Tereza MalkusováZavolá vám neznámé telefonní číslo. Volá pan František Dvořáček z banky s urgentním požadavkem na blokaci vaší karty z důvodu neznámých výběrů a pro ověření vaší totožnosti potřebuje rodné číslo. Sdělíte jej? Pokud ano, dost možná skočíte na špek volajícímu, který na vás použil techniky vishingu.
Vhishing
Vhishing je podvodný telefonát, při kterém se útočník vydává za pracovníka banky nebo jiné služby, například policie, a pod závažnou záminkou z vás zkouší vylákat osobní, platební nebo přístupové údaje. V posledním roce se oběti setkávaly i s požadavky na vložení svých úspor do bitcoinmatů, ze kterých pak útočníci vklad vybrali. Útoky jsou stále pokročilejší.
Stejné triky znají internetoví uživatelé z e-mailových schránek, chatovacích aplikací či SMS. Tyto útoky označujeme termíny phishing či smishing, odtud se odvinul termín vishing = voice phishing.
Bohužel útočníci nejsou hloupí a v některých případech volají i uprostřed noci. Základní informace už o oběti vědí, takže dokáží být velmi přesvědčiví. Jak takový podvod v reálu vypadá, se můžete podívat například v tomto videu.
Proč uvěříme vishingu?
Útočníci používají k manipulaci techniky sociálního inženýrství. Zpravidla se vydávají za zástupce nějaké důvěryhodné instituce – ať už jde o banku, policii či velkého poskytovatele internetových služeb.
Tito lidé volají standardně z neznámých čísel, včetně mobilních, takže nevyvolávají podezření. Mohou ale využít i metodu zvanou spoofing, kdy dokáží napodobit jakékoli číslo, a to i ta existující a oficiální.
Dále proti vám zneužijí nějakou emoci – pro stávající zákazníky například nabízejí obrovskou slevu nebo vás naopak zkusí vylekat zmínkou, že vaší kartou právě platí někdo na Srí Lance. Právě nebezpečí ztráty financí platí na oběti jako spolehlivé zaklínadlo. Strach je velmi silnou a přesvědčivou emocí.
Aby bylo možné nabídku využít nebo vyřešit problémovou situaci, útočníci potřebují ověřit vaši totožnost. Volající vás tedy požádá o rodné číslo, datum narození, údaje o kartě a podobně. Mohou si dokonce vyžádat i vícero údajů.
Útočníci manipulují emocemi. Snaží se nás po telefonu nalákat nebo vyděsit.
S vishingem se ale můžete setkat i v práci. Známé jsou například podvodné telefonáty, které byly „od technické podpory Microsoftu“. V těchto případech volala falešná technická podpora účetním, recepčním a dalším zaměstnancům, kteří mají údaje veřejně vyvěšené na stránkách firem. Programy Word či Excel (případně cloudové verze Microsoft 365) se používají prakticky všude. Pokud útočník použije pár odborných slovíček, je snadné oběť oklamat. Volající argumentuje, že v programech Office je problém a potřebuje od vás vzdálený přístup, aby ho vyřešil.
Podobné podvody je prakticky nemožné sledovat. Útočníci mohou mít stovky či tisíce telefonních čísel, které mohou rychle měnit. Výjimkou již nejsou ani gangy, které se sdružují k tomu určených call centrech. Mohou volat z Česka i ze zahraničí. Liší se čas, kdy hovor probíhá, i argumenty, které útočníci používají.
Úspěch vishingu závisí na tom, jaké informace už útočník má a jak přesvědčivě je použije. Podvodníci proto shromažďují uniklé databáze s různými daty, jako jsou jména, kontaktní údaje, adresa bydliště a tak dále. Jednotlivě se jedná o nedůležité údaje, ale společně tvoří přesvědčivou iluzi, že vás útočník zná.
Jak na načekaný telefonát s urgentním požadavkem reagovat?
Podvody po telefonu jsou dnes velmi rozšířené, proto si neváhejte identitu volajícího ve vší zdvořilosti ověřit. Sledujte také, jak volající reaguje. Pokud dlouho váhá nebo se vám zdá nervózní, klidně zavěste.
Ověřte si, kdo volá. Své údaje také nedáte jen tak někomu na ulici.
Mějte na paměti, že renomované instituce nepožadují citlivé informace po telefonu. Pokud ověřují identitu klienta po telefonu, požádají například jen o určité číslovky z rodného čísla.
Během legitimního telefonátu vám zpravidla nabídnou další produkt, chtějí vědět, zda jste provedli určitou transakci, ale po telefonu nikdy nepožadují aktivní operaci, jako je například převod, autorizace platby a podobně. Pokud je něco takového nutné, odkáží vás do internetového bankovnictví, aplikace nebo na některou z poboček.
Pokud máte podezření, že konkrétní hovor je podvod nebo volající vyžaduje data, která nechcete poskytnout, informujte volajícího, že raději zavoláte na standardní infolinku, kterou běžně používáte.
Jak se před vishingem chránit?
V první řadě nikdy neprozrazujte po telefonu citlivé údaje jako PIN, hesla, CVV kód k platební kartě, čísla dokladů nebo rodné číslo. To platí také pro různé potvrzovací kódy k platbám.
Zvažte, zda je vhodné po telefonu uzavírat složité smlouvy, například půjčky. V takovém případě se operátor legitimní instituce musí vyptávat na řadu důvěrných informací, u půjčky to bude třeba plat. Předem důsledně nastudujte podmínky, včetně možnosti zrušení daného produktu.
Ověřte si identitu volajícího, případně zavěste a spojte se s infolinkou, na kterou jste zvyklí. Není vaše povinnost se s kýmkoli bavit.
Pokud jste si jistí, že šlo o podvod, incident ohlaste dotčené instituci nebo policii.
Pokud vám volající zašle v SMS nebo e-mailem odkaz, buďte obezřetní. Můžete se jednat o falešnou stránku, která má jen dokončit dílo zkázy. V tomto případě doporučujeme dbát na pravidelné aktualizace systému a využívat v počítači i telefonu spolehlivý bezpečnostní program s aktivní anti-phishingovou službou, která vás na riziko na internetu upozorní.
Lucie Mudráková
