Vishing
Co je vishing?
Vishing (nebo také hlasový phishing či voice phishing) je typ phishingového útoku, který používá hlasový hovor a techniky sociálního inženýrství. Útočníci se prostřednictvím podvodného telefonátu snaží získat citlivé nebo platební údaje, případně vás rovnou přimět k převodu peněz.
Útočníci se v telefonátu často vydávají za pracovníky legitimní organizace, banky nebo dokonce za zaměstnance policie či úřadů. Typickým pro tento tento typ útoku je tlak a práce se strachem.
Jak funguje vishing?
Někdy hlasové phishingové útoky provádějí automatické systémy převodu textu na řeč, někdy vám skutečně volá živý volající. V dnešní době už nelze spoléhat na to, že podvodník bude mluvit lámanou češtinou. Naopak!
Útočník se snaží pomocí psychologického nátlaku a manipulace vymámit z oběti informace potřebné k převodu peněz, nejčastěji osobní údaje, přihlašovací údaje (do internetového bankovnictví) nebo platební údaje (např. číslo a CVC/CVV kód platební karty). Vše obvykle končí převodem peněz na účet podvodníka.
Díky schopnosti využívat strojové učení (ML) pro tvorbu syntetických hlasů představují velkou hrozbu pro firmy útoky, při kterých podvodníci pomocí nástrojů založených na ML napodobují v reálném čase hlas vysokého představitele společnosti. I v těchto případech používají útočníci nátlak a manipulaci, aby získali citlivé informace nebo přiměli oběť k převodu finančních prostředků.
Někdy se útočníkům podaří zfalšovat číslo společnosti (odborně spoofing), které se objeví na displeji vašeho mobilu. Proto buďte i v takovém případě obezřetní.
Na koho se podvodníci nejčastěji zaměřují a jaké jsou nejčastější scénáře podvodného volání? Na tyto otázky odpovídal pplk. Ondřej Kapr v našem podcastu TruePositive. Poradí také, jak se mohou jednotlivci i firmy vishingu bránit.
Poznáte vishing?
Ačkoli jde o velmi často o promyšlené podvody, je možné je poznat. Níže najdete znaky podvodných telefonátů:
- Telefonní číslo, které se objeví na obrazovce vašeho telefonu bude vypadat podezřele. Může být např. velmi krátké nebo obsahovat zvláštní předvolbu. Bohužel podvodníci mohou využít tzv. spoofing, kdy útočník dokáže napodobit jakékoli číslo.
- Zločinec je nekonkrétní, např. nezná ani vaši banku a mumlá své falešné jméno, pracovní pozici a uvádí obecné informace, aby od vás získal skutečné osobní údaje, s nimiž může dále pracovat.
- Hovor se ve vás snaží vyvolat pocit naléhavosti. Útočník talčí na to, abyste reagovali okamžitě nebo se něco stane (například přijdete o úspory).
- Hovor vás staví do role zachránce. Když poskytnete útočníkovi informace, „zachráníte“ vašeho kolegu, šéfa nebo dokonce celou firmu.
- Volají po vás vyžaduje citlivé údaje - jako jsou hesla nebo údaje z karty či čísla vašich dokladů
Časté slovní obraty podvodných telefonátů
- „Volám z vaší banky/pojišťovny...“ / „Jsem policista...“ / „Jsem váš dodavatel...“ / „Jsem z platebního oddělení vaší banky“ / „Volám z technické podpory Microsoft...“
- „Zjistili jsme na vašem účtu podvod.“ / „Vaše karta byla zneužita.“ / „Vaše platba neproběhla.“ / „Vaše platba je po splatnosti.“ / „Musíte provést převod na bezpečný účet.“
- „Budu potřebovat údaje o vaší kartě...“ / „Musím vás ověřit“ / „Z bezpečnostních důvodů...“ / „Pro ověření vaší identity...“ / „Abychom mohli zablokovat vaši kartu, musíte...“
- „Potvrďte prosím heslo k účtu.“ / „Potvrďte prosím svůj kód do internetového bankovnictví.“ / „Naťukejte do telefonu svůj PIN...“ / „Přijde vám SMS“ / „Nadiktujte mi kód, který vám přijde“ / „Jaký je váš CVV kód?
Přiručka o sociálním inženýrství
Stáhněte si zdarma náš e-book, kde zjistíte, jak poznat podvodnou zprávu nebo telefonát. Odhalte techniky sociálního inženýrství.
