Všichni jsme slyšeli o e-mailovém phishingu, jehož cílem je přimět příjemce k předání citlivých informací nebo stažení malware. Vishing je jeho telefonický ekvivalent. Je to trik s mnoha variantami, které mohou ovlivnit jednotlivce i organizace, s potenciálně zničujícími důsledky.
V roce 2020 celkově phishing, smishing (SMS podvod), pharming (přesměrování návštěvníku webu z legitimního na rizikový) a vishing nasbíraly 241 000 obětí a škody dosáhly 54 milionů dolarů. A to mluvíme pouze o případech, které oběti nahlásily FBI.
V Česku nemáme dostupná data o výši škod. Nicméně podle České bankovní asociace vzrostl za první pololetí roku 2020 počet vishingových útoků šestkrát (data se týkají jen útoků, kdy se volající vydává za bankéře).
Sociální inženýrství po telefonu je přesvědčivé
Vishing zneužívá metody sociálního inženýrství. Ty ostatně zneužívají útočníci běžně, jde o umění přesvědčit. Zpravidla útočník vydává za nějakou důvěryhodnou osobu – zástupce banky, známé instituce, poskytovatele IT služeb – a vymyslí si fiktivní naléhavou záležitost. Dobře podaná manipulace potlačí veškerou přirozenou opatrnost nebo podezření, které může oběť mít.
“ Vishing funguje napříč spotřebitelskou a obchodní sférou z jednoho prostého dobrého důvodu: vsází na lidskou omylnost. ” |
Tyto techniky se používají ve phishingových e-mailech a falešných textových zprávách (známých jako smishing). Ale pravděpodobně nejúčinnější jsou „naživo“ po telefonu. Útočníci stojící za vishingem používají ještě další taktiky. Například:
- Spoofing (neboli falšování identity volajícího)
Jde o postupy, jak skrýt skutečnou polohu podvodníka nebo zfalšovat číslo volajícího. Hovor pak zdánlivě přichází z Česka z telefonního čísla důvěryhodné organizace.
V loňském roce například došlo k odcizení osobních údajů hostů luxusního hotelu Ritz v Londýně. Útočníkům se totiž podařilo napodobit oficiální číslo hotelové recepce. A prostě volali obětem, že je nutné ověřit několik drobností. - Podvody vedené přes několik kanálů
Podobné podvody mohou začít smishingovou textovou zprávou, phishingovým e-mailem nebo hlasovou schránkou a přimět uživatele, aby zavolal na uvedené číslo. Útočník se takto dostane k oběti přímo, aniž by musel v telefonátu přesvědčovat oběť, že je o legitimní záležitost.
- Sběr informací ze sociálních sítí nebo veřejných zdrojů (scrapping)
Sociální sítě i oficiální kanály (například web firmy) mohou podvodníkovi poskytnout množství informací o potenciálních obětech. Informace lze využít k cílení na konkrétní jednotlivce (řekněme firemní zaměstnance s privilegovanými účty) a přidání legitimity podvodu. Útočníkovi stačí jen zopakovat veřejně dostupná data, aby příjemce hovoru přesvědčil.
Možné dopady vishingu na firmy
Vishing se ve firemním prostředí používá zejména k odcizení privilegovaných přihlašovacích údajů. Už před rokem varovaly americké úřady před sofistikovaným podvodem, kdy se se útočníci vydávali za techniky z IT helpdesku. Pod falešnými záminkami vyzývali oběti, aby vyplnily přihlašovací údaje na předem připraveném phishingovém webu, který imitoval přihlašovací stránku k VPN. Tyto údaje následně zneužívali pro přístup k databázím osobních údajů zákazníků. Podobný typ podvodu už jsme zachytili i v Česku.
Podle dostupných informací právě prostřednictví vishingu získali útočníci přístup k Twitterovým účtům slavných s osobností vloni v červnu. To je dokazuje, že naletět mohou i zaměstnanci technologických firem, kteří jsou pravděpodobně zběhlejší.
Jak vishing ohrožuje soukromé uživatele
Bohužel útočníci míří také na spotřebitele. U těchto útoků je konečným cílem vydělat peníze, buď krádeží informací o bankovním účtu nebo kartě, nebo tím, že oběť přimějí předat osobní či přihlašovací údaje.
V takovém případě je nutné co nejdříve kontaktovat vaši banku a Policii ČR. V některých případech je možné transakce zastavit. Policii je nutné kontaktovat také v případě, že jste útočníkům předali nějaký doklad totožnosti, číslo občanského průkazu a podobně. Z preventivních důvodů si nechte vystavit doklady nové. Doporučení pro soukromé uživatele, kteří přišli o nějaké údaje, najdete v tomto článku.
