Článek
Článek si také můžete poslechnout v audioverzi.
Podezřelému bankéři nebo investičnímu poradci se telefon snadno zavěsí, ale vlastnímu synovi nebo dceři? To bývá těžší, i proto podvodníci začali nový typ útoku přes telefon používat. Typický scénář: volá vám „syn“, zní vystrašeně a tvrdí, že potřebuje okamžitě peníze. „Pokud ho poznáte po hlase, může být těžké zachovat chladnou hlavu a odolat,“ vysvětluje Karolína Kubínová, bezpečnostní analytička ze společnosti axelum.
Rozhovor může začínat zhruba takto: „Mami, mám průšvih, zablokovali mi účet a potřebuju rychle poslat peníze, aby ho v bance mohli odblokovat. Pošlu ti do zprávy odkaz.“
Hlas může znít lehce zastřeně nebo jako z „tunelu“, od originálu, tedy od známého člověka, se ale moc neliší. Útočníci umí díky dnešním technologiím napodobit hlas na základě i jen minutového záznamu. Tento zvuk pak použijí právě k tomu, aby zavolali blízkým osobám a pod falešnou záminkou z nich vylákali peníze.
Experti radí: hlavně zachovat klid, nejednat impulzivně a zbrkle.
Jak se krade hlas
„Pokud vás někdo žádá o neobvyklou akci – převod peněz, sdělení hesla nebo jinou citlivou operaci – vždy se zamyslete a ověřte si situaci jiným způsobem. Například zavolejte zpět na známé číslo, používejte dvoufaktorové ověření, silná hesla a sledujte upozornění o podezřelých aktivitách,“ doporučuje Kubínová.
Zkopírovaný hlas nemusí být nutně z rodiny, bezpečnostní experti se v poslední době setkávají s podobnými podvody také ve firmách. Zvlášť nebezpečné je podle expertů, když útočník zkombinuje dobrou práci s generativní AI se sociálním inženýringem, tedy s tím, že má podrobně zmapované vztahy a kontext mezi volajícím a obětí.
„Už jsme se setkali i s případem, kdy manažer firmy posílal přes MS Teams video zprávu svým kolegům s instrukcemi, jak naložit s firemními prostředky, údajně z dovolené. Video bylo podvržené, ale na první pohled působilo naprosto věrohodně,“ popisuje Václav Svátek, generální ředitel technologické firmy ČMIS.
Podvodných telefonátů přibývá
- Podvodné telefonáty jsou čím dál častějším způsobem kyberútoku. Velký nárůst napadených při kyberpodvodu zaznamenala Česká bankovní asociace.
- Přibývá podvodů zahrnujících falešného bankéře, podle České spořitelny způsobené škody meziročně vzrostly o 41 % a počty takových podvodů dále výrazně narůstají.
Zbytečně nemluvit
Je tedy důležité dávat si pozor a do telefonu zbytečně nemluvit, pokud si nejste jistí, s kým hovor vedete. „Když zvednete neznámé číslo a na něm se nikdo neozývá, rozhodně do něj nemluvte a ihned zavěste. Toto je totiž nejjednodušší způsob, jak někomu ‚ukrást‘ hlas, a pomocí něj následně podvést někoho jiného,“ vysvětluje Filip Kirschner, spoluzakladatel a vývojářského studia Applifting.
I když by se mohlo zdát, že budou lidé po mnoha letech na podobné podvody zvyklí, úspěšnost podvodníků je stále poměrně vysoká. V roce 2024 byl podíl kyberkriminality, tedy zločinu páchaném v kyberprostoru, celých 10 % ze všech zločinů, které se v Česku staly.
AI vás dokonale zmate
„Podvodníci se stále více snaží vymýšlet nové manipulativní techniky, které jim umožní svou oběť okrást. A dá se říci, že se opravdu nestydí použít jakékoliv lsti, aby dosáhli svého cíle. Ať je to naléhavost, například historka s vykradeným bankovním účtem nebo zneužití osamoceného člověka, který pak pošle útočníkovi celoživotní úspory, nebo vidinu rychlého zbohatnutí a přijetí lákavé investice,“ říká Adam Falus, Manažer fraudu (z angličtiny - fraud = podvod) v T-Mobile.
Samotný rozvoj technologií pak pomáhá útočníkům být ještě úspěšnější. Hlavně AI. „Dnešní umělá inteligence umožňuje rychle vytvářet důvěryhodné materiály, videa anebo nasimulovat hlas, zvuky, ruchy okolí, což oběť dokáže dokonale zmást a pak pod tlakem ve spěchu snáze podlehne snaze útočníka získat nezákonně peníze,“ doplňuje Falus.
