Říká se tomu vishing – voice phishing. Je to hlasová, telefonní forma standardního phishingu, takže místo, aby útočník poslal falešný e-mail, své vytipované oběti zavolá. A hovory jsou čím dál sofistikovanější.
Ono se to zdá jednoduché – vždyť kdo by někomu sdělovat svoje osobní údaje, své přihlašovací jméno a heslo, nebo nedej bože po telefonátu někomu oskenoval svůj občanský průkaz?
Přesvědčivý člověk vydávající se za zaměstnance důležité instituce, často kupříkladu vaší banky, je ovšem schopen při troše snahy a talentu dostat z člověka leckteré údaje. Bezskrupulózní podvodníci také velmi dobře vědí, na jaké publikum zacílit. Senioři jsou jasným terčem, ale nejen oni, hlavním principem sociálního inženýrství je úspěšně zneužít slabiny jedince, které si volající zločinec rychle vytipuje.
Vishing lze použít i proti organizacím, ale to teď nechme stranou, nejčastěji totiž cílí na jednotlivce.
Jak na vishing: Opatrnost, obezřetnost a nebojte se zavěsit
Je navíc docela snadné předstírat, že někde nastal problém, který je třeba vyřešit. Jak často vám volá banka, zdravotní pojišťovna, telefonní operátor? Možná ne až tak běžně, ale rozhodně nejde o nic nevídaného a v principu vlastně ani podezřelého.
Prevence je navíc v tomto případě extrémně obtížná. Neotevřít e-mail nebo nestáhnout přílohu je jednoduché; nevzít hovor od neznámého čísla není pro spoustu lidí přijatelné řešení.
Důležité je proto zachovat klid, obezřetnost a trochu přirozené podezřívavosti. Základní pravidla aktivní obrany proti phishingu totiž stále platí: zaměstnanec banky po vás nebude chtít jméno a heslo pro přihlášení do vašeho účtu, protože ho nepotřebuje. Pokud se vás někdo ptá na osobní údaje a netušíte, k čemu je potřeba, odmítněte.
Technicky vzato je to i dobrá obrana vůči agresivním telefonátům od různých pololegálních firem, které nejprve varují před nahrávaným telefonátem a následně se ptají na otázky do jakéhosi podezřelého dotazníku bez jasného smyslu. Sběr osobních dat je jen zjednodušenou formou pokročilého sociálního inženýrství, které stojí za vishingem.
Nakonec nejlepší rada je jasná: pokud máte pochybnosti, zavěste; berte ohled především na sebe. Nenechte se také vlákat do pasti nutnosti rychlé akce – nic nespěchá tak, abyste si to nemohli chvilku rozmyslet; znervóznět oběť a nedat jí čas na rozmyšlenou je pro úspěšné sociální inženýrství klíčové.
Velmi dobrým řešením je také ověřování mobilních čísel. Specializované služby typu Muzutozvednout.cz nebo Kdomivolal.eu pomohou, dobrý je i Google: Můžete si snadno najít, zda vám opravdu volá číslo z vaší banky, někde na webových stránkách totiž bude bezpochyby vystaveno.
Podvodníci dokáží zavolat z jakéhokoliv vybraného čísla
Jak dokazuje vlna vishingu cílící na české bankovní instituce, útočníci jsou čím dál sofistikovanější. Nově začali používat služby umožňující volbu libovolného čísla volajícího. Na displeji telefonu se tak skutečně zobrazí číslo banky či jiné instituce. I zde platí, že útočníky poznáte tak, že budou chtít osobní údaje, čísla karet, hesla a další informace, na které nemají nárok.
Vishing je tak poměrně úspěšnou metodou, před kterou je nejlepší obranou opatrnost uživatele. Podvodníci volají z čísel českých bank a kradou z účtů statisíce: Jak poznat nebezpečný podvod?