Jak vypadá typický vishing
Tech support scam
Při tomto typu vishingu se volající vydává za technickou podporu. Typicky jsme se v Česku setkali s těmito scamy na jaře, kdy docházelo ke zneužití zranitelnosti Microsoft Exchange serverů. Útočníci obvolávali firmy, s tím, že jsou technicky společnosti Microsoft (takže nevadil ani cizí dialekt nebo angličtina) a chtějí vám pomoci vyřešit potenciální problém.
Obecně se v takovém případě útočník dožaduje vzdáleného přístupu přes nástroje typu TeamViewer, chce sdělit citlivé údaje nebo požaduje, abyste stáhli nějaký software. Tyto podvody mohou také začínat tím, že se uživateli zobrazí vyskakovací okno, které je nutí zavolat na číslo infolinky.
Bankovní podvod
Častým terčem těchto útoků jsou banky, přesněji úspory uživatelů. V tomto případě útočník zavolá oběti a vydává se pracovníka banky. Varuje uživatele, že banka eviduje platby z karty v zahraničí a že je nutné platby autorizovat. Zpravidla tímto uživatele, který je v Česku, vyděsí a ten je ochoten spolupracovat. Pro zablokování karty je podle volajícího nutné zadat číslo a CVV kód z karty. Pod podobně naléhavou záminkou může útočník požadovat přihlašovací údaje k internetovému bankovnictví.
Není výjimkou, že útočníci telefonují v nočních hodinách, kdy je příjemce hovoru rozespalý a zmatený.
Wardialing
Wardialing je technika, kdy útočník pomocí speciálního software volá na velké množství telefonních čísel a zjišťuje, která čísla se připojují k modemům a dalším zajímavým zařízením. Cílem je najít zranitelná místa v IT architektuře, která by mohli využít v dalších útocích.
V případě, že hovor někdo zvedne, mohou mít útočníci nachystaný automatický vzkaz, který má uživatele vyděsit – například informací o neuhrazené faktuře, dluhu na daních a podobně. Útočník pak uživatele vyzve k zadání osobních a citlivých dat nebo k tomu, aby zavolat zpět.
Telemarketing
Další populární taktikou je tvrzení, že příjemce vyhrál nějakou lukrativní cenu. Pro předání výhry je ale nutné předem uhradit drobný administrativní poplatek.
Phishing/smishing
Některé podvody mohou začínat falešným e-mailem nebo SMS, které uživatele vybízejí k volání na číslo. Typicky může jít o e-mail z e-shopu, který zákazníka upozorňuje, že něco v nepořádku s objednávkou a problém lze vyřešit na čísla 123 456 789. Pochopitelně, že takový e-mail může být i legitimní - skutečně vás e-shop může požádat, abyste telefonicky potvrdili objednávku.
V tomto případě je na místě zavolat na linku obchodu (například z webu či faktury) nikoli tu uvedenou v záhlaví e-mailu a také prověřit, zde e-mail odešel ze skutečné adresy.
Jak vishing rozeznat a bránit se?
Přestože jsou některé z těchto podvodů stále sofistikovanější, rizika se dají snížit. Doporučujeme dodržovat tyto kroky.
- Dbejte na to, aby vaše číslo nebylo veřejně dostupné. Nezveřejňujte jej, není-li to nutné.
- Nezadávejte své telefonní číslo do žádných online formulářů.
- Zda vaše číslo neuniklo z nějaké online databáze si můžete ověřit na stránce HaveIBeenPawned.com.
- Pokud obdržíte telefonický požadavek z banky, buďte obezřetní. Finanční instituce nikdy po telefonu nevyžadují hesla, PINy nebo CVV kódy z karet.
- Citlivé údaje nikdy nepotvrzujte po telefonu.
- Nikdy nevolejte zpět na číslo v hlasové schránce. Vždy se obraťte přímo na organizaci, která vás kontaktovala.
- Používejte vícefaktorové ověřování (MFA) na všech online účtech.
- Aktualizujte softwarové vybavení počítače, včetně bezpečnostního programu.
Pokud máte pocit, že nějaký telefonát není korektní, důsledně si prověřte identitu volajícího. Můžete po něm žádat jméno a to si ověřit u organizace, kterou má zastupovat. Dotazovat se můžete také na interní informace, které by cizí člověk neměl, třeba číslo smlouvy, adresy, jméno obchodního zástupce, se kterým jste zvyklí jednat, nebo například výši měsíční faktura. Tedy na údaje, které nejdou zjistit z žádného úniku dat.
Neváhejte podezřelý telefonát ukončit a zavolat přímo na linku dodavatele či instituce.
