Vaše telefónne číslo je viac než len spôsob, ako vás kontaktovať – podvodníci ho môžu využiť na zasielanie škodlivých správ a dokonca ho zneužiť na získanie prístupu k vášmu bankovému účtu alebo na krádež firemných údajov.
V tomto článku sa bližšie pozrieme na to, prečo sú telefónne čísla cenným cieľom, a rozoberieme si riziká spojené s ich kompromitáciou.
Podvodný priemysel
Online podvodníci naďalej výrazne profitujú z najrôznejších falošných schém. V posledných rokoch mnohé takéto schémy organizujú zločinecké syndikáty, ktoré prevádzkujú továrne na podvody v juhovýchodnej Ázii, kde sú obete obchodovania s ľuďmi prinútené k vykonávaniu komplikovaných trikov, ako je napríklad pig butchering.
Okrem budovania falošných online vzťahov taktika mnohých podvodníkov často zahŕňa vytváranie situácií, ktoré si vyžadujú okamžitú reakciu, prípadne sa spoliehajú na iné triky, ako je prevzatie kontroly nad bankovými či PayPal účtami, kompromitácia zariadení malvérom, neúspešné doručovanie balíkov a dokonca únos príbuzných či iné schémy využívajúce AI.
Základom mnohých online podvodných schém je phishing a iné útoky sociálneho inžinierstva. Ich úspech je do veľkej miery zaistený ich nákladovou efektívnosťou, škálovateľnosťou, schopnosťou využívať ľudské slabiny, ako aj výhodou vyplývajúcou z ťažkostí pri presadzovaní zákonov o phishingu naprieč rôznymi krajinami. Na zaplatenie celej operácie môže stačiť jeden úspešný „phish“.
ODPORÚČANÝ ČLÁNOK
Podvody zneužívajúce doručovacie služby
Prihoďme čísla
Pozrime sa teraz na to, ako sem zapadajú telefónne čísla, prečo sú spolu s prihlasovacími údajmi pre podvodníkov také cenné a ako sa dajú využiť na nekalé účely.
Smishing a hacking
Útočníci sa na svoje obete môžu zamerať prostredníctvom malvéru maskovaného ako neškodné odkazy alebo prílohy; malvér však do zariadenia nainštaluje spyvér alebo iný škodlivý softvér, prípadne z neho exfiltruje osobné údaje. Kybernetickí zločinci vám môžu takisto posielať správy, ktorých cieľom je vylákať od vás prihlasovacie údaje alebo iné osobné informácie cez phishingové stránky.
Smishingová správa zneužívajúca prihlasovacie údaje pre PayPal
zdroj obrázka: BleepingComputer
Správa spoločnosti ESET o bezpečnostných hrozbách za prvý polrok 2024 napríklad upozornila na šírenie malvéru GoldPickaxe, ktorý vo svojej iterácii pre iOS využíva viacstupňovú schému sociálneho inžinierstva, presviedčajúc obete, aby si nainštalovali profil MDM, čím útočníci získajú úplnú kontrolu nad ich telefónmi.
Presmerovanie hovorov, výmena SIM karty a falšovanie ID volajúceho
Napriek nárastu digitálnej komunikácie zostávajú telefonické hovory a správy dôveryhodnou metódou výmeny osobných informácií.
- Pri schémach presmerovania hovorov podvodníci kontaktujú vás alebo vášho poskytovateľa služieb a nakoniec nechajú presmerovať telefónne hovory z vášho čísla na číslo, ktoré majú pod kontrolou. Hoci poskytovateľ má právo požiadať o overenie, podvodník už môže mať prístup k viacerým vašim osobným údajom (ako dôsledok úniku dát alebo z verejných zdrojov), takže tento podvod sa dá ľahko vykonať.
- Podobne aj podvodníci využívajúci výmenu SIM kariet môžu oklamaním mobilného operátora aktivovať svoju SIM kartu pod vaším menom/starým číslom, čím vlastne prenesú vaše číslo na svoju SIM kartu. Tento podvod je nápadnejší ako presmerovanie hovorov najmä preto, že v jeho dôsledku stratíte prístup k mobilnej sieti. Výmena SIM kariet, ktorá si vyžaduje aj určitý prieskum života obete na účely overenia, je už roky vážnou hrozbou.
- Podvodníci môžu sfalšovať ID volajúceho napodobnením vášho čísla či použitím protokolu Voice over Internet Protocol (VoIP) alebo podvodných služieb a iných metód. Útočníci tak môžu maskovať svoju identitu pri páchaní finančných podvodov a iných trestných činov a vydávať sa za vás alebo váš dôveryhodný kontakt.
