20 kľúčových vecí, ktoré potrebujete vedieť o phishingových útokoch - časť 2

26. oct 2023

 

Čo potrebujete vedieť o vishingových útokoch:

6. Vývoj hrozby

Nejde len o e-maily. Taktika phishingu sa vyvinula a rozšírila na rôzne platformy: audio, video, mobilné aplikácie, atď.

 

7. Vishing (Voice Phishing)

Vishing -  skratka pre hlasový phishing, je dôkazom prispôsobivosti a prefíkanosti podvodníkov. Pri tejto metóde útočníci používajú telefón na oklamanie svojich obetí.

Ukážka:

Jana, pracovníčka vo finančnom sektore, dostala počas svojho pracovného dňa neočakávaný hovor na svoj mobilný telefón. Prichádzajúci hovor ukazoval na displeji názov jej banky. Osoba na druhej strane sa predstavila ako zamestnanec banky, ktorú Jana skutočne používala. Osoba tvrdila, že došlo
k podozrivej aktivite na jej účte, a že je nevyhnutné overiť jej totožnosť z bezpečnostných dôvodov.

Táto osoba na telefóne mala presvedčivý hlas a zdalo sa, že má presné informácie o Janinom účte. Dokonca jej poskytla niektoré základné informácie, ako je suma na účte, čo zvýšilo dojem dôveryhodnosti.

Potom čo Jana prejavila záujem o overenie svojej totožnosti, osoba na telefóne jej povedala, aby poskytla svoje osobné údaje, vrátane čísla kreditnej karty, hesla a jednorazového hesla z textovej správy, ktorú práve dostala. Osoba zdôraznila, že toto je dôležitý krok na zabezpečenie bezpečnosti jej účtu.

Našťastie bola Jana dostatočne opatrná a nechcela tieto informácie poskytovať cez telefón. Namiesto toho položila telefón a zavolala priamo na zákaznícku linku svojej banky, ktorú našla na oficiálnom webe banky. Zákaznícka podpora potvrdila, že žiadny takýto hovor neprebehol a jej účet je v poriadku.

Tip: Nikdy nezdieľajte citlivé informácie cez telefón. Ak máte pochybnosti o akýchkoľvek požiadavkách na zdieľanie osobných údajov, vždy kontaktujte oficiálne kontaktné údaje poskytovateľa služieb priamo cez oficiálnu webovú stránku, alebo oficiálny e-mail.

 

8. Odcudzenie identity

Vishing útočníci vynikajú v napodobňovaní. Môžu tvrdiť, že zastupujú banky, daňové úrady, políciu alebo dokonca technickú podporu, pričom predstavujú scenár, ktorý obeť vyzve, aby zdieľala citlivé údaje. Napríklad môžu obeť upozorniť na podozrivé transakcie na ich bankovom účte.

Tip: Ak sa stane, že ste boli cieľom vishingového útoku, informujte o tom relevantné autority
a organizácie, môžete tak ukončiť prebiehajúci útok a ochránite tým ďalších ľudí.

 

9. Hluk v pozadí

Aby hovor znel autenticky, hluk na pozadí môže napodobňovať napr. call centrum. Tento hluk slúži na vytvorenie ilúzie legitimity.

 

10. Nátlaková taktika

Podobne ako pri e-mail phishingu, aj vishing podvodníci často vyvíjajú nátlak, ktorý bude mať za následok vážne dôsledky, ak sa neprijmú okamžité opatrenia. Môžu požiadať obete, aby overili podrobnosti o svojom účte alebo vykonali platbu na „vyriešenie“ vymysleného problému.

Tip: Nikdy neposkytujte citlivé údaje, ako sú čísla platobných kariet, heslá alebo osobné údaje, cez telefón alebo e-mail. Myslite na to, že reálny zamestnanec nebude na Vás vyvíjať nátlak.

 

11. Spoofing hovorov

Pokročilí visheri používajú technológiu na maskovanie svojho skutočného čísla, vďaka čomu sa zdá,
že hovor prichádza z dôveryhodného zdroja. Nazýva sa to Call Spoofing a u nás sa takýmto spôsobom maskujú napríklad za Políciu SR alebo konkrétne banky. Útočníci sú skutočne presvedčiví a veľmi zdatní v komunikácií a vyvíjaní nátlaku. Hovory sa spravidla opakujú, ak zistia, že natrafili na svoju potenciálnu obeť.

Tip: Automaticky blokujte a nahlasujte takéto čísla.

Ing. Lukáš Maliniak

konzultant informačnej bezpečnosti