Vishing: ako ho rozpoznať a vyhnúť sa tak podvodu?

vishing hlavny banner

Ako vishing funguje, aký má vplyv na spoločnosti a jednotlivcov a ako pred ním môžete ochrániť seba, svoju rodinu a firmu?

Všetci sme už počuli o phishingu, osvedčenom e‑mailovom type podvodu, ktorého cieľom je napodobnením dôveryhodných zdrojov zlákať príjemcov na odovzdanie citlivých informácií alebo stiahnutiu malvéru. Vishing je jeho telefonický ekvivalent. Tento podvodný trik má mnoho variantov a môže zasiahnuť jednotlivcov aj organizácie, a to s potenciálne ničivými následkami.


Smishing: prečo tak ľahko naletíme na tento podvod? Prečítať článok


V roku 2020 spôsobili phishingsmishing (SMS podvod), pharming (presmerovanie návštevníkov z legitímneho na rizikový web) a vishing vyše 241 000 obetiam škody vo výške viac ako 54 miliónov dolárov. Ide pritom len o prípady, ktoré obete nahlásili FBI.

Hrozba sociálneho inžinierstva

Vishing funguje naprieč spotrebiteľskou a obchodnou sférou z jedného prostého dôvodu: ľudskej omylnosti. Metódy sociálneho inžinierstva sú základnou zbraňou kybernetických útočníkov. V podstate ide o umenie presviedčania.

Útočník sa vydáva za nejakú dôveryhodnú osobu či inštitúciu, napríklad zástupcu banky, poskytovateľa IT služieb, pracovníka technickej podpory alebo za vládneho úradníka. V príjemcovi hovoru vytvorí pocit naliehavosti alebo strachu, ktoré prevážia nad jeho prirodzenou opatrnosťou a podozrievavosťou.


EIS banner clanok

Ideálne riešenie pre moderných používateľov. Poskytuje ochranu osobných údajov a aktívne zabezpečuje online bankovníctvo, prácu a komunikáciu.

button_zistitviac EIS

Tieto techniky sa používajú vo phishingových e‑mailoch a falošných textových správach (označovaných ako smishing). Najúčinnejšie sú však pravdepodobne „naživo“ cez telefón.

Útočníci zameraní na vishing používajú niekoľko dodatočných nástrojov a taktík, vďaka ktorým ľahšie uspejú. Ide napríklad o:

  • nástroje na falšovanie identity volajúceho (tzv. spoofing), ktoré sa používajú na utajenie polohy podvodníka či dokonca na napodobňovanie telefónneho čísla dôveryhodnej organizácie. V roku 2020 napríklad pri úniku údajov došlo k odcudzeniu osobných informácií návštevníkov luxusného hotela Ritz v Londýne. Podvodníci následne zneužili tieto údaje a podviedli obete aplikovaním metód sociálneho inžinierstva, pričom napodobnili oficiálne číslo hotela.
  • podvody uskutočňované cez viacero kanálov, ktoré sa môžu začať smishingovou textovou správou, phishingovým e-mailom či odkazom v hlasovej schránke a navedú používateľa, aby zavolal na dané číslo. Útočník sa takto dostane k obeti priamo, nemusí ju nijako presviedčať.
  • zber informácií zo sociálnych sietí a voľne dostupných zdrojov (tzv. scraping), ktorý útočníkovi poskytne množstvo informácií o obeti. Túto metódu možno zacieliť na konkrétnych jednotlivcov (napríklad firemných zamestnancov s privilegovanými účtami), pričom samotnému podvodu to pridá na dôveryhodnosti. Stačí, aby útočník obeti zopakoval niektoré jej voľne dostupné osobné údaje, čím odstráni všetky pochybnosti.

Viete, ako sa starať o bezpečnosť vášho zariadenia? Prečítať článok


Vplyv vishingu na spoločnosti

Vo firemnom prostredí sa metóda vishingu používa najmä na odcudzenie privilegovaných prihlasovacích údajov. FBI pred takýmito útokmi už viackrát varovalo.

Ešte v auguste 2020 úrad podrobne opísal sofistikovanú operáciu, pri ktorej kybernetickí zločinci zhromaždili informácie o svojich cieľoch a potom im zavolali predstierajúc, že sú z tímu technickej podpory pre IT. Vyzvali obete, aby vyplnili svoje prihlasovacie údaje na vopred vytvorenej phishingovej webovej stránke, ktorá imitovala prihlasovaciu stránku spoločnosti k VPN. Tieto údaje následne zneužívali na prístup k osobným informáciám zákazníkov vo firemných databázach.


