Proč chtějí kyberútočníci váš telefon?

    Kyberútočníci se snaží získat vaše telefonní číslo, které mohou použít pro phishing, smishing nebo vishing. Jsou pro ně cenným nástrojem k odcizení identit nebo přístupu k citlivým účtům. Mobilní telefon totiž dnes znamená mnohem více než jen způsob komunikace.
    • Posted on
    • 7 min. čtení
    Tereza Malkusová
    Total
    0
    Sdílení
    Sdílet 0
    Tweetnout 0
    Pin it 0
    Sdílet 0
    Total
    0
    Sdílení
    0
    0
    0
    0
    0

    Vaše telefonní číslo je víc než jen způsob, jak vás kontaktovat – podvodníci ho mohou využít k rozesílání škodlivých zpráv, a dokonce ho zneužít k získání přístupu k vašemu bankovnímu účtu nebo ke krádeži citlivých dat.

    Pojďme se podívat na to, proč jsou telefonní čísla vyhledávaným cílem  kyberútočníků, a probrat rizika spojená s jejich vyzrazením.

    $cam jako předmět podnikání

    Neradi to říkáme, ale kyber zločin pořád ohromně vynáší. Tolik, že vznikají celé zločinecké gangy, které vymýšlejí propracované způsoby, jak uživatele okrást. Typickým příkladem může být budování falešného vztahu nebo volání falešného pracovníka technické odpory nebo bankéře.

    Jádrem mnoha takových scénářů je phishing a další útoky zneužívající postupy sociálního inženýrství. Útočníci se snaží vyvolat emoce (typicky strach) a pracují s naléhavostí. Zkrátka musíte teď hned něco udělat, abyste zabránili katastrofě.

    Stáhněte si příručku
    o sociálním inženýrství

    Poznejte techniky sociálního inženýrství a naučte se, jak se proti nim úspěšně bránit.

    STÁHNOUT PŘÍRUČKU

    Navzdory nárůstu digitální komunikace telefonní hovory a zprávy zůstávají pro mnoho lidí důvěryhodnou metodou výměny informací. Často máme dojem, že když slyšíme druhého a vidíme na displeji jeho číslo, je všechno tak, jak má být.

    Jak lze zneužít vaše telefonní číslo?

    Vishing

    Pokud útočník zná vaše telefon číslo, může zkusit tzv. vishing. Jde o podvodný telefonát, jehož cílem je vylákat z vás osobní, platební nebo přístupové údaje. Patrně vás kontaktuje jménem nějaké autority. Často se zločinci vydávají za pracovníky bank, policisty nebo státní úředníky. Často argumentují tím, že vás zrovna někdo okrádá a abyste své úspory zachránili, musíte okamžitě převést peníze jinam, nebo nahlásit do telefonu své heslo k internetovému bankovnictví.

    kybergangy operují i v call centrech, útočí podvodnými telefonáty

    Smishing

    Typickým podvodem je smishing, kdy útočníci rozesílají SMS zprávy s infikovaným nebo škodlivým odkazem, který odkazuje na phishingové stránky. Typicky přijde jménem nějaké renomované společnosti, často takto zneužívají platební službu PayPal nebo přepravní společnosti. Evidujeme třeba také zprávy, které přišly zdánlivě z finančního úřadu.

    Cílem je vylákat z vás přihlašovací údaje nebo jiné osobní údaje na phishingových webových stránkách nebo si stáhnout nějaký malware.

    Příklad smishingové zprávy, která se přiživuje na přihlašovacích údajích ke službě PayPal
    Příklad smishingové zprávy, která se přiživuje na přihlašovacích údajích ke službě PayPal

    Přesměrování hovorů

    K podvodům lze využít přesměrování hovorů. Jak to funguje? Ozve se vám podvodník a vydává se za nějakou autoritu, třeba pracovníka technické podpory vašeho operátora. Vyzve vás, abyste vytočili specifické telefonní číslo (většinou začíná *).

    Jakmile oběť toto číslo vytočí, neúmyslně přesměruje volání na útočníky. Ti teď budou za vás přijímat hovory a v nich mohou odposlouchávat cenné informace.

    Výměna SIM karet

    Podvodníci se mohou pokusit přimět operátora, aby aktivoval vaši starší SIM nebo vám vydal novou. Nejdříve si sežene potřebné informace a poté kontaktuje mobilního operátora a požádá o přenos telefonního čísla na SIM kartu, kterou vlastní pachatel. Podvodník nejčastěji tvrdí, že je nutné SIM vyměnit kvůli krádeži nebo ztrátě telefonu

    Po provedení tohoto procesu oběť ztratí přístup k mobilní síti a telefonnímu číslu, zatímco útočník  bude nyní přijímat hovory a textové zprávy oběti. Tohoto podvodu byste si ale rychle všimli, protože v jeho důsledku ztratíte přístup k telefonní síti.

    Spoofing

    Podvodníci mohou maskovat svou identitu a vydávat své číslo za jiné, známé.  Této metodě se říká spoofing. V praxi se to projeví tak, že vám místo náhodného čísla vyskočí telefonní číslo, které znáte. V takovém případě na straně oběti odpadá prvotní podezřívavost.

    Na vašem soukromém telefonu loví útočníci služební data

    V dnešní době mnoho zaměstnanců používá ke kontrole služebních e-mailů mobilní telefony. Vzniká tím pro útočníky zcela nový prostor. I oni totiž vědí, že mobilní telefony máme méně zabezpečené než počítače.

