslal, ale jen ze zvědavosti, jestli to bude pokračovat dál. Rovnou ale říkám, že tohle byste dělat neměli, za chvíli vysvětlím proč. Vzápětí totiž přišla ta hlavní past, žádost o ověřovací kód. A ten už jsem samozřejmě neposlal.
Jak e-maily vypadaly
Nešlo o jednu zprávu, ale o celou sérii. Podvodné e-maily chodily jeden za druhým už od 8:46 zhruba do poledne. Byly to variace na stejné téma: nervózní tón, velká písmena, výhrůžky a naléhání, ať okamžitě pošlu číslo. Některé byly psané zdánlivě formálně, jiné samá velká písmena a s pravopisnými chybami, třeba „VÁŠ INZERÁT BUDE VYMAZÁNO", což u opravdové podpory nedává smysl. Lišil se i podpis, jednou „Oddělení kontroly a bezpečnosti účtů", jindy „Poptávka z Bazos.cz". Také předmět zpráv byl nesmyslná směsice slov, která s ničím nesouvisela.
A tady pozor na jednu důležitou věc. Ranní zprávy dorazily úplně bez varování, schránka je nijak neoznačila. Teprve pozdější kusy série systém označil jako nevyžádanou poštu. Kdybych se spoléhal jen na to, že mě e-mail před spamem sám varuje, ty první by mě neochránily. Nespoléhejte proto na to, že podvod za vás vždycky odchytí filtr.
Když jsem nakonec na jednu z výhrůžek odpověděl telefonním číslem, přišla obratem eskalace. Poslední zpráva už nechtěla číslo, ale ověřovací kód, který mi prý dorazil na mobil.
Signál 1: kdo to doopravdy poslal
Nejsilnější důkaz podvodu byl u odesílatele. Zobrazené jméno bylo „podpora@bazos.cz", ale skutečná adresa v ostrých závorkách byla jaromir.dua@seznam.cz. To je běžná zdarma zřízená adresa na Seznamu, jakou si během pár minut založí kdokoli. Podvodník si k ní jen nastavil zobrazované jméno tak, aby to vypadalo jako Bazoš.
Tady je zlaté pravidlo, které platí vždycky. Velké portály a jejich podpora nikdy nepíšou z freemailu. Bazoš navíc nepatří Seznamu, provozuje ho soukromá osoba a jeho oficiální podpora komunikuje jedině z adresy v doméně bazos.cz. Jakmile je za zavináčem seznam.cz, gmail.com nebo cokoli podobného, i kdyby text tvrdil, že jde o podporu, je to podvod.
Co na to řekla skutečná podpora Bazoše
Celý případ jsem nahlásil a napsal přímo na oficiální podporu Bazoše. Odpověď z adresy podpora@bazos.cz přišla ještě téhož dne odpoledne a jednoznačně potvrdila, že jde o podvod:
„Dobrý den, tyto e-maily nejsou zasílány námi. Jedná se o pokus o phishingový útok. Informace o jakémkoli ověření nikdy neposíláme e-mailem. Ověření přes bankovní účet se provádí pouze přes server Bazoš.cz."
Podpora Bazoš.cz, Filip
Z toho plyne jasné vodítko do budoucna. Bazoš vás nikdy nežádá o ověřovací údaje e-mailem a jakékoli ověření, včetně toho přes bankovní účet, řešíte výhradně přímo na jeho webu. Nikdy ne přes odkaz nebo výzvu z došlé zprávy.
Signál 2: nátlak a strašení
Celý e-mail byl postavený na strachu. Velká písmena, hrozba, že o inzeráty a číslo hned přijdete, a tlak jednat okamžitě. To není náhoda. Cílem je vypnout vaše racionální uvažování, abyste ze strachu udělali rychlý krok dřív, než se stačíte zamyslet. Skutečná podpora vám nikdy nevyhrožuje a nenutí vás jednat během minut.
Signál 3: neposílejte vůbec nic
Podvodník nejdřív chtěl jen telefonní číslo. To jsem mu schválně poslal, ale byla to chyba, kterou byste opakovat neměli, a udělal jsem to jen ze zvědavosti. I když je moje číslo veřejně přímo v inzerátu, poslat ho podvodníkovi je něco jiného než mít ho vystavené v inzerátu. Odpovědí jsem mu totiž potvrdil, že za tou adresou je živý a ochotný člověk. Takové číslo pak pro podvodníky získává cenu, putuje do jejich databází, prodává se dál a vrací se v podobě dalších podvodných hovorů a zpráv, falešných výher nebo triků přes telefonního operátora. Proto platí jednoduché pravidlo: na takovou zprávu nereagujte a neposílejte nic, ani číslo.
