16.11.2021 11 minut čtení

Vishing - podrobně a s příklady

V našem posledním příspěvku jsme si stručně zadefinovali pojem vishing, který je v dnešní době obrovským, plošným a bohužel stále poměrně úspěšným typem podvodu.

Případů neustále přibývá, podvodníci se ve svých nekalých dovednostech soustavně zdokonalují a výše škody se s každou úspěšnou krádeží dramaticky navyšuje. Rozhodli jsme se proto toto téma trošku detailněji rozebrat a uvést i konkrétní příklady a reálné situace, aby Vás hned „trklo“, že něco není v pořádku.
 

Jak jsme si již vysvětlili v našem kryptoslovníku, vishing (z anglického Voice phishing) je nový typ kybernetického útoku, který bývá nazýván i hlasový phishing, neboť se jedná o podvodné jednání formou hlasové zprávy či telefonátu. Podvodník se snaží přimět oběť k tomu, aby se telefonicky vzdala citlivých osobních údajů, které budou následně chytře (a drasticky) zneužity. Přestože se může zdát, že tohle jste již v minulosti slyšeli a jedná se o staromódní typ podvodu, opak je bohužel pravdou. Vishing je totiž velmi komplexní podvod, při kterém útočníci nejprve o svých obětech zjistí co možná nejvíce údajů, které následně vytvoří dojem relevance a vážnosti situace.

 

Jak obvykle vishing probíhá? Většinu současných podvodů spojuje několik společných znaků. V první řadě je největší posun v jazyce, ve kterém podvodník komunikuje. Zatímco před pár lety nám zvykli volat anglicky mluvící spekulanti, při novodobém vishingu je využívána libozvučná čeština. Podvodník působí vyrovnaně, sebevědomě, jako zástupce důvěryhodné instituce, což je jedním z důvodů, proč mnozí na tento podvod naletí. Kdo by nevěřil česky mluvícímu pánovi z banky, který zná mé telefonní číslo, jméno, či jiný osobní údaj?


Dalším častým znakem je využívání automatizace, například formou automatizovaných sms, které se tváří jako od Vaší banky, finanční instituce, mobilního operátora či poskytovatelé připojení. Mnozí poškození ve strachu o ochranu vlastních financí obratem na takové zprávy reagovali a s útočníky navázali telefonický hovor, což bylo smyslem celého pokusu.


Velmi častá je přítomnost časového i emocionálního nátlaku. Útočník bude naléhat, abyste zakročili co nejdříve, protože jen tak můžete uchránit hackery napadený účet a alespoň nějaké peníze stihnout vybrat. Často se tyto telefonáty odehrávají v noci, což opět jen posiluje vážnost situace a nutnost jednat ASAP. Rozespalost, zmatení a strach jsou všechno to, co ve vás chce podvodník vyvolat, protože tehdy je člověk náchylnější k urychleným reakcím a zbytečným chybám způsobených nepozorností. 

 

Ve většině případů bude hlavní záminkou Váš bankovní účet a zvláštní pohyby, které se na něm objevily. Podvodník se následně pokusí získat údaje o Vaší kartě, a to komplet (číslo karty, platnost i třímístný bezpečnostní kód), což mu umožní čerpání vašich peněz přímo z Vašeho účtu, nebo se pokusí z Vás vylákat údaje do internet bankingu, spolu s autorizační SMS, neméně časté je vymáhání rodného čísla pod záminkou ověření Vaší totožnosti. Nenechte se opantat ani frází - kartu musíme okamžitě na dálku zablokovat. Všechny takové operace řešte raději osobně na pobočce.


V neposlední řadě dokážou útočníci volat z čísel, která jsou Vám poměrně známá - například číslo vaší banky či dokonce osobního bankéře, číslo finanční správy, policie, či jiných státních orgánů. Tato taktika se odborně nazývá spoofing a je důležitou součástí celého schématu.


Jak se tedy aktivně bránit? Postačí si zapamatovat několik běžných, bezpečnostních pravidel:

1) Nikdy po telefonu nesdělujte své osobní údaje. Nedovolte nikomu získat vzdálený přístup do Vašeho počítače, nic si na pokyn cizího člověka do počítače neinstalujte, nerozdávejte nikomu údaje jako rodné číslo, číslo karty, ověřovací SMS kódy či přístupy do internet bankingu.

