Ako možno čo najjednoduchšie niekoho obrať o peniaze – samozrejme, anonymne? Zahŕňal by takýto podvod krádež údajov z kreditnej karty, možno pomocou digitálneho skimmingu alebo nabúraním sa do databázy citlivých osobných údajov? Tieto metódy sú síce účinné, ale môžu byť náročné na zdroje a vyžadujú si určité technické zručnosti.
A čo krádež platobných údajov prostredníctvom falošných webových stránok? Tento spôsob môže byť fajn, ale falšovanie legitímnych webových stránok (a e‑mailových adries na „šírenie informácií“) tiež nemusí byť pre každého. Navyše je vysoko pravdepodobné, že takéto pokusy budú včas odhalené pozornými používateľmi alebo zmarené bezpečnostnými kontrolami.
Namiesto toho útočníci volia vysoko škálovateľné operácie, pri ktorých sa spoliehajú na sofistikované taktiky sociálneho inžinierstva s nízkymi prevádzkovými nákladmi. Tieto operácie využívajúce hlasový phishing (tzv. vishing) a podvodné správy (smishing) narástli do takých rozmerov, že vzniklo celé odvetvie podvodných kontaktných centier s hodnotou miliárd dolárov.
Na začiatok spomeňme, že takéto podvody si nemusia vyžadovať veľa odborných alebo technických zručností. Aj jedna osoba (často obeť obchodovania s ľuďmi) môže v jednom okamihu zatiahnuť do rôznych podvodov viacero nevedomých obetí. Často ide o investičné podvody typu „pig butchering“, podvody s kryptomenami, romantické podvody či falošnú technickú podporu, pričom každý z týchto podvodov dokáže byť presvedčivý a využíva niektorú z ľudských slabín.
Dobrý deň, počujete ma?
Predstavte si, že vám zavolajú z banky a oznámia, že bezpečnosť vášho účtu bola narušená a v záujme ochrany vašich finančných prostriedkov im musíte poskytnúť svoje citlivé údaje. Naliehavosť v hlase „zamestnanca“ banky môže skutočne stačiť na to, aby ste mu prezradili svoje citlivé informácie. Problémom je, že táto osoba vôbec nemusí pracovať v danej banke a dokonca nemusí ani existovať. Mohlo by ísť len o umelo vytvorený hlas, ktorý by však stále znel úplne prirodzene.
Nie je to nič nezvyčajné, o čom svedčí aj množstvo varovných príbehov z posledných rokov. V roku 2019 bol generálny riaditeľ jednej spoločnosti podvedený o takmer 250 000 USD, keď naletel na presvedčivý deepfake hlas imitujúci jeho šéfa z materskej firmy. Podobne bol v roku 2024 prostredníctvom deepfake videohovoru oklamaný pracovník finančného oddelenia, čo jeho firmu stálo 25 miliónov USD.
ODPORÚČANÝ ČLÁNOK
Vishing: ako ho rozpoznať a vyhnúť sa tak podvodu?
Umelá inteligencia ako kľúčový nástroj
Vďaka moderným možnostiam klonovania hlasu a prekladu pomocou umelej inteligencie je vishing a smishing jednoduchší ako kedykoľvek predtým. Globálny poradca spoločnosti ESET pre kybernetickú bezpečnosť Jake Moore demonštroval, s akou ľahkosťou možno vytvoriť presvedčivú deepfake verziu inej osoby vrátane niekoho, koho dobre poznáte. Vidieť a počuť už neznamená veriť.
Príklad prvého kontaktu cez WhatsApp
Umelá inteligencia umožňuje aj menej skúseným zločincom vykonávať škodlivú činnosť a slúži ako univerzálny nástroj na zhromažďovanie údajov, automatizáciu zdĺhavých úloh a globalizáciu ich dosahu. V dôsledku toho bude phishing využívajúci hlasy a texty vygenerované umelou inteligenciou pravdepodobne ešte bežnejší.
V tejto súvislosti spoločnosť Enea vo svojej nedávnej správe upozornila na 1 265 % nárast phishingových podvodov od spustenia služby ChatGPT v novembri 2022 a poukázala na potenciál veľkých jazykových modelov pri podpore takýchto škodlivých operácií.
