Vishing: Proč je lidský hlas účinnější než malware?
Vishing – tedy phishing po telefonu – se stává jednou z nejrafinovanějších forem kybernetických útoků. Nevyžaduje žádné škodlivé soubory ani složité hackování, stačí jen přesvědčivý hlas a dobře mířený scénář. V článku se podíváme na to, proč je vishing tak účinný, kdo se stává jeho terčem, jaké techniky útočníci používají – a hlavně, jak se proti němu bránit.
Na začátek trochu statistiky [1], abychom pochopili, proč je vishing tak nebezpečný.
- V druhé polovině roku 2024 došlo k nárůstu vishingu o 442 % ve srovnání s první polovinou roku.
- Přibližně 20 % obětí vishingu jsou lidé nad 60 let, problém se však týká všech věkových skupin.
- Až 70 % organizací bylo vystaveno vishingu, průměrná roční ztráta na firmu činila 14 milionů dolarů.
- Vishing má až 77% úspěšnost u schopných kriminálních skupin.
Tyto statistiky jsou nicméně pouze orientační. Realita může být horší, protože oběti poměrně často (až 1/3 všech podvedených) z důvodu studu útok nenahlásí.
Přesvědčivý telefonát!
Útočníci si jsou dobře vědomi, že lidé si už částečně zvykli na podvodné e-maily či SMS zprávy. Navíc tyto formy komunikace lze snadno ignorovat. Oproti tomu telefonní hovor působí mnohem osobněji a naléhavěji – a právě to útočníci využívají. Útočníkům navíc pomáhá tzv. spoofing. Jedná se o metodu, kdy útočník úmyslně pozmění informace zobrazované na displeji volaného, aby se vydával za někoho jiného. Pokud tedy na telefonu uvidíte příchozí hovor od uloženého kontkatu, nebo nápis „PČR", či "T-Mobile", tak to ještě nemusí znamenat, že jde o zmíněné instituce. Rozhodně to však na první pohled přidá na důvěryhodnosti.
Zdroj čísel?
Možná jste si už stihli položit otázku, odkud vůbec útočníci získali moje číslo. Bohužel, možností je více a nejsou nijak složité. Nejčastějším zdrojem jsou úniky dat – telefonní čísla se běžně nacházejí v databázích, které byly v minulosti napadeny (např. z e-shopů, online služeb či zákaznických účtů). Útočníci si také často kupují kontakty na černém trhu, kde se prodávají celé balíčky údajů o uživatelích. Dalším zdrojem jsou veřejně dostupné informace, např. webové stránky spolků, klubů. Někdy ho lze zjistit i zpětným vyhledáváním podle jména, například v kombinaci s jinými údaji, jako je e-mail nebo profil na sociální síti.
Sofistikovanost a využití AI
Často tak dochází ke kombinaci různých phishingových taktik, kdy vám nejprve dorazí falešná SMS nebo e-mail, který má vyvolat dojem rizika. Krátce nato přichází telefonát od údajného zástupce banky či jiné instituce, který na hrozbu "upozorní" a tváří se, že vám chce pomoci. Ve skutečnosti vás ale přiměje k rychlému jednání – například k přihlášení do internetového bankovnictví, sdělení přihlašovacích údajů nebo převedení peněz „na bezpečný účet“. Výsledkem bývá ztráta citlivých dat i finančních prostředků. Jak takový hybridní podvod krok po kroku vypadá můžete vidět zde. A aby té sofistikovanosti nebylo málo, přidává se do hry ve prospěch útočníků i AI. Tu mohou útočníci využit k napodobení hlasů známých osob. A pokud oběť uslyší na druhé straně hlas šéfa firmy, svého dítěte, zvyšuje to šanci útočníků na úspěch.
AI se však dá využit i k obraně, Britská telekomunikační společnost Virgin Media O2 představila inovativní řešení v boji proti telefonním podvodníkům – AI babičku jménem Daisy. To je umělá inteligence navržená tak, aby napodobovala starší dámu, která s podvodníky vede zdánlivě nevinné, ale záměrně zdlouhavé rozhovory. Její cílem je zdržet podvodníky co nejdéle na telefonu, čímž jim brání v kontaktování skutečných obětí. Jak tato babička funguje se můžete podívat zde.
Podvodná call centra!
Vishing umí být pro zločince velmi výdělečný, a tak rychle svůj „business“ škálují. V zahraničí tak často vznikají call centra, kde může být i několik desítek operátorů – podvodníků, kteří svým obětem volají. Tito pracovníci call center jsou často dobře vyškolení a ví, jak svoje oběti psychologicky zpracovat tak, aby jim bezmezně věřili. Je sice pravda, že banky podezřelé transakce zablokují a kontaktují majitele účtu, aby se ujistily, že nejde o žádný podvod. Nicméně i na tohle útočníci myslí a svoje oběti na rozhovory s bezpečnostními pracovníky bank připravují. Často tak nastává boj o to, kdo je v přesvědčování lepší a kdo získá důvěru oběti. Jak banka pracuje s právě okrádaným klientem se můžete podívat zde. V tomto souboji manipulací však nakonec vždy rozhoduje informovanost a připravenost samotných obětí.
Jak se bránit?
Útočníci velmi dobře vědí, jak manipulovat se svou obětí. Proto je v případě podezřelého telefonátu (například žádost o převod, výhrůžka, požadavek na ověření kódu, nátlak na instalaci aplikace, nabídka investice, atd.) klíčové zachovat klid a nenechat se ovládnout emocemi. Nenechte se zmást ani tím, že se na displeji telefonu zobrazí známé číslo nebo název instituce – i to může být podvržené. Pokud vám někdo volá, nikdy nemáte stoprocentní jistotu, kdo je skutečně na druhém konci. V případě podezření proto raději hovor okamžitě ukončete a ověřte si situaci přímo u své banky či jiné instituce – a to buď osobní návštěvou, nebo telefonátem na oficiální infolinku. Platí to i v případě, že vám volá známé nebo uložené číslo – vždy si situaci ověřte jiným komunikačním kanálem nebo osobně.
Slovo závěrem
Vishing už dávno není jen o náhodném telefonátu od podivného čísla. Stal se sofistikovaným nástrojem moderních podvodníků, kteří využívají psychologie, technologie a umělé inteligence, aby získali to nejcennější – naši důvěru. A právě důvěra je v této hře klíčová. Útočníci ji zneužívají, aby nás přiměli jednat rychle, pod tlakem a proti vlastnímu úsudku. Jak ukazují statistiky, ohrožen není jen technicky méně zdatný senior, ale i zkušený zaměstnanec, podnikatel nebo IT odborník. Vishing je útok na emoce, nikoliv na software. A právě proto je nejlepší obranou vzdělání, informovanost a zdravá míra obezřetnosti. Zvednout telefon není nebezpečné. Ale slepě věřit volajícímu ano. A pokud chcete načerpat další znalosti ohledně phishingu, včetně konkrétních scénářů, moderních trendů a tipů pro obranu, určitě vyzkoušejte náš kurz PhisProof, který vás provede touto problematikou od A do Z.