Kým väčšina ľudí sa už niekedy stretla s phishingovým e-mailom, termín vishing je rozšírený menej. To ale tomuto typu útoku neuberá na rizikovosti, ktorá môže byť dokonca väčšia ako pri podvodnom e-maile. Vishing zasahuje tak jednotlivcov, ako aj firmy.
Zjednodušene povedané ide o hlasový phishing (teda voice phishing, takto vznikol aj názov tohto termínu), kedy sa využíva podvodný telefonát na to, aby obeť prezradila citlivé údaje - či už osobné, finančné, alebo obchodné. A počet prípadov vishingu v posledných rokoch dramaticky stúpa: podľa výskumu spoločnosti PhishLabs vzrástol tento rok medziročne počet týchto útokov takmer o 550 %. Len v USA dokázali vlani hackeri prostredníctvom vishingu z obetí vylákať ohromujúcich 60 miliónov dolárov. Hackeri ale neútočia iba na jednotlivcov: s vishingovým útokom sa v minulom roku stretlo 71% firiem po celom svete.
Ako však falošný telefonát spoľahlivo rozpoznať? Typický vishingový hovor sa riadi starostlivo pripraveným scenárom: podvodník obvykle začína tým, že sa predstaví ako zástupca dôveryhodnej organizácie – napríklad banky, verejnej či vládnej organizácie, alebo služby technickej podpory.
Potom útočník postaví obeť pred vymyslený problém alebo situáciu, ktorá si vyžaduje okamžité riešenie. Dotyčného sa manipulatívnymi technikami snaží dostať pod časový tlak - napríklad tým, že na jeho bankovom účte došlo k podozrivej aktivite alebo že bol jeho počítač napadnutý vírusom.
3 časté typy vishingových útokov
Firemné útoky: táto forma vishingu (známa tiež ako whaling) je obzvlášť zákerná, pretože sa zameriava na zamestnancov firiem. Podvodník sa vydáva za vysoko postaveného manažéra a naliehavo požaduje prevod finančných prostriedkov alebo poskytnutie citlivých informácií. Vzhľadom na zdanlivú autoritu volajúceho môžu zamestnanci vyhovieť bez toho, aby spochybnili oprávnenosť požiadavky.
Technická podpora: patrí medzi najrozšírenejšie formy vishingu. Podvodníci sa vydávajú za pracovníkov technickej podpory známych spoločností. Tvrdia, že v počítači odhalili malware a ponúkajú, že vás prevedú „procesom jeho odstránenia“, ktorý obvykle zahŕňa poskytnutie vzdialeného prístupu k počítaču.
Banky a financie: pri týchto podvodoch sa volajúci predstaví ako zástupca banky alebo napríklad spoločnosti vydávajúcej kreditné karty. Môže tvrdiť, že si všimol podozrivé aktivity na vašom účte a potrebuje overiť vašu totožnosť, aby mohol vec napraviť. Cieľom je získať prístup do vášho internetového bankovníctva alebo k číslu vašej platobnej karty.
Psychologický trik časovej tiesne a naliehavosti problému nie je jedinou metódou sociálneho inžinierstva, ktorú útočníci používajú. Pre čo najpresvedčivejší útok využívajú informácie získané zo sociálnych sietí, firemných webových stránok alebo obchodných registrov. Zločinci tiež často predstierajú falošnú identitu (pre túto metódu sa používa termín impersonácie alebo zosobnenie). Nie je neobvyklé, že napríklad použijú meno skutočného bankového poradcu alebo uvedú nedávne transakcie, ktorých sa dopátrali inou cestou.
Ďalší trik spočíva vo falšovaní čísla volajúceho. Ide o techniku tzv. spoofingu, ktorá umožňuje podvodníkom zmanipulovať komunikačný systém tak, aby sa zdalo, že ich hovor prichádza z dôveryhodného zdroja, napríklad z banky alebo vládnej inštitúcie.
Umelá inteligencia v službách hackerov
Útočníkom nahrávajú aj pokroky v rozvíjajúcich sa technológiách súčasnosti: umelá inteligencia, strojové učenie a ďalšie nástroje robia vishingové útoky ešte uveriteľnejšími, sofistikovanejšími a horšie odhaliteľnými. Algoritmy umelej inteligencie sú napríklad schopné napodobňovať ľubovoľný ľudský hlas s prekvapivou presnosťou. Kvôli týmto deepfake hlasom je potom veľmi ťažké rozoznať legitímny hovor od podvodu. Generatívna umelá inteligencia môže vytvoriť presvedčivo znejúci text, obzvlášť pokiaľ je založený na reálnych faktoch, ktoré sú verejne dohľadateľné na internete.