2) Máte-li podezření, že jste se téměř stali obětí podvodu, vyhledejte si dané číslo na internetu. S velkou pravděpodobností o něm už někdo slyšel a napsal varování i pro další.

3) Uklidněte se a držte emoce na uzdě. Pokud na Vás bude někdo tlačit, abyste ve středu noci udělali na dálku nějakou aktivitu, zpozorněte. Nenechte se zahnat do kouta, a celou situaci si před jakoukoli aktivitou promyslete a ověřte.

4) Připravte si dotazy na volajícího. Pokud je skutečně z Vaší banky, bude jistě vědět, odkdy u nich máte založený účet. Nebo se můžete zeptat na poslední platbu na vašem účtu – byla příchozí, nebo odchozí? V jaké částce byla? Nebo můžete zaostřit na některou z Vašich pravidelných plateb, například svolení k inkasu u dodavatele elektřiny. Pokud tyto údaje člověk na druhém konci linky neumí, nemá co vědět ani Vaše další citlivé údaje.

5) Zavolejte do instituce, ze které “jakože” volal podvodník. Pokud volal z Vaší banky, zavolejte na číslo, které naleznete na příslušné (oficiální!) webové stránce, sdělte jim všechny podrobnosti a ověřte si, zda Vám skutečně někdo volal a zda má skutečně právo od Vás získávat různorodé osobní údaje.


 

Co dělat, když naletíte na vishing?

1) V první řadě to okamžitě ohlaste bance a zablokujte své karty i internet banking, aby pachatel provedl co nejmenší škody.

2) Dejte dohromady všechny údaje, které Vám sdělil, zejména telefonní číslo, jméno (pokud se náhodou představil), datum a čas hovoru, jaké údaje od Vás podvodník žádal, případně transakce, které bez Vašeho přičinění z účtu odešli.

3) Zajděte co nejdříve na nejbližší policii a celou situaci s nimi proberte, případně podejte trestní oznámení.

Dohledali jsme pro Vás i reálné příklady vishingu, které se lidem udály. Cílem je ukázat Vám komplexní scénáře, na které můžete narazit (protože teorie je jedna věc, ale v praxi nás něco podobného může snadno zaskočit a vykolejit).
 

1) Příklad zákazníka slovenské banky mBank:
 

„Prišla mi esemeska, ktorá sa tvárila ako oficiálna správa z finančného úradu. A že vraj mám nedoplatok, ktorý sa musí hneď uhradiť. V správe bol aj odkaz na platbu, zato tam neboli mäkčene ani dĺžne, namiesto nich také čudné znaky, niečo ako ¥ Œ ♦. Nechcel som mať žiadne problémy, tak som to zaplatil. Potom mi prišla ďalšia správa, že majú môj účet, a ak ho chcem späť, tak musím zaplatiť výkupné…“
 

2) Příklad klientky České spořitelny, která téměř vyzradila všechny citlivé údaje z karty:

(K): Prosim.
 

Útočník (Ú): Volám vám na základě vaší platební karty, protože nyní se snaží někdo udělat čtyři převody ze zahraničí. Tak my vás kontaktujeme na základě vyhodnocení počítače, jestli tyto platby opravdu děláte vy.

K: Ahaaa... To teda nedělám.

Ú: A máte tu kartu fyzicky u sebe? Já se omlouváme, že vám musíme volat v tuhle hodinu (hovor proběhl mezi jednou a druhou hodinou ráno - pozn. red.), ale když to počítač vyhodnotil, že když zadáváte ty platby, že vám máme okamžitě volat.

K: A to je teď zadáno, nějak, jo?

Ú: Ano. Takže vy teďka jste vůbec nic nezadávala?

K: Ne.

Ú: Dobře, takže já vás poprosím... Ráno hnedka, jak budete moct, dostavíte se na.. jakou pobočku banky máte nejblíž?

K: Já se momentálně nedostanu, já půjdu do práce a skončím ve čtyři.

Ú: Ale ty platby vám odejdou, pokud je nezastavíme. Musíme to okamžitě zrušit, protože se vám někdo snaží nabourat, nebo naboural se vám do účtu.

K: A s kým mluvím, teda?

Ú: Jan Nesvadba.

K: A vy jste odkud?

Ú: Já jsem z platebního oddělení, ze servisní linky. Když si zavoláte na tu linku z druhý strany, co máte na vaší platební kartě, tak se dovoláte mě.

