Vishing

Co je vishing?

Vishing (tzv. hlasový phishing nebo voice phishing) je typ phishingového útoku, který používá hlasový hovor a techniky sociálního inženýrství. Útočníci se prostřednictvím telefonního hovoru snaží z oběti vylákat osobní nebo platební údaje, nebo ji rovnou přimět k převodu peněz. Zjednodušeně řečeno jde o podvodné volání.

Jak funguje vishing?

Hlasové phishingové útoky se obvykle provádějí pomocí automatických systémů převodu textu na řeč, které oběť nasměrují k volání na číslo ovládané útočníkem. Někdy jsou útoky rovnou uskutečněné živým volajícím. Útočník se poté snaží pomocí psychologického nátlaku vymámit z oběti informace potřebné k převodu peněz, nejčastěji osobní údaje, přihlašovací údaje (do internetového bankovnictví) nebo platební údaje (např. číslo a CVC/CVV kód platební karty). Vše obvykle končí převodem peněz na účet podvodníka.

Díky schopnosti využívat strojové učení (ML) pro tvorbu syntetických hlasů představují velkou hrozbu pro firmy útoky, při kterých podvodníci pomocí nástrojů založených na ML napodobují v reálném čase hlas vysokého představitele společnosti a přesvědčují zaměstnance k převodu peněz.

Poznáte vishing?

Pomocí následujících tipů by pro vás mělo být snadnější ubránit se vishingu.

  • Telefonní číslo, které se objeví na obrazovce vašeho telefonu bude vypadat podezřele. Může být např. velmi krátké nebo obsahovat zvláštní předvolbu. Bohužel podvodníci mohou využít tzv. spoofing, kdy útočník dokáže napodobit jakékoli číslo. Spoofingu často podlehnou i pokročilejší a obezřetnější uživatelé, kteří spoléhají na dříve bezpečné ověření kontaktu přes email či telefonní číslo.
  • Zločinec je nekonkrétní, např. nezná ani vaši banku a mumlá své falešné jméno, pracovní pozici a uvádí obecné informace, aby od vás získal skutečné osobní údaje, s nimiž může dále pracovat.
  • Hovor se ve vás snaží vyvolat pocit naléhavosti. Útočník naznačuje, že mohou nastat problémy, pokud nebudete jednat rychle.
  • Podezřelé číslo můžete ověřit ve veřejně dostupných databázích mobilních čísel nebo jej jednoduše zadat do Googlu a zjistit, že patří podvodníkovi.
  • Hovor vás staví do role zachránce. Když poskytnete útočníkovi informace, „zachráníte“ vašeho kolegu, šéfa nebo dokonce celou firmu.

Časté slovní obraty podvodných telefonátů

  •  „Volám z vaší banky/pojišťovny...“ / „Jsem policista...“ / „Jsem váš dodavatel...“ / „Jsem z platebního oddělení vaší banky“
  • „Zjistili jsme na vašem účtu podvod.“ / „Vaše karta byla zneužita.“ / „Vaše platba neproběhla.“ / „Vaše platba je po splatnosti.“ / „Musíte provést převod na bezpečný účet.“
  • „Budu potřebovat údaje o vaší kartě...“ / „Musím vás ověřit“ / „Z bezpečnostních důvodů...“ / „Pro ověření vaší identity...“ / „Abychom mohli zablokovat vaši kartu...“
  • „Potvrďte prosím heslo k účtu.“ / „Potvrďte prosím svůj kód do internetového bankovnictví.“ / „Naťukejte do telefonu svůj PIN...“ / „Přijde vám SMS“ / „Nadiktujte mi kód, který vám přijde“ / „Jaký je váš CVV kód?

Přiručka o sociálním inženýrství

Stáhněte si zdarma náš e-book, kde zjistíte, jak poznat podvodnou zprávu nebo telefonát. Odhalte techniky sociálního inženýrství.

STÁHNOUT

Typy podvodných telefonátů?

Zaměstnanec banky

Podvodník se vydává nejčastěji za bankovního úředníka, který vám volá z pověření bankovní instituce a předstírá, že je součástí technické podpory pro kontrolu platebních operací. Důvodem hovoru může být naléhavá informace, že vaše karta byla zneužita. Následně vám nabízí okamžité řešení domnělého problému – pomůže vám se zablokováním karty. Vyžaduje po vás číslo karty, datum platnosti a CVC/CVV kód, s nimiž za vás provede na pozadí bankovní operaci a po vás vyžaduje potvrzovací kód pro uskutečnění převodu. To vše pod pláštěm nutnosti ověření vaší bankovní identity. Útočník zůstává na lince a působí velmi důvěryhodně, dokud nedosáhne svého cíle – získání vašich finančních prostředků.