Typy podvodných telefonátů
Zaměstnanec banky
Podvodník se vydává nejčastěji za bankovního úředníka, který vám volá z pověření bankovní instituce a předstírá, že je součástí technické podpory pro kontrolu platebních operací. Důvodem hovoru může být naléhavá informace, že vaše karta byla zneužita. Následně vám nabízí okamžité řešení domnělého problému – pomůže vám se zablokováním karty. Vyžaduje po vás číslo karty, datum platnosti a CVC/CVV kód, s nimiž za vás provede na pozadí bankovní operaci a po vás vyžaduje potvrzovací kód pro uskutečnění převodu. To vše pod pláštěm nutnosti ověření vaší bankovní identity. Útočník zůstává na lince a působí velmi důvěryhodně, dokud nedosáhne svého cíle – získání vašich finančních prostředků.
Investiční makléř
Druhým častým případem podvodného scénáře je investiční makléř, který vám nabízí výhodnou investici do akcií významné firmy. Útočník se vydává za zaměstnance této firmy nebo za makléře renomované investiční společnosti či banky. Pro uskutečnění investice po vás vyžaduje přihlášení do internetového bankovnictví a převod peněz na jeho účet. Ochotně vám nabízí pomoc s využitím nástrojů pro vzdálenou správu (např. TeamViewer, AnyDesk aj.). Pokud se nachytáte, získá útočník nejen kontrolu nad vaším bankovním účtem, ale i nad vaším počítačem, kam může nainstalovat třeba malware.
Jak se proti vishingu bránit?
Většina lidí se domnívá, že dokáže rozpoznat vishingový podvod. Ve stresu ale snadno podlehneme naléhavé žádosti o citlivé údaje. Že něco nehraje nám dojde obvykle, až když je pozdě. Proto vám nabízíme návod, jak vishing rozeznat a na podvodné telefonáty nenaletět.
1. Dejte si pozor na nevyžádané telefonní hovory. Zvláště na pozoru byste měli být, pokud volající tvrdí, že je zástupcem banky nebo společnosti, pro kterou pracujete nebo s níž jste byli nedávno v kontaktu.
Útočníci často ovlají v podivnou denní dobu - například uprostřed noci. Skutečný hovor by probíhal v úředních hodinách.
2. Ověřte si identitu volajícího. Zeptejte se ta následující informace:
- Jméno
- Instituci či společnost, kterou zastupuje.
- Zeptejte se na nějakou interní informaci - například číslo vaší smlouvy, cokoli co by věděl jen legitimní pracovník.
Pokud tyto informace volající nemá neo je nesdělí, nereagujte a dovnou zavěste. Zaměřte se také na formu hovoru - banky či úřady mají jistý standard. Pokud je volající hrubý nebo používá nezvyklá slova, jde patrně o podvod.
Jak prověřit telefonní číslo?
Zda se jedná o podvodné telefonní číslo, si můžete ověřit jednoduchým způsobem: číslo volající si vyhledejte. Příklad stránky, kde můžete ověřit podezřelé číslo je např. www.vyhledatcislo.cz. Chcete-li mít jistotu, prověřte číslo ve více různých databázích.
3. Pokud podezřelý volající naléhá, hovor okamžitě ukončete. Zavolejte do organizace na telefonní číslo, které běžně používáte. Nikdy nevolejte zpět na podvodné telefonní číslo.
Uvědomte ji o podvodném telefonátu. Číslo útočníka také předejte Policii ČR. Nikdy nevolejte zpět na číslo útočníka. Číslo můžete také zablokovat na svém telefonu.
4. Podvodníci mohou získat vaše základní osobní údaje na internetu (např. na sociálních sítích). Nepředpokládejte, že volající je důvěryhodný jen proto, že zná vaše jméno nebo disponuje nějakou vaší osobní informací.
Jak zablokovat podvodné číslo na mobilu?
Pokud používáte ESET Mobile Security, využijte funkci Filtr hovorů. Filtr hovorů blokuje příchozí a odchozí hovory v závislosti na pravidlech, která jste si nastavili. Pokud zablokujete příchozí hovor z podvodného telefonního čísla, útočník se vám již nedovolá.
Pokud chcete zablokovat hovor z naposledy přijatého telefonního čísla, ťukněte v aplikace na možnost Blokovat posledního volajícího.
Pokud máte operační systém Android nebo iOS, snadno zablokujete číslo přímo z výchozí aplikace pro volání. Jděte na detail čísla a v možnostech zvolte zablokovat volajícího nebo přidat na černou listinu.
5. Nikdy s nikým nesdílejte heslo do internetového bankovnictví, číslo platební karty, PIN, CVC/CVV kód nebo jiné citlivé osobní údaje. Banka ani úřady po vás nikdy tyto údaje chtít nebudou.
6. Nikdy nepřevádějte peníze ze svého bankovního účtu na jiný účet na žádost neověřené osoby. Banka po vás nikdy takový převod žádat nebude.
7. Jakýkoli podezřelý hovor z banky nahlaste vaší bance prostřednictvím její oficiální infolinky.