Vishing na vzestupu: Jak se ve firmě bránit podvodným telefonátům?

Petra Javornická

Petra Javornická
28. 11. 2023

Vishing na vzestupu: Jak se ve firmě bránit podvodným telefonátům?

Zatímco většina lidí už se někdy setkala s phishingovým e-mailem, termín vishing je rozšířený méně. To ale tomuto typu útoku neubírá na rizikovosti, která může být dokonce závažnější než u podvodného e-mailu. V našem seriálu o metodách sociálního inženýrství přibližujeme další jeho techniku. Vishing přitom zasahuje nejen jednotlivce, ale v konečném důsledku často také firmy.

Zjednodušeně řečeno jde o hlasový phishing (tedy voice phishing, odtud i název termínu), kdy se využívá podvodný telefonát k tomu, aby oběť prozradila citlivé údaje – ať už osobní, finanční, nebo obchodní. A počet případů vishingu v posledních letech dramaticky stoupá: podle výzkumu společnosti PhishLab vzrostl letos meziročně počet těchto útoků téměř o 550 %. Jen v USA dokázali loni hackeři prostřednictvím vishingu z obětí vylákat ohromujících 60 milionů dolarů. Hackeři ale neútočí pouze na jednotlivce: s vishingovým útokem se v loňském roce setkalo 71 % firem po celém světě.

Jak falešný telefonát poznat? Typický vishingový hovor se řídí pečlivě připraveným scénářem: podvodník obvykle začíná tím, že se představí jako zástupce důvěryhodné organizace – například banky, vládní agentury nebo služby technické podpory.

Poté útočník postaví oběť před smyšlený problém nebo situaci, která vyžaduje okamžitou pozornost či řešení. Dotyčného se manipulativními technikami snaží dostat pod časový tlak – třeba tím, že na jeho bankovním účtu došlo k podezřelé aktivitě nebo že je jeho počítač zavirovaný. 

3 časté typy vishingových útoků

  • Firemní útoky: tato forma vishingu (známá také jako whaling) je obzvlášť zákeřná, protože se zaměřuje na zaměstnance firem. Podvodník se vydává za vysoce postaveného manažera a naléhavě požaduje převod finančních prostředků nebo poskytnutí citlivých informací. Vzhledem ke zdánlivé autoritě volajícího mohou zaměstnanci vyhovět, aniž by zpochybnili oprávněnost požadavku.
  • Technická podpora: patří mezi nejrozšířenější formy vishingu. Podvodníci se vydávají za pracovníky technické podpory známých společností. Tvrdí, že v počítači odhalili malware, a nabízí, že vás provedou „procesem jeho odstranění“, který často zahrnuje poskytnutí vzdáleného přístupu k počítači.
  • Banky a finance: při těchto podvodech se volající představí jako zástupce banky nebo třeba společnosti vydávající kreditní karty. Může tvrdit, že si všiml podezřelé aktivity na vašem účtu a potřebuje ověřit vaši totožnost, aby mohl věc napravit. Cílem je získat přístup do vašeho internetového bankovnictví nebo k číslu vaší platební karty.

Psychologický trik časové tísně a naléhavosti problému není jedinou metodou sociálního inženýrství, kterou útočníci používají. Pro co nejpřesvědčivější útok využívají informace získané ze sociálních sítí, firemních webových stránek nebo obchodních rejstříků. Zločinci také často předstírají falešnou identitu (pro tuto metodu se používá termín impersonace neboli zosobnění). Není neobvyklé, že například použijí jméno skutečného bankovního poradce nebo uvedou nedávné transakce, kterých se dopátrali jinou cestou. Česká televize v nedávné reportáži například přinesla případy obětí, kterým se hackeři nabourali do e-mailové schránky, kam obětem chodí výpisy z bankovnictví. Ty pak útočníci využili pro vytvoření důvěry a k ještě efektivnějšímu útoku.

Další trik spočívá ve falšování čísla volajícího. Jedná se o techniku tzv. spoofingu, která umožňuje podvodníkům zmanipulovat komunikační systém tak, aby se zdálo, že jejich hovor přichází z důvěryhodného zdroje, například z banky nebo vládní instituce. Proč ke spoofingu může docházet? „Číslo volajícího, které se přenáší standardními protokoly síťové signalizace, je nepovinný parametr v síti,“ vysvětluje šéf bezpečnosti O2 Radek Šichtanc. „To znamená, že nepodléhá pravidlům a je de facto volitelné, jak bude zobrazeno,“ doplňuje.

V rámci boje proti spoofingu Český telekomunikační úřad a Asociace pro mobilní platby a služby projednávají návrh na blokaci podvržených hovorů z českých fixních čísel, které přicházejí ze zahraničí, s výjimkou specifických případů. V O2 paralelně vyvíjíme vlastní systém antispoofingové ochrany pro mobilní čísla, který má chránit zákazníky před podvrženými hovory jak z vlastní sítě, tak od ostatních operátorů.

Umělá inteligence ve službách hackerů

Útočníkům nahrávají i pokroky v rozvíjejících se technologiích současnosti: umělá inteligence, strojové učení a další nástroje činí vishingové útoky ještě uvěřitelnějšími, sofistikovanějšími a hůř odhalitelnými. Algoritmy umělé inteligence jsou například schopné napodobovat libovolný lidský hlas s překvapivou přesností. Kvůli těmto deepfake hlasům je pak velmi obtížné rozeznat legitimní hovor od podvodu. Generativní umělá inteligence může vytvořit přesvědčivě znějící text, obzvlášť pokud je založený na reálných faktech, jež jsou veřejně dohledatelná na internetu.

