Hlavní obsah

„Unesli jsme vám dítě, zaplaťte.“ Zloději bankovních dat mají nový trik

Foto: Shutterstock.com

Spoofing telefonních čísel je pro běžné uživatele nejrizikovější. Ilustrační foto.

Do Česka se dostal spoofing telefonních čísel. Podvodník dokáže lidem zavolat z důvěryhodného čísla, které mají třeba uložené v telefonu. V cizině se takto vydírají i rodiče fiktivně unesených dětí.

Článek

Volá vám vaše dítě. Přijmete hovor, na druhé straně se ale ozve vyděrač. Říká, že vaše dítě unesl, volá z jeho telefonu a chce výkupné, samozřejmě pod pohrůžkou, že pokud kontaktujete policii, dítěti ublíží. Vaše dítě přitom sedí v klidu ve škole a mobil má v aktovce. To jen útočník dokázal napodobit jeho telefonní číslo.

Naštěstí tak daleko v Česku ještě nejsme, alespoň podle údajů, které má policie. Takové případy se však podle Petra Baráka z České bankovní asociace staly ve Velké Británii.

I u nás se ale může stát, že se vám na displeji telefonu ukáže číslo vaší banky, nějakého úřadu nebo kontakt, který máte uložený v telefonu.

„Řada uživatelů číslo na svou banku či pojišťovnu v telefonu uložené má – prostě pro případ, že by potřebovali něco urgentně vyřídit. A jakákoli předem získaná důvěra uživatele je pro útočníky nesmírně výhodná. Obzvláště rizikové to je, pokud uživatel neví, že je možné telefonní číslo podvrhnout,“ varuje Robert Šuman ze společnosti Eset.

Sociální inženýrství se zdokonaluje

Tzv. spoofing je dalším dílem mozaiky sociálního inženýrství. Každý další dílek mu pomáhá přesvědčit a zmanipulovat svou oběť a přinutit ji k provedení určitých úkonů.

„V aktuální kauze, kterou policie řeší, pachatel užívá znalosti některých informací o své oběti v kombinaci se spoofingem telefonního čísla a hlavně výbornou manipulativní technikou založenou na výřečnosti a znalosti bankovního prostředí,“ potvrdila Zuzana Pidrmanová, vedoucí oddělení prevence Policejního prezidia ČR.

Oběť spoofingu nemá šanci z displeje telefonu rozpoznat skutečnou identitu volajícího. „Podvodníci využívají technologii VoIP, což jim umožňuje podvrhnout telefonní číslo a ID. Jakmile příjemce hovor přijme, podvodníci se snaží získat citlivé informace pro podvodné účely,“ vysvětluje Lukáš Cirkva, šéf softwarové firmy BCV Solutions.

Jediná možnost, jak lze odhalit, že jde o spoofované telefonní číslo, je ukončení hovoru a zpětným hovorem, který by měl být proveden již s oprávněným uživatelem tohoto konkrétního telefonního čísla.

Česká bankovní asociace zahájila jednání s operátory s cílem zrušit službu změny telefonního čísla, případně ji omezit, či ji zabezpečit proti zneužívání podvodníky. V tomto případě banky totiž nemají možnost, jak klienta ochránit. Musejí spoléhat jen na jeho obezřetnost.

Prezident Asociace provozovatelů mobilních sítí (APMS) Jiří Grund redakci SZ Byznys potvrdil, že mobilní operátoři aktuálně v rámci APMS iniciují pracovní skupinu odborníků na bezpečnost, která by měla analyzovat a navrhnout možné technické řešení jak zajistit, aby tzv. spoofing nebyl při hovorech v rámci Česka zneužíván.

„Je třeba říci, že jde o problematiku velmi komplexní, která nemá jen lokální český rozměr, ale i rozměr mezinárodní. Očekáváme, že identifikace možných technických řešení bude trvat několik měsíců. Následně vyvoláme jednání s Českou bankovní asociací, abychom možná řešení představili,“ konstatoval Grund.

Vishing šmrncnutý spoofingem

Banky tuto specifickou firmu tzv. vishingu, což jsou podvodné telefonáty, řeší od loňska.

„Od začátku roku 2021 evidujeme několik desítek případů vishingu pomocí spoofingu telefonního čísla,“ informuje například mluvčí ČSOB Patrik Madle.

„Případy přicházejí ve vlnách, někdy to byly jednotky, někdy třeba i vyšší desítky hovorů za den. Tyto informace máme od samotných klientů, kteří nás pak zpětně kontaktují,“ sdělila mluvčí Airbank Jana Pokorná.

Pachatelé obecně zneužívají veřejně dohledatelná telefonní čísla, v případě bank to mohou být kontaktní linky nebo třeba linky pro blokaci platebních karet.

Podle Pokorné je hlavní problém při telefonickém spoofingu simulace čísel pevných linek, které lidé obecně vnímají jako důvěryhodné a s dohledatelným majitelem.

„Právě to může být významný faktor úspěchu pachatelů pro dokonání podvodu. Pokud je taková linka dohledatelná nebo dokonce propagovaná, tak ani prosté ověření čísla na internetu nevaruje klienta před podvodným zneužitím telefonního čísla,“ upozornila mluvčí Airbank.

Podle Terezy Kaiseršotové z Raiffeisenbank si klienti navíc bohužel často neuvědomí, že číslo infolinky, na kterou volají bance, není to samé, ze kterého volá banka jim.

Útočníci lačně využijí každé situace, ve které se dá očekávat vyvolání strachu nebo respektu k nějaké autoritě. Jak SZ Byznys nedávno popsal, nežinýrují se představit se například jako regulátor finančního trhu Česká národní banka.

Spoofing nemusí být jen telefonický. Komerční banka třeba loni zaznamenala podvodné maily, ve kterých se útočníci vydávali za nadřízeného napadených či ředitele společnosti, kde pracovali.

Podle mluvčího banky Michala Teubnera požadovali zaslání většinou expresní či okamžité platby z firemního účtu s tím, že další detaily případně doloží později.

Komerční banka upozornila, že podvodníci mohou monitorovat komunikaci napadeného s nadřízeným, aby udeřili v době, kdy je skutečný nadřízený mimo firmu a oběti se tak ztíží možnost ověření takového požadavku. V loňské vlně šlo o transakce směřující na turecké účty, ale výjimkou nebyly ani výzvy k provedení tuzemských plateb do jiné banky.

Takhle může vypadat vishing. Video je součástí preventivní kampaně Policie ČR, České bankovní asociace a firmy Eset.Video: ČBA

Napodobeniny e-mailů nebo webových adres zpravidla dokáže identifikovat anti-malware program a uživatele upozornit, že nejde o legitimní stránku.

„Technicky vzato takové stránky nejčastěji detekujeme jako phishing, jehož cílem je získání citlivých informací od uživatele, e-mail pak obvykle zastaví spamový filtr,“ říká Robert Šuman ze společnosti Eset.

V případě napodobování URL adres se podle Šumana často zneužívají tzv. homoglyfy. Útočník si zaregistruje novou doménu, jen nějaký znak v textu adresy změní za jiný, vizuálně podobný, třeba z cyrilice.

Doporučované