Jedným z prvých zdokumentovaných deepfake útokov bol prípad falošného šéfa spoločnosti GymBeam Dalibora Cicmana. Ten je mediálne známou osobou a na internete je dostupný rad videí a podcastov, z ktorých útočníci vytvorili digitálny klon majiteľa firmy. Útočník sa potom na falošnom online meetingu snažil vytiahnuť zo zamestnancov citlivé informácie.
Efektívna obrana proti vishingu? Uvedomelí a preškolení zamestnanci
Ako sa brániť proti vishingovým útokom? Podobne ako pri ostatných technikách sociálneho inžinierstva neexistuje jednoduché technologické riešenie. Hackeri sa totiž snažia citlivé údaje získať manipulatívnymi technikami, ktoré cielia na najzraniteľnejšie miesto človeka: jeho psychiku. Avšak dodržiavanie nasledujúcich krokov zaistí, aby ste boli pred týmito podvodníkmi o krok vpred.
Buďte skeptickí: vždy spochybňujte legitimitu nevyžiadaných hovorov, najmä tých, ktoré požadujú osobné alebo finančné informácie.
Overte si totožnosť: ak si nie ste istí totožnosťou volajúceho, zaveste a zavolajte späť na overené číslo z oficiálnych webových stránok inštitúcie alebo z vlastných záznamov. Tiež odporúčame dotyčnú osobu kontaktovať iným spôsobom.
Nedôverujte identifikácii volajúceho: zbystriť by ste mali vo chvíli, keď vám volá neidentifikované číslo alebo číslo s predvoľbou cudzej krajiny.
Spomaľte a urobte krok späť: podvodníci často vytvárajú pocit naliehavosti, aby vám zatemnili úsudok. Spomaľte, vyčkajte, venujte čas posúdeniu situácie.
Nenechajte sa zahnať do kúta: uvedomte si, že podvodníci môžu používať vyhrážky alebo zastrašovaciu taktiku.
„Nie“ má silu: nebojte sa povedať nie alebo zavesiť telefón. Je lepšie riskovať chvíľu trápnosti ako ohroziť svoju bezpečnosť.
A ako sa systematicky postarať o bezpečie vašej firmy a zamestnancov? Práve preto, že hackeri útočia namiesto technológie na ľudskú psychiku, je aj pri tejto metóde najdôležitejšou a stále sa opakujúcou mantrou školenie zamestnancov: Pravidelné semináre a workshopy vašich zamestnancov poučia o tom, ako rozpoznať pokusy o vishing a ako na ne reagovať.
Taktiež odporúčame pridať ďalšiu vrstvu bezpečnosti v podobe multifaktorového overovania – obzvlášť pri finančných transakciách a operáciách s citlivými dátami. A v neposlednom rade je potrebné sledovať aktuálne trendy: kybernetické hrozby sa totiž neustále vyvíjajú a zvlášť s nástupom spomínaných nástrojov umelej inteligencie sú čoraz rafinovanejšie. S najnovšími trendmi vám môžu pomôcť aj konzultácie s odborníkmi na kybernetickú bezpečnosť.
Vishing nie je len problémom technológie, ale aj ľudskej dôverčivosti. Preto je dôležité posilňovať (nielen medzi zamestnancami) povedomie o tomto rafinovanom útoku sociálneho inžinierstva. Jedine skeptický prístup a kritické myslenie zabráni tomu, aby sa hackeri cez falošný hovor nabúrali do vašej firmy. Uvedené kroky môžu výrazne znížiť riziko, že sa Vy alebo Vaša firma stanete obeťou vishingových útokov. Nejde len o používanie správnych nástrojov alebo dodržiavanie osvedčených postupov. Ide o vytvorenie kultúry povedomia o kybernetickej bezpečnosti, a to ako na úrovni jednotlivcov, tak na úrovni celej firmy.
V prípade, že by ste mali otázky ohľadom zabezpečenia vašej firmy proti kyberútokom, obráťte sa na nás cez kontaktný formulár. Naši špecialisti Vám zodpovedajú všetky otázky a predstavia Vám naše riešenia komplexného zabezpečenie pre pevnú aj mobilnú komunikačnú technológiu.