ODPORÚČANÝ ČLÁNOK
Ako postupovať, ak ste klikni na phishingový odkaz
Ako sa voláte, aké máte číslo?
Ako dokazuje výskum organizácie Consumer Reports z roku 2022, ľudia si čoraz viac uvedomujú potrebu chrániť svoje súkromie. Približne 75 % respondentov prieskumu sa aspoň trochu obáva o ochranu svojich údajov zozbieraných online vrátane telefónnych čísel, ktoré sú cenným zdrojom používaným na identifikáciu aj reklamu.
Obdobie Zlatých stránok je však dávno za nami. Ako toto spojenie medzi telefónnymi číslami a reklamou teraz funguje?
Pozrime sa na tento ilustračný príklad: fanúšik bejzbalu vložil v špecializovanej aplikácii lístky na zápas do košíka, ale nedokončil nákup. Krátko po zatvorení aplikácie mu zavolali a ponúkli zľavu na lístky. Prirodzene, bol zmätený, pretože si nepamätal, že by v aplikácii uviedol svoje telefónne číslo. Ako ho získali?
Odpoveď je jednoduchá: sledovaním. Niektoré sledovacie nástroje môžu z webovej stránky zhromažďovať konkrétne informácie, takže keď vo formulári vyplníte svoje telefónne číslo, sledovací nástroj ho dokáže detegovať a uložiť na účely vytvorenia tzv. prispôsobeného obsahu a zážitku. Existuje celý obchodný model známy ako „sprostredkovanie údajov“ a zlou správou je, že údaje sa môžu dostať na verejnosť aj bez toho, aby došlo k ich úniku.
ODPORÚČANÝ ČLÁNOK
Smishing: prečo tak ľahko naletíme na tento podvod?
Sledovanie, sprostredkovatelia údajov a úniky
Sprostredkovatelia údajov získavajú vaše osobné údaje z verejne dostupných zdrojov (vládne licencie/registrácie), komerčných zdrojov (obchodní partneri, ako sú poskytovatelia kreditných kariet alebo obchody), ako aj zo sledovania vašich online aktivít (aktivity na sociálnych sieťach, kliknutia na reklamu atď.) a potom ich predávajú iným subjektom.
Napriek tomu si možno stále kladiete otázku, ako môžu podvodníci získať telefónne čísla iných ľudí.
Príklad hľadania obetí
Čím viac poskytujete spoločnostiam, webom a aplikáciám svoje osobné údaje, tým podrobnejší je váš osobný „marketingový profil“. Zvyšuje sa tým aj riziko úniku vašich údajov, pretože u samotných sprostredkovateľov údajov môže dochádzať k bezpečnostným incidentom. Sprostredkovateľ údajov by takisto mohol predávať vaše údaje iným subjektom, prípadne zločincom.
Sprostredkovatelia údajov alebo narušenia bezpečnosti, ktorým sú vystavení, však nie sú pre podvodníkov jediným zdrojom telefónnych čísel. Tu je niekoľko ďalších spôsobov, ako sa podvodníci môžu dostať k vášmu telefónnemu číslu:
ODPORÚČANÝ ČLÁNOK
Ako vyzerajú známe phishingové „hlášky“?
- Verejné zdroje: na stránkach sociálnych médií alebo na online trhoch práce sa môže zobrazovať vaše telefónne číslo ako kontaktný údaj. V prípade, že nemáte správne zvolené nastavenia ochrany osobných údajov alebo si neuvedomujete dôsledky zverejnenia svojho telefónneho čísla v profile na sociálnej sieti, k vášmu číslu môže mať prístup ktokoľvek, dokonca aj nástroje využívajúce umelú inteligenciu na získavanie dát z webových stránok.
- Ukradnuté účty: rôzne online služby vyžadujú vaše telefónne číslo, či už na potvrdenie vašej totožnosti, zadanie objednávky alebo ako overovací faktor. Keď sa útočníkom podarí hacknúť vaše účty v dôsledku slabých hesiel alebo keď u jedného z poskytovateľov online služieb dôjde k úniku údajov, môže ľahko uniknúť aj vaše číslo.
- Autodialery: autodialery volajú na náhodné čísla, a hneď ako hovor prijmete, môžete sa stať terčom podvodu. Niekedy tieto autodialery volajú len preto, aby potvrdili, že sa číslo používa, a mohli ho pridať na zoznam cieľov.
