V posledních letech se setkáváme s extrémními vlnami podvodného jednání různých záškodníků, o čemž vás pravidelně informujeme. Na vzestupu je však další extrémně nebezpečná hrozba – spoofing. Oč se jedná a proč byste měli být na pozoru? To si vysvětlíme hned poté, co se seznámíme se slovníčkem pojmů podvodných taktik, na které můžete narazit.
Slovníček pojmů
- phishing: akt útoku pomocí technik sociálního inženýrství, který se dělí na různé směry
- spear phishing: cílený typ útoku, kdy si útočník dopředu zjistí dostatek informací o své oběti, útok působí důvěryhodně
- spoofing: obecně podvodné jednání, kdy se útočník vydává za někoho jiného – může k tomu využít klonovaného telefonního čísla i e-mailu
- vishing: podvodné jednání, kdy útočník oběť kontaktuje pomocí telefonického telefonu, kombinovatelné se spoofingem a spear phishingem
- smishing: podvodná SMS zpráva kombinovatelná se spoofingem a spear phishingem
- e-mail phishing: útočník se soustředí na e-mailovou komunikaci, většinou jsou zasílány hromadně, kombinovatelné se spoofingem a spear phishingem
- whaling: typ spear phishingu, který je zaměřen na vrcholné manažery a ředitele firem
- CEO fraud: typ spear phishingu, kdy se útočník tváří jako vrcholný manažer či ředitel
- page hijacking: typ podvodu, kdy útočník využívá klonování webových stránek s cílem získat soukromé údaje, alternativně i typ útoku, kdy jsou „nakažené“ reálné stránky nějaké instituce
- catfishing: typ útoků nejčastěji směřován na sociální sítě, kdy se podvodník vydává za někoho jiného s cílem vylákat ze své oběti finance
Není číslo jako číslo
Co je tedy spoofing? Obecně řečeno jednání, kdy se podvodník vydává za někoho jiného, nejčastěji však spoofing spojujeme s maskováním telefonního čísla, v tom případě jde o kombinaci spoofingu a vishingu (ze spojení „voice“ a „phishing“). Možnost změny (maskování) telefonního čísla zpočátku nevznikla s cílem podvodného jednání, maskování telefonního čísla využívají například instituce, které mají více telefonních čísel, ale chtějí se svým zákazníkům prezentovat podle jednotného čísla. Typicky může jít o banky, spediční firmy, pojišťovny a další podobné subjekty. Pokud si tedy do seznamu kontaktů uložíte číslo na infolinku vaší banky, zobrazí se pokaždé stejné, a to i přestože vám bude volat jiný zaměstnanec.
Šikovná služba se však stala zbraní. Přes různé služby si totiž může číslo zamaskovat i potenciální útočník, který vám tak může volat z libovolného čísla, přesto se na vašem displeji zobrazí číslo vaší banky, případně nějaký váš kontakt. Zjednodušeně řečeno, i přestože vám volá uložený kontakt, může vám volat někdo úplně jiný, například podvodník, které své telefonní číslo maskuje za bankovní instituci. Rozpoznat takový podvod je prakticky nemožné, proto se vyplatí držet se několika pravidel.
Jak je to vůbec možné?
Číslo volajícího (tzv. A číslo, Caller ID) je podle standardního protokolu mobilních sítí nepovinný parametr v síti. Tzn. nepodléhá pravidlům a je de facto volitelné, jak bude zobrazeno. Nejčastěji se pod číslem volajícího zobrazí konkrétní číslo účastníka.
Příklady spoofingu
- banka/pojišťovna: pokud vám váš bankéř nebo pojišťovací agent v telefonu říká, že je váš účet v ohrožení, případně je nutné aktualizovat vaše osobní údaje, měli byste zpozornět. Pokud vás protistrana žádá o číslo vaší kreditní karty, CVC kód, heslo do internetové samoobsluhy nebo přeposlání SMS zpráv, tyto hovory okamžitě ukončete, jedná se totiž o podvodné jednání. Zaměstnanci bank a pojišťoven po vás takto citlivé informace nikdy nežádají.
- orgány veřejné moci: pokud vám volá zaměstnanec ministerstva, soudu, policie, případně zaměstnanec úřadu (například finančního), opět platí poučka, že po vás nikdy nechce osobní údaje jako číslo platební karty nebo heslo do vašeho internetového portálu, například Portálu občana.
