- „Dobrý den, tady Marek z O2, oddělení pro zákazníky. Rád bych s vámi prošel vaše služby.“
- „Jak mám vědět, že jste opravdu z O2?“
- „Jsem Marek z O2, oddělení pro zákazníky. Můžete mi říct celé vaše jméno?“
- „Ale jak mám vědět, že jste z O2?!“
- „Jsem Marek…“
Znáte to: zazvoní telefon a hlas na druhé straně vás osloví s tím, že zastupuje banku, mobilního operátora nebo třeba energetickou společnost. Někdy z kontextu hovoru vyplyne, že jde o skutečného zástupce firmy, obzvláště pokud se nejedná o první kontakt, ale například o reakci na naše předchozí volání, e-mail nebo jiný podnět. Ale často tento kontext chybí a začnete mít pochybnosti o tom, s kým to vlastně mluvíte.
Opatrnost je přitom namístě. Pokusy o vylákání osobních dat nebo přímé podvody prostřednictvím falešných telefonátů jsou dnes velmi reálnou hrozbou. Volající z call centra přitom obvykle nemá možnost, jak svou identitu potvrdit. A české firmy se tomuto problému – až na výjimky – nevěnují. Technické možnosti, jak tuto situaci řešit, přitom existují.
Útočníci mění postupy
„Dříve se jednalo jen o prosté e-mailové či SMS výzvy k přihlášení do internetového bankovnictví, případně se útočníci po telefonu vydávali za zaměstnance technické podpory banky a tvrdili, že účet byl napaden a potřebují potvrdit vaše přihlašovací údaje nebo údaje k platební kartě. Dnes však útočníci vymýšlejí složitější scénáře,“ potvrzuje změnu postupů specialistka kybernetické bezpečnosti společnosti ESET Vladimíra Žáčková.
Vishing – tzv. hlasový phishing nebo voice phishing je typ phishingového útoku, který používá hlasový hovor a techniky sociálního inženýrství. Útočníci se prostřednictvím telefonního hovoru snaží z oběti vylákat osobní nebo platební údaje, nebo ji rovnou přimět k převodu peněz. Zjednodušeně řečeno jde o podvodné volání.
Jako příklad zmiňuje postup, kterým se útočníci snaží přesvědčit oběti k výběru peněz, nebo dokonce k podání žádosti o úvěr či vložení hotovosti do automatů na bitcoiny nebo na jiný účet. Důvodem k tomu má být údajně zcizená bankovní identita klienta banky a bezprostřední ohrožení jeho peněz na účtu.
„Dalším scénářem jsou útoky, kdy se podvodníci vydávají přímo za brokery a pod záminkou investiční příležitosti se snaží získat přístup přímo k ovládání počítače oběti. Útočník oběť kontaktuje telefonicky a přesvědčí ji k nainstalování programů pro vzdálený přístup jako AnyDesk nebo TeamViewer. Získá tím moc nad počítačem oběti a uloženými přihlašovacími údaji do internetového bankovnictví a dalších aplikací,“ vyjmenovává nejčastější motivaci k vishingu Žáčková.
Nemusí ale hned nutně jít o pokus vybílit bankovní účet nebo si na cizí úkor vzít úvěr. V ohrožení mohou být i „jen“ osobní data. Například v případě, kdy volající pod záminkou dojednání lepšího pojištění vyzvídá rodné číslo.
Při jakémkoliv podezření zavěste
Jaké v tu chvíli máme možnosti ověřit si identitu volajícího? Jak můžeme zjistit, že osoba na druhé straně linky je skutečně zástupcem korporace, za kterou se vydává? A co dělat, když máme pochybnosti?
Firmy provozující call centra jsou si problému vědomy a většinou připouští, že k takovým případům může dojít. Některé společnosti už se s nimi dokonce setkaly. Účinnou obranu, resp. zavedenou možnost si okamžitě v průběhu hovoru ověřit, že věci jsou tak, jak vypadají, ale má zatím jen jediný subjekt a další na něm pracuje.
