Zavolá vám neznámé telefonní číslo. Volá pan František Dvořáček z banky s urgentním požadavkem na blokaci vaší karty z důvodu neznámých výběrů a pro ověření vaší totožnosti potřebuje rodné číslo. Sdělíte jej? Pokud ano, dost možná skočíte na špek volajícímu, který uplatňuje techniky vishingu.
Vhishing je podvodný telefonát, při kterém se útočník vydává za pracovníka banky případně servisní služby, a pod závažnou záminkou z vás zkouší vylákat osobní údaje nebo informace o platební kartě. Stejné triky znají internetoví uživatelé z e-mailových schránek (kdy je útoky označujeme jako phishing, odtud se odvinul termín vishing = voice phishing).
Jak na takový telefonát reagovat, jsme se zeptali i našich fanoušků na Facebooku. S potěšením jsme zjistili, že většina by se s hypotetickým útočníkem vůbec nebavila.
Bohužel útočníci nejsou hloupí a v některých případech volají uprostřed noci. Základní informace už o oběti vědí, takže dokáží být velmi přesvědčiví. Reálnou nahrávku si můžete poslechnout zde.
Proč uvěříme vishingu?
Útočníci používají manipulaci, takzvané sociální inženýrství. Zpravidla se vydávají za zástupce nějaké důvěryhodné instituce – ať už jde o banku, velkého poskytovatele internetových služeb nebo třeba energií. Tito lidé volají standardně z neznámých čísel, včetně mobilních, takže nevyvolávají podezření.
Dále proti vám zneužijí nějakou emoci – pro stávající zákazníky například nabízejí obrovskou slevu nebo vás naopak zkusí vylekat zmínkou, že vaší kartou právě platí někdo na Srí Lance.
Každopádně, aby bylo možné nabídku využít nebo vyřešit problémovou situaci, je potřebují ověřit vaši totožnost. Volající vás tedy požádá o rodné číslo, datum narození, údaje o kartě a podobně. Mohou si dokonce vyžádat i vícero údajů.
Útočníci manipulují emocemi. Snaží se nás po telefonu nalákat nebo vyděsit.
S vishingem se ale můžete setkat i v práci. Zaznamenali jsme například podvodné telefonáty, které byly „od technické podpory Microsoftu“. V těchto případech volala falešná technická podpora účetním, recepčním a dalším zaměstnancům, kteří mají údaje veřejně vyvěšené na stránkách firem. Programy Word či Excel (případně cloudové verze Microsoft 365) se používají prakticky všude. Pokud útočník použije pár odborných slovíček, je snadné oběť oklamat. Volající argumentuje, že v programech Office je problém a potřebuje od vás vzdálený přístup, aby problém vyřešil.
Podobné podvody je prakticky nemožné sledovat. Útočníci mohou mít stovky či tisíce telefonních čísel, které mohou rychle měnit. Mohou volat z Česka i ze zahraničí. Liší se čas, kdy hovor probíhá, i argumenty, které útočníci používají.
Úspěch vishingu závisí na tom, jaké informace už útočník má a jak přesvědčivě je použije. Podvodníci proto shromažďují uniklé databáze s různými daty, jako jsou jména, kontaktní údaje, adresa bydliště a tak dále. Jednotlivě se jedná o nedůležité údaje, ale společně tvoří přesvědčivou iluzi, že vás útočník zná.
Jak na telefonát reagovat?
V první řadě doporučujeme ověřit si, kdo skutečně volá. Ověřte si následující informace:
- Jméno volajícího.
- Instituci, kterou zastupuje – zejména se zamyslete, zda u dané společnosti máte nějaké smlouvy či využíváte její produkty.
- Nějakou interní informaci – například číslo smlouvy nebo vaše bydliště.
- Zda probíhá hovor v adekvátní dobu, například v úředních hodinách.
- Zda hovoří volající správným jazykem – nemyslíme jen češtinu, banky mívají formální projev i po telefonu, naopak technik z plynáren bude asi také mluvit jinak. Jedná volající tak, jak jste od dané instituce zvyklí?
- Jde-li o dodavatele nějaké firemní služby, chtějte znát nějaký detail – třeba o své firmě, které zná jen spolupracující firma.
Podvody po telefonu se rozmáhají, proto si neváhejte identitu volajícího ve vší zdvořilosti ověřit. Sledujte také, jak volající reaguje, pokud dlouho váhá nebo se vám zdá nervózní, klidně zavěste.
Ověřte si, kdo volá. Své údaje také nedáte jen tak někomu na ulici.
Mějte na paměti, že renomované instituce nepožadují citlivé informace po telefonu. Pokud ověřují identitu klienta po telefonu, požádají například o určité číslovky z rodného čísla, nikdy o ucelenou informaci.
Během legitimního telefonátu vám pravidla nabídnou další produkt, chtějí vědět, zda jste provedli určitou transakci, ale po telefonu nikdy nepožadují aktivní operaci jako je například převod, autorizace platby a podobně. Pokud je něco takového nutné, odkáží vás do internetového bankovnictví, aplikace nebo na nějakou z poboček.
Pokud máte podezření, že konkrétní hovor je podvod nebo vyžaduje volající data, která nechcete poskytnout, informujte volajícího, že raději zavoláte na standardní infolinku, kterou běžně používáte.
Jak se před vishingem chránit?
V první řadě nikdy neprozrazujte po telefonu citlivé údaje jako PIN, hesla, CVV kód k platební kartě, čísla dokladů nebo rodné číslo. To platí také pro různé potvrzovací kódy k platbám.
Zvažte, zda je vhodné po telefonu uzavírat složité smlouvy, například půjčky. V takovém případě se operátor legitimní instituce musí vyptávat na řadu důvěrných informací, u půjčky to bude třeba plat. Předem důsledně nastudujte podmínky, včetně možnosti zrušení daného produktu.
Ověřte si identitu volajícího, případně zavěste a spojte se s infolinkou, na kterou jste zvyklí. Není vaše povinnost se s kýmkoli bavit.
Pokud jste si jistí, že šlo o podvod, incident ohlaste dotčené instituci nebo policii.
Pokud vám volající zašle v SMS nebo e-mailem odkaz, buďte obezřetní. Můžete se jednat o falešnou stránku, která má jen dokončit dílo zkázy. V tomto případě doporučujeme dbát na pravidelné aktualizace systému a využívat v počítači i telefonu spolehlivý bezpečnostní program s aktivní anti-phishingovou službou, která vás na riziko na internetu upozorní.