Ako vishing funguje, aký má vplyv na spoločnosti a jednotlivcov a ako pred ním môžete ochrániť seba, svoju rodinu a firmu?
Všetci sme už počuli o phishingu, osvedčenom e‑mailovom type podvodu, ktorého cieľom je napodobnením dôveryhodných zdrojov zlákať príjemcov na odovzdanie citlivých informácií alebo stiahnutiu malvéru. Vishing je jeho telefonický ekvivalent. Tento podvodný trik má mnoho variantov a môže zasiahnuť jednotlivcov aj organizácie, a to s potenciálne ničivými následkami.
Smishing: prečo tak ľahko naletíme na tento podvod? Prečítať článok
V roku 2020 spôsobili phishing, smishing (SMS podvod), pharming (presmerovanie návštevníkov z legitímneho na rizikový web) a vishing vyše 241 000 obetiam škody vo výške viac ako 54 miliónov dolárov. Ide pritom len o prípady, ktoré obete nahlásili FBI.
Hrozba sociálneho inžinierstva
Vishing funguje naprieč spotrebiteľskou a obchodnou sférou z jedného prostého dôvodu: ľudskej omylnosti. Metódy sociálneho inžinierstva sú základnou zbraňou kybernetických útočníkov. V podstate ide o umenie presviedčania.
Útočník sa vydáva za nejakú dôveryhodnú osobu či inštitúciu, napríklad zástupcu banky, poskytovateľa IT služieb, pracovníka technickej podpory alebo za vládneho úradníka. V príjemcovi hovoru vytvorí pocit naliehavosti alebo strachu, ktoré prevážia nad jeho prirodzenou opatrnosťou a podozrievavosťou.
ESET HOME Security Essential
Komplexná digitálna ochrana. Bezstarostné platby a zabezpečenie súkromia vďaka funkciám, ako je anti-phishingová ochrana a ochrana Wi-Fi.
ESET HOME Security Premium
Zvýšte svoju ochranu pomocou nástroja Password Manager, šifrovania citlivých súborov a špičkovej detekcie hrozieb.
ESET HOME Security Ultimate
Získajte najlepší dostupný plán zabezpečenia doplnený o VPN a funkciu Čistenia metadát a buďte bez obáv.
Tieto techniky sa používajú vo phishingových e‑mailoch a falošných textových správach (označovaných ako smishing). Najúčinnejšie sú však pravdepodobne „naživo“ cez telefón.
Útočníci zameraní na vishing používajú niekoľko dodatočných nástrojov a taktík, vďaka ktorým ľahšie uspejú. Ide napríklad o:
- nástroje na falšovanie identity volajúceho (tzv. spoofing), ktoré sa používajú na utajenie polohy podvodníka či dokonca na napodobňovanie telefónneho čísla dôveryhodnej organizácie. V roku 2020 napríklad pri úniku údajov došlo k odcudzeniu osobných informácií návštevníkov luxusného hotela Ritz v Londýne. Podvodníci následne zneužili tieto údaje a podviedli obete aplikovaním metód sociálneho inžinierstva, pričom napodobnili oficiálne číslo hotela.
- podvody uskutočňované cez viacero kanálov, ktoré sa môžu začať smishingovou textovou správou, phishingovým e-mailom či odkazom v hlasovej schránke a navedú používateľa, aby zavolal na dané číslo. Útočník sa takto dostane k obeti priamo, nemusí ju nijako presviedčať.
- zber informácií zo sociálnych sietí a voľne dostupných zdrojov (tzv. scraping), ktorý útočníkovi poskytne množstvo informácií o obeti. Túto metódu možno zacieliť na konkrétnych jednotlivcov (napríklad firemných zamestnancov s privilegovanými účtami), pričom samotnému podvodu to pridá na dôveryhodnosti. Stačí, aby útočník obeti zopakoval niektoré jej voľne dostupné osobné údaje, čím odstráni všetky pochybnosti.
Viete, ako sa starať o bezpečnosť vášho zariadenia? Prečítať článok
Vplyv vishingu na spoločnosti
Vo firemnom prostredí sa metóda vishingu používa najmä na odcudzenie privilegovaných prihlasovacích údajov. FBI pred takýmito útokmi už viackrát varovalo.