Se spoofingem se můžete setkat i v SMS zprávách, kdy se útočník opět maskuje za nějakou autoritu či instituci a žádá vyplnění různých formulářů či stažení programů na vzdálenou správu. V některých případech se útočníci ani nesnaží a podvodné SMS zprávy zasílají z běžných čísel či e-mailových adres, což je pro změnu phishing, v některých případech se však můžete setkat i s „plnotučným vishing/smishing spoofingem“, kdy se podvodník maskuje číslem organizace. Opět platí jednoduchá poučka: je jedno, zda vám píše Česká pošta, ČSSZ, Finanční úřad nebo zaměstnanec banky, pokud je součástí zprávy nějaký formulář či podezřelý odkaz, nikdy nevyplňujte citlivé údaje o své osobě. Ty ostatně nezapisujeme nikam v žádném případě.
ČSSZ zmiňujeme záměrně, protože i tento úřad se stal terčem podvodníkům, kteří zasílali podvodné SMS zprávy s informací, že je nutné vyzvednout různé typy přídavků, podmínkou bylo samozřejmě vyplnění kontaktního formuláře, jenž žádal citlivá data, včetně čísla karty a dalších údajů.
Proč zrovna spoofing?
Společnost si už zvykla na různé podvody, které přicházejí z internetu, a vůči některým jsme již zcela imunní. Proto už nereagujeme na e-maily od afrického prince, který vám chce poslat miliony na účet, stejně tak se na sociálních sítích vyhýbáme zprávám od cizích lidí, kteří se do nás zamilovali a žádají peníze pro svoji rodinu, případně na cestu za vámi. Podvodníci tedy museli vymyslet jiný způsob, jak se dostat k vašim financím. Spoofing je pro tento účel ideální, protože ve většině případů probíhá na profesionální úrovni. Co si pod tím představit?
Jednoduše to, že podvodník na druhé straně jedná ve většině případů klidně, ovšem naléhavě. Mluví rozumně, dokonce o vás může znát některé detaily, o kterých si myslíte, že by nikdo cizí nemohl vědět. Může například vědět, že jste nedávno pořizovali zájezd od cestovní kanceláře nebo jste objednávali zboží ze zahraničního tržiště. Jak je to možné? Internetem se šíří různé „balíčky“ citlivých údajů, které mohou pocházet z vašeho veřejného profilu na sociálních sítích nebo třeba z ukradeného e-mailu, na který se vám stále přeposílá komunikace. To, že někdo zná vaši adresu a ví, že jste minulý měsíc nakupovali on-line, ještě neznamená, že je to zaměstnanec vaší banky, může jít o podvodníka využívajícího techniku „spear phishing“. Obecně se dá říci, že čím více informací o vás podvodník má, tím snáze vás přesvědčí o tom, že mluvíte s reálným zaměstnancem dané instituce.
Jak rozpoznat spoofing?
Možná si říkáte, zda se před spoofingem dá vůbec bránit. Dá, ale nelze se připravit na konkrétní situaci. Už sice víme, že nemáme stahovat neznámé přílohy z e-mailů a neinstalovat programy mimo známá úložiště, ale proč bychom neměli zvedat hovory od institucí, u kterých navíc sedí telefonní číslo? Připravit se na možný podvod přes telefon, navíc s maskovaným telefonním číslem, je už mnohem náročnější. Jak tedy rozpoznat spoofing?
Obecná rada neexistuje, ale platí jedna základní poučka. Pokud se vám hovor jakýmkoliv způsobem „nezdá“, případně protistrana pod nátlakem informuje, že je váš účet v ohrožení a musíte jednat okamžitě, nikdy nepropadejte panice. Poznamenejte si jméno volajícího, hovor ukončete a vytočte telefonní číslo instituce, která vám volala. Pozor, ne opětovně vytočit hovor ze seznamu posledního volání, ale přes číselník postupně vyťukat telefonní číslo, jež patří vaší bance či úřadu. Pokud byste pouze znovu vytočili telefonní číslo, které vám volalo, mohli byste se přesměrováním dovolat opět k podvodníkovi, který s vámi již hovořil – právě kvůli maskování telefonního čísla, jež však vy nepoznáte.