Slovníček pojmů
- Phishing: Metoda útoku spadající do oblasti sociálního inženýrství. Útočníci se snaží získat citlivé informace od obětí nebo je přimět k určité akci – například ke kliknutí na odkaz či stažení souboru. Používají k tomu e-maily, hovory, SMS zprávy, sociální sítě nebo podvodné webové stránky.
- Vishing (voice phishing): Forma phishingu, při které útočníci kontaktují oběť prostřednictvím telefonního nebo internetového hovoru. Cílem je získat citlivá data, nebo oběť zmanipulovat k tomu, aby jim například převedla peníze.
- Spoofing: Technika často používaná při vishingu. Útočníci technicky falšují identitu důvěryhodných institucí – například bank, policie nebo státních úřadů –, aby oběť uvěřila, že komunikuje s jejich skutečnými zástupci. Na displeji telefonu se pak zobrazuje falešné číslo, které vypadá jako skutečné číslo dané instituce.
Zdroj: NÚKIB – Zpráva o stavu kybernetické bezpečnosti ČR za rok 2023; Pavel Matějíček, Boit
Mezi trendy patří vícestupňovost podvodů: postupně se zlepšují podvody využívající kombinaci vícero telefonátů, SMS zpráv nebo e-mailových zpráv, přičemž častým krokem ke vzbuzení důvěry bývá falšování identity cestou „spoofingu“ – podvodníci se prezentují telefonním číslem, které reálně přísluší existující instituci, například bance.
„Možná překvapivě je další současný trend v oblasti vishingu spojený s přesunem z virtuálního do reálného světa. Přibývá případů, kdy podvodníci po obětech peníze nechtějí posílat na účet, ale navádí je k osobní předávce hotovosti – například na parkovišti nebo kurýrovi. Navíc výrazně narůstá počet vishingových podvodů, při kterých transakci provede podvodníkem zmanipulovaný klient, nikoli přímo podvodník,“ vysvětluje Hana Vincourová, analytička datového portálu Evropa v datech.
Pojďme se nechat hacknout
I proto si firmy začínají platit etické hackery, kteří na ně provádí simulované útoky všeho druhu a trénují jejich odolnost. Takový „projekt“ má za sebou například tým etických hackerů společnosti Citadelo. Hackeři dostali od klienta seznam zaměstnanců a jejich telefonní čísla, zároveň si o nich z veřejných zdrojů zjistili co nejvíce informací.
„Během samotné kampaně simulující útok jsme telefonicky kontaktovali zaměstnance společnosti a vydávali se za jejich kolegy z IT oddělení. Požádali jsme je o to, jestli by nám nepomohli vyřešit problém s jejich zařízením a pokusili se je manipulativními strategiemi sociálního inženýrství přesvědčit k provedení nebezpečných aktivit, které vedou například ke spuštění škodlivého softwaru,“ popisuje Tomáš Zatko, šéf Citadela.
Cílem útočníka bylo navést zaměstnance, aby se z e-mailu prokliknul na falešnou webovou stránku, kde zadal své osobní údaje, v tomto případě e-mailovou adresu. Další simulací bylo spuštění potenciálně nebezpečného příkazu zaměstnancem na firemním počítači. „Těch, co se nachytali, bylo překvapivě hodně,“ říká Zatko.
Z padesátky oslovených zaměstnanců se 36 % nechalo etickými hackery navést až ke spuštění nebezpečného příkazu. Útočníkovi přitom častokrát stačí, aby nachytal jen jednu oběť. „Takto vysoké číslo je spíše pravidlem než výjimkou,“ dodává etický hacker.
Zkreslená čísla
S ohledem na vše výše zmíněné je tedy s podivem, že se v Česku mezi lety 2023 a 2024 podle policejních statistik snížil celkový počet trestných činů spáchaných v kyberprostoru skoro o šest procent na hodnotu kolem 18 tisíc. Oproti roku 2015, kdy policie v kyberprostoru registrovala okolo 5 tisíc skutků, v poslední dekádě počet činů přitom výrazně vzrostl.
Podle vysvětlení policie neeviduje jako kyberkriminalitu trestnou činnost, ke které došlo pomocí mobilu či telefonu, vishing tak v rámci těchto statistik sledován není.
„Vishing je formou spáchání trestného činu, nikoliv čin samotný, tím pádem ze statistik vyčíst nelze, a ani se nesleduje. Jelikož je často doprovázený osobním setkáním, bylo by velmi problematické jeho zařazení. O kvalifikovanou kyberkriminalitu se tedy nejedná a tyto metody naleznete zpravidla pod klasickými podvody,“ vysvětluje mluvčí policejního prezidia Ondřej Moravčík.
Hodnoty z roku 2024 představují oproti roku 2015 nárůst o 368 %. K rapidnímu skoku v počtu skutků došlo zejména mezi lety 2021 a 2022, část trestné činnosti se totiž přesunula do kyberprostoru v důsledku pandemie covidu.