Jedním z prvních zdokumentovaných deepfake útoků v Česku je případ falešného šéfa společnosti GymBeam Dalibora Cicmana. Ten je mediálně známou osobou a na internetu je dostupná řada videí a podcastů, ze kterých útočníci vytvořili digitální klon majitele firmy. Útočník se pak na falešném online meetingu snažil vytáhnout ze zaměstnanců citlivé informace. Tomuto případu se věnovala i epizoda našeho podcastu Místo kyberčinu.

Efektivní obrana proti vishingu? Uvědomělí a proškolení zaměstnanci

Jak se bránit proti vishingovým útokům? Podobně jako u ostatních technik sociálního inženýrství neexistuje jednoduché technologické řešení. Hackeři se totiž snaží citlivé údaje získat manipulativními technikami, které cílí na nejzranitelnější místo člověka: jeho psychiku. Nicméně dodržování následujících kroků zajistí, abyste zůstali před těmito podvodníky o krok napřed.

  • Buďte skeptičtí: vždy zpochybňujte legitimitu nevyžádaných hovorů, zejména těch, které požadují osobní nebo finanční informace.
  • Ověřte si totožnost: pokud si nejste jisti totožností volajícího, zavěste a zavolejte zpět na ověřené číslo z oficiálních webových stránek instituce nebo z vlastních záznamů. Také doporučujeme dotyčnou osobu kontaktovat jiným způsobem.
  • Nedůvěřujte identifikaci volajícího: zbystřit byste měli ve chvíli, kdy vám volá neidentifikované číslo nebo číslo s předvolbou cizí země.
  • Zpomalte a udělejte krok zpět: podvodníci často vytvářejí pocit naléhavosti, aby vám zatemnili úsudek. Zpomalte, vyčkejte, věnujte čas posouzení situace.
  • Nenechte se zahnat do kouta: uvědomte si, že podvodníci mohou používat výhrůžky nebo zastrašovací taktiku.
  • „Ne“ má sílu: nebojte se říci ne nebo zavěsit telefon. Je lepší riskovat chvíli trapnosti než ohrozit svou bezpečnost.

A jak se systematicky postarat o bezpečí vaší firmy a zaměstnanců? Právě proto, že hackeři útočí namísto technologie na lidskou psychiku, je i u této metody nejdůležitější a stále se opakující mantrou školení zaměstnanců: pravidelné semináře a workshopy vaše podřízené poučí o tom, jak rozpoznat pokusy o vishing a jak na ně reagovat.

Dále doporučujeme přidat další vrstvu bezpečnosti v podobě multifaktorového ověřování – zvláště u finančních transakcí a operací s citlivými daty. A v neposlední řadě je potřeba sledovat aktuální trendy: kybernetické hrozby se totiž neustále vyvíjejí a zvláště s nástupem zmiňovaných nástrojů umělé inteligence jsou čím dál rafinovanější. S nejnovějšími trendy vám mohou pomoci i konzultace s odborníky na kybernetickou bezpečnost.

OZVĚTE SE NÁM

Vishing není jen problémem technologie, ale i lidské důvěřivosti. Proto je důležité posilovat nejen mezi zaměstnanci povědomí o tomto rafinovaném útoku sociálního inženýrství. Jedině skeptický přístup a kritické myšlení zabrání tomu, aby se hackeři skrz falešný hovor nabourali do vaší firmy. Uvedené kroky mohou výrazně snížit riziko, že se vy nebo vaše firma stanete obětí vishingových útoků. Nejde jen o používání správných nástrojů nebo dodržování osvědčených postupů. Jde o vytvoření kultury povědomí o kybernetické bezpečnosti, a to jak na úrovni jednotlivců, tak na úrovni celé firmy.

Co si z článku odnést:

  • Vishing je metodou sociálního inženýrství, při které se používá telefon k získání citlivých informací od oběti.
  • Existuje několik typů vishingových útoků, včetně podvodů týkajících se technické podpory, bank, finančních úřadů, zdravotní péče a firemního prostředí.
  • Podvodníci používají různé psychologické taktiky, jako je vytváření pocitu naléhavosti nebo zastrašování, aby manipulovali s obětí. Mohou se zaměřovat i na zaměstnance a například se vydávat za manažera firmy nebo pracovníka IT oddělení.
  • Jednou z podvodných metod je také technika tzv. spoofingu, která umožňuje podvodníkům zmanipulovat komunikační systém tak, aby se zdálo, že jejich hovor pochází z důvěryhodného zdroje, např. z banky nebo vládní instituce.
  • S rozvojem technologií, včetně umělé inteligence a velkých dat, se stávají vishingové útoky sofistikovanějšími a těžšími k odhalení.
  • K ochraně před vishingem je důležité být skeptický, ověřovat totožnost volajícího a nenechat se vmanipulovat do neuvážené reakce.
Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?
Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data
Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?
Získali jsme specializaci Fortinet Security Operations

Získali jsme specializaci Fortinet Security Operations

Získali jsme specializaci Fortinet Security Operations
AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning

AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning

AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning
O2 Security Report za první pololetí 2024: více než 2,1 miliardy odvrácených hrozeb

O2 Security Report za první pololetí 2024: více než 2,1 miliardy odvrácených hrozeb

O2 Security Report za první pololetí 2024: více než 2,1 miliardy odvrácených hrozeb
asd