Útočníci hrají hru s časem, proto jsou jejich hovory často velmi naléhavé a přichází v různé denní doby, často i během brzkého rána, pozdního večera či noci, kdy člověk přemýšlí přeci jen o trochu pomaleji. Je obvyklé, že nějaké základní údaje o vás útočník dopředu ví a typicky už mluví pouze česky, takže ani cizí jazyk či přízvuk vás již nemusí upozornit na možný problém.
I když má útočník jediný cíl, má také spoustu času, proto s vámi může dlouhé minuty hovořit, reagovat na vaše otázky a dávat vám různé záruky toho, že mluví pravdu. Jakmile se však dostane k tomu, že je nutné sdělit citlivé informace, tedy číslo karty, heslo, případně vás požádá o instalaci programu na vzdálenou správu (typicky TeamViewer), měli byste okamžitě zpozornět a hovor ukončit.
Kam hlásit spoofing?
Tuzemští operátoři se rozhodli usnadnit svým klientům hlášení podvodného volání, stačí tedy odeslat SMS zprávu s informací o podvodném volání na telefonní číslo 7726. Operátoři prověřují každou zprávu a jednají okamžitě, SMS zpráva je odeslána bezplatně.
Jak vás brání operátoři?
Operátoři o spoofingu samozřejmě ví a snaží se před tímto typem podvodného jednání své klienty chránit. Pokud útočník snaží maskovat telefonní číslo v rámci České republiky, má smůlu, protože takový hovor se ani nespojí, operátoři takové pokusy aktivně blokují. Problém je, že většina útoků typu spoofing probíhá ze zahraničí, ze zahraničních telefonních čísel, kdy je obrana mnohem náročnější, protože operátor musí vyhodnotit, zda se nejedná o roaming spojení. A takové vyhodnocování může chvíli zabrat, proto se takové hovory nejčastěji spojí.
Všem našim tuzemským operátorům jsme položili stejnou sadu otázek, odpovědi na ně si můžete přečíst na následujících řádcích.
1. Jak se bráníte proti spoofingu? Zvládáte například dopředu blokovat volání maskovaných telefonních čísel z ČR a ze zahraničí?
- T-Mobile: „Případy spoofingu, tedy podvodného volání, se objevují stále častěji. Podvodný spoofing považujeme za velice nebezpečný, z kapes klientů dokáže vytáhnout statisíce i miliony korun. Pro sofistikovaný a vysoce specifický způsob ochrany potřebujeme úzce spolupracovat s našimi firemními zákazníky, kde společně nastavíme a odladíme jednotlivé aspekty a vstupy pro řešení spoofing-secure ochrany tak, aby všichni jejich zákazníci v síti T-Mobilu byli v bezpečí. Firewall 2.1 (FW2) byl spuštěn letos v září (pro firemní klientelu v březnu) a využívá se u hovorů směrovaných na všechny zákazníky T-Mobile jak doma, tak v zahraničí a součástí řešení je i analytický nástroj, který pomáhá identifikovat podvodná volání.“
- O2: „Co se týče systémového řešení spoofingu, problematika je poměrně složitá. Aktuálně se projednává na úrovni APMS a ČTÚ, kdy se zvažuje blokace hovorů ze všech českých fixních telefonních čísel přicházejících ze zahraničí s povolením pouze odůvodněných výjimek. Bude také potřeba provést určité legislativní úpravy, které zajistí, že všechna řešení nasazená operátory budou mít silnou oporu v zákoně o elektronických komunikacích, případně dalších podzákonných předpisech. Podobné řešení O2 připravuje také pro mobilní telefonní čísla.“
- Vodafone: „Děláme maximum možného, abychom pokusům o podvod bránili, a naši ochranu neustále vylepšujeme a nasazujeme do našich systémů. Vodafone například blokuje vybrané české fixní linky, které se pokoušejí dovolat ze zahraničí. Situaci komplikuje to, že ve světě bohužel neexistuje jednotný standard, podle kterého by bylo možné jednoznačně určit, zda je hovor ověřený. U mobilních čísel je to ještě složitější, jelikož nelze okamžitě zjišťovat, zda hovor je legitimní (uživatel je v roamingu), nebo ne. U mobilních čísel bychom tak mohli snadno odstřihnout i lidi, kteří se prostě jen snaží dovolat třeba z dovolené, služební cesty atd.“.
