Vítejte u nového dílu KYBcastu, ve kterém se dnes společně s Pavlem Matějíčkem ponoříme do temného světa telefonních podvodů, jež se v poslední době staly nejen častějšími, ale i daleko sofistikovanějšími. V éře, kdy umělá inteligence (AI) neustále posouvá hranice možného, se podvodníci učí využívat tyto pokročilé technologie k vytváření ještě přesvědčivějších a personalizovanějších scénářů. Jak ale rozpoznat, že na druhé straně linky nestojí přítel, ale nepřítel?
Jak AI otevírá dveře podvodníkům
V dnešním podcastu se dozvíte, jak AI umožňuje podvodníkům napodobovat hlasy konkrétních osob s takovou přesností, že je téměř nemožné odhalit podvod na první poslech. Stačí jen zhruba 20 minut záznamu vašeho hlasu a technologie, jako jsou deepfakes, představují bezpečnostní výzvu, se kterou se musíme vypořádat. Více třeba v tomto článku: https://dsm.tate.cz/cs/2023/dsm-2-2023/deepfakes-bezpecnostni-vyzva-pro-nase-usi
Sběr informací a překonávání bezpečnostních systémů
Nejde ale jen o hlas. AI dokáže prohledávat a analyzovat obrovské množství dat z veřejných zdrojů, například ze sociálních sítí, aby získala cenné informace o potenciálních obětech. Tyto informace pak mohou být využity k obejití bezpečnostních systémů, například těch, které používají ověření hlasem a nebo při phishingových útocích.
Co můžete udělat pro svou obranu
V boji proti telefonním podvodům je klíčová prevence a informovanost. Nejprve je důležité pravidelně se vzdělávat v oblasti kybernetické bezpečnosti a být obeznámen s nejnovějšími metodami, které podvodníci používají. Udržujte se v obraze prostřednictvím důvěryhodných zdrojů, které vás upozorní na nové hrozby – třeba pomocí našeho KYBcastu.
Další účinnou obrannou taktikou je použití kódových otázek. Pokud vás kontaktuje někdo, kdo tvrdí, že je z vaší banky nebo jiné instituce, položte otázku, na kterou by pravý zástupce měl znát odpověď, ale podvodník ne. Může to být něco souvisejícího s vaším posledním transakcí nebo interní procedurou, o které by veřejnost neměla vědět.
Stejně tak pokud se někdo bude vydávat třeba za vašeho kolegu nebo rodinného příslušníka, zeptejte se na otázku typu:
Jaká trička jsme dostali na posledním teambuildingu?
Co si mi koupil naposledy k Valentýnu?
Jak se jmenovat tvůj první gekončík?
Samozřejmě volte otázky, jejichž odpovědi nenajde každý na vašich sociálních sítích.
V dnešní době jsou také na trhu dostupné aplikace pro rozpoznávání volajících, jako jsou Truecaller nebo Should I Answer, které vám pomohou identifikovat neznámá a potenciálně podvodná čísla. Tyto aplikace pracují s rozsáhlými databázemi čísel a umožňují uživatelům hodnotit a komentovat své zkušenosti s různými čísly, což vám může poskytnout cenné informace ještě předtím, než hovor zvednete.
Nicméně jsou zaměřeny spíše na jiné trhy než je ten český. U nás tedy doporučujeme spíše použít kontrolu čísla třeba přes tyto on-line vyhledávače a databáze nežádoucích čísel:
Nakonec nezapomínejte na základní pravidlo: Nikdy neposkytujte osobní informace, jako jsou hesla, PINy nebo čísla účtů, pokud si nejste absolutně jisti totožností volajícího. Pokud máte pochybnosti, ukončete hovor a kontaktujte instituci přímo prostřednictvím ověřeného telefonního čísla, nebo fyzicky na pobočce. Pomocí těchto strategií můžete výrazně snížit riziko stát se obětí telefonního podvodu.
Jak skrýt telefonní číslo? Je to velmi jednoduché, návod na to sdílel nedávno na síti X David Kudrna:
Pro jednorázový hovor se skrytým číslem postupuj takto: Zadej #31# a pak telefonní číslo toho, komu chceš zavolat. Uvidí toto:
Trvalé zamezení: Vaše číslo se volanému nikdy nebude zobrazovat.
Dočasné zobrazení: Číslo se standardně nebude zobrazovat. Nastavením v menu vašeho telefonu či zadáním kódu *31# před volané telefonní číslo lze povolit zobrazení vašeho čísla.
Dočasné zamezení: Číslo se standardně zobrazuje. Tuto službu máte automaticky k dispozici již při aktivaci SIM karty. Zobrazení svého čísla zamezíte nastavením v menu svého telefonu či zadáním kódu #31# před volané telefonní číslo.
Pomocí kódu *#31# si můžete zkontrolovat svoje aktuální nastavení.
Spoofování telefonního čísla (fake bankéř) – jak se to dělá
Samostatnou kapitolou je pak takzvané spoofování, tedy podvržení telefonního čísla. Je to technika, při které útočník mění zobrazované telefonní číslo, aby se vydával za někoho jiného (například za banku nebo důvěryhodnou instituci).
Zde je pohled na to, jak útočníci technicky provádějí spoofování telefonních čísel.
1. VoIP (Voice over Internet Protocol) systémy
Útočníci často využívají VoIP služby k realizaci spoofovaných hovorů. VoIP technologie umožňuje uživatelům provádět hlasové hovory přes internet místo tradičních telefonních sítí. U VoIP hovorů lze informace o volajícím nastavit programově, což znamená, že útočník může snadno manipulovat s těmito informacemi a předstírat, že volá z jakéhokoli čísla.
2. Speciální služby
Existují specializované softwarové nástroje a online služby, které jsou navrženy speciálně pro účely spoofování. Tyto nástroje umožňují útočníkům jednoduše zadat jakékoliv telefonní číslo, které chtějí zobrazit na displeji příjemce, a toto číslo se pak objeví během volání. Tyto služby jsou často nabízeny pod záminkou legitimních účelů, jako je ochrana soukromí, ale mohou být zneužity pro nekalé praktiky.
3. Manipulace s SS7 protokolem
SS7 (Signalling System No. 7) je soubor protokolů používaných pro síťovou signalizaci v telefonních sítích. Odborníci v oblasti kybernetické bezpečnosti a někteří útočníci, kteří mají hluboké znalosti telekomunikačních sítí, mohou teoreticky zneužít slabiny v protokolu SS7 k manipulaci s informacemi o volajícím. Toto je však mnohem složitější a vyžaduje specifické technické schopnosti a přístup k síťové infrastruktuře.
4. Zneužití telefonních ústředen (PBX)
V některých případech mohou útočníci zneužít telefonní ústředny podniků (PBX), které jsou nakonfigurovány tak, aby umožňovaly volání ven s různými zobrazovanými čísly. Útočníci mohou tuto funkcionalitu zneužít k realizaci spoofovaných hovorů.
Ochrana proti Spoofování
Ochrana proti spoofování čísla není snadná – je třeba být skeptický vůči nečekaným telefonním hovorům, zejména pokud volající žádá osobní nebo finanční informace. Doporučuje se ověřit identitu volajícího prostřednictvím nezávislého způsobu komunikace, například zavoláním zpět na oficiální telefonní číslo instituce, kterou údajně volající zastupuje. Spousta bank pak umožňuje například validaci volajícího skrze mobilní aplikaci – u nás například mBank, Komerční banka, Česká spořitelna i Raiffeisenbank.