    Útočník si dá více práce s rešerší a podvod cílí na konkrétní firmu (tomu se říká spearphishing). Takže si spojí telefonní číslo a veřejně dostupné informace (například jména vedoucích pracovníků, interní software nebo výše obratů). A tyto informace využije, aby se vydával za někoho, s kým pracujete nebo třeba za dodavatele.

    Konečným cílem mnoha podvodníků je totiž získat přístup k podnikovým systémům a finančním prostředkům.

    CEO fraud

    Specifickým typem spear phishingu je takzvaný CEO fraud. V takovém případě se útočník vydává za vysoce postaveného managera (například výkonného ředitele, anglicky CEO).

    Představte si, že jste účetní ve velké společnosti. Právě řešíte mzdy, práce máte nad hlavu a do toho, vám zavolá šéf šéfa a požádá vás o převod peněz. Jde o urgentní záležitost. Je potřeba zaplatit zálohu na akvizici, o které se už dlouho šušká. Musíte ale jednat ihned. Obchodní partner čeká.

    Příklad phishingového e-mailu.
    Ukázka, jak může vypadat CEO fraud v e-mailu. Informace zdánlivě sedí, až na e-mail (a jméno, to jsme si pro účel ukázky vymysleli).

    Sice víte, jak se vedení firmy jmenuje, ale běžně s ním nejednáte. Nechcete jej ztrapnit na tak důležitém obchodním jednání. Navíc má informace, která dávají smysl: oslovil vás jménem, volal na služební číslo. A šéfům s přece neodmlouvá. Tak transakci provedete.

    Bohužel i když se jedná o telefonát, může to být podvod. Existují AI nástroje, které například z veřejných rozhovorů umí napodobit tón hlasu.

    Manuál: Jak poznat phishing

    Jak se před telefonními podvody chránit?

    1. Prověřujte, prověřujte, prověřujte
      Nikdy nereagujete na nezvyklé požadavky ihned, ani když jsou od vašich blízkých. Nejdříve vždy sami kontaktujte tazatele a ověřte si, že opravdu potřebuje pomoci. V případě, že vám volá kolega, můžete jej kontaktovat prostřednictvím interních komunikačních nástrojů. Blízkým klidně zavolejte na jejich číslo. Naklonovat číslo tak, aby podvodník uměl i přijímat hovor, zatím možné není. Zeptejte se na něco, co nikdo nepovolaný nemůže vědět.
    2. Obraťte se na poskytovatele služby
      Pokud vám volá bankéř, policista nebo jiný důvěryhodný pracovník, neplňte požadavek hned. Zavěste zpět na číslo poskytovatel služby, které běžně používáte. Doptejte se, zda vám skutečně volal někdo s urgentním požadavkem, případně poskytovatele informujte, že někdo zkouší podvést jejich zákazníky.
    3. Nebuďte slušní
      Útočníci s vámi po telefonu budou manipulovat, často jsou hrubí a vydírají své oběti argument na jako „Jsem policista, nespolupracovat je trestný čin.“ „To opravdu chcete přijít o všechno, jak vám to mám jako vysvětlit.“
      Klidně telefon uprostřed věty típněte a vraťte se k předchozímu kroku a volejte sami zpět na vám známé číslo.
    4. Dávejte pozor na to, co sdílíte
      Abyste zabránili podvodníkům ve shromažďování dalších údajů o vás, dávejte si pozor na to, co o sobě sdílíte online. Impersonizace spočívá v tom, že útočník použije veřejně dohledatelné informace, aby vás přesvědčil že je váš kamarád, šéf nebo kolega.
    5. Používejte vícefaktorovou autentizaci
      Povolte ve všech službách vícefaktorové ověřování. Upřednostněte raději aplikace namísto SMS. Je to bezpečnější
    6. Zabezpečte si telefon
      Phishing, ať už prostřednictvím zpráv nebo hovorů, lze odhalit pomocí . Podnikům může obrana proti mobilním hrozbám a bezpečné ověřování pomoci takové hrozby překonat.

    Pro útočníky jsou takové podvody poměrně nízkonákladové, potenciální zisk vysoký. Navíc je velmi složité najít a usvědčit skutečného viníka. Ke všemu může stačit jeden „úspěšný“ telefonát, aby se celá operace vyplatila.

    Proč jsou všechny tyto podvody takovou hrozbou? V dnešní době se mnoho online služeb spoléhá při ověřování a obnově účtu na mobil. Kompromitace telefonního čísla může vést k obejití bezpečnostních opatření, včetně dvoufaktorového ověřování (2FA). Podvodníci se navíc mohou vydávat za vás a podvést vaše přátele nebo vašeho zaměstnavatele.

    Přečtěte si také:
    ➡️    Sociální inženýrství online, jak nenaletět?
    ➡️Vishing: Podvodné telefonáty nás připraví o peníze i data
    ➡️ Naletěli jste podvodníkovi na internetu – co dělat dál?
    Total
    0
    Sdílení
    Sdílet 0
    Tweetnout 0
    Pin it 0
    Sdílet 0
    Sdílet 0
    Štítky
    Novinky z magazínu Dvojklik.cz

    Jednou měsíčně vám pošleme to nejbezpečnější čtení. Pohodlně. Do mailu.

    Frekvence odesílání 1x měsíčně.
    Snadné odhlášení jedním kliknutím.

    Další informace o zpracování osobních údajů najdete v našich zásadách ochrany osobních údajů.

    Mohlo by vás zajímat