- E-mail: skontrolujte všetky svoje nedávne zásielky – zvyčajne je na nich viditeľne uvedená vaša adresa, ale v niektorých prípadoch na nich môže byť vytlačený aj váš e‑mail alebo telefónne číslo. Čo ak vám niekto ukradol jednu z vašich zásielok alebo sa prehrabával vo vašich odpadkoch? Vzhľadom na to, že pri únikoch údajov sú zvyčajne kompromitované práve takéto informácie, môže to byť veľmi nebezpečné a predstavovať dôvod na ďalšie zneužitie.
Príkladom rozsiahleho narušenia bezpečnosti, ktoré sa týkalo telefónnych čísel, je nedávno odhalený masívny únik záznamov hovorov a textových správ miliónov zákazníkov spoločnosti AT&T z druhej polovice roka 2022. Na internete sa objavili telefónne čísla takmer všetkých zákazníkov spoločnosti, ako aj ľudí používajúcich danú mobilnú sieť vrátane informácií o dĺžke hovorov a ich počte. Hoci obsah hovorov a textových správ údajne nie je medzi uniknutými údajmi, mená a čísla zákazníkov sa stále dajú ľahko prepojiť, ako uvádza CNN. Na vine je údajne cloudová platforma tretej strany, ku ktorej získal prístup škodlivý aktér. Zhodou okolností sa s tou istou platformou v posledných rokoch spája niekoľko prípadov masívnych únikov údajov.
Ako chrániť svoje telefónne číslo
Ako teda môžete chrániť seba aj svoje číslo? Tu je niekoľko tipov:
- Dávajte si pozor na phishing. Nikdy neodpovedajte na nevyžiadané správy/hovory zo zahraničných čísel, neklikajte na náhodné odkazy v e‑mailoch/správach a vždy zachovajte chladnú hlavu a zamyslite sa, kým zareagujete na zdanlivo naliehavú situáciu. V opačnom prípade vás dostanú.
- Opýtajte sa svojho poskytovateľa služieb na bezpečnostné opatrenia týkajúce sa SIM kariet. Môže napríklad ponúkať možnosť uzamknutia SIM karty ako ochranu pred jej výmenou alebo ďalšie vrstvy zabezpečenia účtu na zabránenie podvodom, ako je presmerovanie hovorov.
- Chráňte svoje účty pomocou dvojfaktorovej autentifikácie, ideálne prostredníctvom špeciálnych bezpečnostných kľúčov, aplikácií alebo biometrických údajov namiesto overovania cez SMS. Útočníci totiž môžu SMS správy pomerne ľahko zachytiť. Rovnako postupujte aj v prípade účtov vytvorených u poskytovateľov služieb.
- Skôr ako svoje telefónne číslo zadáte na nejakej webovej stránke, poriadne si to rozmyslite. Hoci by telefónne číslo mohlo dobre poslúžiť pri obnovení prístupu k rôznym aplikáciám, iné metódy, ako napríklad sekundárne e‑maily/autentifikátory, by mohli predstavovať bezpečnejšiu alternatívu.
- Používajte mobilné bezpečnostné riešenie s filtrovaním hovorov a takisto sa uistite, že máte vo webovom prehliadači zablokované súbory cookie tretích strán. Zvážte tiež ďalšie nástroje a technológie na zvýšenie ochrany súkromia.
Vo svete, ktorý sa čoraz viac spolieha na uchovávanie záznamov online, je malá pravdepodobnosť, že vaše číslo nebude uchovávať nejaká tretia strana. A ako naznačuje únik údajov zo spoločnosti AT&T, spoliehať sa na zabezpečenie vlastného operátora je tiež dosť problematické. To však neznamená, že by ste mali podliehať neustálej paranoji.
Na druhej strane je dôležité dodržiavať správnu kybernetickú hygienu a mať prehľad o svojich údajoch na internete. Takisto je na mieste aj ostražitosť, najmä keď zvážime dôsledky vyplývajúce zo skutočnosti, že tento nový svet (či podsvetie) využíva vo svoj prospech umelú inteligenciu.
Spracoval: tím ESET
Zdroj: WeLiveSecurity – Márk Szabó: Hello, is it me you’re looking for? How scammers get your phone number