Ešte v auguste 2020 úrad podrobne opísal sofistikovanú operáciu, pri ktorej kybernetickí zločinci zhromaždili informácie o svojich cieľoch a potom im zavolali predstierajúc, že sú z tímu technickej podpory pre IT. Vyzvali obete, aby vyplnili svoje prihlasovacie údaje na vopred vytvorenej phishingovej webovej stránke, ktorá imitovala prihlasovaciu stránku spoločnosti k VPN. Tieto údaje následne zneužívali na prístup k osobným informáciám zákazníkov vo firemných databázach.
FBI uviedlo, že takéto útoky sú častejšie aj vďaka masovému prechodu na prácu na diaľku počas pandémie. V januári 2021 musel úrad vydať ďalšie upozornenie týkajúce sa operácie, v ktorej boli použité podobné techniky s cieľom získať prístup k firemnej sieti.
Dnes už známy únik údajov v spoločnosti Twitter, pri ktorom útočníci nalákali vysoko cielených zamestnancov na to, aby prezradili svoje prihlasovacie údaje, ukazuje, že naletieť môžu aj technicky zdatnejšie spoločnosti či používatelia. V tomto prípade útočníci zneužili prístup k prihlasovacím údajom, aby sa nabúrali do účtov slávnych osobností s cieľom šíriť podvod s kryptomenami.
Ako vishing ohrozuje súkromných používateľov
Podvodníci zameraní na vishing, nanešťastie, cielia aj na spotrebiteľov. Pri týchto útokoch je hlavným zámerom vylákať od ľudí peniaze. Útočníci buď priamo odcudzia informácie o bankovom účte či platobnej karte, alebo obete podvodom prinútia odovzdať ich osobné a prihlasovacie údaje, ktoré použijú na prístup k týmto účtom.
10 zlozvykov v kyberbezpečnosti, na ktoré by ste mali zabudnúť Prečítať správu
Typické druhy vishingu:
Falošná technická podpora
Pri podvodoch spojených s falošnou technickou podporou obetiam často nevyžiadane volajú osoby vydávajúce sa za poskytovateľa internetových služieb alebo za známeho výrobcu softvéru či hardvéru. Podvodníci tvrdia, že vo vašom počítači našli problém, ktorý v skutočnosti neexistuje, a za jeho odstránenie od vás požadujú peniaze spolu s údajmi o platobnej karte, pričom niekedy do zariadenia stiahnu aj malvér.
Tieto podvody sa môžu tiež začínať tým, že sa používateľovi na zariadení zobrazí okno s výzvou zavolať na uvedené číslo infolinky.
Wardialing
Wardialing je technika zasielania automatických hlasových odkazov veľkému počtu ľudí. Jej cieľom je zvyčajne prinútiť obeť obratom zavolať na dané číslo, pretože informácia v odkaze ju vystraší – podvodník môže napríklad tvrdiť, že nezaplatila dane, účty či iné poplatky.
Telemarketing
Podstatou tejto obľúbenej techniky je zavolať príjemcovi s informáciou, že vyhral úžasnú cenu. Háčik spočíva v tom, že obeť musí pred odovzdaním výhry zaplatiť poplatok.
Phishing/smishing
Ako už bolo spomenuté, niektoré typy podvodov sa začínajú falošným e‑mailom či SMS správou, ktoré používateľa navedú na to, aby zavolal na číslo uvedené v texte. Častý je napríklad e‑mail v mene spoločnosti Amazon, v ktorom sa tvrdí, že s nedávnou objednávkou zákazníka niečo nie je v poriadku. Zavolaním na číslo sa obeť spojí priamo s podvodníkom.
Ako sa vyhnúť vishingu?
Hoci niektoré z týchto podvodov sú čoraz sofistikovanejšie, riziko, že sa stanete obeťou, sa dá stále znížiť, ak sa budete držať nasledujúcich krokov.
- Dbajte na to, aby vaše číslo nebolo verejne dostupné.
- Nezadávajte svoje telefónne číslo do žiadnych online formulárov (napr. pri online nákupoch).
- Dávajte si pozor na telefonáty vyžadujúce vaše bankové, osobné alebo iné citlivé informácie.
- K neznámym volajúcim pristupujte s opatrnosťou. Citlivé údaje nepotvrdzujte cez telefón.
- Nikdy obratom nevolajte na číslo zanechané v hlasovej schránke. Vždy sa spojte s organizáciou priamo.
- Používajte dvojfaktorové overenie na všetkých online účtoch.
- Používajte bezpečnostný softvér.
Autor: tím Bezpečne na nete
Zdroj: WeLiveSecurity – Vishing: What is it and how do I avoid getting scammed?
