Kyberzločinci neustále vylepšují svoje techniky, a tak když už jsme si zvykli na phishing, tedy podvržené e-maily, prostřednictvím kterých se z nás zločinci snaží vylákat citlivé osobní údaje, objevují se další nové, velmi přesvědčivé způsoby útoků.
Je to asi rok, co se v sítích českých mobilních operátorů začal vyskytovat nový typ podvodů, označovaný jako vishing. Název vishing je složenou slov „voice“ a „phishing“, tedy hlasový phishing – česky řekněme podvržená (podvodná) volání. Jak takové podvody vypadají?
Na displeji vašeho telefonu se objeví číslo klientské linky vaší banky a volající, který se představí jako její zaměstnanec, vám naléhavým tónem sděluje, že jsou peníze na vašem účtu v ohrožení a že je nezbytné okamžitě jednat. Vaše peníze je možné zachránit jedině tak, že sdělíte vaše přihlašovací údaje k internetovému bankovnictví, nadiktujete volajícímu údaje z platební karty, nebo je sami aktivně převedete na jiný účet, jehož číslo vám nyní váš zachránce ochotně nadiktuje.
Předem připravený podvod
Možná si myslíte, že takový podvodu jde snadno prokouknout. Poškozených jsou ale přinejmenším desítky a škody jdou do milionů. Je třeba si uvědomit, že podvodníci jsou na každý hovor dobře připravení:
- Podvržené volání se skutečně může na displeji telefonu identifikovat jako telefonát z vaší banky. Pomocí tzv. spoofingu je technicky možné vystupovat pod telefonním číslem někoho jiného – tedy třeba i banky.
- Přestože podvržené hovory pocházejí výhradně ze zahraničí, volající hovoří perfektní češtinou. Tak jako je dnes už většinou těžké odhalit phishingové e-maily podle špatné češtiny, nepočítejte s tím, že byste falešného operátora zákaznické linky poznali podle exotického přízvuku.
- Aby zvýšili svou důvěryhodnost, zjišťují si podvodníci předem informace o svých obětech. Třeba pod záminkou průzkumu spokojenosti zákazníků si podvodníci několik týdnů před útokem zjistí, u které banky máte účet nebo zda máte nějaké úvěry či kreditní karty.
Podvod po telefonu probíhá dokonce v několika fázích. Pokud oběť odolá falešnému hovoru z banky, následuje za nedlouho další podvržený hovor – tentokrát jménem policie. Podvodník se představí jako vyšetřovatel a vyhlédnutou oběť podvodu důrazně napomene, že nespolupracovala s bankou, a znovu apeluje na provedení převodu financí. Takovému soustředěnému útoku je opravdu těžké odolat.
Jak to může podvodníkům projít?
Asi vás hned na začátku napadlo, jak je vůbec možné, aby se podvodník identifikoval pod cizím číslem? Spoofing, tedy podvržení identifikace v síti, bohužel zneužívá samotnou architekturu telefonních sítí a nelze mu snadno zabránit. Potřebná opatření by vyžadovala spolupráci všech operátorů mobilních i pevných sítí, přinejmenším v rámci Evropy, a nalezení vhodného technického řešení. A protože jsme si již řekli, že podvodná volání přicházejí prakticky vždy ze zahraničí, není kvůli několikerému předávání hovorů mezi operátory snadné původce podvodného hovoru vystopovat.
Jak se bránit?
Obrana před sofistikovaným vishingem není jednoduchá, ale ani nemožná. Především záleží na naší ostražitosti a duchapřítomnosti, ale existuje i technické řešení, které ve své síti používá O2. Nejprve si řekněme, jak se proti podvodným voláním obrnit:
- Zástupci banky po vás nikdy po telefonu nebudou chtít přihlašovací údaje k vašemu účtu ani údaje z platební karty. Jakmile po vás někdo tyto bezpečnostní informace za jakýmkoli účelem po telefonu požaduje, jde rozhodně o podvod.
- Pokud máte podezření, že jste se stali obětí podvodného hovoru, zaznamenejte si údaje, které vám podvodník sdělí a hovor ukončete. Obraťte se na vaši banku a udejte maximum podrobností o hovoru, abyste pomohli zabránit dalším podvodům.
- Pečlivě sledujte oznámení z vaší banky, zasílaná dnes především prostřednictvím internetového bankovnictví. Můžete tak být včas varováni před aktuálním útoky a snadněji je rozpoznat.
Neváhejte se případně obrátit také na policii a celou záležitost zde oznamte. A pro jistou ještě jednou – nikdy nesdělujte žádné citlivé informace po telefonu a za žádných okolností nepřevádějte po telefonické výzvě peníze na jiné účty. Pokud by byly vaše peníze opravdu v ohrožení, banka by váš účet zablokovala sama.
Ochrana telefonních čísel v síti O2
Už jsem zmínil, že ověřování telefonních čísel, které by zabránilo většině případů spoofingu, který je kromě finančních podvodů zneužíván také v případech vyhrožování nebo přímo vydírání, by bylo velmi technicky náročné a vyžadovalo by spolupráci všech operátorů. Než se ale podaří najít v této záležitosti shodu, vyvinuli jsme v O2 vlastní řešení, jak zákazníky v naší síti chránit.
Především bankám, ale i dalším organizacím nabízíme možnost ochrany jejich čísel, která jsou registrovaná v naší síti, aby nebylo možné podvrhnout jejich identifikaci při volání zákazníkům, kteří jsou rovněž v síti O2. Princip ochrany můžeme zjednodušeně popsat tak, že pokud hovory z takto chráněných čísel přicházejí ze sítě mimo O2 (typicky ze zahraničí), automaticky je blokujeme, protože takový scénář volání z banky klientovi nemůže být ničím jiným než podvrženým hovorem. Napříč sítěmi různých operátorů ale bohužel toto řešení fungovat nemůže.
Naši službu na ochranu telefonních čísel před podvrženými voláními používá již několik českých bank a s dalšími jednáme o jejím nasazením. Zeptejte se i ve vaší bance, jak svoje klienty před podvodným voláním chrání.
Radek Šichtanc, Ředitel pro bezpečnost O2
Expert na informační bezpečnost s více než 20letou praxí, který zastával řadu rolí v oblasti IT/kybernetické bezpečnosti, včetně funkcí bezpečnostního ředitele/CISO, manažera a vedoucího konzultanta v řadě technologických firem a velkých korporací. Radek je zároveň držitel řady uznávaných bezpečnostních certifikací organizací jako ISACA a ISC2. V O2 aktuálně zastává roli ředitele útvaru bezpečnosti.