ESSP banner clanok

Najvyššia úroveň zabezpečenia aj pre náročných používateľov vrátane pokročilej detekcie hrozieb, mimoriadneho zabezpečenia v prípade krádeže a jednoduchej správy hesiel. Obsahuje aj Anti-phishing.


FBI uviedlo, že takéto útoky sú častejšie aj vďaka masovému prechodu na prácu na diaľku počas pandémie. V januári 2021 musel úrad vydať ďalšie upozornenie týkajúce sa operácie, v ktorej boli použité podobné techniky s cieľom získať prístup k firemnej sieti.

Dnes už známy únik údajov v spoločnosti Twitter, pri ktorom útočníci nalákali vysoko cielených zamestnancov na to, aby prezradili svoje prihlasovacie údaje, ukazuje, že naletieť môžu aj technicky zdatnejšie spoločnosti či používatelia. V tomto prípade útočníci zneužili prístup k prihlasovacím údajom, aby sa nabúrali do účtov slávnych osobností s cieľom šíriť podvod s kryptomenami.

Ako vishing ohrozuje súkromných používateľov

Podvodníci zameraní na vishing, nanešťastie, cielia aj na spotrebiteľov. Pri týchto útokoch je hlavným zámerom vylákať od ľudí peniaze. Útočníci buď priamo odcudzia informácie o bankovom účte či platobnej karte, alebo obete podvodom prinútia odovzdať ich osobné a prihlasovacie údaje, ktoré použijú na prístup k týmto účtom.


10 zlozvykov v kyberbezpečnosti, na ktoré by ste mali zabudnúť Prečítať správu


Typické druhy vishingu:

Pri podvodoch spojených s falošnou technickou podporou obetiam často nevyžiadane volajú osoby vydávajúce sa za poskytovateľa internetových služieb alebo za známeho výrobcu softvéru či hardvéru. Podvodníci tvrdia, že vo vašom počítači našli problém, ktorý v skutočnosti neexistuje, a za jeho odstránenie od vás požadujú peniaze spolu s údajmi o platobnej karte, pričom niekedy do zariadenia stiahnu aj malvér.

Tieto podvody sa môžu tiež začínať tým, že sa používateľovi na zariadení zobrazí okno s výzvou zavolať na uvedené číslo infolinky.

Wardialing je technika zasielania automatických hlasových odkazov veľkému počtu ľudí. Jej cieľom je zvyčajne prinútiť obeť obratom zavolať na dané číslo, pretože informácia v odkaze ju vystraší – podvodník môže napríklad tvrdiť, že nezaplatila dane, účty či iné poplatky.

Podstatou tejto obľúbenej techniky je zavolať príjemcovi s informáciou, že vyhral úžasnú cenu. Háčik spočíva v tom, že obeť musí pred odovzdaním výhry zaplatiť poplatok.

Ako už bolo spomenuté, niektoré typy podvodov sa začínajú falošným e‑mailom či SMS správou, ktoré používateľa navedú na to, aby zavolal na číslo uvedené v texte. Častý je napríklad e‑mail v mene spoločnosti Amazon, v ktorom sa tvrdí, že s nedávnou objednávkou zákazníka niečo nie je v poriadku. Zavolaním na číslo sa obeť spojí priamo s podvodníkom.

Ako sa vyhnúť vishingu?

Hoci niektoré z týchto podvodov sú čoraz sofistikovanejšie, riziko, že sa stanete obeťou, sa dá stále znížiť, ak sa budete držať nasledujúcich krokov.

  • Dbajte na to, aby vaše číslo nebolo verejne dostupné.
  • Nezadávajte svoje telefónne číslo do žiadnych online formulárov (napr. pri online nákupoch).
  • Dávajte si pozor na telefonáty vyžadujúce vaše bankové, osobné alebo iné citlivé informácie.
  • K neznámym volajúcim pristupujte s opatrnosťou. Citlivé údaje nepotvrdzujte cez telefón.
  • Nikdy obratom nevolajte na číslo zanechané v hlasovej schránke. Vždy sa spojte s organizáciou priamo.
  • Používajte dvojfaktorové overenie na všetkých online účtoch.
  • Používajte bezpečnostný softvér.

Autor: tím Bezpečne na nete
Zdroj: WeLiveSecurity – Vishing: What is it and how do I avoid getting scammed?

Získajte praktické rady o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.