Investiční makléř

Druhým častým případem podvodného scénáře je investiční makléř, který vám nabízí výhodnou investici do akcií významné firmy. Útočník se vydává za zaměstnance této firmy nebo za makléře renomované investiční společnosti či banky. Pro uskutečnění investice po vás vyžaduje přihlášení do internetového bankovnictví a převod peněz na jeho účet. Ochotně vám nabízí pomoc s využitím nástrojů pro vzdálenou správu (např. TeamViewer, AnyDesk aj.). Pokud se nachytáte, získá útočník nejen kontrolu nad vaším bankovním účtem, ale i nad vaším počítačem, kam může nainstalovat třeba malware.

Jak se proti vishingu bránit?

Většina lidí se domnívá, že dokáže rozpoznat vishingový podvod. Ve stresu ale snadno podlehneme naléhavé žádosti o citlivé údaje. Že něco nehraje nám dojde obvykle, až když je pozdě. Proto vám nabízíme návod, jak vishing rozeznat a na podvodné telefonáty nenaletět.

Bezpečnostní pravidla

1. Dejte si pozor na nevyžádané telefonní hovory. Zvláště na pozoru byste měli být, pokud volající tvrdí, že je zástupcem banky nebo společnosti, pro kterou pracujete nebo s níž jste byli nedávno v kontaktu.

Jak prověřit telefonní číslo?

Zda je telefonní číslo podvodné můžete ověřit jednoduchým způsobem. Podívejte se do výpisu volání na mobilu a číslo přepište nebo zkopírujte do vašeho oblíbeného vyhledávače. Jelikož je každé číslo jedinečným řetězcem číslic, lze jej snadno nalézt ve veřejně dostupných databázích, které internetové vyhledávače pravidelně indexují. Pokud je číslo podvodné, najdete v online databázi popsané zkušenosti ostatních uživatelů. Příklad stránky, kde můžete ověřit číslo je např. https://www.vyhledatcislo.cz/. Chcete-li mít jistotu, prověřte číslo ve více různých databázích.

2. Hovor ukončete a druhé straně například oznamte, že zavoláte později.

3. Vyhledejte v důvěryhodném zdroji telefonní číslo instituce, za níž se volající vydával, a zavolejte ji napřímo. Uvědomte ji o podvodném telefonátu. Číslo útočníka také předejte Policii ČR. Nikdy nevolejte zpět na číslo útočníka. Číslo můžete také zablokovat na svém telefonu.

Jak zablokovat podvodné číslo na mobilu?

Pokud používáte ESET Mobile Security, využijete funkci Filtr hovorů. Filtr hovorů blokuje příchozí a odchozí hovory v závislosti na pravidlech, která jste si nastavili. Pokud zablokujete příchozí hovor z podvodného čísla, útočník se vám již nedovolá. Pokud chcete zablokovat hovor z naposledy přijatého telefonního čísla, ťukněte v aplikace na možnost Blokovat posledního volajícího.Pokud máte operační systém Android nebo iOS, snadno zablokujete číslo přímo z výchozí aplikace pro volání. Jděte na detail čísla a v možnostech zvolte zablokovat volajícího nebo přidat na černou listinu.

4. Podvodníci mohou získat vaše základní osobní údaje na internetu (např. na sociálních sítích). Nepředpokládejte, že volající je důvěryhodný jen proto, že zná vaše jméno nebo disponuje nějakou vaší osobní informací.

5.Nikdy s nikým nesdílejte heslo do internetového bankovnictví, číslo platební karty, PIN, CVC/CVV kód nebo jiné citlivé osobní údaje. Banka po vás nikdy tyto údaje chtít nebude.

6. Nikdy nepřevádějte peníze ze svého bankovního účtu na jiný účet na žádost neověřené osoby. Banka po vás nikdy takový převod žádat nebude.

7. Jakýkoli podezřelý hovor z banky nahlaste vaší bance prostřednictvím její oficiální infolinky.

To nejdůležitější raději zopakujeme. Banka po vás nikdy nebude chtít po telefonu ani v e-mailu vaše bankovní údaje nebo jiné citlivé informace.

Další články k tématu

Slovník pojmů

Související odkazy

Antivirus pro domácnosti

Počítačové viry

Další pojmy