2. Stejná otázka platí i na SMS spoofing
- T-Mobile: „Ano, podvodů je bohužel celá řada, pro nahlašování podvodných SMS jsme zřídili i bezplatné číslo 7726, kam je možné podezřelé zprávy přeposlat k expertní analýze. Na základě podnětů pak dochází k aktualizaci SMS Firewallu..“
- O2: „Všechna O2 kontaktní čísla mají nyní tzv. antispoofingovou ochranu. To znamená, že je nejde podvrhnout.“
- O2: „V případě, že jim dorazí podezřelá SMS, stačí jen jednoduše informaci přeposlat na číslo 7726 a Vodafone neprodleně zakročí..“
3. Využíváte nějaké speciální technologie, které dokáží odhalit spoofing ještě před tím, než se útočník spojí s vaším klientem?
- T-Mobile: „Ano, viz výše – součástí FW2 je i náš ML (machine learning) model, který identifikuje podezřelá volání. “
- O2: „Nově vyvíjíme vlastní řešení, které by rovněž ochránilo zákazníky před podvrženým voláním jak z O2 čísel (O2 volá O2), tak z čísel od jiných operátorů. Dobrou zprávou je, že všechna O2 kontaktní čísla mají nyní tzv. antispoofingovou ochranu. To znamená, že je nejde podvrhnout. Pokud zákazníkovi volá někdo například z čísla 800 02 02 02, je to vždy operátor O2 a ne podvodník.“
- Vodafone: „Ve světě bohužel neexistuje jednotný standard, podle kterého by bylo možné jednoznačně určit, že hovor je ověřený. Zatím všechny hovory, které nám zákazníci nahlásili jako podvodné, pocházely ze zahraničí. Operátoři v Česku aktivně brání přijímání podvržených hovorů. Konkrétně Vodafone blokuje všechny české pevné linky, které se pokoušejí dovolat ze zahraničí. U mobilních čísel je situace složitější, jelikož nelze okamžitě zjišťovat, zda hovor je legitimní (uživatel je v roamingu), nebo ne.“
4. Jak může zákazník operátorovi snadno nahlásit podvodný hovor?
- T-Mobile: „Viz výše, pro nahlašování podvodných SMS jsme zřídili bezplatné číslo 7726, kam je možné podezřelé zprávy přeposlat k expertní analýze. Zákazník může ale využít i infolinku nebo kontaktní formulář na webových stránkách.“
- O2: „V případě podezřelého nebo obtěžujícího volání doporučuji neváhat, ukončit hovor a nahlásit jej na Policii ČR. V případě SMS neklikat na nejasné a podezřelé odkazy, nezadávat osobní údaje, hesla na těchto odkazech a nikomu nepřeposílat a nesdělovat žádné citlivé údaje, zejména údaje o platebních kartách, hesla apod. Z důvodu zvýšených pokusů o útok na naše zákazníky formou podvodných SMS jsme zřídili kontaktní číslo 720 002 002 pro zaslání podezřelých SMS zpráv. Pomůže nám to rychleji útočníky zastavit a zabránit v dalších podvodech. Podle informací kolegů z oddělení bezpečnosti chodí denně tipy na takto podvodné SMS zprávy, a již se nám tak podařilo mnoho hackerů zastavit a ochránit další zákazníky.“
- Vodafone: „Pokud se vám hovor zdá podezřelý, nejlepší obranou je zavěsit a zavolat zpátky na oficiální číslo, které si ověříte na webu instituce, za kterou se volající vydával. Pokud podvodník napodobí telefonní číslo vašeho známého, opět pomůže zavěsit a zavolat zpátky – zfalšované spojení se tím přeruší a dovoláte se skutečnému majiteli čísla. Pokud se s tímto podvodem setkáte, kontaktujte svého operátora a situaci popište. Máme několik komunikačních kanálů – nahlásit podezřelý hovor lze přes sociální sítě, reklamační formulář, formulář v sekci Zeptejte se v samoobsluze Můj Vodafone a samozřejmě lze zavolat na oficiální číslo naší infolinky. Vodafone pro své zákazníky zavedl centralizovanou službu pro hlášení podvodů prostřednictvím textových zpráv. V případě, že jim dorazí podezřelá SMS, stačí jen jednoduše informaci přeposlat na číslo 7726 a Vodafone neprodleně zakročí. Zákazník tak chrání nejen sebe, ale také data a peněženky dalších potenciálních obětí.“
