Smishing a vishing jsou typy phishingových útoků, které se snaží vylákat oběti prostřednictvím SMS zpráv a hlasových hovorů. Oba se spoléhají na stejné emocionální apely používané v tradičních phishingových podvodech a jejich cílem je přimět vás k naléhavé akci. Rozdíl je ve způsobu doručení.
„Kybernetičtí zloději mohou techniky manipulace použít na mnoho forem komunikace, protože základní principy zůstávají stejné,“ vysvětluje Stu Sjouwerman, generální ředitel společnosti KnowBe4, který se zabývá zvyšováním povědomí o bezpečnosti. „Oběti nalákají návnadou a pak je chytí na háčky.“
Co je to smishing?
Definice smishingu: Smishing (SMS phishing) je typ phishingového útoku prováděného pomocí SMS (Short Message Services) na mobilních telefonech.
Stejně jako e-mailové phishingové podvody obsahují smishingové zprávy obvykle hrozbu nebo lákadlo, abyste klikli na odkaz nebo zavolali na číslo a předali citlivé informace. Někdy vám mohou doporučit instalaci nějakého bezpečnostního softwaru, z něhož se vyklube malware.
Příklad smishingu: Typická smishingová zpráva může znít například takto: „Váš účet u banky ABC byl pozastaven. Chcete-li svůj účet odblokovat, klepněte sem: https://bit.ly/2LPLdaU“ a uvedený odkaz stáhne do vašeho telefonu malware. Podvodníci se také umí přizpůsobit médiu, které používají, takže můžete dostat textovou zprávu, která bude znít: „Je to opravdu vaše fotka? https://bit.ly/2LPLdaU“ a pokud klepnete na tento odkaz, abyste to zjistili, opět si stáhnete malware.
Co je vishing?
Definice vishingu: Vishing (hlasový phishing) je typ phishingového útoku, který je prováděn telefonicky a často se zaměřuje na uživatele služeb Voice over IP (VoIP), jako je například Skype.
Pro podvodníky je snadné zfalšovat identifikaci volajícího, takže se může zdát, že volají z místní předvolby nebo dokonce z organizace, kterou znáte. Pokud hovor nezvednete, zanechají vám zprávu v hlasové schránce s žádostí, abyste zavolali zpět. Někdy tyto druhy podvodů využívají záznamník nebo dokonce call centrum, které o páchaném trestném činu neví.
Cílem je opět získat údaje o kreditních kartách, data narození, přihlášení k účtu nebo někdy jen získat telefonní čísla z vašich kontaktů. Pokud zareagujete a zavoláte zpět, může se objevit automatická zpráva s výzvou k předání údajů a mnoho lidí se na to nebude ptát, protože automatické telefonní systémy dnes berou jako součást každodenního života.
Jak se bránit smishingu a vishingu
V dnešní době si dáváme větší pozor na e-mail, protože jsme zvyklí dostávat spam a podvody jsou běžné, ale textové zprávy a telefonáty mohou mnoha lidem stále připadat legitimnější. Vzhledem k tomu, že stále více nakupujeme, provádíme bankovní operace a další činnosti online prostřednictvím svých telefonů, množí se příležitosti pro podvodníky. Abyste se nestali obětí, musíte se zastavit a přemýšlet.
„Zdravý rozum je obecně osvědčeným postupem a měl by být první linií obrany jednotlivce proti podvodům na internetu nebo po telefonu,“ říká Sjouwerman.
Přestože rady, jak se nenechat nachytat phishingovými podvodníky, byly napsány s ohledem na e-mailové podvody, platí stejně dobře i pro tyto nové formy phishingu. V základu je dobré začít tím, že nebudete nikomu věřit. Nikdy neklepejte na odkazy ve zprávách, vyhledávejte čísla a webové adresy a sami je zadávejte. Neposkytujte volajícímu žádné informace, pokud si nejste jisti, že je legitimní – vždy mu můžete zavolat zpět.
Je lepší být v bezpečí než litovat, proto se vždy rozhodněte pro opatrnost. Žádná organizace vám nebude vyčítat, že jste zavěsili a pak jim přímo zavolali (poté, co jste si číslo sami vyhledali), abyste se ujistili, že jsou opravdu těmi, za které se vydávají.
Aktualizujte si školení o informovanosti
Přestože zůstat ve střehu je solidní rada pro jednotlivce v běžném životě, skutečnost je taková, že lidé na pracovišti jsou často neopatrní. Mohou být roztržití, pod tlakem a dychtiví pokračovat v práci a podvody mohou být ďábelsky chytré. Co když SMS zpráva vypadá, že přišla od generálního ředitele, nebo telefonát vypadá, že je od někoho z personálního oddělení? Své zaměstnance můžete zocelit a posílit svou obranu správným školením a jasnými zásadami.
Každá společnost by měla mít nějaký povinný, pravidelný program školení o bezpečnosti. Může zahrnovat osvědčené postupy pro obecnou bezpečnost, ale také definovat zásady, například na koho se obrátit v případě něčeho podezřelého nebo pravidla, jak se bude nakládat s určitou citlivou komunikací, díky nimž bude mnohem snazší odhalit pokusy o podvod.
Pokud dojde k nějaké formě phishingového útoku, proveďte změny, aby se už nikdy neopakoval – to by mělo být také podkladem pro vaše bezpečnostní školení.
Většina útoků typu smishing a vishing zůstává nenahlášena, což nahrává kyberzločincům. Zatímco vy můžete být dost chytří na to, abyste ignorovali poslední podezřelou SMS nebo hovor, Marge z účtárny nebo Dave z personálního oddělení se možná stanou obětí. Pokud máte zavedený systém, díky kterému mohou lidé tyto pokusy o útoky hlásit, a případně i malou odměnu za to, že tak učiní, představuje to pro vás příležitost varovat ostatní.
Protože se phishing stále vyvíjí a nachází nové vektory útoku, musíme být ostražití a neustále aktualizovat své strategie boje proti němu.