A pak je tu úplně nejcitlivější věc, o kterou tomuhle podvodníkovi šlo především, ověřovací kód. Ten je něco úplně jiného než telefonní číslo. Kód nebo heslo je tajný údaj, který funguje jako klíč k účtu. Kdo ho má, může se za vás přihlásit a účet vám převzít. Bazoš ověřování přes SMS kód opravdu používá, čehož tenhle podvod zneužívá. Ověřovací kód ani heslo proto nedáte nikomu, nikdy a za žádných okolností, ať se vás ptá kdokoli.
Jak mě vůbec našli
Zajímavá je i rychlost. Inzerát jsem podal 26. června v 15:44, což mi potvrdil skutečný e-mail od Bazoše z adresy inzerat@bazos.cz. Podvodné e-maily se spustily hned druhý den ráno, první už v 8:46, a během dopoledne jich přišlo šest. Takováhle rychlost zřejmě znamená, že za tím nestojí člověk, který by ručně procházel nové inzeráty, ale automat. Ten pravděpodobně průběžně sbírá čerstvé inzeráty i s veřejnými telefonními čísly a druhý den na ně dávkově rozešle podvodné zprávy.
Dává to smysl, protože celý tenhle typ podvodu je hra s čísly. Zkouší se to ve velkém, klidně stovky nebo tisíce zpráv denně, a stačí, když se občas chytí jeden člověk, podobně jako na rybách. Dělat to ručně by bylo neefektivní, takže je logické, že to běží samo.
Proč to vůbec funguje
Podvodníci sázejí na sociální inženýrství. Nechtějí po vás hned něco velkého, ale udělají logický první krok, který odpovídá situaci, tedy že jste právě podali inzerát. Využívají důvěru v prostředí, které znáte, a k tomu strach, že o něco přijdete. Ve spojení s uspěchaným tónem to na spoustu lidí zabere. Nejste hloupí, jen jste narazili na trik, který je na tohle přesně stavěný.
Co dělat, když vám takový e-mail přijde
- Neodpovídejte a na nic neklikejte. Jakmile zareagujete, potvrdíte podvodníkovi, že jste živý cíl, a přijdou další pokusy. Přesně to se mi stalo, po mojí odpovědi dorazila eskalace, která už chtěla ověřovací kód.
- Neposílejte žádné údaje. Ani telefonní číslo, ani kód, ani heslo. I zdánlivě neškodný údaj, jako je číslo z inzerátu, dostane podvodník odpovědí potvrzený a použije ho k dalším pokusům.
- Zkontrolujte skutečnou adresu odesílatele. Ne zobrazené jméno, ale to, co je v ostrých závorkách za ním.
- Označte zprávu jako spam a případně ji rovnou smažte.
- Ověřte si to u skutečné podpory. Napište na oficiální kontakt Bazoše (podpora@bazos.cz) nebo přes formulář na jeho webu. Závažnější případy lze nahlásit i Policii ČR.
Na co si dát pozor dál
Pokud jste na podobný e-mail už zareagovali, počítejte s tím, že se pokusy mohou opakovat, klidně i přes SMS nebo WhatsApp. Podvodník teď ví, že vaše číslo je aktivní a že na zprávy reagujete. Platí stále totéž: žádné kódy, žádná hesla, a když si nejste jistí, ověřte si vše přímo u oficiální podpory, nikdy ne přes odkaz nebo číslo z podezřelé zprávy.
Na závěr
Automatizované podvody kolem inzertních serverů nejsou nic výjimečného a jsou rozesílané ve velkém. Dobrá zpráva je, že obrana je jednoduchá. Na podobnou zprávu vůbec nereagujte a neposílejte nikomu nic, ani telefonní číslo, ani kód, ani heslo. I zdánlivě neškodný údaj, jako je číslo z inzerátu, má pro podvodníky cenu. Jakmile jednou odpovíte, potvrdíte, že jste živý a ochotný cíl, vaše číslo putuje do jejich databází a vrací se v podobě dalších hovorů, zpráv a pokusů o podvod. Ověřovací kód a heslo pak nedávejte nikomu za žádných okolností. A když na vás někdo tlačí strachem a spěchem, je to skoro vždy důvod zpomalit, ne zrychlit.
Zdroje: Oficiální kontakt a informace o provozovateli Bazoše: bazos.cz/kontakt. Text vychází z osobní zkušenosti a přiložených screenshotů, údaje o provozovateli jsou ověřeny z oficiálních zdrojů Bazoše.