Tím, kdo zaslouží za boj s vishingem pochválit, je Česká spořitelna. „Jako první banka od loňska umožňujeme okamžité zjištění identity volajícího bankéře. Vzdálené ověření v aplikaci George Klíč měsíčně využijí desítky tisíc klientů,“ říká mluvčí spořitelny Filip Hrubý.
Banka umí v mobilní aplikaci uživateli potvrdit, že hovor skutečně iniciovala. Jde přitom o zabezpečený kanál využívaný i pro potvrzování prováděných transakcí. Útočník, který může snadno podvrhnout své číslo tak, že se zdá, že volá z oficiální linky firmy, už nedokáže zajistit, aby se podvodný hovor zobrazil i v aplikaci. Při troše obezřetnosti tak zákazník může mít do několika sekund jasno.
Stejnou službu zatím připravuje T-Mobile. „Na dvoufaktorové autorizaci prostřednictvím aplikace, včetně autorizace hovoru, aktuálně pracujeme,“ říká mluvčí operátora Patricie Šedivá. T-Mobile přitom potvrzuje, že se s případy, kdy se někdo vydává za jeho zaměstnance, setkává. Denně detekuje a zablokuje přes čtyři tisíce podezřelých aktivit, které často cílí na citlivá a osobní data uživatelů. „Hovory velmi často pocházejí ze zahraničí, kde je zdrojové zařízení nedohledatelné a pro útočníka představuje pohodlnější způsob podvodu,“ dodává Šedivá.
Operátor aktuálně přišel také s bezpečnostním řešením Firewall 2.1, které nově ověřuje původ hovoru, tedy to, zda se telefonní číslo nachází v domácí síti, nebo v zahraničí. Podvržené hovory pak v případě, že je aktivní číslo přihlášené do domovské sítě firewall, blokuje. Funguje to ale jen v případech, kdy se jedná o zneužití čísel T-Mobile při volání do sítě T-Mobilu.
Ve všech případech při jakýchkoliv pochybnostech operátor doporučuje hovor okamžitě ukončit a zavolat zpátky na call centrum. Tam jsou schopni potvrdit, jestli předchozí hovor skutečně pocházel od operátora, případně si potvrdit provedené objednávky. Ukáže-li se, že se klient stal obětí podvodu, i tehdy mu call centrum umí pomoci. „V takovém případě zablokujeme objednávky, změníme role, přístupové údaje apod. Navíc proaktivně monitorujeme nadstandardní situace a tyto transakce ověřujeme se zákazníkem, abychom se ujistili, že objednávku skutečně zrealizoval,“ vyjmenovává kroky možné pomoci Šedivá.
Nasazení AI může nahrávat útočníkům
Operátor O2 tvrdí, že se dosud s něčím takovým vůbec nesetkal. „Doposud jsme nezaznamenali, že by se někdo vydával za zaměstnance O2 a jménem O2 kontaktoval zákazníky,“ říká mluvčí modrého operátora Blanka Vokounová. Nejlepší ochranou před útočníky je podle ní velká opatrnost. „V případě podezřelého nebo obtěžujícího volání doporučuji neváhat, ukončit hovor a nahlásit jej na Policii ČR,“ radí mluvčí.
O2 zjevně více trápí podvodné SMS. Kvůli nim nedávno operátor zřídil linku 720 002 002 pro přeposílání podvodných SMS zpráv. „Tipy na takto podvodné SMS zprávy chodí prakticky denně a díky nim se nám podařilo řadu hackerů zastavit a ochránit zákazníky,“ dodává Vokounová.
O2 přitom nedávno představilo změnu fungování svých call center, které podvodům s falešnými telefonáty může nahrávat. Zapojuje totiž do kontaktu se zákazníky virtuální softwarové roboty a prvky umělé inteligence. To útočníkům otvírá možnost nasadit stejné zbraně, aniž by to vzbudilo zdání čehokoliv nepatřičného. Je nejspíš jen otázkou času, kdy vishingové útoky začnou využívat virtuálního hlasu přizpůsobeného tomu, který používá operátor. Z tiskové zprávy přitom víme, že virtuální asistentka Eva mluví hlasem herečky Kateřiny Winterové.