Príklad podvodnej SMS správy
zdroj: ESET
Ďalší príklad pokusu o smishing
Prečo sú tieto podvody takou hrozbou? V súčasnosti sa mnohé online služby spoliehajú na telefónne čísla z dôvodu overenia a obnovenia účtu. Kompromitácia telefónneho čísla sa preto môže rovnať obídeniu bezpečnostných opatrení vrátane dvojfaktorovej autentifikácie (2FA). Okrem toho sa za vás podvodníci môžu vydávať s cieľom oklamať ľudí z vašich kontaktov alebo vášho zamestnávateľa.
ODPORÚČANÝ ČLÁNOK
Naučte sa rozpoznať podvodnú SMS správu
Phishing cielený na firemné dáta
V súčasnosti mnohí zamestnanci používajú na kontrolu firemných e-mailov alebo správ osobné či firemné telefóny. Ide o významný vektor útokov, keďže počítače už nie sú jediným prístupovým bodom pre pokusy o kompromitáciu. Podvodníci sa môžu vydávať za vedúcich pracovníkov firiem alebo účtovných oddelení a žiadať o prevod peňazí na „obchodné“ účely.
Konečným cieľom mnohých útočníkov je totiž získať prístup k firemným systémom a finančným prostriedkom. V týchto schémach zohráva kľúčovú úlohu aj ľudský faktor. Pred splnením požiadaviek si často neoverujeme ich pravosť, čo uľahčuje úspešnosť phishingových útokov a pre podniky vedie k značným finančným škodám.
Podvody s CEO
Predstavte si napríklad, že ste účtovníkom vo veľkej finančnej spoločnosti. Hráte sa s Excelom, keď vám zavolá šéf a požiada vás o prevod peňazí v rámci obchodnej transakcie, ktorej úspech závisí od vášho rýchleho konania. Takéto podvody sú celkom reálne. Keďže sa zdá, že hovor prichádza z čísla vášho šéfa, nemusíte hneď pochybovať o jeho pravosti a nebudete sami.
V správach sa často objavujú zmienky o podvodoch zneužívajúcich generálnych riaditeľov, čo je podskupina podvodov zameraných na kompromitáciu firemných e-mailov (BEC). Dnes sú takéto podvody posilnené umelou inteligenciou, pričom útočníci využívajú aj klonovanie hlasu s cieľom lepšie niekoho zosobniť (v prípade, že im nestačí falšovanie ID volajúceho).
Komplexná ochrana vášho digitálneho života
Komplexná ochrana vášho digitálneho života. Vyberte si úroveň podľa svojich potrieb.
Čo robiť v takýchto nebezpečných situáciách?
Rozhodenie záchrannej siete
Existuje niekoľko spôsobov, ako sa ľudia a firmy môžu vyhnúť telefonickým podvodom:
- Overenie: Nikdy neodpovedajte neznámym volajúcim/odosielateľom ani s nimi nekomunikujte a vždy, keď vás „dôveryhodný“ subjekt požiada o osobné údaje, najprv mu zavolajte a zistite pravosť tejto žiadosti.
- Ochrana od poskytovateľa: Ak chcete zabrániť výmene SIM karty alebo presmerovaniu hovorov, požiadajte poskytovateľa služieb, aby zabezpečil váš účet proti nežiaducim zmenám pomocou ďalších bezpečnostných faktorov, ako sú zámky SIM karty na zabránenie výmeny, prípadne iné komplexnejšie overovacie mechanizmy.
- Dávajte si pozor na to, čo zverejňujete: Ak chcete zabrániť podvodníkom v zhromažďovaní ďalších údajov o vás, zamyslite sa, čo o sebe zdieľate na internete. Impersonifikácia spočíva v tom, že sa osoba predstaví ako niekto, koho poznáte, preto sa snažte obmedziť svoje verejné vystupovanie.
- Zabudnite na SMS: Ak chcete zabrániť podvodom, chráňte svoje účty pomocou aplikácií na dvojfaktorovú autentifikáciu namiesto overovania cez SMS správy. Tie je možné ľahko zachytávať a podvodníkom sa tak otvoria dvere ku kompromitácii vašich účtov.
- Používajte mobilnú ochranu: Phishing, či už prostredníctvom správ alebo hovorov, možno odhaliť pomocou účinného softvéru mobilnej ochrany. Podnikom môže pomôcť prekonať takéto hrozby ochrana pred mobilnými hrozbami a bezpečná autentifikácia.
Na záver možno povedať, že telefónne číslo môže byť pre útočníkov vstupnou bránou k vašim údajom a viesť k rozsiahlemu ohrozeniu podniku a miliónovým škodám. Mali by ste ho držať v súkromí – ako akýkoľvek iný jedinečný identifikátor.
Keďže phishing je naďalej veľkou hrozbou, buďte ostražitý a nezabudnite: overovanie a autentifikácia sú kľúčom k bezpečnosti.
Spracoval: tím ESET
Zdroj: Márk Szabó – Why scammers want your phone number