K: No... Na pobočku, někam?

Ú: Na pobočku, nebo můžem vám tu kartu jakoby teďka zablokovat do zítra třeba do 12 hodin. Že bysme se domluvili, já bych jí tady zablokoval. Že by se ty platby neprovedly. A pak byste si to vyřešila…

K: Od kdy ty platby jako choděj pryč?

Ú: Teď, nyní, právě.

K: Já vím, ale odkdy. Teď, nyní, jako, předtím nechodily pryč?

Ú: No, předtím ten počítač nevyhodnotil ty platby... Když jsou za sebou, po minutě, jo, na cizí účet, úplně, na který jste nikdy neposílala peníze. Tak prostě, takový je klasický postup.

K: Hm, no asi kartu zablokovat, protože... já sice jí budu potřebovat, budu vybírat…

Ú: A v kolik hodin jí budete potřebovat, kdy budete vybírat?

K: Já nevim, teďkon, abych vám pravdu řekla.

Ú: Máte jí teda před sebou, já vás musím ověřit.

K: Chviličku... Vytáhni mi kartu z kabelky tam z tý kulatý, peněženka to je (mluví na manžela – pozn. red.).... Mám jí u sebe.

Ú: Prosim vás, postup bude takový. Za žádnou cenu se teďka vy nepřihlašujte asi do bankovnictví, protože jakmile se přihlásíte, tak tím autorizujete další přístupy lidem. Postup budete takový, že ověříme teda číslo karty, který máte nyní u sebe. Přijde vám poté esemeska potom, že karta bude blokována do zítřejších 12.00... a kód. Vy mi ten kód nadiktujete a tímto vám přijde esemeska „Kartu jsme vám nyní zablokovali, aktivní bude zítra, nebo dnes, vlastně už, ve 12.00 dopoledne“.

K: Dobře.

Ú: Jo? Takže teďka to číslo té karty ověříme.

K: Jo, to mám tam na tý zadní straně, že jo?

Ú: Vepředu, vepředu, máte to šestnáctimístný, ano.

K: Mmhmm. No, můžete..... (diktuje číslo karty – pozn. red.)

Ú: Ještě poprosím, platnost.

K: Do srpna 2020.

Ú: Ano a zezadu vedle podpisu máte CVV kód.

K: No aaaa….

Manžel (M): Neříkej mu to!

K: Když vám to řeknu, tak…

M: Neříkej mu to!

Ú: No, ona vám přijde esemes zpráva o tom s kódem, potom, jo. Já to tady vidím, to vaše číslo té karty, já to potřebuji jen doověřit. 

M: S dovolením, tady... (představuje se – pozn. red.)

Ú: Dobrý den, tady platební oddělení. My musíme paní zablokovat kartu. Prostě někdo se vám pokouší převádět z karty peníze.

M: Helejte, končíme hovor, ona si to vybaví na pobočce. Žádný kódy vám říkat nebude, to jste z ní vytáhl už docela dost. A jdu nahlásit na policii okamžitě vaše číslo. Nashle.

 

3) Blíží se Vánoce, mnozí z nás využívají kupování dárků na dálku a platbu u kurýra. A to se stalo osudným i této klientce:

„Čekala jsem na balík, který mi měl být doručen kurýrem. Asi den po dokončení objednávky mi přišla SMS, že musím uhradit přepravní náklady za daný balík, kliknutím na odkaz níže. Jednalo se o dárek pro mámu a čas mě tlačil, platbu jsem tedy zrealizovala. Až za několik hodin mě napadlo, že jsem přepravní náklady už dávno uhradila a dobírka měla být ve výši nula korun. Situaci jsem ihned nahlásila na policii”.

 

 

V závěru článku řadíme jediné - buďte obezřetní a raději méně důvěřujte, než zbytečně naletět. Bohužel podvodníků je stále velmi mnoho, mnohdy se jedná o profesionály, kteří dokáží zdolat i selský rozum běžného člověka. Věřte svým instinktům a i při malém podezření si vše raději prověřte. Věříme, že vám dnešní článek pomůže takové praktiky odhalit hned v zárodku.


 

Váš tým VirtualProperty

Zdroj 1, 2, 3, 4, 5, 6, 7

Hodnocení: +2
Pro přidání komentáře se přihlaste nebo zaregistrujte.