5. Můžete poskytnout statistiky těchto podvodů, které ve své síti evidujete?
- T-Mobile: „T-Mobile v České republice denně detekuje a zablokuje přes čtyři tisíce podezřelých aktivit, které často cílí na citlivá a osobní data uživatelů. Spoofing přitom představuje sofistikovanou formu podvodu, kdy podvodník falšuje identitu třetí strany a působí často velmi důvěryhodně. Uživatelům pak útočník s touto falešnou identitou volá a předstírá např. hovor z banky či jiné instituce. Cílem je získat citlivé údaje nebo například přístupy do internetového bankovnictví a klienta okrást. Ačkoli zobrazené telefonní číslo tomu nenapovídá, hovory velmi často přicházejí ze zahraničí, kde je zdrojové zařízení nedohledatelné a pro útočníka tak jde o „pohodlnější“ způsob podvodu.“
- O2: „Jedná se o stovky případů měsíčně. Jednoznačně vidíme, že počet a rozsah podvodného jednání na internetu i v mobilní síti v uplynulých měsících extrémně narůstá. Naše společnost poskytuje potřebnou součinnost Policii ČR a orgánům činným v trestním řízení při řešení případů poškozených zákazníků spojených s tzv. spoofingem v zákonem stanoveném rozsahu součinnosti.“
6. Jakým stylem své klienty a partnery informujete o problémech spojených se spoofingem a dalšími nekalými praktikami podvodníků? Existuje u vás například nějaká stránka na toto téma?
- T-Mobile: „Boj s útočníky je bohužel běh na dlouhou trať, jsou velice vynalézaví. Počty různých podvodných útoků rok od roku stoupají, vidíme to nejen v interních statistikách, ale i díky spolupráci s policií, bankami a dalšími subjekty. Stoprocentní ochrana zatím neexistuje, ale snažíme neustále inovovat a připravujeme i další navazující řešení. Náš firewall totiž blokuje pouze zneužití našich čísel při volání do naší sítě, nikoliv veškeré podvodné telefonáty. Soustředit se i nadále chceme na edukaci a osvětu uživatelů, aby další typy podvodných telefonátů rozpoznali. Aktivně edukujeme veřejnost v oblasti kyberbezpečnosti prostřednictvím online i offline seminářů realizovaných nejen v našich prostorách Magenta Experience Centrum a prevenci nabízíme i díky projektu Klik pro Klid, kde zákazníci mimo jiné naleznou i bezpečnostní desatero. Jelikož podvodů je bohužel celá řada, pro nahlašování podvodných SMS jsme zřídili bezplatné číslo 7726, kam je možné podezřelé zprávy přeposlat k expertní analýze. Na základě podnětů pak dochází k aktualizaci SMS Firewallu. Operátoři, banka, policie – všichni děláme, co můžeme, abychom klienty ochránili, začít však musí primárně každý sám u sebe – nesdělovat citlivá data hlasově ani je nikam neposílat nebo zadávat apod. a opravdu důrazně doporučujeme vyhnout se jakýmkoli extrémně výhodným nabídkám a vždy u obchodníka nabídku zpětně validovat.“
- O2: „V příštím týdnu proběhne v prostorách O2 workshop, kde zástupcům bank přehledně ukážeme možnosti ochrany včetně nového nástroje, který dokáže detekovat falešné investice nebo vishingové útoky. Podvodné hovory máme kapacitu detekovat, k takovému jednání je ale nutný souhlas koncového klienta. O2 se také zapojuje do jedné z nejrozsáhlejších kampaní v oblasti kyberbezpečnosti #nePINdej!, kterou zastřešuje Česká bankovní asociace ve spolupráci s orgány státní správy i komerčními subjekty.“
- Vodafone: „K podvodům jsme nedávno vydali tiskovou zprávu. Více informací se zákazník dozví na speciální microsite“.
Za T-Mobile odpovídal Jakub Ludvík, za O2 Radek Šichtanc a za Vodafone Ondřej Luštinec. Děkujeme.