Podle mluvčí O2 se operátor nechystá implementovat podobné řešení jako zmiňovaná Česká spořitelna a umožnit příchozí volání ověřit přes mobilní zákaznickou aplikaci. „To se obávám, že není v našich technických možnostech,“ říká Vokounová.
Expertka na bezpečnost z ESETu Vladimíra Žáčková v tomto ohledu zdůrazňuje, že nejdůležitější prevencí těchto podvodů je zůstat informovaný. Vědět o nejnovějších typech útoků a mít přehled v nových technologiích, které mohou používat jak útočníci, tak instituce, aby prostředky zabezpečily. „Spolehlivé bezpečnostní řešení obsahuje také funkci filtr hovoru. Ten blokuje příchozí a odchozí hovory v závislosti na nastavených pravidlech. Pokud zablokujete příchozí hovor z podvodného čísla, útočník už se vám nedovolá,“ dodává Žáčková.
Buďte ve střehu, hovory od nás si ale neověříte
Vodafone na rozdíl od O2 přiznává, že se s vishingem setkal, a dokonce že jde o rostoucí trend. „Podvodníci se ze světa fyzického přesunuli do světa digitálního,“ konstatuje mluvčí Vodafonu Ondřej Luštinec. Ani tento operátor však možnost ověřování hovorů ze svých infolinek přes zabezpečený kanál, například v aplikaci Můj Vodafone, neplánuje. „Takovou cestou nepůjdeme. Ale pokud jde o spoofing, pracujeme na řešení, které teď nemohu více komentovat,“ dodává bez dalších detailů Luštinec. I on radí nesdělovat nikdy citlivé informace přes telefon a při jakémkoliv podezření zavěsit a zavolat zpátky na oficiální číslo dané instituce.
Z dalších tuzemských bank vedle spořitelny má omezený nástroj proti vishingu ČSOB. V určité fázi hovoru, když je třeba klienta ověřit, používá banka mobilní aplikaci Smart Klíč. Do té přijde notifikace se jménem volajícího bankéře a klient přes aplikaci potvrzuje, že banka mluví právě s ním. Je to tedy ověření naruby, ale svůj účel může splnit i pro prověření podezřelého hovoru. U většiny ostatních peněžních ústavů ale máte smůlu a nástroj snadného ověřování volajících zaměstnanců u nich budete hledat marně. Nemá ho implementována Fio Banka, Air Bank ani Komerční banka.
A podobně jsou na tom i energetické podniky. ČEZ apeluje na obezřetnost a zdravý rozum. Podle Alice Horákové z ČEZu by se lidé měli zamyslet nad tím, zda požadavek volajícího dává smysl. „Jsme energetická firma, proto oslovujeme naše zákazníky zejména s energetickými tématy. Nikdy nenabízíme žádné finanční služby, jakou jsou investiční příležitosti či nákup akcií, nežádáme tedy o žádné přístupy do bankovnictví,“ dodává.
Ani Pražská energetika obdobnou pokročilou obranu proti vishingu neřeší. „Ve většině případů volají zákazníci nám s tím, že potřebují řešit své zákaznické požadavky. Pokud už voláme my, zpravidla takové hovory navazují na předchozí komunikaci. Hovor od nás je tedy ze strany klienta vždy očekávaný,“ uzavírá mluvčí PRE Karel Hanzelka.
Ochota problém řešit, i když už příklady technického řešení existují, tedy u většiny Lupou oslovených společností chybí. Firmy, které žádná opatření nechystají, přitom riskují mimo jiné to, že zákazníci s povědomím o možném nebezpečí nebudou – zcela oprávněně – ochotní s pracovníky call center, kteří se nedokáží spolehlivě identifikovat, jakkoli komunikovat. Hovor citovaný na začátku článku ostatně skončil přesně tak:
- „Dobrý den, tady Marek z O2, oddělení pro zákazníky. Rád bych s vámi prošel vaše služby.“
- „Jak mám vědět, že jste opravdu z O2?“
- „Jsem Marek z O2, oddělení pro zákazníky. Můžete mi říct celé vaše jméno?“
- „Jak mám vědět, že jste z O2?!“
- „Jsem Marek…“
- „Na shledanou!“
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem